Etik Hacking - Sosyal Mühendislik
Sosyal Mühendislik saldırıları kavramını bazı örneklerle anlamaya çalışalım.
örnek 1
Eski şirket belgelerinin çöp olarak çöp kutularına atıldığını fark etmiş olmalısınız. Bu belgeler, İsimler, Telefon Numaraları, Hesap Numaraları, Sosyal Güvenlik Numaraları, Adresler vb. Gibi hassas bilgiler içerebilir. Birçok şirket, faks makinelerinde hala karbon kağıt kullanır ve rulo bittiğinde, karbonu, izleri olabilecek çöp kutusuna gider. hassas veriler. Olasılık dışı görünse de, saldırganlar çöpleri çalarak şirket çöplüklerinden kolayca bilgi alabilir.
Örnek 2
Saldırgan, bir şirket personeliyle arkadaş olabilir ve onunla belirli bir süre iyi ilişkiler kurabilir. Bu ilişki sosyal ağlar, sohbet odaları aracılığıyla çevrimiçi olarak veya bir sehpada, oyun alanında veya başka herhangi bir yolla çevrimdışı olarak kurulabilir. Saldırgan, ofis personelini güven içinde alır ve nihayet gerekli hassas bilgileri hiçbir ipucu vermeden çıkarır.
Örnek 3
Bir sosyal mühendis, kimlik kartını taklit ederek veya sadece çalışanları şirketteki pozisyonuna ikna ederek çalışan veya geçerli bir kullanıcı veya VIP gibi davranabilir. Böyle bir saldırgan, kısıtlı alanlara fiziksel erişim sağlayabilir ve böylece saldırılar için daha fazla fırsat sağlayabilir.
Örnek 4
Çoğu durumda, bir saldırgan çevrenizde olabilir ve shoulder surfing kullanıcı kimliği ve şifre, hesap PIN kodu vb. hassas bilgileri yazarken.
Kimlik avı saldırısı
Kimlik avı saldırısı, bir saldırganın meşru görünen bir e-postayı oluşturduğu bilgisayar tabanlı bir sosyal mühendisliktir. Bu tür e-postalar, orijinal siteden alınanlarla aynı görünüme ve hisse sahiptir, ancak sahte web sitelerine bağlantılar içerebilir. Yeterince akıllı değilseniz, kullanıcı kimliğinizi ve şifrenizi yazacak ve oturum açmaya çalışacaksınız, bu da başarısızlıkla sonuçlanacak ve bu zamana kadar saldırgan, orijinal hesabınıza saldırmak için kimliğinizi ve şifrenizi alacak.
Hızlı düzeltme
Kuruluşunuzda iyi bir güvenlik politikası uygulamalı ve tüm çalışanları olası Sosyal Mühendislik saldırıları ve sonuçlarından haberdar etmek için gerekli eğitimleri vermelisiniz.
Belge parçalama, şirketinizde zorunlu bir faaliyet olmalıdır.
E-postanızda aldığınız tüm bağlantıların gerçek kaynaklardan geldiğinden ve bunların doğru web sitelerine işaret ettiğinden emin olun. Aksi takdirde, Phishing kurbanı olabilirsiniz.
Profesyonel olun ve hiçbir durumda kimliğinizi ve şifrenizi kimseyle paylaşmayın.