Yazılım-DA | Butik Web Yazılımları

Sıradan, herkesin kullandığı bir web sitesi yerine sizi ve firmanızı en iyi anlatan Butik bir Web Sitesine sahip olun.
  • E-Posta bilgi@yazilimda.com.tr

Sosyal Mühendislik

Sosyal Mühendislik
YAZILIM-DA

Sosyal Mühendislik

" Bir bilgisayar sistemini hacklemek zor olabilir.

Ama bir insanı kandırmak çoğu zaman çok daha kolaydır. "

İşte sosyal mühendislik tam olarak burada devreye girer. Günümüzde birçok siber saldırı, karmaşık yazılımlardan çok insan psikolojisini hedef alır. Çünkü en güçlü güvenlik sistemleri bile, yanlış kişiye verilen tek bir şifreyle etkisiz hale gelebilir.

Sosyal mühendislik; insanların güven, korku, merak veya yardım etme isteği gibi duygularını manipüle ederek bilgi, erişim veya para elde etmeyi amaçlayan bir saldırı yöntemidir. Bu saldırılar teknik değil, psikolojiktir. Bu nedenle fark edilmesi çoğu zaman daha zordur.

Saldırgan, insanları manipüle ederek gizli bilgilere erişmeyi, sistemlere sızmayı veya para transferi yaptırmayı amaçlar. Güvenlik duvarları, antivirüsler veya şifreli bağlantılar ne kadar güçlü olursa olsun, bir çalışan gerçek bir yetkiliymiş gibi arandığında kişiler buna inanarak şifrelerini vermekte ve tüm önlemler boşa çıkmaktadır. Bu nedenle saldırganlar, bilgisayar hatalarından çok, inanma, yardımseverlik, korku gibi insan psikolojisindeki açıkları sömürürler. Örneğin, sahte bir Ödül Kazandınız bildirimi, kaybolmuş bir yakınınızdan gelen Acil Yardım Mesajı ya da kendilerini Polis/Savcı olarak tanıtan dolandırıcılar, güvenimizi kötüye kullanırlar.

Sosyal Mühendisliğin İşleyişi

Sosyal mühendislik saldırıları genellikle adım adım ilerleyen bir süreç izler. Öncelikle saldırgan, hedef kişi veya kurum hakkında sosyal medya, web sitesi veya veri sızıntıları üzerinden bilgi toplar, ardından güven tesis etmek için etkileşim başlatır. Bu safhada saldırgan rol yaparak mahremiyetinize müdahale edebilir. Sonraki aşamada ihtiyaç duyduğu eylemi (şifre girişi, bağlantıya tıklama, para gönderme vb.) gerçekleştirmek için sizi ikna eder. Örneğin Kaspersky araştırmasına göre, sosyal mühendislik süreci genelde bilgi toplama - güven oluşturma - istismar - bağlantıyı kesme basamaklarından oluşur. Bu süreç yüz yüze, telefonla veya tamamen çevrimiçi kanallarda da gerçekleşebilir. Önemli olan, saldırganın sizin Dikkatli Olduğunuz izlenimini yaratıp sizi Kuşku Yok hissine sokarak harekete geçmenizi sağlamasıdır.

Kullanılan Yaygın Teknik ve Yöntemler

Sosyal mühendisler çok çeşitli tuzaklar kurabilmektedirler. Örneğin phishing (oltlama) saldırılarında size kurum logosu taşıyan sahte e-postalar gönderilir, zararlı bağlantılara tıklamanız veya bilgilerinizi girmeniz sağlanır. Bu tür sahte e-postalar genellikle Hesabınız Bloke Oldu veya Güncelleme Yapmanız Gerekiyor gibi aciliyeti yüksek konular içerir. Bazı saldırılarda SMS (smishing) veya uygulama içi mesajlaşmalarla benzer oltalama yapılır. Özellikle akıllı telefonlar hedef alınır. Dolandırıcı, cep telefonunuza gelen sahte bir bildirimde yer alan bağlantıyla sizi, kopyası yapılmış bir bankacılık sayfasına yönlendirebilir. Bu yolla şifreniz veya kredi kartı bilgileriniz ele geçirilebilir.

Oltalama (Phishing): E-posta veya SMS yoluyla kimlik avı yapılan saldırılardır. Örneğin, müşteri bilgilerinin güncellemesi adı altında sahte e-postalar gönderilir ve sizi gerçek banka sitesine çok benzeyen bir bağlantıya yönlendirirler.

Sahte Çağrılar (Vishing): Telefon dolandırıcılığı. Dolandırıcı kendisini polis, banka veya IT personeli gibi tanıtarak hesap bilgilerinizi veya tek kullanımlık kodları talep eder. Telefon numarası veya banka logosu taklidiyle kurbanı yanıltır.

Senaryo Kurma (Pretexting): Kendine uygun bir senaryo kurarak güven kazanmaya çalışma yöntemi. Örneğin bir kurumdan yetkiliymiş gibi davranıp sizden bilgi isterler veya yeni işe başladım diyerek yardım talep ederler. Amacı, karşı tarafın size yardımcı olma içgüdüsünü kötüye kullanmaktır.

Yemleme (Baiting): Cazip hediye veya ödül vaadiyle tuzak kurma. Örneğin ücretsiz bir yazılım, müzik indirme veya çekiliş kazandınız vaadiyle sizi kandırırlar. İnsanların merak ve açgözlülüğü burada hedef alınır.

Fiziksel Teknikler: Omuz sörfü (şifre girişi yapan kişinin arkasından bakma), çöp karıştırma (dumpster diving), USB bırakma (USB drop) gibi fiziksel yöntemler de kullanılır. Örneğin bir işi yaptırmak için size USB bellek bırakıp açmanızı sağlamaya çalışabilirler.

Rol Yapma ve Kimliğe Bürünme: Saldırgan kendisini bir çalışanın patronu, IT destek birimi veya bankacı gibi gösterir. Bu sayede kurban, sorgulamadan talimatlarına uyar. Türkiye'de bir bankada yaşanan gerçek bir vakada, sahte IT Güvenlik aramasıyla 8 müşterinin hesabından toplam 2,4 milyon TL çekilmiştir.

Psikolojik Etkenler ve İnsan Zafiyetleri

Sosyal mühendislik saldırılarının başarısı çoğunlukla psikolojik zaaflara dayanır. Araştırmalar, aşırı güven, otoriteye boyun eğme, kayıp korkusu gibi insan eğilimlerinin saldırganlarca aktif kullanıldığını gösteriyor. Örneğin, beni kandıramazlar diye düşünen bir kişi, acil bir durumla karşılaştığında sorgulamadan karar alabilir. Dolandırıcılar ayrıca insanların yardım etme isteğini, merhametini veya panik duygusunu tetikler. Garanti BBVA uzmanlarına göre güncel vakalarda, kişi yakınından geldiğini düşündüğü acil bir mesaj aldığında hızlı ve düşünmeden tepki verebiliyor. Benzer şekilde, Ödül Kazandınız gibi iddialar da insanların merak duygusunu kullanarak onları tuzağa çekebiliyor. Ayrıca sosyal mühendislerin genellikle iyi giyimli, sempatik ve yardımsever bir profil çizerek güven kazanmaya çalıştığı bilinmektedir. Tüm bu yöntemler, kurbanın şüphe seviyesini düşürür ve mantıklı değerlendirme yapmasını zorlaştırır. İnsanlar başkalarına güvenme, yardıma koşma ya da cezadan kaçınma gibi içgüdülerle hareket eder ve saldırganlar bu dürtüleri ustaca sömürür.

Gerçek Hayat Örnekleri

Sosyal mühendislik saldırıları hem dünyada hem de Türkiye'de birçok kurum ve bireyi hedef almıştır. Örneğin, daha önce bahsedilen banka çalışanına yönelik vishing saldırısında, saldırganlar kendilerini yetkili personel gibi tanıtarak müşterilerin hesap bilgilerine erişmeyi başarmıştır. Bir başka vakada ise bir e-ticaret şirketinde yöneticilerin e-posta hesapları taklit edilmiş ve yaklaşık 850.000 TL tutarında sahte havale işlemi yapılmaya çalışılmıştır.

Benzer şekilde, bir lojistik şirketinde çalışan bir kişinin cep telefonuna gelen sahte kargo mesajındaki bağlantıya tıklaması sonucunda kimlik bilgileri ele geçirilmiştir. Pandemi döneminde uzaktan çalışma sistemine geçen şirketlerde ise sahte VPN davetleri üzerinden oltalama saldırılarında ciddi artış görülmüştür.

Uluslararası örneklerde ise bazı dolandırıcıların insani krizleri fırsata çevirdiği görülmektedir. Örneğin, yardım kampanyası adı altında oluşturulan sahte bağış siteleri aracılığıyla çok sayıda kişi dolandırılmıştır.

Özellikle son yıllarda Türkiye'de siber suçların önemli ölçüde arttığı ve saldırıların büyük bölümünün teknik sistemlerden ziyade insan zafiyetlerini hedef aldığı görülmektedir. Bu vakalar, sosyal mühendisliğin ne kadar yaygın, etkili ve tehlikeli bir tehdit olduğunu açıkça ortaya koymaktadır.

Korunma Yöntemleri

Sosyal mühendislik saldırılarından korunmak için hem bireylerin hem de kurumların birden çok önlem alması gerekir. Öncelikle farkındalık ve eğitim şarttır. Düzenli aralıklarla senaryo temelli güvenlik eğitimleri ve oltalama testleri düzenlenmelidir. Araştırmalar, sürekli ve ölçülebilir eğitimlerle sosyal mühendislik saldırılarının başarı oranının yarıdan fazla azalabileceğini göstermektedir. Kurum içerisinde güvenlik duvarı oluşturmak için çalışanlar gerçek zamanlı örneklerle eğitilmelidir.

Bireysel düzeyde ise bazı basit kurallara dikkat etmek önemlidir: Tanımadığınız birinden gelen bilgi isteğine karşı temkinli olun. Hiçbir banka veya resmi kurum personeli sizden şifre, tek kullanımlık kod veya kimlik bilgisi istemez. Böyle bir durumla karşılaşırsanız telefonu kapatıp kurumu kendi resmi numarasından arayarak doğrulayın. E-postalara ve mesajlardaki bağlantılara gelince, mutlaka URL/ adres kontrolü yapın. Tarayıcıdaki kilit simgesine tıklayıp sertifikayı incelemek ya da mail içindeki linkin gerçek hedefini görmeden tıklamamak gerekir. Bilinmeyen kaynaklardan gelen eklentileri kesinlikle açmayın. Ayrıca, kişisel verilerinizi sosyal medyada paylaşmamaya özen gösterin; çünkü siber suçlular bu verileri bir araya getirerek şantaj yapabilirler.

Teknik önlemler de es geçilmemelidir. Tüm kritik hesaplarınızda iki faktörlü kimlik doğrulama (2FA) aktif olsun. İlgili yazılımlarınızı ve antivirüslerinizi güncel tutun. Kurumsal olarak, gelişmiş e-posta filtresi ve alan adı koruması kullanmak, şüpheli aktiviteleri izleyen SIEM/SOAR sistemleri kurmak faydalıdır. Kurum içinde herkesin güvenlik politikalarına hakim olması, açık iletişimle şüpheli eylemleri bildirebilmesi teşvik edilmelidir.

Sosyal mühendislik bize önemli bir gerçeği gösterir. Güvenlik sadece teknoloji meselesi değildir. Aynı zamanda insan davranışı meselesidir.

Bugün en büyük siber tehditler, bilgisayar sistemlerini değil insan psikolojisini hedef almaktadır. Bu nedenle farkındalık, eğitim ve şüpheci düşünme alışkanlığı en güçlü savunma mekanizmasıdır.

Çünkü bazen en büyük güvenlik açığı bir yazılım hatası değil, 
" Bana bir şey olmaz " düşüncesidir.

Etiketler: Sosyal mühendislik phishing siber güvenlik veri güvenliği kimlik avı vishing siber saldırı bilgi güvenliği dolandırıcılık yöntemleri siber tehditler sosyal mühendislik saldırıları veri ihlali dijital güvenlik siber farkındalık oltalama saldırısı sahte çağrılar yemleme fiziksel tehditler rol yapma kimliğe bürünme insan zafiyetleri

Blog Kategorileri

Son Eklenen Bloglar

Geleceğe Birlikte
Adım Atalım!

İ l e t i ş i m