Professional Documents
Culture Documents
Sosyal Mühendislik Saldırıları
Sosyal Mühendislik Saldırıları
Sosyal Mühendislik Saldırıları
Ünal TATAR
Giriş
• Sorumlu herkes:
– Bilginin sahibi
– Kullanıcılar
– Bilgi sistemini yönetenler
3
Giriş - Oluşabilecek Zararlar
4
Giriş - Oluşabilecek Zararlar
• Parasal kayıplar
• Vakit kayıpları
• Can kaybı!
5
Giriş
7
Sosyal Mühendislik Kavramı
• Sosyal mühendisler:
Teknolojiyi kullanarak ya
da kullanmadan bilgi
edinmek için insanlardan
faydalanırlar.
• Etkileme ve ikna
yöntemlerini kullanırlar.
8
Sosyal Mühendislik Kavramı
9
Sosyal Mühendislik Kavramı
• Bu ortak inancın
bilincinde olan
saldırgan, isteğini o
kadar akıllıca sunar ki
hiç kuşku uyandırmaz
ve kurbanın güvenini
sömürür.
11
Sosyal Mühendislik Kavramı
• Kurum güvenliği
denge konusudur.
• En emniyetli bilgisayar?
– Kapalı olandır(!)
– Peki şuna ne dersiniz?: Art niyetli bir kişi
ofise gidip bilgisayarı açması için birini
ikna edebilir.
12
Sosyal Mühendislik Süreci
13
Sosyal Mühendislik Yöntemleri
14
Sosyal Mühendislik ve Teknoloji
15
Sosyal Mühendislik Araçları
16
Sosyal Mühendislik Saldırı Örneği -1
• Konu: Para
17
Sosyal Mühendislik Saldırı Örneği - 1
18
Sosyal Mühendislik Saldırı Örneği - 1
19
Sosyal Mühendislik Saldırı Örneği - 1
20
Sosyal Mühendislik Saldırı Örneği - 1
21
Sosyal Mühendislik Saldırı Örneği - 1
22
Sosyal Mühendislik Saldırı Örneği -2
23
Sosyal Mühendislik Saldırı Örneği -3
Sigara sağlığa zararlıdır …
1. kayıt:
2. kayıt:
3. kayıt:
24
Sosyal Mühendislik Testleri
25
Sosyal Mühendislik Testleri
• Yapılan testler
sonucunda kullanıcıların
yaklaşık %65’inin
şifresini ele geçirebildik!
26
Sosyal Mühendislik Eğitimi
• Sosyal Mühendislik
Kavramı
• Saldırı Teknikleri
• Sosyal Mühendislik Saldırı
Örneği
• Sosyal Mühendislik Testleri
• Korunma Yöntemleri
• Uygulama
27
Kullanıcı Bilinçlendirme Eğitimleri
28
Ölçüm
29
Sürekli Bilinçlendirme Programı
30
Sürekli Bilinçlendirme Programı
31
Kurum Bilgi Güvenliği Kural Önerileri
32
Kurum Bilgi Güvenliği Kural Önerileri
33
Kurum Bilgi Güvenliği Kural Önerileri
34
Sonuç
35
Sonuç
• Kurumdaki tüm
personele periyodik
olarak bilgi güvenliği
bilinçlendirme
eğitimleri verin.
• Kurumunuzda
periyodik olarak,
sosyal mühendislik
saldırı testini de
içeren, bilgi güvenliği
testleri gerçekleştirin.
36
Teşekkürler / Sorularınız …
TÜBİTAK-BİLGEM-UEKAE
Bilişim Sistemleri Güvenliği Bölümü
tatar@uekae.tubitak.gov.tr
0 312 427 73 66
www.bilgiguvenligi.gov.tr
www.bilgimikoruyorum.org.tr
37