Social Engineering / Toplum Mühendisliği

Şirket bütçenizden önemli bir payı siber güvenlik teknolojilerine ayırdınız ve milyon dolarlık ürünler satın aldınız. Haklı olarak %100 güvenliği sağladığınızı düşünüyorsunuz (%100 güvenlik zaten yoktur da işte lafın gelişi)… Ama işin aslı öyle değil malesef. Milyon dolarlık güvenlik ürünlerine sahip olabilirsiniz ancak bir faktörü unutuyorsunuz. İnsan!

Bu kısa yazıda, “Toplum Mühendisi kimdir?” ve “Nasıl Amacına Ulaşır?” sorularına alıntı bir örnek ile cevap vereceğiz. Toplum Mühendisi, teknolojiyi kullanarak ya da kullanmadan bilgi edinmek için çeşitli ikna yöntemleri kullanan kişidir. Yaygın olarak bilinenin aksine, teknik ve sosyal yönleri oldukça kuvvetlidir. Kurbanlarının güvenini kazanmayı çok iyi bilirler ve vicdan sömürüsünde ustadırlar. Nasıl Amacına Ulaşır? – En çok kullandıkları yöntem, yardım isteme yöntemidir aslına bakarsanız. Hepimiz insanız ve doğamız gereği yardım etmeye pek bir meyilli oluyoruz. Diğer kullandıkları başka iki yöntem ise yetki ve sindirmedir. Küçük bir örnekle açıklayalım. Telefonunuz çaldı ve arayan sizin yöneticinizin adını kullanarak bazı bilgilere ulaşmak istiyor. Düşünün, telefondasınız ve karşınızdaki size tok bir ses tonuyla baskı yapıyor… Çoğu kişi yöneticisinin ismi kullanıldığı için bu bilgileri ister istemez paylaşacaktır.

Son cümlelerle yazıyı toparlamak gerekirse, farkındalık ve şirket içi bilgi güvenliği eğitimleri son derece önemlidir. Her bir departmana (en üst yöneticisinden çalışanına) farkındalık eğitimleri tekrarlı olarak verilmelidir ve yine unutulmamalıdır ki, kritik bilgilerin telefonda tanımadığınız kişilere verilmesi gerekiyorsa, en azından iki tarafında birbirini teyidi için günlük şifreler kullanılmalıdır.

Bir kuşkun varsa, kontrol et, kontrol et, kontrol et.

Referans