Sosyal Mühendislik Saldırısı Nedir?

Sosyal mühendislik saldırısı nedir? sorusu yolumuzu psikolojik manipülasyon taktikleri kullanan siber suçlulara çıkarıyor. Her geçen gün çeşitliliği artan sosyal mühendislik yöntemlerinin kurbanı olmamanız için bilmeniz gereken detayları sizin için araştırdık.

Sosyal Mühendislik Nedir?

Sosyal Mühendislik (Social Engineering), kurbanın güvende veya baskı altında hissedip şifre, banka kartı bilgileri gibi hassas verileri paylaşması için manipülatif uygulamalarla kandırılmasıdır.

Sosyal mühendislik, çoğu siber saldırıda olduğu gibi bir kişi ya da kuruluşun güvenlik önlemlerini atlamayı amaçlar. Herkes bir sosyal mühendislik saldırısının kurbanı olabilir ancak genellikle teknik bilgi eksikliği olan yaşlılar, daha az insan etkileşimi olanlar ve dürtüselliğe yenik düşenler bu siber tehdit türü için kolay hedeflerdir.

İnsanların sosyal mühendislik suçlarına yenik düşme nedenleri arasında genellikle aşağıdakilere rastlanır:

Açgözlülük (bedava merakı)

Bilgi eksikliği

Güvenme eğilimi

Güvenliği tehlikeye atan, aciliyet hissi yaratan, panikleten bir senaryo

Korku

Endişe

Sosyal bir sorumlulukmuş gibi zorunluluk hissettiren senaryolar

Öfke

Sosyal Mühendislik Neden Yapılır?

Sosyal Mühendislik Nedir, Sosyal Mühendislik Neden Yapılır?
Sosyal mühendislik, çoğu siber saldırıda olduğu gibi bir kişi ya da kuruluşun güvenlik önlemlerini atlamayı amaçlar.

Siber korsanlar sosyal mühendislik suçları için farklı motivasyonlara sahip olabilir:

  • Çok çaba gerektirmeden hızlı finansal kazanç elde etme isteği
  • Kendi kendini eğitme, bilgi edinme heyecanıyla veya sadece eğlence için sistemi yenme isteği
  • İntikam alma (mutsuz ya da işten ayrılmış çalışanların şirkete bedel ödetme isteği ya da bozulan bir ilişkide karşı tarafı cezalandırma isteği)
  • Suç işlemek için baskı altında kalmak (şantaj, fidye, aile baskısı, organize suç gibi nedenlerle bireyin suça yönelmesi)
  • İdeolojik, fanatik amaçlarla hedef kitlede şok yaratmak
  • Özenti veya cüretkar bir eylemde bulunarak kahraman olma isteği

Sosyal Mühendislik Saldırılarında Kullanılan Yöntemler

Sosyal Mühendislik Saldırılarında Kullanılan Yöntemler
Sosyal mühendislik saldırıları; COVID-19 ve doğal afetler gibi gündemleri kullanarak, finansal sahtekarlık için kullanılabilecek bilgileri verme konusunda kurbanı ikna etmeye çalışan senaryolardan faydalanır.

Sosyal mühendislik; kimlik avı, deepfake gibi çok çeşitli yöntemlerin kombinasyonlarıyla oluşan siber güvenlik saldırılarında kendini gösterebilir. Özellikle COVID-19 ve doğal afetler gibi gündemleri kullanarak, yetkili bir kişiden geliyor izlenimi veren, acil yanıt verme zorunluluğu uyandıran ve finansal sahtekarlık için işe yarayabilecek bilgileri verme konusunda kişiyi ikna etmeye çalışan senaryoların kullanımı yaygındır.

  • E-dolandırıcılık, kimlik avı ya da phishing olarak bilinen yöntem, özellikle çoğu işletmenin birincil iletişim biçimi olan e-postaları hedefleyen bir sosyal mühendislik kategorisidir. Bu tür saldırılar genellikle, meşru bir göndericinin kimliğine bürünmeye çalışan ve alıcıyı gizli bilgileri ifşa etmeye veya kötü amaçlı yazılım içeren bir bağlantıya veya eke tıklamaya ikna etmeye çalışan sahte e-postalar içerir. Kimlik avı ile ilgili sosyal mühendislik taktikleri çok karmaşık değildir, ancak etkilidirler. Sahte bir aciliyet ve korku duygusuyla birleştiğinde, genellikle kurbanı istenen eylemi yapmaya ikna etmek için yeterlidir.
  • Smishing saldırıları, kurbanları SMS yoluyla hedef alır. Bu mesajlar genellikle kötü amaçlı bir siteyi açan veya dokunulduğunda kötü amaçlı yazılım indiren bağlantılar içerir. Smishing saldırganları, bir mobil hizmet sağlayıcısının veya başka bir “resmi” kaynağın kimliğine bürünerek sosyal mühendisliği kullanır.
  • Vishing saldırıları metin tabanlı ortamlardan ziyade VoIP ve telekomünikasyon hizmetlerini hedef alır. Sese dayalı sosyal mühendislik saldırıları genellikle kurbanın şahsen tanıdığı birinin kimliğine bürünmeye çalışmaz; bunun yerine saldırganlar, kurbanlarını bir borç tahsildarı gibi büyük, iyi bilinen bir kuruluştan aradıklarına ikna etmeye çalışırlar. Ardından doğum tarihi, kimlik numarası veya kredi kartı bilgileri gibi hassas bilgileri vermesini isterler. Daha agresif senaryolarda, saldırgan kurbanı banka havalesi yoluyla para göndermeye ikna etmeye çalışabilir.
  • Whaling, balina avcılığı anlamına gelir. Balina avı saldırıları, en başarılı siber güvenlik saldırıları arasındadır, çünkü bir kuruluştaki yönetici ve önemli çalışanları hedefler. Saldırganlar bu kişiler hakkında mesleki geçmiş ve kişisel yaşam tarzı dahil olabildiğince fazla bilgi toplar. Ardından bu kişilerden kritik bilgileri sızdırmaya çalışırlar.
  • Pharming saldırıları, meşru bir web sitesinden kötü amaçlı bir web sitesine yönlendirme yapılması olarak tanımlanabilir. Genellikle bu saldırılar, sunucu dosyalarını değiştiren kötü amaçlı yazılımlarla veya DNS önbellek zehirlenmesi (DNS spoofing) denen bir teknik kullanarak gerçekleştirilir. Pharming saldırganları, sahte web sitesinin yasal web sitesinden ayırt edilmesini zorlaştırmak için sosyal mühendisliği kullanır, böylece ziyaretçi doğru yerde olmadığını fark edemez. Bir kullanıcı kötü amaçlı web sitesinde ne kadar uzun süre kalırsa, saldırganın veri toplaması veya kötü amaçlı yazılımı etkinleştirmesi o kadar kısa sürer.
  • Baiting (yemleme) saldırıları, güvenlik önlemlerini tehlikeye atmak için USB gibi fiziksel cihazları kullanır. Örneğin, yere bırakılan veya hediye şeklinde postayla gönderilen bir USB depolama aygıtı içerebilir. Hedef kişi, cihazı bir bilgisayara bağladığında, cihaz otomatik olarak bir bilgisayar virüsü veya başka tür bir kötü amaçlı yazılımı çalıştıracaktır.
  • Pretexting, saldırganın ayrıntılı bir arka plan ile kurbanın güvenini kazanmasını gerektirir. Teknoloji genellikle bu saldırılar için bir katalizördür; örneğin saldırganlar, anlatmaya çalıştıkları hikayeyi destekleyen ikna edici bir internet varlığı oluşturmak için sosyal medya botlarını kullanabilir. Bu tür saldırıların ayırt edici özelliği, dolandırıcıların kurbanı kandırmak için bir hikaye veya bahane uydurmasıdır. Bahanede, genellikle saldırgan, kurbana yardım etmeye çalışan yetkili birisi rolündedir. Örneğin, başarısız olduğu iddia edilen bir otomatik fatura ödemesi ve bunun sonucunda hatayı düzeltmemize yardımcı olmaya çalışan samimi ve yardımsever bir müşteri hizmetleri temsilcisi.

  • Scareware saldırıları, kişileri cihazlarının veya yazılımlarının risk altında olduğuna inandırmak için korku taktiklerini kullanır. Saldırı, kurbanı kritik bir yazılım “güncelleştirmesini” indirmeye teşvik eden bir açılır pencere veya cihazlarının güvenliğinin ihlal edilmiş olabileceğine dair bir uyarı şeklinde gelebilir. Kullanıcının yanıt olarak yaptığı herhangi bir eylem, saldırıyı başlatmakla sonuçlanacaktır.
  • Deepfake saldırıları, sosyal mühendislikle ortaya çıkan sofistike bir trendi temsil etmektedir. Derin sahtekarlık anlamına gelen Deepfake, önemli birinin fotoğraflarını, videolarını ve ses kayıtlarını yapay zeka ve derin öğrenmeden yararlanarak kimliğe bürünme aracı olarak kullanmaya yarar. Çoğu derin sahtekarlığı, farketmek neredeyse imkansızdır. Deepfake taktikleri, kurbanları daha etkili bir şekilde aldatmak için genellikle sahte reklam ya da telefonla ya da görüntülü arama gibi diğer sosyal mühendislik stratejileriyle birlikte kullanılır ve şirketleri, toplumları, ülkeleri kaosa sürükleme potansiyeli nedeniyle çok tehlikelidir. Yapay zekanın bu en tartışmalı teknolojisi için Deepfake Nedir? adlı yazımıza göz atabilirsiniz.

Ayrıca internet bağlantısının kesildiğini bildirmek gibi bahanelerle geri bildirim isteyen sahte formlar, saldırganın kendini gizlice konumlandırarak iletişimi dinlediği senaryolar, hatta dumpster dalışı denen çalışan kayıtları, organizasyon şemaları gibi yararlı belgelerin bulunabileceği eski sabit sürücüler, USB sürücüler gibi kullanılmayan ekipmanların finansal avantaj veya intikam için mevcut veya eski çalışanlar tarafından ele geçirilmesi dahil çok fazla yöntem sosyal mühendislik saldırılarında kullanılmaktadır.

Sosyal Mühendislik Nasıl Çalışır?

Sosyal mühendislik saldırıları tek bir adımda gerçekleştirilebilir, ancak genellikle daha karmaşık aşamalara sahiptir. Siber suçlular, sosyal mühendislik saldırılarını başlatırken genellikle öngörülebilir bir döngü kullanır. Başlangıç aşaması, saldırıyı gerçekleştirmek için kullanabilecek bilgilerin araştırılmasını içerir böylece, sistemin potansiyel giriş noktaları veya zayıf ağ güvenlik protokolleri tespit edilir. Sonraki adımda saldırgan, topladığı bilgileri kullanarak hedefle iletişim kurmaya, duygusal manipülasyonla kişiyi ikna etmeye çalışır.

Bilgi toplama – Sisteme erişmeyi sağlayacak telefon rehberi, doğum tarihleri, organizasyon şemaları, personel kayıtları, sosyal faaliyetler gibi verileri elde etmeye çalışma
İlişkinin gelişimi – Suçluların kendilerini, güven unsurunu güçlendirerek kıdemli kişiler gibi sunması
İlişkinin istismarı – Mağdurun manipüle edilerek kullanıcı adı ve şifre gibi hassas bilgilerinin ele geçirilmesi
Amaca ulaşmak için yürütme – Edinilen kişisel/hassas bilgileri, sisteme erişmek ve yasa dışı eylemi tamamlamak için kullanma

Sosyal Mühendislik Saldırıları Nasıl Önlenir?

Sosyal Mühendislik Nasıl Çalışır?, Sosyal Mühendislik Saldırıları Nasıl Önlenir?
Kişileri taklit etme konusunda deepfake gibi ikna edici yöntemler kullanıldığından mesajın doğrudan gerçek göndericiden geldiğinden emin olmak için gönderene başka bir iletişim biçimi aracılığıyla ulaşılması önerilir.

En güçlü güvenlik sistemleri bile, personel ya da yetkili kişiler oturum açma bilgileri veya hesap ayrıntıları gibi hassas bilgileri vermek üzere kandırıldığında savunmasız kalmaktadır. Sosyal mühendislik saldırılarının tuzağına düşmemek için dikkat edilmesi gerekenler şu şekilde sıralanabilir:

  1. Sosyal mühendislik tekniklerinden biriyle karşı karşıya olduğunuzu gösteren en önemli ipucu bu saldırıların genellikle korku uyandırmaya çalışan, aciliyet hissi doğuran senaryolarla oluşturulmasıdır. Polis, vergi dairesi memuru veya banka çalışanı gibi bir otorite figüründen geliyormuş gibi görünen şüpheli e-postalar, telefonlar ve mesajlarda kişisel bilgi veya para talepleri varsa dikkatli olunmalıdır. Finansal bilgi veya şifre taleplerine yanıt verilmemeli, meşru kuruluşların kişisel bilgi isteyen bir mesaj göndermeyeceği unutulmamalıdır.

  2. Bir uygulamaya, oyuna veya programa ücretsiz erişim sunulması gibi karşı konulmaz fırsatlar, genellikle kötü amaçlı kod içerir. Çevrimiçi adımlarınızı izleyen casus yazılımlar ve yazdıklarınızı kayda geçiren klavye / tuş kaydediciler gibi kötü amaçlı kodlar; indirilen dosya veya uygulamanın içine gizlenerek oturum açma bilgilerinize erişmek için kullanılabilir. Kazançlı bir iş fırsatından bahseden senaryolar da yaygın dolandırıcılık türleri arasında olduğundan bu tip mesajlar karşısında uyanık olunmalıdır.

  3. Güvenilir güncel virüsten koruma yazılımları, DMARC protokolü ve yeni nesil güvenlik duvarı araçları kullanmak, saldırganların sistemlerinize ulaşmasını engelleyebilir. Şirketler bir belgeye, bir klasöre veya ağın bir kısmına erişimi, bazı çalışanlar için kısıtlayan sistem protokolleri kurabilir. Ek olarak, finansal işlemler için, transferi işlemlerinden önce yetkiye dayalı doğrulamaların istendiği sistemler uygulanabilir.

  4. Bu tür saldırıları önlemenin en etkili yolu, çalışanların sosyal mühendislik taktikleri hakkında bilgilendirilmesidir. Günlük tempo ne kadar hızlı olursa olsun personelin herhangi bir işlem yapmadan önce ayrıntıları dikkatlice gözden geçirmeye zaman ayırması önemlidir. Bir SMS veya e-postada aciliyet hissi olsa bile, orijinalliğinden emin olmadıkça mesajların yanıtlanmaması, bağlantılara tıklanmaması veya eklerin açılmaması konusunda, çalışanlar uyarılmalıdır. İletinin doğrudan gerçek göndericiden geldiğinden emin olmak için gönderene başka bir iletişim biçimi aracılığıyla ulaşılması önerilir. Saldırganların kişileri taklit etme konusunda deepfake gibi ikna edici yöntemler kullandığı unutulmamalıdır.

  5. Sosyal medya hesaplarınızda paylaştığınız bilgiler, saldırganlar tarafından sosyal mühendislik amaçları doğrultusunda kullanılabilir, kendinizi veya kuruluşunuzu kolay bir hedef haline getirebilir.

  6. Mümkün olduğunda çok faktörlü kimlik doğrulama kullanılmalıdır. Parola, pin numarası, jeton, parmak izi, retina taraması, avuç içi izi, GPS konumu gibi kimliğinizi doğrulamak için farklı kombinasyonların kullanılması siber saldırılarla mücadelede etkilidir. Bunlar, oturum açma işlemine, saldırganın erişim sağlayamayacağı ek bir adım eklediğinden hassas bilgilerinizin bir kısmı ele geçirilse bile saldırganın ilerlemesini engelleyecektir.

  7. Bir sosyal mühendislik saldırısını önlemenin bir başka etkili yolu, sızma testi (penetration test) yapmak ve kuruluşun çeşitli güvenlik açıklarını tespit etmektir.

Özet

Sosyal mühendislik, siber saldırı gerçekleştirmek için dolandırıcıların, insanların korku ve zaaflarından yararlanmasıdır. Bunun için siber suçlular insanların güvenlik riskleri oluşturacak hatalar yapmalarına neden olacak psikolojik manipülasyon yöntemleri kullanır.

Kişilerin ve işletmelerin, güvenlik sistemlerinde en zayıf halka olma eğiliminde olan insanları kandırmakla ilgilenen siber suçlulardan korunmak adına ” Sosyal mühendislik saldırısı nedir? ” sorusunun yanıtlarından yola çıkarak güncel önlemleri araştırmaları önerilir.

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir