Sosyal Mühendislik Nedir?

Sosyal mühendislik, insanları gizli bilgilerden vazgeçmeleri için manipüle etme sanatıdır. Bu suçluların aradığı bilgi türleri değişebilir, ancak bireyler hedef alındığında, suçlular genellikle sizi kandırarak onlara parolalarınızı, banka bilgilerinizi vermeye veya bilgisayarınıza gizlice erişmenize izin verecek kötü amaçlı yazılımlar yüklemek için bilgisayarınıza erişmeye çalışırlar. Parolalar ve banka bilgilerinin yanı sıra bilgisayarınız üzerinde kontrol sahibi olmalarını sağlar. 

Suçlular sosyal mühendislik taktiklerini kullanırlar çünkü genellikle doğal güven eğiliminizi kullanmak, yazılımınızda zafiyet yollarını keşfetmekten daha kolaydır. Örneğin, birini size parolasını vermesi için kandırmak, sizin parolasını ele geçirmeye çalışmaktan çok daha kolaydır (eğer parola zayıf değilse). 

Sosyal Mühendislik Saldırısı Nasıl Çalışır? 

Çoğu sosyal mühendislik saldırısı, saldırganlar ve kurbanlar arasındaki gerçek iletişime dayanır. Saldırgan, verilerinizi ihlal etmek için kaba kuvvet yöntemleri kullanmak yerine, kullanıcıyı kendilerinden ödün vermeye motive etme eğilimindedir. 

Saldırı döngüsü, bu suçlulara sizi aldatmak için güvenilir bir süreç sağlar. Sosyal mühendislik saldırı döngüsü için adımlar genellikle aşağıdaki gibidir: 

  • Kendiniz veya parçası olduğunuz daha büyük bir grup hakkında arka plan bilgileri toplayarak hazırlanın. 
  • Bir ilişki kurma ya da güven inşa ederek başlayan bir etkileşim başlatın. 
  • Saldırıyı ilerletmek için güven ve bir zayıflık oluştuğunda kurbanı sömürün. 
  • Kullanıcı istenen eylemi gerçekleştirdikten sonra devreden çıkarın. 

Bu süreç, tek bir e-postada veya bir dizi sosyal medya sohbetinde aylar içinde gerçekleşebilir. Hatta yüz yüze bir etkileşim olabilir. Ancak nihayetinde, bilgilerinizi paylaşmak veya kendinizi kötü amaçlı yazılımlara maruz bırakmak gibi yaptığınız bir eylemle sona erer. 

Bir kafa karışıklığı aracı olarak sosyal mühendislikten sakınmak önemlidir. Pek çok çalışan ve tüketici, yalnızca birkaç parça bilginin bilgisayar korsanlarına birden fazla ağ ve hesaba erişim sağlayabileceğinin farkında değil. 

Sosyal Mühendislik Saldırılarının Özellikleri 

Sosyal mühendislik saldırıları, saldırganın ikna ve güven kullanmasına odaklanır. Bu taktiklere maruz kaldığınızda, aksi halde yapmayacağınız eylemleri gerçekleştirme olasılığınız daha yüksektir. 

Çoğu saldırı arasında, kendinizi aşağıdaki davranışlara yanlış yönlendirildiğinizi göreceksiniz: 

Yükseltilmiş duygular: 

Duygusal manipülasyon, saldırganlara herhangi bir etkileşimde üstünlük sağlar. Gelişmiş bir duygusal durumdayken mantıksız veya riskli eylemlerde bulunma olasılığınız çok daha yüksektir. Aşağıdaki duyguların tümü sizi ikna etmek için eşit ölçülerde kullanılır. 

  • Korkmak 
  • Merak 
  • Heyecanlanmak 
  • Kızgınlık
  • Suç 
  • Üzüntü 

Aciliyet: 

Zamana duyarlı fırsatlar veya istekler, bir saldırganın cephaneliğinde bulunan diğer bir güvenilir araçtır. Hemen ilgilenilmesi gereken ciddi bir sorun kisvesi altında kendinizi tehlikeye atmak için motive olabilirsiniz. Alternatif olarak, hızlı hareket etmezseniz kaybolabilecek bir ödül veya ödüle maruz kalabilirsiniz. Her iki yaklaşım da eleştirel düşünme yeteneğinizi geçersiz kılar. 

Güven: 

İnanılırlık, bir sosyal mühendislik saldırısı için gereklidir ve paha biçilmez. Saldırgan nihayetinde size yalan söylediğinden, burada güven önemli bir rol oynar. İnanması kolay ve şüphe uyandırması muhtemel olmayan bir anlatı oluşturmak için hakkınızda yeterince araştırma yapmaktadırlar. 

Bu özelliklerin bazı istisnaları vardır. Bazı durumlarda, saldırganlar ağ veya bilgisayar erişimi elde etmek için daha basit sosyal mühendislik yöntemlerini kullanır. Örneğin, bir bilgisayar korsanı, büyük bir ofis binasının halka açık yemek alanına ve tabletlerinde veya dizüstü bilgisayarlarında çalışan “omuz sörfü(shoulder surf)” yapan kullanıcılara uğrayabilir. Bunu yapmak, bir e-posta göndermeden veya bir satır virüs kodu yazmadan çok sayıda parola ve kullanıcı adı ile sonuçlanabilir. 

 

Sosyal Mühendislik Saldırısının Türleri 

Hemen hemen her tür siber güvenlik saldırısı, bir tür sosyal mühendislik içerir. Örneğin, klasik e-posta ve virüs dolandırıcılıkları sosyal imalarla yüklüdür. 

Sosyal mühendislik, masaüstü cihazlara ek olarak mobil saldırılar yoluyla sizi dijital olarak etkileyebilir. Bununla birlikte, yüz yüze bir tehditle kolayca karşı karşıya kalabilirsiniz. Bu saldırılar, bir aldatmaca oluşturmak için üst üste gelebilir ve üst üste gelebilir. 

Sosyal mühendislik saldırganları tarafından kullanılan bazı yaygın yöntemler şunlardır: 

Kimlik Avı Saldırıları 

Kimlik avı saldırganları, sizi kişisel verilerinizi ve diğer değerli eşyalarınızı ifşa etmeye ikna etmek için güvenilir bir kurum veya birey gibi davranır.  

Kimlik avı kullanan saldırılar iki yoldan biriyle hedeflenir: 

  1. Spam kimlik avı veya toplu kimlik avı, birçok kullanıcıyı hedefleyen yaygın bir saldırıdır. Bu saldırılar kişiselleştirilmemiştir ve şüphelenmeyen herhangi bir kişiyi yakalamaya çalışır. 
  1. Hedefli kimlik avı ve buna bağlı olarak balina avcılığı, belirli kullanıcıları hedeflemek için kişiselleştirilmiş bilgileri kullanır. Balina saldırıları, özellikle ünlüler, üst yönetim ve üst düzey hükümet yetkilileri gibi yüksek değerli hedefleri hedefler. 

İster doğrudan bir iletişim ister sahte bir web sitesi formu aracılığıyla olsun, paylaştığınız her şey doğrudan bir dolandırıcının cebine gider. Kimlik avı saldırısının bir sonraki aşamasını içeren bir kötü amaçlı yazılım yüklemesine bile aldanabilirsiniz. Kimlik avında kullanılan yöntemlerin her biri, aşağıdakiler dâhil ancak bunlarla sınırlı olmamak üzere, benzersiz teslimat modlarına sahiptir: 

Sesli kimlik avı (vishing)

Telefon aramaları, tüm girdilerinizi kaydeden otomatik mesaj sistemleri olabilir. Bazen, güveni ve aciliyeti artırmak için canlı bir kişi sizinle konuşabilir.  

SMS kimlik avı (smishing) 

metinleri veya mobil uygulama mesajları, bir web bağlantısı veya dolandırıcılık amaçlı bir e-posta veya telefon numarası aracılığıyla takip etme istemi içerebilir. 

E-posta kimlik avı

sizi yanıtlamaya veya başka yollarla takip etmeye teşvik eden bir e-postayı kullanan en geleneksel kimlik avı yöntemidir. Web bağlantıları, telefon numaraları veya kötü amaçlı yazılım ekleri kullanılabilir.  

Angler kimlik avı

bir saldırganın güvenilir bir şirketin müşteri hizmetleri ekibini taklit ettiği sosyal medyada gerçekleşir. Bir marka ile olan iletişiminizi ele geçirip, görüşmenizi özel mesajlara yönlendirerek saldırıyı ilerletirler.  

Arama motoru kimlik avı

sahte web sitelerinin bağlantılarını arama sonuçlarının en üstüne yerleştirmeye çalışır. Bunlar ücretli reklamlar olabilir veya arama sıralamalarını değiştirmek için meşru optimizasyon yöntemlerini kullanabilir. 

URL kimlik avı bağlantılar

 Kimlik avı web sitelerine seyahat etmenizi sağlar. Bu bağlantılar genellikle e-postalarda, metinlerde, sosyal medya mesajlarında ve çevrimiçi reklamlarda sunulur. Saldırılar, bağlantı kısaltma araçlarını veya aldatıcı bir şekilde yazılmış URL’leri kullanarak köprülü metin veya düğmelerdeki bağlantıları gizler.  

Oturum içi kimlik avı

Normal web taramanız için bir kesinti olarak görünür. Örneğin, şu anda ziyaret etmekte olduğunuz sayfalar için sahte oturum açma pop-up’ları görebilirsiniz. 

Olağan Dışı Sosyal Mühendislik Saldırı Yöntemleri 

Bazı durumlarda siber suçlular, siber saldırılarını tamamlamak için aşağıdakiler de dâhil olmak üzere karmaşık yöntemler kullanmıştır: 

Faks tabanlı kimlik avı: 

Bir bankanın müşterileri, bankadan geldiği iddia edilen – müşteriden erişim kodlarını onaylamasını isteyen – sahte bir e-posta aldığında, onay yöntemi olağan e-posta / İnternet yolları değildi. Bunun yerine, müşteriden e-postadaki formu yazdırması, ardından ayrıntılarını doldurması ve formu siber suçlunun telefon numarasına fakslaması istendi.  

Geleneksel posta kötü amaçlı yazılım dağıtımı: 

Japonya’da siber suçlular, Truva atı casus yazılımı bulaşmış CD’leri dağıtmak için bir eve teslim hizmeti kullandı. Diskler bir Japon bankasının müşterilerine teslim edildi. Müşterilerin adresleri daha önce bankanın veri tabanından çalınmıştı. 

Sosyal Mühendislik Saldırıları Nasıl Tespit Edilir? 

Sosyal mühendisliğe karşı savunmak, öz farkındalık uygulamanızı gerektirir. Bir şey yapmadan veya yanıt vermeden önce daima yavaşlayın ve düşünün.  

Saldırganlar, riskleri düşünmeden önce harekete geçmenizi bekler, bu da tam tersini yapmanız gerektiği anlamına gelir. Size yardımcı olmak için, bir saldırıdan şüpheleniyorsanız kendinize sormanız gereken bazı sorular: 

  • Duygularım arttı mı? Özellikle meraklı, korkulu veya heyecanlı olduğunuzda, eylemlerinizin sonuçlarını değerlendirme olasılığınız daha düşüktür. Aslında, size sunulan durumun meşruiyetini muhtemelen dikkate almayacaksınız. Duygusal durumunuz yükselmişse, bunu bir kırmızı bayrak olarak kabul edin. 
  • Bu mesaj meşru bir göndericiden mi geldi? Şüpheli bir mesaj alırken e-posta adreslerini ve sosyal medya profillerini dikkatlice inceleyin. “tom@example.com” yerine “torn@example.com” gibi diğerlerini taklit eden karakterler olabilir. Arkadaşınızın resmini ve diğer detayları kopyalayan sahte sosyal medya profilleri de yaygındır. 
  • Bu mesajı bana gerçekten arkadaşım mı gönderdi? Gönderene, söz konusu mesajın gerçek göndericisi olup olmadığını sormak her zaman iyidir. İster bir iş arkadaşınız, ister hayatınızdaki başka bir kişi olsun, onlara yüz yüze veya mümkünse bir telefon görüşmesi yoluyla sorun. Saldırıya uğramış olabilirler ve bilmiyor olabilirler veya birileri hesaplarını taklit ediyor olabilir. 
  • Bulunduğum web sitesinde tuhaf ayrıntılar var mı? URL’deki düzensizlikler, düşük görüntü kalitesi, eski veya yanlış şirket logoları ve web sayfası yazım hataları, sahte bir web sitesinin kırmızı bayrakları olabilir. Sahte bir web sitesine girerseniz, hemen ayrıldığınızdan emin olun. 
  • Bu teklif kulağa gerçek olamayacak kadar iyi mi geliyor? Eşantiyonlar veya diğer hedefleme yöntemleri söz konusu olduğunda, teklifler bir sosyal mühendislik saldırısını ileriye taşımak için güçlü bir motivasyondur. Birinin size neden küçük bir kazanç karşılığında değerli bir şey sunduğunu düşünmelisiniz. Her zaman dikkatli olun çünkü e-posta adresiniz gibi temel veriler bile toplanıp kötü reklamcılara satılabilir.  
  • Ekler veya bağlantılar şüpheli mi? Bir mesajda bir bağlantı veya dosya adı belirsiz veya tuhaf görünüyorsa, tüm iletişimin gerçekliğini yeniden gözden geçirin. Ayrıca, mesajın kendisinin tuhaf bir bağlamda, zamanda gönderilip gönderilmediğini veya başka kırmızı bayraklar gösterip göstermediğini de göz önünde bulundurun.  
  • Bu kişi kimliğini kanıtlayabilir mi? Bu kişinin kuruluşla kimliğini doğrulamasını sağlayamazsanız, bir parçası olduğunu iddia ediyorsa, istediği erişime izin vermeyin. Fiziksel ihlaller saldırganın kimliğini gözden kaçırmanızı gerektirdiğinden, bu hem yüz yüze hem de çevrimiçi olarak geçerlidir. 

Sosyal Mühendislik Saldırıları Nasıl Önlenir? 

Bir saldırıyı tespit etmenin ötesinde, gizliliğiniz ve güvenliğiniz konusunda da proaktif olabilirsiniz. Sosyal mühendislik saldırılarının nasıl önleneceğini bilmek, tüm mobil ve bilgisayar kullanıcıları için inanılmaz derecede önemlidir.  

Her tür siber saldırıya karşı korunmanın bazı önemli yolları şunlardır: 

  • Güvenli İletişim ve Hesap Yönetimi Alışkanlıkları. Çevrimiçi iletişim, özellikle savunmasız olduğunuz yerdir. Sosyal medya, e-posta, kısa mesajlar ortak hedeflerdir, ancak aynı zamanda yüz yüze etkileşimleri de hesaba katmak isteyeceksiniz.  
  • Herhangi bir e-posta veya mesajdaki bağlantılara asla tıklamayın Gönderenden bağımsız olarak, adres çubuğunuza her zaman manuel olarak bir URL yazmak isteyeceksiniz. Ancak, söz konusu URL’nin resmi bir sürümünü bulmak için araştırma yapmak için ekstra adım atın. Resmi veya meşru olarak doğrulamadığınız herhangi bir URL ile asla etkileşimde bulunmayın.  
  • Çok faktörlü kimlik doğrulamayı kullanın. Çevrimiçi hesaplar, onları korumak için bir paroladan fazlasını kullanırken çok daha güvenlidir. Çok faktörlü kimlik doğrulama, hesaba giriş yaptığınızda kimliğinizi doğrulamak için ekstra katmanlar ekler. Bu “faktörler”, parmak izi veya yüz tanıma gibi biyometrikleri veya kısa mesaj yoluyla gönderilen geçici şifreleri içerebilir. 
  • Güçlü parolalar (ve bir parola yöneticisi) kullanın. Parolalarınızın her biri benzersiz ve karmaşık olmalıdır. Büyük harf, sayılar ve semboller dahil olmak üzere çeşitli karakter türlerini kullanmayı hedefleyin. Ayrıca, mümkün olduğunda muhtemelen daha uzun şifreler seçmek isteyeceksiniz. Tüm özel parolalarınızı yönetmenize yardımcı olması için, bunları güvenli bir şekilde saklamak ve hatırlamak için bir parola yöneticisi kullanmak isteyebilirsiniz. 
  • Okullarınızın, evcil hayvanlarınızın, doğum yerinizin veya diğer kişisel bilgilerinizin adlarını paylaşmaktan kaçının. Güvenlik sorularınıza veya parolanızın bazı bölümlerine bilmeden yanıt veriyor olabilirsiniz. Güvenlik sorularınızı akılda kalıcı ancak yanlış olacak şekilde ayarlarsanız, bir suçlunun hesabınızı kırmasını zorlaştırırsınız. İlk arabanız bir “Toyota’ysa, bunun yerine “palyaço arabası” gibi bir yalan yazmak, meraklı bilgisayar korsanlarını tamamen ortadan kaldırabilir. 
  • Yalnızca çevrimiçi arkadaşlıklar kurarken çok dikkatli olun. İnternet, dünya çapındaki insanlarla bağlantı kurmak için harika bir yol olsa da, bu, sosyal mühendislik saldırıları için yaygın bir yöntemdir. Manipülasyon veya güvenin açık bir şekilde kötüye kullanıldığını gösteren uyarılara ve kırmızı bayraklara dikkat edin. 

 

 

Sosyal Mühendislik hakkında sizleri bilgilendirmeye çalıştık.

SyberCode olarak Sosyal Mühendislik hizmetimiz hakkında sizleri daha detaylı olarak bilgilendirmek isteriz.

Diğer çözümlerimiz ile ilgili bize ulaşmak için buraya tıklayınız.