Sosyal Mühendislik'te İğneyi Kendine Batırabilmek

Bilgi güvenliğinin en zayıf halkası olan insan'daki zaafiyetlerin istismar edildiği Sosyal mühendislik saldırıları hemen her sızma testine dahil edilir ve testin en eğlenceli bölümlerindendir. Hatta telefon kayıtları dinlenirken,yazışmalar okunurken ya da kullanıcı adı/parolaların oltalandığı veritabanları kayıtlarına bakılırken epey kakara kikiri yapılır çoğu zaman iyi niyetli,saf,ufo gören masum kurum çalışanı hakkında.

Ama testi yaptıranlar,kurumların bilgi güvenliği ekiplerinin başındaki sorumlular çoğu zaman kendilerine "farkındalık eğitimlerini artırmalıyız,sıklaştırmalıyız,duvarlara bilgi güvenliği ile alakalı posterler asmalıyız" dan fazla pay çıkarmazlar ne yazık ki.

Hedefi Olmadığınız Saldırılardan Ders Çıkarmak,Faydalanmak - Nass oluyor da oluyor?

2012 senesi Amerikan bankaları için zor geçti. Finans sektöründeyseniz hele,konuyla ilgili haberleri mutlaka takip etmişsinizdir. Konuya uzak olanlar için kısaca bahsetmek gerekirse ve saldırının arkasındaki grubun iddia ettiğine göre gerekçe Youtube'un İslam karşıtı filmin görüntülerini yayınlamaya devam etmesi.Saldırının arkasında başka nedenler de vardır mutlaka,günümüzde bu tip saldırıların sadece ideolojik ya da manevi değerler nedeniyle yapılmadığını artık hepimiz biliyoruz. Son olarak 2. fazı yürütülen saldırıların ilk fazı güvenlik uzmanlarınca "ilkel" olarak tanımlansa da oldukça etkili oldu ve ses getirdi. Sinyalleri saldırıdan birkaç gün önce pastebin'den verilen saldırının zaman zaman 60Gbps şiddetine çıktığı söylenen saldırının ikinci fazı bazı otoritelere göre başarısız oldu. Hedefteki bazı bankalar çareyi ülke bazında erişimi kısıtlamakta buldu (Resim 1).Özellikle hedefteki bankaların bazıları bu saldırılardan çok şey öğrendi.

Resim 1

http://host-tracker.com/