Sosyal Mühendislik ve Senaryolar

Bu dökümanda sosyal mühendisliğin kısa bir tanıtımını yapıp,web saldırılarında nasıl kullanabiliriz ona değineceğim. İlk önce tanıma geçelim.

Ama tanım nerede :) Sosyal mühendislik için kesin bir tanım var diyemeyiz.Eğer açıklamaya çalışırsak hedefe ikna,kişisel iletişim,taklit vb yollardan ki bunların öncesinde bir bilgi toplama süreci var ulaşmaktır.

Sosyal mühendislik son çare olarak görülür aslında,örnek vermem gerekirse bir hedefimiz var diyelim,hedefimiz.com olsun,siteyle ilgili her türlü server tabanlı script tabanlı açığı denedik ama başarılı olamadık bu durumda en zayıf halkaya bana kalırsa,yani insan faktörüne yönelmemiz gerekecektir.

Sosyal mühendislik göründüğü kadar basit değildir,amacımız msn'den kız taklidi yapıp şifre almak değil sonuçta.Sosyal mühendisliğin çeşitli bölümleri vardır bilgi toplama bunlardan en önemlisidir.Belirtmeden geçemeyeceğim,kimi insanlarda ki iletişim becerisi yüksektir,bu kişilerde sosyal mühendislik doğuştan bir yetenektir diyebiliriz,belirttiğim gibi iletişim kurmak,yalan söylemek bir beceridir,bu becerilerin sizde olmadığını düşünüyorsanız yapabileceğiniz birkaç şey var.Bu konularla ilgili çeşitli kitaplar var bunları okuyup kendinizi geliştirebilirsiniz,aynanın karşısına geçip konuşup daha seri daha inandırıcı olup,ikna kabiliyetinizi arttırabilirsiniz

Konu biraz dağıldı farkındayım :) Ama sosyal mühendisliğin tanımını böylece yapmış olduk,kabaca oldu belki de ama oldu.
Nerde kamıştım,istihbaratta.Her şeyi örneklerle açıklayalım derim,yukarıda hedefim.com demiştim sitemiz hedefim.com olsun teknik saldırılarımız bir işe yaramadı ve sosyal mühendisliği düşünüyoruz.İlk önce bu siteyle ilgili bilgi şart,neler lazım olabilir...

-Site sahibinin adı soyadı
-Site sahibinin telefon numarası
-Siteye web hosting hizmeti veren firma ve firma bilgileri(telefon nosu,fax,mail aklınız ne gelirse)
-Domainin kayıt edildiği firma ve firma bilgileri(telefon nosu,fax,mail aklınız ne gelirse)
-Site sahibinin kimi özel bilgileri,ne olabilir?
Yaşı,yaşadığı yeri(adres),kişiliğine kadar.Evet doğru okudunuz kişiliğine kadar.Böyle bir saldırı planlamadan önce site sahibini arayıp biraz konuşmayı deneyin,hem kişinin ses tonunu kulağınıza alın hem de konuşma tarzını kullandığı cümleleri vs.

Şimdi istihbarat topladık diyelim,gelelim siteye nasıl bir sosyal mühendislik saldırısı yapabileceğimize.Yukarıda verdiğim bazı bilgileri içine alan bir saldırı senaryosu olacak.

İlk önce site sahibinin bilgilerini elde ediyoruz,zor bir şey değil hatta çoğu sitede ben kimim diye bölümler görebilirsiniz.Domaine whois çekip çeşitli bilgileri de elde etmeniz mümkün,telefon numarasına kadar.
Özellikle de hedefimiz bir foruma sahip bir siteyse bu çok daha kolay,bu tür sitelerde aktiflik gösterip sivrilebilir ve site sahibiyle daha yakın bir ilişki kurabilirsiniz.

Daha sonra adminle telefonda görüşün bir şekilde,isterseniz yanlışlıkla oldu deyin isterseniz ben bu bu üyeyim sizi çok merak ettim deyin(dereyi geçene kadar ayıya dayı diyeceksiniz,yalakalık ta olsa ucunda başarı istiyorsunuz) aklınıza ne gelirse.Sosyal mühendislikte her şey sizin aklınız yani hayal gücünüzle sınırlı.Bu telefon görüşmesi çok faydalı olacak adamın ses tonundan,konuşma tarzına öğrenebileceğiz. Ayrıca mümkünse bu kişiyi msninize ekleyiniz,bunun nasıl faydası olur?Şöyle olur.MSN de yazışırken yazı tipinden rengine,avatarına,yazarken kullandığı kelimelere,kişisel iletilere dinlediği müziklere kadar bilgi toplarsınız,ne zaman mı işe yarayacak?anlatacağım...