04 Mayıs 2020

Social Engineering (Sosyal Mühendislik) Testi Nedir?

Social Engineering Testlerinin Amaçları
Social Engineering Testleri'nin Amaçları

Social engineering testlerinin hedeflediği katman insan katmanı olmasına rağmen aslında iki temel hedefi vardır:
  • Birincisi e-posta güvenlik altyapısının etkinliğini değerlendirmek
  • İkincisi organizasyon personelinin siber güvenlik farkındalığını test etmek
Social engineering testleri aynı zamanda etkili bir farkındalık eğitim aracı olarak da kullanılır.

Bazı kurumlar için çalışılan sektör, personel profili, senaryonun çok etkili oluşu gibi çeşitli nedenlerden dolayı bu konuda sıfır hataya ulaşmak mümkün olmayabilir. Ancak yine de bu tür testler insan katmanına yönelik bu tehdide karşı bir aşı etkisi oluşturarak riski azaltmaya yardımcı olacaktır.

SOCIAL ENGINEERING TEST METODOLOJİSİ


Social Engineering Test Metodolojisi
Social Engineering Test Metodolojisi
  • Phishing yöntemi ile yapılan sosyal mühendislik testlerinde kurum güvenlik yönetimi ile gündemi de dikkati alan bir test senaryosu belirlenir.
  • Belirlenen test senaryosu doğrultusunda bir mesaj içeriği ve senaryo gereği genellikle bir web sitesi oluşturulur.
  • Mesaj gönderilirken sahte (yani spoofed) bir gönderen adresi kullanılabilir. Ancak güvenlik önlemlerini atlatmak gerekiyorsa senaryoya uygun bir alan adı alınabilir. Alan adı alınmışsa tıpkı geçerli bir organizasyonda olduğu gibi gerekli DNS kayıtları oluşturularak e-posta güvenlik çözümlerinin de atlatılması hedeflenebilir.
  • Belirlenen örnek hedef grubuna mesajlar gönderildikten sonra hangilerinin mesajı görüntülediği, hangilerinin yönlendirilmek istenen web sitesine ulaştığı ve hangilerinin senaryo gereği hedef kişiden talep edilen işlemi yaptığı veya bilgileri paylaştığı izlenir.
Eğer kurumun e-posta güvenlik altyapısı etkili ise testin gerçekleştirilebilmesi için IT yönetimi tarafından mesajların geçişi için izin verilmesi istenebilir.

Elbette social engineering için tek araç phishing e-posta mesajları olmak zorunda değildir. Yüz yüze de dahil olmak üzere hedeflenen kişiye ulaşmak için kullanılabilecek her türlü araç sosyal mühendislik aracı olarak kullanılabilir. Sık kullanılan diğer araçlara örnek olarak telefon ve sosyal medya üzerinden ulaşma, hatta dijital reklamlar verilebilir.

BTRisk pentest hizmetleri ile ilgili daha fazla bilgi almak ve BTRisk'e ulaşmak için aşağıdaki sayfaları ziyaret edebilirsiniz:
https://www.btrisk.com/hizmetler/pentest-sizma-testi-hizmeti/
https://www.btrisk.com/iletisim/