İnsanı kandırmak, bilgisayarı kandırmaktan daha kolaydır. Siber güvenliği ciddi anlamda tehdit eden ve güvenlik önlemlerinin aşılmasını kolaylaştıran en önemli unsurların başında insan faktörü gelmektedir. Sosyal mühendislikte de teknik altyapılar ve sistemler yerine insanların zafiyetleri kötüye kullanılmaktadır.

Zincir en zayıf halkası kadar güçlüdür. Burada ise en zayıf halka insandır.

Kimisine göre dolandırıcılık kimisine göre ise zeka işi olan son zamanların çok merak edileni sosyal mühendislik nedir? Neden insanların fikirlerinde böyle uçurumda bir kutuplaşma yaşanıyor? Başta bu kavramı duyunca gerçekten böyle bir meslek var mı diye araştırmıştım. Sonra araştırınca anladım ki bu kavram aldatma ve insanları kandırmanın bizzat kendisiymiş.  Sosyal mühendislik doğrudan müdahalenin zor olduğu zamanlarda bir milletin veya bir topluluğun içine sızma özel kavramlar imgeler milli kültürel sözlerle dikkat çekme ve topluluğu yönetmektir.

Aygıtlar veya sistemlerle gerek duymadan karşı tarafın güvenini tavlayarak veya olaylar arasında bağlantı kurarak bilgi sızdırma işidir. Sosyal medyanın kullanımı yaygın olduğu şu yıllarda hele ki insanların özel bilgilerini (soyağacı taratıp Instagram’da paylaşmak gibi) paylaştığı ortamlarda bu yöntemin giderek yaygınlaşması doğal olarak artmaktadır. Sosyal medyada paylaştıklarınızın ucu ise farklı noktalara gidebiliyor. Siz tatilde paylaşım atarken hırsızlar evinize girmiş olabilir veya şifrenizi unuttuğunuzda hatırlatma amacı cevabı bir yere yazmış olabilir ve bunu sosyal mühendislere kaptırmış olabilirsiniz.

Sosyal Mühendislik Nedir?

Sosyal Mühendislik, bir bilgisayar sisteminin kullanıcılarını, bir bilgisayar sistemine yetkisi olmadan erişim elde etmek için gizli bilgileri açığa çıkarma sanatıdır. Bilgisayar korsanları yani Hackerlar kimliğini kullanan kullanıcıları hayati oturum açma bilgilerini serbest bırakmaları için kullandığı hileleri bilmek, bilgisayar sistemlerini korumak açısından temel bir gerekliliktir. 

Sosyal Mühendislik; basit tarifiyle dolandırıcılığa benzese de, genelde bilgi sızdırmak veya bir bilişim sistemine sızmak için kullanılabilen bir yöntemdir. Bu yöntemde genel olarak saldırgan mağdur ile yüz yüze gelmez. Kötüye kullanılan unsur ise sistem zafiyetleri değil insan zafiyetleridir.

Zafiyetlerden yola çıkarak örneklendirmek gerekirse, kurumların ya da kişilerin çöplerinde bulunabilecek imha edilmemiş dokümanlar üzerinde bulunan ve geçerliliğini yitirmemiş bilgiler sayesinde kurumlar ve kişiler hakkında önemli bilgilere ulaşılabileceğinden bahsedilebilir.

  • Bilginiz başkalarının eline geçebilir.
  • Bağlı olduğunuz kurum veya kuruluşun onuru, toplumdaki imajı zarar görebilir.
  • Donanım, yazılım, veri ve kurum çalışanları zarar görebilir.
  • Önemli verilere erişim engellenebilir, parasal kayıplar ve vakit kaybı yaşanabilir.

Sosyal Mühendislik Saldırısı Nasıl Olur?

  • Bilgi Toplama : Öncelikle aldatılacak olan kurbanın hakkında maksimum seviyede bilgi toplanır ve birçok özellik araştırılır. Elde edilen bilgiler şirket web sitelerinden, diğer yayınlardan ve sık olmamakla birlikte hedef sistemde çalışan işcilerle konuşarak birçok bilgi toplanır.
  • Saldırıyı Planla : Saldırganlar saldırıyı nasıl yürütmek istediğini açıklar.
  • Saldırma Araçları : Saldırganın saldırıyı başlatırken kullanacağı bilgisayar programlarını içermektedir.
  • Bilgileri Kullanma : Ev hayvanı isimleri, organizasyon kurucularının doğum tarihleri gibi birçok sosyal mühendislik taktikleri sırasında toplanan bilgiler, parola tahminlerinde kullanılabilir.

Sosyal Mühendislik Teknikleri

  • Omuz Sörfü
  • Çöp Karıştırma
  • Truva Atları
  • Rol Yapma
  • Oltalama
  • Tersine Sosyal Mühendislik

Sosyal Mühendislik Sızma Hedefleri

  • Sistemi Ele Geçirme
  • Kritik Bilgilere Erişim
  • Hedef Sistemlere Erişim Sağlama
  • Yönetici Hakkı Elde Etme
  • Sistemde Kalıcı Olma
  • Gizlilik

Sosyal Mühendislik Sızma Çeşitleri

  • Fiziksel Sosyal Mühendislik
  • Telefon İle Sosyal Mühendislik
  • Mail Yoluyla Sosyal Mühendislik
sosyal mühendislik

Phishing Nedir?

Türkçe karşılığı oltalama olan Phishing, Internet kullanıcılarının kredi kartı ve banka hesap numaraları ve bu hesaplara ait parola ve CVV2 numaraları gibi hassas içerikleri elde etme amacıyla saldırgan tarafından yapılan sosyal mühendislik saldırılarından biridir. Bu saldırılarda kandırılan kullanıcı, oltaya takılan bir balığa benzetildiği için “oltalama” adını almıştır.

Phishing Saldırıları Nasıl Yapılır?

Phishing saldırılarında kullanıcı genelde sahte bir e-posta vasıtasıyla tuzağa düşürülür. Saldırıyı yapan kötü niyetli kişi, doğrudan temas yeri bilinen ve güvenilen banka ,firmaları kullanarak hedeflenen bilgilere ulaşmayı sağlar.

Genel saldırı senaryosu :

Kötü niyetli kişi, genelde bankaların kimliklerini kullanarak hedef kullanıcıya bir mail gönderir. Gönderilen mailin içeriğinde sistemde yapılan güncellemeler veya yenilikler nedeniyle kullanıcının verilen adrese bilgilerini girmesi gerektiği söylenir. Mail aracılığı ile iletilen adres kimliği kullanılan kurumun birebir kopyasıdır. Oltalanan kişi bu siteyi gerçek site sanarak girip bilgilerini yazınca tüm bilgiler artık kötü niyetli kişinin eline geçmiş olur.

sosyal mühendislik

Saldırılardan Nasıl Korunabiliriz?

Biri veya birilerinin sizi hedef almaya çalıştığından şüpheleniyorsanız, o kişi ile bir daha asla iletişim kurmayın. Sizinle telefon hattı üzerinden irtibat kuruyor ise telefonu kapatın. Eğer çevrimiçi sohbette iseniz bağlantınızı sonlandırın. Eğer güvenmediğiniz bir yerden gelen bir e-posta ise, eklentilerini indirmeyin ve bahse konu e-postayı silin. Eğer çalıştığınız kurum veya iş yeri ile ilgili bir saldırı olduğunu düşünüyorsanız, işyerindeki yardım masasına ya da ilgili güvenlik uzmanlarına haber verin. Bütün bu aşamalarda kaydedeceğiniz ekran görüntüleri sonraki süreçte oldukça önem arz edecektir.

En güvenli bilgisayar internet bağlantısı olmayan ve kapalı olandır. Ancak bir ihtimal var ki; saldırganlar ofise gidip bilgisayarı açması için birini ikna edebilir.

Kişisel/Özel Bilgilerinizi Paylaşmayın: Saldırganlar hakkınızda ne kadar çok bilgiye sahip olursa size o kadar kolay ulaşıp istediklerini yaptırmak için sizi yanlış yönlendirebilir. Her bilgi internet ortamında paylaşılmamalıdır. Kendinizle ilgili basit gördüğünüz paylaşımlarınız, hayatınızın bütünü hakkında bilgi sahibi olmak amacıyla kötü niyetli kişilerce zamanla bir araya getirilebilir. Ne kadar az bilgi paylaşırsanız (forum siteleri, e-posta adresleri ya da sosyal medya siteleri) saldırıya uğrama riskiniz de o kadar az olur.

Şifrelerinizi Paylaşmayın: Hiçbir kurum ya da kuruluş şifrenizi sormak için sizinle iletişime geçmez. Eğer birileri size şifrenizi soruyorsa bu bir sosyal mühendislik saldırısıdır.

Sizinle İrtibat Kuran Kişileri Sorgulayın: Bankanızdan ya da servis sağlayıcınız gibi kuruluşlardan aranabilirsiniz. Arayan kişi hakkında herhangi bir şüpheniz varsa arayan kişinin adını ve ona ulaşabileceğiniz bir numarayı isteyerek güvenilir bir kaynaktan kuruluşa ait telefon numarasını bulabilirsiniz. (Örneğin banka hesap özetinizde yazan numaradan ya da telefon faturanızda bulunan numaralardan) Böylece bahse konu kurumu ya da şirketi aradığınızda gerçekten yetkili personel ile konuştuğunuzdan emin olabilirsiniz.

URL/Adres Kontrolü Yapın: Oltalama saldırılarında oltaya takılmamanın en önemli unsurlarından biriside tarayıcıda bulunan adresi kontrol etmektir. Adres çubuğunda göz kaçırılan bir karakter değişikliği istenmeyen sonuçlara yol açabilir.

Güvenilir Olmayan Kaynaklara Dikkat Edin: Bir dosya indirmek istediğinizde güvenilir kaynaklardan ve mümkünse doğrulanmış yapımcılardan indirmelisiniz ve bilgisayarınızda düzenli olarak virüs taraması yapmalısınız.

Kurum İçinde Periyodik Olarak Bilgi Güvenliği Testleri Yapın: Kurum çalışanları periyodik olarak bilgi güvenliği eğitimleri almalı ve sızma testlerine tabi tutulmalıdır. Tüm bilgisayarlara antivirüs yazılımları kurulmalı, çöpe atılması gereken dokümanlar, mutlaka kırpma makinelerinden geçirilmelidir. Kuruma ziyaretçi olarak gelen kişilerden kimlik alınarak kurum çalışanları tarafından refakat edilmelidir.

sosyal mühendislik

Sosyal Mühendislikle İlgili Kaynak Önerileri

Ünlü Hacker Kevin D. Mitnick’ın yazmış olduğu Aldatma Sanatı adlı kitabı okumanızı öneririm. Ünlü Hacker : Fujitsu, Motorola, Nokia, Sun Microsystems gibi büyük şirketlere izin ağlarına girerek birçok ceza ve bilgisayardan uzaklaştırma almıştır. Aşağıdaki linkten kitaba ulaşabilirsiniz

Christopher Hadnagy’nin “Sosyal Mühendislik: İnsan Kandırma Sanatı” adlı kitabı da kullanılan yöntemleri ve nasıl yapıldığını detaylıca açıklıyor. Sosyal mühendislik, temeli filmlere dayanan bir bilim kurgu değil, her yaştan insan için tehlike yaratabilecek bir sistemdir.

Who Am I filminde Sosyal Mühendislik ile ilgili birçok sahneye yer verilmiştir. Örneğin sisteme giriş yapabilmek adına Kedileri seven bir personele mail atıp onu tuzağa düşürerek gerekli bilgileri edindi. Diğer bir sahnede ise dilenciye pastaneden almadığı para vermeden bu tip yolları deneyerek o pastayı alıp dilenciye vermesidir.

Keşfet: 2021 Bill Gates Yaz Okuma Listesi

Author

uyuryazar kişilik

8 Yorumlar

  1. Çok aydınlatıcı bir yazı daha . Çok teşekkür ediyorum.

  2. Çok biligilendirici, bir o kadar da uyarıcı bir çalışma olmuş. Teşekkürler, kalemine sağlık… 🙂

  3. Yazı bizi çok daha dikkatli olmaya çağırıyor. Çok yararlandım. Facebook, instagram ve diğer sosyal medya üzerinde paylaşımlarına dikkat edeceğim.

Yorum Yap