Çoğumuz bir aldatmacaya kanmayacak kadar zeki olduğumuzu düşünürüz. Ancak bilgisayar korsanlarının, dolandırıcıların ve hırsızların değerli bilgileri çalmak için kullandığı sosyal mühendislik saldırıları farklı tekniklerden oluşur ve dikkatli olunmadığı takdirde herkes aldanabilir. Sosyal mühendislik yöntemleri hakkında bilgi edinerek kendinizi daha iyi koruyabilirsiniz.
Sosyal mühendislik (social engineering), gizli bilgileri ifşa etmenizi veya belirli bir eylemi gerçekleştirmenizi sağlamak için kullanılan psikolojik manipülasyon teknikleridir. Saldırganlar, dikkatinizi dağıtmak ve sağlıklı düşünmenizi engellemek için güven, stres ve açgözlülük gibi doğal duyguları kullanır. Sosyal bilimlerde de aynı terim mevcuttur ancak dijital dünyadaki sosyal mühendislik, tamamen gizli kalması gereken bilgileri ele geçirmekle ilgilidir.
Peki, sosyal mühendislik kavramını kim ortaya atmıştır? Çoğu araştırmacı, bu terimin 90’lı yıllarda ünlü hacker Kevin Mitnick tarafından meşhur edildiği konusunda hemfikirdir. Mitnick, sadece telefon görüşmeleri yaparak çok iyi korunduğu düşünülen bilgisayar sistemlerinin şifreleri ele geçirmeyi başarmıştır. Ancak onu sosyal mühendisliği icat eden kişi olarak görmek yanlış olur zira Mitnick dolandırıcılar tarafından zaten bilinen ve kullanılan teknikleri dijital dünyaya uyarlamıştır.
Phishing saldırılarında, siber suçlular e-posta kullanarak başka birinin kimliğine bürünür. Saldırgan kendisini bankanız, kargo şirketi veya resmi bir kurum gibi göstererek bir bağlantıya tıklamanızı veya bir dosya indirmenizi ister. Örneğin bankanızdan geliyormuş gibi görünen bir e-postada “hesap bilgilerinizin ele geçirildiği, kimliğinizi doğrulamak için hemen bu mesajdaki bağlantıya tıklamanız gerektiği” yazabilir. Buradaki amaç, oturum açma bilgileriniz veya banka kartı numaranız gibi bilgileri ele geçirmek için sizi kandırmaktır.
Phishing saldırılarının pek çok farklı türü vardır ve hepsinde amaç aynıdır: Saldırgan, sizi başka biri olduğuna ikna etmeye ve böylelikle gizli kalması gereken bilgililerinizi ele geçirmeye çalışır. Bunun için farklı sosyal mühendislik teknikleri ve araçları kullanabilir. Örneğin:
Pretexting tekniğinde de saldırgan bir başkasıymış gibi davranır ve sizi bir şey yapmaya teşvik eder. Bu yönüyle phishing saldırılarına benzese de, iki önemli farkı vardır: Birincisi, pretexting tekniğinde saldırgan korku ve endişe yaratmak yerine ona güvenmenizi sağlamaya çalışır. İkincisi, bu teknik diğer sosyal mühendislik yöntemlerine kıyasla çok daha fazla araştırma gerektirir.
Bu saldırı türünde, suçlular arkadaşınız veya meslektaşınız gibi davranır. Sadece yalan söylemekle kalmaz, sizi kandırmak için sahte kimliklerin, ürün görsellerinin ve belirli bir endüstriye özgü terimlerin yer aldığı bir senaryo kurgular. Tek bir saldırı yapmak yerine uzun vadeli çalışırlar. Örneğin bir şirkete saldırıyorlarsa, belirli bir kıdem düzeyindeki kişinin bilgilerine erişim elde edene dek kurguladıkları senaryoya devam ederler. Bir örnek verecek olursak:
Böyle bir numaraya kimsenin kanmayacağını düşünebilirsiniz ancak saldırgan gayet profesyoneldir, aradığı numara gerçekten de tanıdığınız bir şirkete aittir, hatta öncesinde aynı kişiyle konuşup bazı işlemleri başarıyla gerçekleştirmiş dahi olabilirsiniz. Diğer bir deyişle, güven uyandırmak için gereken her şeyi yaparlar.
Catfishing saldırılarında, suçlular diğer insanların fotoğraflarını, videolarını ve hatta kişisel bilgilerini kullanarak sahte sosyal medya profilleri oluşturur. Bu sahte dijital kimlikler genellikle siber zorbalık yapmak veya belirli bir kişinin (romantik anlamda) dikkatini çekmek için kullanılır. Bu kimliklerin farklı türden sosyal mühendislik saldırılarında kullanılmak üzere (örneğin hedefin güvenini kazanmak için) kullanılması da mümkündür.
Çevrimiçi tanıştığınız biriyle aniden çok iyi arkadaş olmuşsanız ancak arkadaşınız yüz yüze görüşmemek için sürekli bahaneler üretiyorsa, büyük ihtimalle bir catfishing saldırısı yapılıyor demektir. Bu arkadaşınız sizden borç para istemeye de başlamışsa, alarm zillerinin çalmaya başlaması gerekir.
Sosyal mühendislik saldırıları nedir sorusunu yukarıda cevapladığımıza göre, artık bu saldırılardan kendinizi nasıl koruyabileceğiniz hakkında konuşmaya başlayabiliriz.
Tek bir tıkla online güvenliğe adım atın.
Dünyanın lider VPN’i ile güvende kalın