Ne, Ne Değildir?SosyolojiTeknoloji

Sosyal Mühendislik Nedir?

Gelişen dijital dünyanın sonuçlarından biri olan sosyal mühendislik, pek çok sektörü etkileyebildiği gibi tahmin edilemez şekilde de gerçekleşebiliyor.

Son günlerdeki önemli sorulardan biri “Sosyal Mühendislik Nedir?” olmuştur. Sosyal mühendislik, insanların zaaflarından yararlanılarak;

  • Bilmedikleri gizli bilgilere erişme isteği,
  • İzni olmadığı halde sistemlere erişim sağlama umudu üzerinden insanları kandırıp manipülasyona maruz bırakma olayıdır.

Bilgi toplama, dolandırıcılık veya sistem erişimi gibi faktörler üzerinden inşa edilir. Böylece bir illüzyon oluşturulur ve kurbanlar güven hilesinin ağına düşer.

Sosyal mühendislikte kullanılan saldırıların çeşitli amaçları vardır. İnsanların gizli bilgilerine erişmek, onların verilerini çalmak gibi amaçlar en yaygınlarıdır.  Yaygın olarak kullanılan sosyal mühendislik hileleri ise telefon veya e-posta üzerinden gerçekleşir. Sosyal mühendislik saldırılarının diğer örnekleri arasında; hizmet çalışanları ve teknisyen kılığına girmiş suçlular gibi türler vardır.

Suçluların kılık değiştirerek sosyal mühendislik yürütmesi bir açıdan oldukça tehlikelidir. Çünkü bir işletmenin/kurumun fiziksel sitesine erişirken görünmez olabilirler. Sosyal mühendisliği özellikle tehlikeli yapan şey, insan üzerinden işliyor olmasıdır. Çünkü yazılım ve işletim sistemlerindeki güvenlik açıkları üzerinden sosyal mühendislik suçu işlenemez.

Sosyal Mühendis Nedir?

Peki, yukarıda bahsettiğim suçları işleyen insanlara verilen isim nedir? Sosyal mühendisler. Bir sosyal mühendis Kanada’da yaşayan sadist bir bilgisayar korsanı olabilir. Veya bir kurumun ağlarına sızarak milyonlarca dolar kaldırmayı planlayan bir Rus bilgisayar korsanı. Belki de kapitalizme savaş açmış komünist bir Çinli bile olabilir. Kısacası illegal yollardan bir kurum/kişi üzerinden manipülasyon ile kazanım elde etmeyi amaçlayan herkes olabilir.

Sosyal mühendislik saldırıları tek seferde asla gerçekleşmez. Bir failin bir sosyal mühendislik saldırısını başarıyla gerçekleştirebilmesi için;

  • Saldırıyı sürdürülebilir kılacak potansiyel giriş noktalarından haberdar olması,
  • Zayıf güvenlik protokolleri gibi gerekli arka plan bilgilerini toplaması,
  • Yukarıda bahsedilen bilgileri alabileceği bir kurban seçmesi gerekmektedir.

Sonraki adım ise bir örümceğin ağını örmesi gibi adım adım işlenir. Sosyal mühendis, hedef seçilen kurbanın güvenini kazanır. Böylece kritik bilgileri elde etmek veya önemli kaynakları açığa çıkarmak için güvenlik önlemlerini yok sayacak şekilde karşı tarafı teşvik eder.

Kurbanı teşvik etme süreci asla bir günde olmayan, dikkat ve sabır gerektiren bir süreçtir.

Sosyal mühendislik tanımına bir bakış da şu şekilde olmaktadır:

Güvenlik zincirindeki en zayıf halka olan insan, farklı zamanlarda farklı davranışlar sergilemesinden dolayı güvenlik sürecinde çeşitli zafiyetler gösterebilmektedir. Bu zafiyetleri ortaya çıkarmak ve istismar etmek sosyal mühendislik kavramının ortaya çıkmasına sebep olmuştur.

Sosyal Mühendislik: Yaygın Ataklar ve Güvenlik Önlemleri

Sosyal Mühendislik İlkeleri

Sosyal mühendislerin kullandıkları temel yöntemler çok uzun süredir bilinen taktiklerdir. Aslında çoğunluğu tamamen insan davranışıyla ilgilidir ve temel psikoloji bilimine dayanmaktadır. Sosyal mühendis saldırganları, bu bilgilerden yaralanarak hassas verilere veya bilgilere erişmeyi hedefler. Gelin beraber kullanılan ilkeler nelermiş, göz atalım!

Karşılık

İnsanlar olarak bize yapılan bir iyiliğin karşılığını vermek isteriz. Örneğin, size ulaşmaya çalışan saldırgan oldukça nazik ve kibar birisi olabilir. Arada güzel iltifat ve hediyelerle ruhunuzu okşuyor, fakat bir gün sizden kendisi için özel bilgilere erişim sağlamanızı rica ediyor. Siz de önceki yaptığı iyilikleri düşünerek, kendinizi karşılık vermek zorunda hissediyorsunuz.

Kalkışmak

Birisinin sözlü veya yazılı olacak şekilde bir şey yapmaya başladığını hayal edin. Bir işe kalkışan kişi, işin sonunu getirmeye daha istekli hale gelmez mi? Cevap vereyim, çoğunlukla evet. Çünkü yerine getirip getirmeme artık kişisel bir mesele haline dönüşür. Örneğin, bir açık arttırma hayal edin. Açık arttırma ile satılan bir ürün değerinin 10 katına çıkmasına rağmen neden satılır? Çünkü kişi kazanmak için bir kez olsun işe girişmiştir. Kazanmadan çıkmak ise asla istemeyecektir.

Taklit

İnsanlar başkalarından gördükleri şeyleri yapmaya eğilimli varlıklardır. Taklitçiyiz ve sosyal hayatımızı taklitçilik yeteneğimize borçluyuz. Örneğin, bir ünlü tarafından onay görmüş bir uygulama hayal edin. Ne kadar işlevsiz olursa olsun, insanlar uygulamayı kullanmak isteyecektir. Çünkü artık uygulama insanların gözünde ünlü yüzünden daha değerli bir yere sahiptir.

Otorite

İnsanlar otoriteye boyun eğme eğilimi gösterir. Hem de altında bulundukları otorite kendilerinden ne kadar sakıncalı davranışlarda bulunmasını istemesi önemsizdir. Ülkemizde kendisini hâkim ve savcı gibi tanıtan dolandırıcıların başarıya ulaşmasının temel nedeni budur. Hâkim ve savcılar ülkemizde otoritesiyle saygı gören kurumlardır. Böylece onlar tarafından gelen emirleri sorgulamadan yerine getirmek daha yaygındır.

Beğeni

İnsanlar birisinden hoşlandığı zaman ikna edilmeye daha açık olur. Bir saldırganın istediğini elde etmesi için arkadaş canlısı olması, çoğu insanı kandırmaya yetecektir.

Sosyal Mühendislik Saldırı Yöntemleri
Sosyal mühendislik saldırıları çok farklı şekillerde yapılabilir.

Sosyal Mühendislik Saldırı Yöntemleri

Bu tarz suçlar için farklı saldırı vektörlerinden haberdar olmak oldukça kritiktir. Böylece önleme söz konusu olduğunda nasıl cevap vereceğinizi bilirsiniz. Çünkü sosyal mühendislik saldırıları birçok farklı yönteme sahiptir. Ayrıca insan etkileşimi demek aynı zamanda sosyal mühendislik saldırısı gerçekleşebilir demektir. Peki, kötü kalpli sosyal mühendisler hangi yöntemleri kullanır? Gelin failler tarafından kullanılan yöntemlere beraber göz atalım.

Yem Atmak

Adından da gayet anlaşılabilir değil mi? Yem atma saldırıları üzerinden karşı tarafın açgözlülüğünü veya merakı kışkırtılır. Fail, kışkırtmak için sahte veya kandırmaca bir söz kullanır. Böylece kullanıcıları kişisel bilgilerini istediği gibi kullanmak üzere çalabilir. Veya kurbanın kullandığı sisteme virüs bulaştırabilir. Bulaştırdığı virüs sayesinde, failin içinde bulunduğu kurum hakkındaki;

  • Finansal bilgiler,
  • Personeller hakkında ayrıntılar,
  • Varsa projeler gibi bilgileri kendi tarafına aktarabilir.

Yem atma yöntemi, kurbana ve kuruma bağlı olmak şekilde çeşitlenebilir. Fakat en yaygın şekilde fiziksel medya araçları kullanılır. Bu sayede kötü amaçlı yazılımların kurban üzerinden amaca ulaşması hedeflenir. Sosyal mühendisler kullanacakları yemi, içinde kötü amaçlı yazılım bulunduran USB üzerinden CD veya DVD ile kurbanlarının erişiminden emin oldukları alanlara bırakırlar. Alanlar arasında banyolar, asansörler, hedeflenen kurumun otoparkı örnek olarak verilebilir. Kullanılan yem ise oldukça özgün bir görünüme sahiptir. Hem de şirketin bordro listesi olarak sunulan bir etiket gibi. Sonraki aşamada kurbanların yemi meraktan alması beklenir. Eğer kurban, içindekilerden haberi olmadan alırsa yemi, şirket veya ev bilgisayarına bağlar. Böylece kötü amaçlı yazılım, sosyal mühendislerin veri almasını sağlamak üzere bilgisayara yerleşmiş olur.

Yem atma dolandırıcılığı illa fiziksel etkileşim gerektirmez. Fiziksel etkileşim gerektirmeyen, çevrimiçi yemleme biçimleri arasında;

  • Kötü amaçlı sitelere yönlendiren link, video ve görseller,
  • Veya kurbanların kötü amaçlı yazılım bulaşmış bir uygulamayı indirmesine olanak sunacak reklamlar vardır.

Scareware Programları

Scareware, işlevsel gözüken ama aslında bilgisayarınıza virüs bulaştırmayı hedefleyen virüs programlarıdır. Yüklendiği bilgisayarda kullanıcıya yanlış bildirim verirken hatalı geri dönütlerde bulunur.  Ayrıca gerçek bir karşılığı olmayan “Bilgisayarınız tehlikede!” şeklinde endişe verici uyarıları yapar. Doğal olarak bilgisayar kullanıcısı yazılımına virüs bulaştığını düşünür. Böylece virüslerden asla temizlemeyecek bir Truva Atı’nı bilgisayarına yüklemeye razı gelir. Scareware ayrıca aldatma yazılımı, haydut tarayıcı yazılımı ve dolandırıcılık yazılımı olarak da adlandırılır.

Aslında Scareware herkesin aşina olduğu, fazlasıyla yaygın bir kandırma yöntemi. “Bilgisayarınıza zararlı casus yazılım programları bulaşmış olabilir.” İnternette gezinirken karşınıza çıkan bu bildirimleri hatırladınız mı? Asla ama asla tıklamamanız gereken, virüs içerikli bildirimlerin en yaygın örnekleridir. Karşı taraf (genellikle kötü amaçlı yazılım bulaşmış), bir uygulamayı sizin için yüklemeyi teklif eder. Ya da bilgisayarınıza virüs bulaştıracak kötü amaçlı bir siteye yönlendirir.

Scareware yöntemiyle insanlara ulaşmanın birçok yolu vardır. Bahsedilen yollar arasında;

  • Sahte uyarılar veren e-postalar,
  • Kullanıcılara değersiz/zararlı hizmetler satın almaları için teklifler sunan spam mesajlar bulunur.

E-Dolandırıcılık (Şifre Dolandırıcılığı)

Şifre dolandırıcılığı, sosyal mühendisler tarafından kullanılan en popüler kandırma yöntemidir. Çünkü yöntem insanların korkusundan ve endişesinden beslenir. Böylece endişeli taraf hata yapmaya açık hale gelir. Düşünmeden hareket eden kurban, bir yılan tarafından ısırılmış yılan gibi sersemler.

Peki süreç nasıl işler?

  • Kurbanlara onlarda telaş, merak veya korku duygusu yaratacak e-posta veya SMS yoluyla ulaşılır.
  • Böylece kurban hedefe açık hale gelir. Sosyal mühendis sonrasında, kurbanını hassas bilgileri açığa çıkarmak için manipüle etmeye devam eder. Kötü amaçlı web sitelerinin bağlantılarını tıklamaya teşvik eder.
  • Kurban, heyecan ve korkuyla bağlantıyı açtığında artık her şey için çok geçtir. Kötü amaçlı yazılım bilgisayara çoktan yüklenmiş olur. Böylece, sosyal mühendis istediği verilere ulaşmak için artık özgürdür.

Örnek vermek gerekirse, bir şirkette çalıştığınızı hayal edin. Çalıştığınız şirketin kendine ait bir web sitesi var ve tüm işler bu platform üzerinden yürüyor. Fakat bir gün aniden mail adresinize “Şirketiniz için ani şifre değişikliği gerekiyor.” tarzında bir mail geliyor. Çünkü gerekli parola derhal gerçekleşmezse bir politika ihlaline sebebiyet vereceğiniz söyleniyor. Siz heyecan ve korkuyla mailden yollanan linki izleyip yeni şifre oluşturuyorsunuz. Ve BAM! Yeni şifre oluşumu nedeniyle sizden eski şifreniz istendiği için artık şifreniz suçluların eline geçiyor.

Aslında bu şekilde gerçekleşen şifre dolandırıcılığı çok basit bir şekilde kendini ele verir. Çünkü genelde tüm şirket veya kurum çalışanları dolandırıcılık mailini aynı anda alırlar. Böylece virüsler konusunda oldukça tecrübeli olan posta sunucuları için bunları tespit etmek ve engellemek çok daha kolaydır.

Spesifik Yemleme

Spesifik yemleme, bir saldırganın belirli bireyleri veya işletmeleri kandırmak için özellikle seçmesine verilen addır. Böylece saldırısını belli etmeden;

  • Karşı tarafa ait özelliklere,
  • İş pozisyonlarına,
  • Ve bağlantılarına göre mesajlarını özel olarak uyarlar.

Spesifik olarak düzenlenen yemleme saldırıları fail için fazlasıyla emek ve çaba gerektirir. Yemin istediği gibi sonuçlanması haftalar ve aylar sürebilir. Ustaca yapıldığı takdirde başarı oranları hayli yüksektir. Ve ne yazık ki, yakalanma ihtimalleri de aynı oranda azalmaktadır.

Spesifik yemleme senaryoları çeşitlilik gösterebilir. Örnek olarak bir sosyal mühendis korsanı;

  • Herhangi bir şirketin danışmanının kimliğine bürünür. Böylece bir veya daha fazla çalışana virüs içerikli e-posta yollayabilir.
  • Taklit ettiği danışmanın tam olarak yazacağı tarzda mailler atmaya başlar. Atılan mailler neredeyse tıpatıp aynıdır. Böylece alıcıların kurduğu tuzağa düşmesi için aklını karıştırır. Mesaj, alıcılardan parolalarını değiştirmeleri gerektiğini söyler. Parola değişikliğinin yanında, kötü amaçlı yazılımı bulunduran bir link de beraberinde gelir.

Bahane Yaratmak

Sosyal mühendis, zekice düzenlenmiş yalanlar üzerinden gerekli bilgileri elde eder. Dolandırıcılık genellikle, kritik bir görevi yerine getirmek için hassas bilgilerin istenmesiyle başlar. Böylece fail hassas bilgilere ihtiyaç duyuyormuş gibi davranarak kurbanı manipüle etmektedir.

Sosyal mühendis saldırganı bunun için;

  • İş arkadaşlarını taklit edebilir,
  • Polis, banka veya vergi memuruymuş gibi davranabilir,
  • Veya bilgi edinme yetkisine sahip herhangi bir kişiyi taklit edebilir.

Böylece kurbanıyla kendisi arasında bir güven kurar. Bahaneler üreterek görünüşte gerekliymiş gibi gözüken önemli kişisel verileri toplamak için sorular sorar.

Her türlü ilgili bilgi ve kayıt bu dolandırıcılık kullanılarak toplanır. Mesela;

  • TC kimlik numaraları,
  • Kişisel adres ve telefon numaraları,
  • Telefon kayıtları, banka kayıtları,
  • Hatta ve hatta bir kurumla alakalı güvenlik bilgileri, tereyağından kıl çeker gibi kurbandan elde edilir.

Yanıltmaca

Yanıltmaca yöntemini kullanan suçlular genellikle hedef olarak;

  • Nakliye şirketlerini,
  • Kurye kuruluşlarını hedef alırlar.

Böylece teslimatın planlanan yerden başka bir adrese gerçekleştirilmesi hedeflenir.

Watering Hole Tekniği

Birisinin güvenerek düzenli olarak ziyaret ettiği internet sitesi üzerinden teknik uygulanır. Saldırgan, bu web siteleri hakkında bilgi alabilmek için;

  • Hedefledikleri birey veya bireyler üzerinden veri toplar,
  • Sonrasında ise virüs bulaştırmak istedikleri web sitelerinin güvenlik açıklarını bulur.

Böylece zaman içinde güvenlik açıklarını bulabilecektir. Peki ya bulduktan sonrası? Hedeflenen grup çoktan virüs yazılımının bir kurbanı olmuş olacaktır.

Sosyal Mühendislik Nasıl Önlenir?
Sosyal mühendislerin saldırısını önlemek için izlenebilecek pek çok yol var.

Sosyal Mühendislik Nasıl Önlenir?

Yazının bu kısmında sosyal mühendisliği önleme yöntemlerini konuşacağız. Size önerebileceğim bazı yöntemler sayesinde kendinizi tuzaklardan koruma şansınızı arttırabilirsiniz.

Şüpheli Kaynaklardan Gelen E-Postaları ve Ek Dosyaları Açmayın

Eğer ki size mail gönderen kişinin kim olduğunu bilmiyorsanız, bırakın öyle kalsın. Açmanıza gerek yok. Yok eğer onları tanıyorsanız da mesajdan şüphelendiyseniz, güvenliğinizi sağladığınızdan emin olun. Güvenliğinizi sağlamak için;

  • Mailinizin doğrulama koduna sahip olduğundan emin olun.
  • Başka kaynakları inceleyerek çapraz doğrulama yapın.

Unutmayın! En güvenilir sandığınız mail adresleri bile bir dolandırıcı tarafından kullanılıyor olabilir. 2021 yılında sahte e-mail adresleri üretmek hiç olmadığı kadar kolayken tetikte olmakta fayda var.

Hassas Veriler ile Çalışmak İçin Dersler Alın

Sadece kendiniz tarafından hassas verilerin nasıl ele alınması gerektiğiyle sınırlı kalmayın. Varsa çalışanlarınız ve çevrenizdekiler için de aynı hassasiyeti gösterin. Böylece hassas bilgilerin ile nasıl çalışılması konusunda eğitim güçlü bir güven tablosu yaratabilirsiniz.

Verilerinizi İnce Eleyip Sık Dokuyun

Hangi bilgiler hassas iken hangi bilgiler değil iyi belirleyin. Hangi bilgilerin hassas olduğunun belirlediğiniz zaman;

  • Güvenlik sistemlerinizi ona göre inşa edersiniz
  • Ve hangi verilerin hassas olduğunu bildiğiniz için korumayı ona göre sağlarsınız.

Çoklu Doğrulama Yöntemleri Kullanın

Saldırganlar için en değerli hazine kullanıcıların sahip olduğu kimlik bilgileridir. Fakat, çoklu kimlik doğrulama kullanırsanız, sistem güvenliği ihlal edilse dahi hesabınız katmanlı bir kale gibi korumaya alınır. Bunun için özel olarak koruma hizmetleri veren şirketler ile iletişime geçebilirsiniz.

Her Teklife Balıklama Atlamayın

Size çok cazip gelen bir teklif yapıldığında her zaman bir kereden fazla düşünün. Onu hemen gerçek olarak kabul etmek istemezsiniz. Teklife göz atıp iyice inceleyerek teklif meşru mu, yoksa kandırmaca mı belirleyebilirsiniz.

Güvenilir Bir Virüs Programı Edinin

Güvenilir bir virüs programını bilgisayara yükleyerek onu sürekli güncel tutun. Böylece, otomatik güncellemeleri de açarak 7/24 bilgisayarınızı koruyan bir muhafız elde etmiş olursunuz. Tabi ki de düzenli aralıklarla bilgisayarınızı taramayı da unutmayın.

Özet

Sosyal mühendislik, insanların merak ya da korku gibi sahip olduğu duygular üzerinden manipüle edilmesidir. Böylece bir kurban olarak dolandırıcılık tuzağına çekilirler. Bu nedenle,

  • Şüpheli bir e-posta aldığınızda,
  • Bir web sitesinde gördüğünüz cazip bir teklife ilgi duyduğunuzda
  • Veya yalancı olduğunu düşündüğünüz birisiyle karşılaştığınızda uyanık olun.

Çünkü uyanık olarak dijital dünyada karşılaşabileceğiniz çoğu sosyal mühendislik saldırısına karşı kendinizi en iyi şekilde koruyabilirsiniz.

İlgili Makaleler

Bir cevap yazın

E-posta hesabınız yayımlanmayacak.

Başa dön tuşu