Sosyal Mühendislik Nedir?
Sosyal Mühendislik Saldırıları Nasıl Yapılır?
Sosyal mühendislik saldırıları genellikle bir siber saldırgan ile hedef kullanıcı arasında sıradan bir iletişim süreciyle başlar. Saldırgan, hedefin güvenini kazanarak ya da telaşa sokarak gizli verileri açığa çıkarma yönünde kullanıcıyı motive eder.
Saldırının başlıca adımları şunlardır:
- Hazırlanma: Hedef kullanıcının kendisi, bağlı olduğu şirket ya da grup hakkında detaylı bir araştırma yapılır ve kullanıcıyı ilgilendirecek bir saldırı senaryosu oluşturulur.
- Sızma: Hazırlanan senaryo doğrultusunda hedef ile iletişime geçilir.
- Zaaflardan Faydalanma: Kullanıcının duygu durumu, güveni ya da alışkanlıkları kullanılarak istenilen bilgi ya da erişim hakkı elde edilir.
- Bırakma: Gerekli bilgiler ele geçirildikten sonra iletişim sonlandırılır ve saldırgan iz bırakmadan uzaklaşır.
Sosyal Mühendislik Saldırı Çeşitleri
Saldırganlar, sosyal mühendislik taktiklerini farklı şekilde uygulayabilir. Aşağıda yaygın kullanılan bazı türler yer almaktadır:
Phishing / Oltalama
Phishing / Oltalama: Saldırgan kendini güvenilir bir kurum ya da kişi olarak tanıtarak hedefe e-posta, SMS veya sosyal medya üzerinden ulaşır. Hedef kullanıcı, gerçekmiş gibi görünen bağlantılara tıklayarak ya da form doldurarak bilgilerinin ele geçirilmesine zemin hazırlar.
Baiting (Yemleme)
Baiting (Yemleme): Kullanıcının merakını ve açgözlülüğünü kullanarak bir tuzak kurulur. Örneğin, içerisinde zararlı yazılım bulunan bir USB aygıtı halka açık bir yere bırakılır. Kullanıcı bu USB’yi bilgisayarına takıp çalıştırdığında saldırgan amacına ulaşır.
Watering Hole (Su Çukuru)
Watering Hole (Su Çukuru): Hedef kullanıcıların sık ziyaret ettiği bir web sitesi ele geçirilir. Bu siteye zararlı yazılım yerleştirilir. Hedef siteyi ziyaret eden kullanıcılar, farkında olmadan saldırganın tuzağına düşer.
Honey Trap (Bal Tuzağı)
Honey Trap (Bal Tuzağı): Saldırgan, sosyal medya ortamında ya da başka platformlarda çekici/alımlı biri gibi davranarak hedefle iletişime geçer ve kişisel bilgiler ya da para sızdırmayı amaçlar.
Quid Quo Pro (Hizmet Karşılığı Bilgi Alma)
Quid Quo Pro (Hizmet Karşılığı Bilgi Alma): Saldırgan teknik destek elemanı gibi davranarak hedef kişiye “yardım” teklif eder. Kullanıcının sorunlarını bahane ederek cihazına erişim ya da izin ister ve böylece müdahaleyi sağlar.
Diversion Theft (Saptırma Saldırıları)
Diversion Theft (Saptırma Saldırıları): Saldırganlar kargo ya da nakliyat şirketlerinin sistemlerine girip teslimat rotalarını değiştirir ve belirledikleri adrese yönlendirilen kargoları ele geçirirler.
Dumpster Diving (Çöp Karıştırıcılık)
Dumpster Diving (Çöp Karıştırıcılık): Şirketin ya da bireyin etrafındaki çöpleri karıştırarak atılmış belgelerden veya verilere erişmeye çalışılır. Bu veriler daha sonra saldırı başlatmak için kullanılır.
Tailgating (Yetkili Kişiyi Takip Edip İçeri Girme)
Tailgating (Yetkili Kişiyi Takip Edip İçeri Girme): Saldırgan, bir çalışan giriş kartını ya da benzer bir izni kullanarak güvenli bir binaya veya bölgeye izinsiz girer.
Pretexting (Sahte Senaryo ile Kandırma)
Pretexting (Sahte Senaryo ile Kandırma): Saldırgan, bilinen bir kurum ya da kişi kılığında sahte kimlik/soyut senaryo oluşturarak hedefle iletişime geçer ve belli bir süre sonra kullanıcıdan şifreleri, finansal bilgileri ya da diğer değerli verileri ele geçirmeye çalışır.
Scareware (Korku Temelli Saldırılar)
Scareware (Korku Temelli Saldırılar): Kullanıcının korkutulması yoluyla belirli bir eylemi gerçekleştirmesi sağlanır – örneğin “bilgisayarınız virüs kaptı, hemen bu yazılımı indirip çalıştırın” gibi. Hedef, korku nedeniyle adımı atar ve saldırgan amacına ulaşır.
Sosyal Mühendislik Saldırılarına Karşı Önlemler
Sosyal mühendislik saldırılarını önlemenin en etkin yolu bireysel ve kurumsal farkındalığın artırılmasıdır. Aşağıda kullanıcılar ve kurumlar için alınabilecek temel önlemler yer almaktadır:
Bireysel Önlemler
- Paylaşılan bilgileri sınırlayın, erişimi kısıtlayın. Sosyal medyada, iş ortamında ya da özel hayatınızda paylaştığınız verilerin miktarını gözden geçirin.
- Gelen taleplere dikkat edin. Özellikle şüpheli e-posta, SMS veya sosyal medya mesajları konusunda temkinli olun; bilmediğiniz ya da güvenmediğiniz kişilere bilgi vermeyin.
- Unutmayın, sosyal medyada paylaştığınız bilgiler siz silseniz dahi sonsuza dek erişilebilir olacaktır. Özellikle tatilde olduğunuzu paylaşmak, evinizin boş olduğunu gösterir ve hırsızlar için adeta bir davetiye gibidir.
- Olağandışı bir mesaj veya çağrı alırsanız — “Siz bir suç işlediniz” ya da “Acil bir durum var” gibi ifadeler kullanılıyorsa — bu mesaj ya da çağrı yakınınızdan gelmiş gibi görünse dahi güvenmeyin, lütfen hiçbir bilgi vermeyin ve durumu doğrulamadan hareket etmeyin.
Kurumsal Önlemler
- Çalışanlarınıza düzenli sosyal mühendislik farkındalık eğitimi verin.
- Gerçekçi simülasyonlarla (örneğin oltalama testi) kurum içi savunma bilincini ölçün ve geliştirin.
- İletişim, erişim yönetimi ve kimlik doğrulama süreçlerini güçlü tutun; özellikle kritik alanlar için çok faktörlü kimlik doğrulama (MFA) kullanın.
- Çalışanlardan gelen şüpheli iletişimleri bildirebileceği açık ve kolay bir kanala sahip olun.
- Sosyal mühendislik saldırılarının sonuçlarını azaltmak için olay müdahale planları oluşturun ve test edin.
Sonuç
Sosyal mühendislik, teknolojik sistemlerin zafiyetlerinden ziyade insan faktörünün güvenlik zincirinde en zayıf halka olduğunu söyler. Bir saldırganın teknik bir sistem yerine kullanıcı güvenini hedef alması, bu yöntemi hem etkili hem de yaygın hale getirmiştir. Kurumlar ve bireyler açısından sosyal mühendislik farkındalığını artırmak, saldırı riskini ciddi ölçüde azaltır.