Genel

Sosyal Mühendislik Saldırısı Nedir?

Social Engineering yani Sosyal Mühendislik, kurbanın güvende ya da baskı altında hissetmesi halinde hassas bilgilerini paylaşması amacıyla yapılan manipülatif uygulamalardır. Bu bilgiler çoğunlukla banka kartı bilgileri, şifreler şeklinde örneklendirilmektedir. Sosyal mühendislik, birçok siber saldırılarda olduğu gibi kişi veyahut kuruluşların güvenlik önlemlerinin atlanması amacını taşımaktadır. Özellikle teknik bilgiyle ilgili eksiği olanlar, daha az etkileşimde olanlar kolay hedef türü olarak görülmektedir. Siber tehdit faaliyetlerinde kişilerin dürtülerine göre adımlar atıldığını söylemek de mümkündür. Pek çok kişi sosyal mühendislik saldırısı örneklerine yenik düşerken birden fazla nedenin olduğu da anlaşılmaktadır. Bunlar bedava hizmet alma isteği, bilgisizlik, korku, endişe, yanlış kişilere güvenme şeklinde çoğaltılmaktadır. Tüm bunlara ek olarak güvenliği tehlikeye atan senaryoların kurulması, sosyal sorumluluk hissettiren senaryolar öne çıkmaktadır.

Sosyal Mühendislik Neden Yapılmaktadır?

Sosyal mühendislik, birçok siber saldırıda olduğu gibi kişi veyahut kişilerin güvenlik önlemlerini atlama amacı taşımaktadır. Siber korsanlar, sosyal mühendislik suçları için birden farklı motivasyona sahiptir. Bunlardan bahsetmek gerekirse de;

  • Kişiler çaba harcamadan hızlı finansal kazanç elde etmek istemektedir.
  • Kişinin kendi kendini eğitmek istemesi, bilgi edinmek isteyerek farkında olmadan sistemi yenmeye çalışmaları,
  • İntikam alma isteği de sosyal mühendislik uygulamalarının nedenleri içerisindedir. Mutsuz, haklı yenilmiş şekilde işten ayrılan çalışanlar çalıştıkları kuruma bir bedel ödetmek ister. Bundan ötürü yaşadığı durumdan ötürü karşı tarafa bir ceza vermek istemektedir.
  • Kişiler sosyal mühendislik saldırılarında baskı altında olabilmektedir. Suç işlemesi için baskı altında tutulan fidye, aile baskısı, organize suç durumları gibi nedenlerden ötürü hareket edebilmektedir.
  • Sosyal mühendislik saldırılarında özenti halleri, cüretkar davranışlar da öne çıkmaktadır. Bu tür adımlarla kişiler kahraman olmayı amaçlamaktadır.
  • Öne çıkan nedenlerden bir diğeri hedef kitleyi şok ederek fanatik amaçlar edinmektir.

Sosyal Mühendislik Saldırılarında Kullanılan Yöntemler Nelerdir?

Sosyal mühendislik, birden fazla saldırı yönteminin birleşiminden oluşmaktadır. Bunlar deepfake, kimlik avı gibi seçeneklerle örnek gösterilmektedir. Saldırılar için özellikle doğal afetler, COİD-19 gibi gündemler kullanılmaktadır. Bu gündemlerle beraber bildirinin yetkili bir kişiden geldiği izlenimi verilmektedir. Bildiriyi alan kişiler de acil olarak cevap verme zorunluluğu hissetmektedir. Diğer yandan yoğun olarak finansal sahtekarlık için kullanıldığı görülmektedir. İnsanlardan işe yaracak olan bilgilerin alınması konusunda, ikna edici senaryoların kullanımı öne çıkmaktadır.

  • Kullanılan yöntemler arasında e-dolandırıcılık yer almaktadır. Kimlik avı olarak da bilinen yöntem, e-postaları hedef almaktadır. İşletmelerin birinci iletişim alanlarını baz alarak ilerleme kaydetmektedir. Bu tarz saldırılarda da genel olarak yasal bir gönderici kimliğiyle hareket edilmektedir. Alıcının, gizli bilgilerini vermesi gibi amaçlarla kötü amaçlı yazılım içeren bir bağlantıyla ilerlenmektedir. Ayrıca sahte e-posta gönderimleri bir hayli yaygındır. Çok karmaşık olmamakla beraber etkili yöntemlerden biri olduğunu söylemek de mümkündür. Kişiler için sahte bir acil durum yansıtıp kişiyi istenmeyen eylemi yapmaya ikna etmek amaçlanmaktadır.
  • Smishing saldırıları sırasında kurban SMS ile hedeflenmektedir. Gönderilen bu mesajlar genellikle kötü amaçlı bir siteyi açmak için iletilmektedir. Yani mesajlardaki linkler, kötü amaçlı yazılım indiren bağlantılardır. Saldırılar sırasında resmi bir kaynağın kimliği kullanılarak sosyal mühendislik saldırısı yapılmaktadır.
  • Saldırı çeşitlerinden birisi vishing saldırılarıdır. Genellikle telekominasyon hizmetlerinin hedef alındığı bilinir. Kurban şahsen tanınan birini hedef almamaktadır. Bunun aksine saldırgan kişiler, kurbanlarını iyi bilinen kuruluşlardan aradıklarına inandırırlar. Kişilerin özel bilgileri, kredi kartı bilgileri şeklinde hassas bilgileri isterler.
  • Whaling, balına avcılığı olarak bilinir. Balına avı saldırılarının başarılı siber güvenlik saldırılarından olduğu görülür. Bir kuruluş içerisindeki yönetici ve çalışanları hedef almaktadır. Saldırgan kişiler, karşılarındaki kişinin kişisel yaşamını, mesleki geçmişini öğrenirler. Bu kişilerin kritik bilgilerinin de sızdırılması söz konusudur.
  • Sosyal mühendislik saldırıları arasındaki pharming saldırısı da yer almaktadır. Meşru bir internet sitesinden, kötü amaçlı bir siteye yönlendirme yapılmaktadır. Genel olarak bu saldırılar, sunucu dosyalarını değiştiren kötü amaçlı yazılımlarla gerçekleştirilmektedir.

images-5-300x156 Sosyal Mühendislik Saldırısı Nedir?

Sosyal Mühendislik Saldırısı Nasıl Çalışır?

Sosyal mühendislik saldırısı nasıl çalıştığı birçok kişi tarafından bilinmektedir. Genel bir tanımlama yapmak gerekirse de tek bir adımda gerçekleştiğini söylemek mümkündür. Ancak genel olarak daha karmaşık aşamalarının olması da söz konusudur. Siber suçlular, sosyal mühendislik saldırılarını anlattıkları zaman daha anlaşılır bir döngüden bahsederler. Başlangıç kısmı, saldırıyı gerçekleştirmek için kullanılanlar anlatılır. Bu aşamada öncelikli olarak kullanılacak olan bilgiler araştırılmaktadır. Bu sayede güvenlik protokolleri anlaşılırken zayıf güvenlik ağı ve benzeri detaylar anlaşılmaktadır. Bir sonraki aşamada da saldırganlar, toplanan bilgileri kullanarak hedefle iletişime geçerler. Özellikle duygusal manipülasyon kullanılarak karşılarındaki kişiyi ikna etmeyi amaç edinirler.

Aşama aşama anlatmak gerekirse de bilgi toplama kısmında sisteme erişmeyi sağlayacak bilgiler alınır. Telefon rehberi, organizasyonlar, doğum tarihleri ve sosyal faaliyetler baz alınır. Bu tarz verilerin elde edilmesi ilk amaçlardandır. Sonrasında ikinci aşama olarak ilişkiler geliştirilmeye çalışılır. Suçlular, kendilerini güvenli göstermek isterler. Bunun için de kendilerini kıdemli olan kişiler gibi gösterirler. Üçüncü aşamada ilişkiyi istismar ederler. Mağdur olan kişiyi manipüle ederek hassas bilgileri elde ederler. Bunlar genel olarak kullanıcı adı, şifre gibi bilgilerden oluşmaktadır. Dördüncü aşama olarak da amaca ulaşma amacıyla yürütme kullanılmaktadır. Elde edilen bilgilerin, sisteme erişmek ya da yasa dışı eylemin tamamlanması amacıyla kullanımı söz konusudur.

Sosyal Mühendislik Saldırıları Nasıl Önlenir?

Günümüzde en güçlü güvenlik sistemleri içerisinde bile savunmasız kalma durumu söz konusudur. Personellerin veyahut yetkili kişilerin oturum açmak için kullandığı bilgiler, hesap ayrıntıları ile mağdur kalmaları söz konusudur. Sosyal mühendislik saldırılarında tuzağa düşmemek amacıyla dikkat edilmesi gereken bazı detaylar kullanılmaktadır. Bunları sıralamak gerekirse de;

  • Sosyal mühendislik tekniklerinden biriyle karşılaştığınızı gösteren en önemli ipucu, korku uyandırmak istenmesidir. Acil bir durum varmış gibi hissettiren senaryolara karşı temkinli olmak gerekir. Polis, vergi dairesi gibi bir otoriteden geliyor gibi görünen e-postalara karşı dikkatli olunmalıdır. Bu tarz eylemler yalnızca e-posta üzerinden değil, telefon, mesaj gibi şekillerde de karşınıza çıkmaktadır. Finansal bilgi veyahut şifre gibi taleplere yanıt vermemeniz gerekmektedir. Meşru olan herhangi bir kurum, sizden kişisel bilgilerinizi talep eden mailler, mesajlar göndermezler.
  • Bir uygulamaya, programa ücretsiz erişim sağlamak herkes için caziptir. Size karşı konulmaz fırsatlar gibi gelseler de genel olarak kötü amaçlı kodlar barındırırlar. Çevrimiçi adımlarınızı takip eden casus yazılımlarla bilgilerinize erişim sağlanmaktadır. Dosyaların ve uygulamaların içerisine gizlenip, bilgilerinize ulaşırlar. Bu aşamada kazanlı olacağınızı iddia eden sahte senaryolardan uzak durulmalıdır.
  • Güvenilir güncel virüsten koruma yazılımlarını, yeni nesil güvenlik duvarı ile ilgili araçları kullanmanız, saldırgan kişilerin sistemlerinize erişmesini engeller. Şirketler, bir belgeye, klasöre veyahut bir ağa erişmek istedikleri zaman bu adımı kullanmaktadır. Finansal işlemlerde de transfer işlemlerinden önce yetkiye dayalı olan doğrulamalar istenerek hareket edilmesi daha doğru olacaktır.
  • Bu saldırıları önlemek için etkili olan seçeneklerden birisi çalışanları sosyal mühendislik taktikleri için bilgilendirmektir. Kişilerin günlük tempoları ne kadar hızlı olursa olsun işlem yapmadan önce ayrıntıların gözden geçirilmesi önemsenmelidir. Acil durumlarda dahi, gelen mail veyahut mesajların orijinal olduğundan emin olunmalıdır. Karşınıza çıkan her bağlantıya tıklamadığınıza dikkat etmelisiniz. İletinin gerçek olduğunu kontrol etmek amacıyla da göndericiye başka bir iletişim aracıyla ulaşmayı deneyebilirsiniz.

Bu Yazıyı Paylaşın