Sosyal Mühendislik nedir?

Sosyal mühendislik, bir bilgisayar sistemi üzerinde kontrol sağlamak ya da kişisel ve finansal bilgileri ele geçirmek amacıyla insanların manipüle edilmesi, etkilenmesi veya kandırılması taktiğidir. Bu yöntem, kullanıcıları güvenlik hataları yapmaya ya da hassas bilgilerini paylaşmaya ikna etmek için psikolojik manipülasyon tekniklerinden yararlanır. Adı üzerinde bu mühendislik türü ,eşyaların dizaynı için değil  duyguların dizaynı için kullanılır.

Sosyal Mühendislik Saldırıları

Sosyal mühendislik saldırıları, genellikle birkaç adımda gerçekleşir. Saldırgan, öncelikle kurban hakkında bilgi toplar. Bu bilgi, saldırıyı gerçekleştirmek için kullanılacak zayıf noktalar, güvenlik protokollerindeki eksiklikler veya potansiyel giriş yollarını içerir. Ardından saldırgan, mağdurun güvenini kazanmak ve hassas bilgileri elde etmek ya da kritik sistemlere erişim sağlamak için kimliğe bürünme gibi yöntemlerle manipülasyon yapar.

Bu yöntem tarihte insan var olduğundan beri vardır. Çünkü insanların duygularını istismar etmek ve onları yönlendirmek için teknolojiye gerek yoktur. Teknoloji sadece insanlara ulaşmayı kolaylaştırmıştır.  Sülün Osman gibi teknoloji olmadan Galata Kulesini satan bir sosyal mühendis bügünkü meslektaşlarına ilham olmuştur.

Sosyal Mühendislik Saldırı Türleri

Sosyal mühendislik saldırıları, farklı biçimlerde ve insan etkileşiminin olduğu her ortamda gerçekleşebilir. İşte dijital dünyada yaygın olan sosyal mühendislik saldırı türleri:

• Kimlik Avı (Phishing):
  Güvenilir bir kurum ya da kişi gibi davranarak e-posta, SMS ya da telefon yoluyla kullanıcı adı, şifre veya kredi kartı bilgileri gibi hassas verileri ele geçirme girişimidir. Kimlik avı mesajları, kurbanlarda aciliyet, merak ya da korku uyandırarak onları bağlantılara tıklamaya, kötü amaçlı dosyaları açmaya ya da bilgilerini paylaşmaya teşvik eder.

• Yemleme (Baiting):
  Saldırgan, bir kurbanı kişisel veya finansal bilgilerini paylaşmaya ya da sistemine kötü amaçlı yazılım yüklemeye ikna etmek için cazip bir vaat sunar. Örneğin, kötü amaçlı bir flash bellek, bir ofiste göze çarpan bir yere bırakılabilir. Kurban bu belleği bilgisayarına taktığında, kötü amaçlı yazılım sisteme yüklenir. Aynı şekilde çevrim içi yemleme, kullanıcıları kötü amaçlı yazılımlar içeren bağlantılara veya sahte uygulamaları indirmeye teşvik eden reklamlar şeklinde olabilir.

• Tailgating (Yetkisiz Giriş):
  “Piggybacking” olarak da bilinir. Yetkisiz bir kişi, bir çalışanın izni olmadan sınırlı erişim alanlarına giriş yapar. Örneğin, saldırgan bir teslimat görevlisi gibi davranabilir ve bir çalışandan kapıyı açık tutmasını isteyerek binaya erişim sağlayabilir.

• Korkutma (Scareware):
  Korkutma saldırıları, kurbanları sahte tehditler ya da yanlış alarmlarla kandırır. Örneğin, kurbana sistemlerinin kötü amaçlı yazılımla enfekte olduğu söylenir ve sahte bir yazılım yüklemeleri ya da saldırgana ödeme yapmaları istenir.

• Çöplük Dalışı (Dumpster Diving):
  Hassas bilgiler içeren belgelerin uygunsuz bir şekilde imha edilmesi, saldırganlara bilgi sağlayabilir. Örneğin, banka ekstreleri, kredi kartı başvuruları ya da diğer finansal belgeler güvenli bir şekilde yok edilmediğinde saldırganların eline geçebilir.

• Quid Pro Quo (Karşılık Bekleme):
  Saldırgan, bir hizmet karşılığında hassas bilgileri ya da erişim bilgilerini talep eder. Örneğin, saldırgan kendisini bir BT uzmanı olarak tanıtarak ücretsiz teknoloji desteği karşılığında giriş bilgilerini talep edebilir. Genellikle teklifin “gerçek olamayacak kadar iyi” görünmesi, bir dolandırıcılık işareti olabilir.

Sosyal Mühendisliği Önleme Yöntemleri

• Hassas Belgeleri Yok Edin:
  Banka ekstreleri, kredi kartı bilgileri ve diğer önemli belgeleri öğütücülerde imha edin ya da güvenli geri dönüşüm kutularına atın.

• Şüpheli E-posta Eklerine Dikkat Edin:
  Göndereni tanısanız bile şüpheli görünen bir e-posta alırsanız, mesajın doğruluğunu gönderenle doğrudan iletişim kurarak teyit edin.

• Çok Faktörlü Kimlik Doğrulama (MFA) Kullanın:
  MFA, giriş bilgilerinizin çalınması durumunda bile hesaplarınızı korumanıza yardımcı olur.                                                                                                                      
• Cazip Tekliflere Karşı Dikkatli Olun:
  Eğer bir teklif gerçek olamayacak kadar iyi görünüyorsa, büyük olasılıkla bir dolandırıcılıktır.

• Sosyal Medya Paylaşımlarınıza Dikkat Edin:
  Saldırganlar, hakkınızda bilgi toplamak için sosyal medyayı kullanabilir. Paylaşımlarınızı sınırlı tutun.                                                                                                                                                                                                        
• Antivirüs ve Yazılımları Güncel Tutun
• Yazılımlarınızı düzenli olarak güncelleyin ve sisteminizi kötü amaçlı yazılımlara karşı sık sık tarayın.                                                                                                                       

• Verilerinizi Yedekleyin:
  Verilerinizi harici bir sabit disk ya da bulut hizmetlerinde düzenli olarak yedekleyin.                                                                                                                                 
• Bilinmeyen USB Cihazlarından Kaçının:
  Tanımadığınız bir USB cihazını bilgisayarınıza takmayın. Bulduğunuz bir USB sürücüyü yetkili bir kişiye teslim edin.                                                                            
• Otomatik Çalıştırma Özelliğini Devre Dışı Bırakın:
  USB cihazları ya da CD’lerin otomatik olarak çalıştırılmasını önlemek için bu özelliği kapalı tutun.

Bu önlemler, sosyal mühendislik saldırılarına karşı daha dirençli olmanızı sağlar ve kişisel ya da kurumsal güvenliğinizi artırır.