Site Overlay

Sosyal Mühendislik Atakları – Social Engineering

Sosyal Mühendislik Atakları – Social Engineering Sosyal mühendislik saldırıları; zorlama, aldatıcı ilişkiler kurma ve geliştirme, dürüstlüğü, sorumluluğu, etik değerleri manipüle eden yöntemler kullanarak, kişileri gizli bilgileri vermeleri için yapılan dolandırma işlemleridir.

Sosyal Mühendislik Atakları - Social Engineering
Sosyal Mühendislik Atakları – Social Engineering

Saldırganlar neyi hedefliyor?

Bireysel hedeflere yapılan saldırılar genelde kredi kartı hırsızlığı gibi sadece para odaklı dolandırıcılıkları kapsıyor. Ancak bir de şirketlere yapılan saldırılar var. Bu tarz saldırılarda şirketlerin gizli bilgileri, kurumun itibarına zarar verecek mesleki detaylar elde edilebiliyor. Saldırganlar ele geçirmek istedikleri şirketin gizli bilgilerine erişimi olan bir personelle temasa geçiyor, o kişiyle sahte arkadaşlık kurarak bir güven oluşturmaya çalışıyor. Bu arkadaşlıklar genelde sahte sosyal ağ profillerinden oluşuyor ve kurbanın iş dışı ilişkilerinin suistimali üzerinden gerçekleşiyor.

Saldırganları en belirgin özellikler

Sosyal mühendislerin ortak özelliklerini şöyle sıralayabiliriz:

  • Yardımsever görünürler
  • Telefonları ve interneti iyi kullanırlar
  • İyi giyimli ve iyi konuşan kişilerdir
  • Güven kazanma eğilimindelerdir
  • İnsanların korku, ahlaki zorunluluk, açgözlülük, şehvet, suçluluk duygusu gibi zayıf özelliklerini manipüle etmeye çalışırlar
  • İkna kabiliyeti olan insanlardır
  • Etkileyici, nazik ve sempatik bir tavır sergilerler
  • Basit soruların arasına esas bilmek istedikleri kilit soruları sıkıştırırlar
  • Suçluluk hissettirme ve acındırma en çok kullandıkları psikolojik yöntemlerdendir

Yaygın sosyal mühendislik saldırıları neler?

Günümüzde sosyal mühendislik saldırılarının büyük bir çoğunluğu insanlarla doğrudan iletişime geçilerek yapılıyor. Fakat trojan, virüs, solucan, oltalama gibi sadece yazılımlar aracılığıyla yapılan saldırılar da var. En yaygın sosyal mühendislik saldırılarına hızlıca bakalım.

Omuz sörfü – Shoulder surfing: Klavye ile bilgi giren bir kişinin şifresini ya da diğer bilgilerini çalmak için gözetlemek.

Çöp dalışı – Dumpster Diving: İşe yarar bilgiler bulmak amacıyla hedeflenen kişinin çöplerini karıştırmak.

Kimlik hırsızlığı – İdentity Theft: Başkasına ait bilgilerin saldırgan tarafından kullanılması ve bu sahte kimlikle dolandırıcılık yapılması.

Oltalama (Phishing): Amaçlanan bilgileri ele geçirmek için hedefe, sahte e-posta, SMS veya bağlantı linki gönderilmesi. Genelde bu link, bir banka veya resmi bir kurumdan geliyormuş gibi tasarlanır ve hedeften bilgi istenir.

Telefon oltalaması – Vishing: Voice ve phishing kelimelerinden türetilen bu dolandırıcılık kavramı, hedefe gönderilen sahte e-postada, bir telefon numarası yönlendirmesi yer alır. Hedefin bu numarayı arayarak bilgilerini güncellemesi (karşı tarafa söylemesi) istenir.

Kimliğe bürünme – İmpersonation: Saldırganın bir işçi ya da yetkili kişi gibi davranarak bilgi çalmasıdır.

Yardım masası – Help desk: Hedef kişiye teknik yardım etmek amaçlı aramak, verilen yönlendirmelerle onun bilgisayarında işlem yapmaktır.

Üçüncü taraf – Third-party Authorization: Saldırganın bilgisayara erişim sağlamak için yetkili birinden izin aldığını söylemesidir. Bu saldırı yöntemi genelde yetkili kişiyle erişim kurulmanın mümkün olmadığı zamanlarda yapılır.

Sosyal mühendislik saldırılarından nasıl korunulabilir?

Öncelikle bu saldırıların bilincinde olmak ve özellikle üçüncü şahıslara, birden ortaya çıkan ‘yardımseverlere’ güvenmemek, en temel yöntemlerdendir. Yine de sosyal mühendislik saldırılarına karşı tetikte olmanın son derece zor olduğunu unutmayın. Çünkü otoriteye saygı, sevdiklerimize yardım etme güdüsü hemen hepimizde vardır ve bu saldırıların özellikle bu güdülere odaklandığını aklımızdan çıkarmamalıyız.

Kendinize sormanız gereken sorular

Bu tarz sahteciliklere inanmamak için durumunuzun realitesini sorgulayabilirsiniz. Örneğin ailenizden biri gerçekten yolda kalmış olsaydı, size mesaj atar mıydı? Herhangi bir kurumdan hediye kazansaydınız, sadece bir SMS ile bilgilendirilir miydiniz? Bankanızın sizin hesap bilgilerinizi hâlihazırda bilmesi gerekmiyor mu? Birkaç saniye düşünerek ve benzeri sorulara cevap arayarak, olayın gerçekliğini test edebilirsiniz.

Kaynak kontrolü

Masanızda daha önce görmediğiniz bir eşya mı buldunuz? Patronunuzdan daha önce almadığınız tarzda, tüm bilgilerinizi isteyen bir mail mi aldınız? Ne olursa olsun, kaynağı kontrol edebilirsiniz. Bilgisayarınıza daha önce kullanmadığınız şüpheli donanımları takmayın, size ulaşan şüpheli hiçbir bağlantıya tıklamayın. Eğer gönderenin mail adresini tanımıyorsanız, aynı gönderedenden daha önce mail alıp almadığınızı kontrol edin. Üzerine tıklamadan farenin imlecini şüpheli linke getirin ve nereye yönlendirdiğine bakın.

Kaynağın güvenilirliğini kontrol etmek için farklı iletişim kanalları kullanın

Sosyal mühendislik saldırıları genelde insanların aciliyet duygusundan yararlanır. Saldırganlar hedeflerinin panik halinde çok düşünemeyeceklerini varsayar. Bu tarz şüpheli aramalarda veya durumlarda, kendinize zaman tanıyın, bir süre durun ve saldırganın şaşırmasını sağlayın. Hemen bilgi vermek veya yönlendirilen bağlantıya hemen tıklamak yerine, ilgili yeri internette araştırın, resmi numaraya ulaşın.

Kimlik bilgilerini sorgulayın

En sık rastlanılan dolandırıcılık yöntemlerinden biri, elinde dosya ya da eşya taşıyormuş gibi görünen insanların, kolayca yetkisiz alanlara girebilmesidir. Elleri dolu olan bu insanlara yardım amaçlı kapı açmak ve hatta bu sırada kimlik sormamak oldukça sık yapılan bir güvenlik hatasıdır. Çünkü bu şekilde saldırganlar istedikleri bölgere rahatça ulaşırlar. Bu yüzden mutlaka üçüncü şahıslara kimlik sormalı, ne amaçla geldiklerini ve kimden talimat aldıklarını söylemelerini istemelisiniz. Aynı şekilde, sizden telefonla ya da e-posta ile bilgi isteyenlere, bu bilgiyi kime ya da hangi kuruma rapor edeceklerini sorun. Bir cevap verirlerse, o kişiyi veya kurumu araştırın, gerekirse iletişime geçin.

İstenmeyen posta (SPAM) filtresi kullanın

Kullandığınız e-posta servisi, istenmeyen e-postaları yeterince iyi seçemiyor olabilir. Şüpheli olarak görünmeyen e-postalar doğrudan gelen kutusuna düşer. Spam filtresini kullanarak, şüpheli dosyaları ve bağlantıları tespit edebilir, IP adreslerini kara listeye alabilir, hangi e-postaların sahte olduğunu anlamak için gelen maillerinin içeriğini kontrol ettirebilirsiniz.

Cihazlarınızın güvenliğini yükseltin

  • Akıllı cihazlarınızda ve bilgisayarınızda maksimum güvenlik önlemleri alarak, fazla kayıp vermeden saldırıları tespit edebilirsiniz.Antivirüs yazılımlarınızı güncel tutun
  • Akıllı telefonlarınıza root atmayın, aksi takdirde telefonlarınız dış saldırılara karşı daha savunmasız olur.
  • Farklı sosyal medya hesaplarınız için aynı parolayı kullanmayın
  • Önemli hesaplarınıza giriş için iki aşamalı kimlik kontrolü uygulayın
  • Dijital okuryazarlık kategorisindeki yazılarımızı takip ederek, güncel siber saldırı yöntemlerinden haberdar olun.

Bilgi, çağımızın en büyük maddi değerlerinden biri. Birçok insan varlıkları çalındığında bunu hemen fark edebiliyorken, kişisel bilgileri çalındığında aynı farkındalığa sahip olmayabiliyor. Kişisel bilgilerin her saniye işlendiği bu denli dijital bir çağda savunmasız olmamak için en büyük önlem, saldırılara karşı bilinçli olmak. Çünkü en güçlü güvenlik sistemine sahip bir bilgisayar bile, onu kullanan insanların bilinçsizliği karşısında gücünü kaybedecektir.

Kaynak:

https://dergipark.org.tr/tr/download/article-file/209001

http://www.bingol.edu.tr/documents/Sosyal%20Mühendislik-yaygın%20Ataklar%20ve%20Güvenlik%20Önlemleri.pdf


image 3
Arif Akyüz İçerik Üreticisi Siber Güvenlik Uzmanı

Arif Akyüz
İçerik Üreticisi & Siber Güvenlik Uzmanı
[email protected]