Siber Güvenlik

Sosyal Mühendislik Nedir, Saldırıları Nelerdir?

9 ay önce
9 ay önce
88,0 Views
sosyal muhendislik nedir

Teknolojinin gelişmesiyle birlikte siber saldırı yöntemleri de giderek daha sofistike hale geliyor. Bunlardan biri de sosyal mühendislik. Sosyal mühendislik, insanların psikolojik zaaflarını hedef alarak onları kandırma, hassas bilgilerini ele geçirme veya belirli eylemleri gerçekleştirmeye ikna etme yöntemi. Bu saldırılar, teknik bilgiden çok insan davranışlarını manipüle etmeye dayanır ve çoğu zaman fark edilmesi zor olabilir.

Sosyal Mühendislik Nedir?

Sosyal mühendislik, insanları manipüle ederek hassas bilgileri ele geçirme, sistemlere yetkisiz erişim sağlama veya kişileri belirli eylemleri gerçekleştirmeye ikna etme yöntemidir. Bu saldırılar, teknolojiye değil insan psikolojisine dayanır ve genellikle korku, merak, güven veya otorite gibi duyguları kullanarak hedeflerini kandırır.

Sosyal mühendisler, e-posta, telefon görüşmeleri, sahte web siteleri veya yüz yüze etkileşimler gibi farklı yollarla insanları aldatmaya çalışır. Amaçları genellikle şunlardan oluşur:

sosyal muhendislik nedir 2
  • Şifreler, kredi kartı bilgileri veya kişisel verileri ele geçirmek,
  • Bir sisteme yetkisiz giriş yapmak,
  • Hedef kişiyi veya kurumu itibarsızlaştırmak ya da dolandırmak,
  • Kötü amaçlı yazılımlar yükletmek veya cihazları ele geçirmek.

Sosyal mühendislik saldırıları genellikle çok ikna edici ve inandırıcı olmaktadır. Bu nedenle, bireylerin ve kurumların bu tür saldırılara karşı bilinçli olması ve korunma yöntemlerini bilmesi büyük önem taşır.

Sosyal Mühendislik Saldırıları Nelerdir?

Sosyal mühendislik saldırıları, kurbanları manipüle ederek bilgi sızdırmaya, sistemlere yetkisiz erişim sağlamaya veya dolandırıcılık yapmaya yönelik farklı yöntemler içerir.

En yaygın kullanılan sosyal mühendislik saldırı türleri:

1. Oltalama (Phishing)

Oltalama saldırıları, sahte e-postalar, mesajlar veya web siteleri kullanarak kullanıcıları kandırmayı amaçlar. Saldırganlar, resmi kurumlar veya tanınmış şirketler gibi davranarak kullanıcıdan şifre, kredi kartı bilgileri veya diğer hassas verileri paylaşmasını ister.

sosyal muhendislik saldirilari

Oltalama (Phishing) Saldırı Türleri:

  • E-posta Oltalama: Sahte e-postalarla kullanıcıları kandırma.
  • Spearfishing: Belirli bir kişiyi veya kurumu hedef alan kişiselleştirilmiş oltalama.
  • Whaling: Üst düzey yöneticileri hedef alan gelişmiş oltalama saldırıları.
  • Smishing ve Vishing: SMS (Smishing) veya telefon görüşmeleri (Vishing) yoluyla bilgi sızdırma girişimi.

2. Önceden Hazırlık (Pretexting)

Saldırganlar, güven kazanmak için sahte bir kimlik veya senaryo kullanarak kurbanı kandırmaya çalışır. Örneğin, kendini banka görevlisi, BT uzmanı veya devlet yetkilisi gibi tanıtarak kişisel bilgileri elde edebilirler.

3. Yemleme (Baiting)

Yemleme saldırıları, kullanıcıları kötü amaçlı yazılımlar veya sahte ödüller ile kandırarak tuzağa düşürür. Örneğin, ücretsiz bir film veya yazılım vaadiyle zararlı bir dosyanın indirilmesi sağlanabilir.

4. Sahtecilik (Quid Pro Quo)

Bu saldırıda saldırgan, kurbanına bir şey vaat eder (örneğin, ücretsiz teknik destek) ve karşılığında kullanıcıdan önemli bilgileri paylaşmasını ister.

sosyal muhendislik saldirilari 2

5. Kuyrukçuluk (Tailgating) ve Eşlik Etme (Piggybacking)

Saldırgan, yetkili bir kişinin peşine takılarak veya güven kazanarak fiziksel olarak bir binaya veya güvenli bir alana girmeye çalışır. Örneğin, bir çalışan gibi davranarak ofise giriş yapabilir.

6. USB Tuzağı (Malware Dropping)

Saldırgan, kötü amaçlı yazılım içeren USB bellekleri halka açık alanlara (örneğin, otopark, kafe) bırakır. Merak eden biri bu USB’yi bilgisayarına taktığında cihazı zararlı yazılımla enfekte olur.

Sosyal Mühendislik Örnekleri

Sosyal mühendislik saldırıları günlük hayatta birçok farklı şekilde karşımıza çıkabilir. Sizler için oluşturduğumuz birkaç senaryo ve korunma yollarından bahsetmek gerekirse:

Sahte Banka E-postası (Phishing – Oltalama Saldırısı)

Senaryo: Bir banka müşterisine, bankadan geliyormuş gibi görünen bir e-posta gönderilir. E-postada, “Hesabınızda şüpheli hareket tespit edildi. Hemen giriş yaparak doğrulama yapmalısınız.” gibi bir mesaj bulunur. Kullanıcı, e-postadaki sahte linke tıklayıp kullanıcı adı ve şifresini girdiğinde, bu bilgiler saldırganların eline geçer.

Korunma Yolu: Bankaların asla böyle bir e-posta göndermeyeceğini bilin. Gelen bağlantıları doğrudan tıklamak yerine bankanın resmi web sitesini kendiniz ziyaret edin.

sosyal muhendislik ornekleri

CEO Dolandırıcılığı (Whaling – Büyük Balık Saldırısı)

Senaryo: Bir şirketin finans departmanındaki çalışan, şirket CEO’su veya CFO’sundan geldiğini zannettiği bir e-posta alır. E-postada, “Acil bir ödeme yapmanız gerekiyor. Ödeme detayları ekte” gibi bir mesaj vardır. Çalışan, ödeme talimatını yerine getirir ancak paranın şirketin değil saldırganların hesabına gittiğini fark ettiğinde iş işten geçmiştir.

Korunma Yolu: Üst düzey yöneticilerden gelen finansal talepleri doğrulamak için telefonla ikinci bir onay süreci oluşturun.

Teknik Destek Dolandırıcılığı (Pretexting – Önceden Hazırlık)

Senaryo: Bir saldırgan, bir şirketteki çalışanı arayarak kendisini IT departmanından biri gibi tanıtır. “Sisteminizde güvenlik güncellemesi yapmamız gerekiyor, lütfen şu linke tıklayarak giriş yapın.” der. Çalışan, saldırganın verdiği sahte web sitesine giriş yaptığında kullanıcı adı ve şifresi çalınır.

Korunma Yolu: Şirket içi taleplerin doğruluğunu teyit etmek için resmi kanalları kullanın. Gelen çağrının kimden geldiğini mutlaka doğrulayın.

Sahte USB Bellek (Baiting – Yemleme Saldırısı)

Senaryo: Bir saldırgan, bir şirketin otoparkına veya çalışanların sık geçtiği bir yere üzerinde “Maaş Listesi 2024” yazılı bir USB bırakır. Meraklı bir çalışan USB’yi bilgisayarına taktığında zararlı yazılım çalışır ve saldırgan, sistemin kontrolünü ele geçirir.

Korunma Yolu: Tanımadığınız veya kaynağı belli olmayan USB cihazlarını asla bilgisayarınıza takmayın.

sosyal muhendislik ornekleri 2

Sosyal Medya Üzerinden Hedefli Saldırı (Spear Phishing – Bireysel Oltalama)

Senaryo: Bir saldırgan, LinkedIn veya Instagram gibi platformlardan bir kişiyi hedef alır. Kişinin çalıştığı şirketi, ilgi alanlarını ve yazışma dilini analiz eder. Daha sonra ona özel hazırlanmış bir mesaj göndererek güven kazanır. Örneğin, “Bu iş ilanı tam sana göre” diyerek bir link paylaşır ve kişinin giriş bilgilerini ele geçirir.

Korunma Yolu: Tanımadığınız kişilerden gelen linklere tıklamayın. Sosyal medya hesaplarınızı herkese açık hale getirmeyin.

Fiziksel Erişim Saldırısı (Tailgating – Kuyrukçuluk)

Senaryo: Bir saldırgan, elinde kahve ve laptop çantasıyla bir şirketin kapısında bekler. Bir çalışan kapıyı açtığında “Kartımı unuttum, benimle içeri girebilir misiniz?” diyerek binaya giriş yapar. İçeri girdikten sonra şirketin ağ bağlantı noktalarına veya cihazlarına fiziksel olarak erişebilir.

Korunma Yolu: Şirket girişlerinde güvenlik kartı veya kimlik doğrulama zorunlu hale getirilmeli, çalışanlar tanımadıkları kişilere doğrudan yardım etmeden önce güvenliği bilgilendirmeli.

Sosyal Mühendislik Saldırılarından Korunma Yolları

Sosyal mühendislik saldırıları, insan psikolojisini hedef aldığı için teknik güvenlik önlemlerinden çok bilinçli davranışlarla önlenebilir.  Bu tür saldırılardan korunmak için alabileceğiniz en etkili önlemlerden birkaçından bahsetmek gerekirse:

Bilinçlenin ve Eğitim Alın

  • Sosyal mühendislik saldırılarına karşı en güçlü savunma farkındalık ve eğitimdir.
  • Şirketler çalışanlarına düzenli siber güvenlik farkındalık eğitimleri vermelidir.
  • Olası tehditleri tanıyabilmek için sahte e-posta ve dolandırıcılık taktiklerini öğrenin.
sosyal muhendislik saldirilarindan korunma yollari

Şüpheli E-Posta ve Mesajlara Dikkat Edin

  • E-Postalar, SMS’ler ve WhatsApp mesajları saldırganların en çok kullandığı yöntemlerdir.
  • Kimden geldiğini doğrulamadan hiçbir bağlantıya tıklamayın.
  • E-postaların gönderen adresini kontrol edin (Örn: “bankanız.com” yerine “bankaniz.co” gibi küçük değişiklikler olabilir).
  • E-posta içerisindeki bağlantıları kontrol etmek için fare imlecini üzerine getirin ve URL’nin gerçekten güvenilir olup olmadığını doğrulayın.
  • Acil ve panik yaratmaya çalışan mesajlara karşı temkinli olun.

Güçlü Şifreler ve Çok Faktörlü Kimlik Doğrulama (MFA) Kullanın

  • Saldırganların hesaplarınıza erişmesini zorlaştırın.
  • Her hesap için farklı ve güçlü bir şifre kullanın (örneğin: Jk&!92b@x5).
  • İki faktörlü kimlik doğrulama (2FA/MFA) etkinleştirerek hesaplarınızı ekstra güvenli hale getirin.
  • Şifrelerinizi asla paylaşmayın ve bir parola yöneticisi kullanarak güvenli bir şekilde saklayın.

Telefon Aramalarına Karşı Dikkatli Olun

  • Saldırganlar, teknik destek veya banka çalışanı gibi davranarak hassas bilgileri çalmaya çalışabilir.
  • Tanımadığınız numaralardan gelen aramalarda kişisel bilgilerinizi paylaşmayın.
  • Gerçekten bir bankadan veya şirketten arandığınızı doğrulamak için resmi numarayı siz arayın.
  • Acil veya tehditkar bir dille bilgi talep eden kişilere şüpheyle yaklaşın.

USB ve Bilinmeyen Depolama Cihazlarını Kullanmayın

  • Bilinmeyen USB bellekler kötü amaçlı yazılım içerebilir.
  • Yerde, parkta veya ofis çevresinde bulunan USB cihazlarını bilgisayarınıza asla takmayın.
  • Şirket içinde kullanılan harici depolama aygıtlarının şifrelenmiş ve güvenilir olduğundan emin olun.

Sosyal Medyada Paylaşımlarınıza Dikkat Edin

  • Saldırganlar sosyal medya üzerinden hakkınızdaki bilgileri toplayarak saldırılarını kişiselleştirebilir.
  • Doğum tarihiniz, telefon numaranız, konum bilgileriniz gibi kişisel bilgileri herkese açık paylaşmayın.
  • Çalıştığınız şirket, projeleriniz ve iş e-postanız gibi detayları paylaşırken dikkatli olun.
  • Kişisel bilgilerinize dair sorular soran bilinmeyen kişilere karşı temkinli olun.
sosyal muhendislik saldirilarindan korunma yollari 2

Fiziksel Güvenliği Artırın (Tailgating & Piggybacking Engelleme)

  • Saldırganlar bazen fiziksel olarak ofislere girmeye çalışır.
  • Kimlik kartı olmadan ofis binalarına giren kişilere dikkat edin.
  • Arkadan gelen biri kapıyı sizinle beraber geçmeye çalışıyorsa güvenliğe bildirin.
  • Bilgisayarlarınızı terk ettiğinizde ekranınızı kilitleyin (Windows: Win + L, Mac: Cmd + Ctrl + Q).

Sahte Web Sitelerine Karşı Dikkatli Olun

  • Saldırganlar, resmi sitelere benzeyen sahte sitelerle giriş bilgilerinizi çalmaya çalışır.
  • HTTPS bağlantısı olmayan (kilit simgesi bulunmayan) sitelere kişisel bilgilerinizi girmeyin.
  • Web sitesinin gerçek URL’sini tarayıcıya manuel olarak yazarak giriş yapın.
  • Banka ve resmi kurumlarla ilgili işlemler için sadece resmi siteleri kullanın.

Çalışanlar ve Kullanıcılar İçin Güvenlik Politikaları Oluşturun

  • Şirket içi güvenlik politikaları sosyal mühendislik saldırılarını engellemede çok etkilidir.
  • Çalışanlara düzenli siber güvenlik eğitimi verin.
  • Ödeme ve hassas işlemler için onay süreçleri oluşturun.
  • Bir saldırı fark edildiğinde hızlı müdahale için siber güvenlik ekipleriyle iletişim mekanizması oluşturun.

Bir Şüphe Durumunda Yetkilileri Bilgilendirin

  • Bir saldırıya uğradığınızı düşünüyorsanız, vakit kaybetmeden ilgili kurumlara haber verin.
  • Banka dolandırıcılığı söz konusuysa bankanızı arayın ve hesaplarınızı dondurun.
  • Şirket içi bir saldırıysa BT veya güvenlik ekibine haber verin.
  • Şüpheli bir e-posta aldıysanız itibar kaynağını araştırmadan yanıt vermeyin veya ekleri açmayın.
Shares: