Sosyal Mühendislik Nedir?

Sosyal mühendislik saldırısı nedir?

Sosyal mühendislik (social engineering), gizli bilgileri ifşa etmenizi veya belirli bir eylemi gerçekleştirmenizi sağlamak için kullanılan psikolojik manipülasyon teknikleridir. Saldırganlar, dikkatinizi dağıtmak ve sağlıklı düşünmenizi engellemek için güven, stres ve açgözlülük gibi doğal duyguları kullanır. Sosyal bilimlerde de aynı terim mevcuttur ancak dijital dünyadaki sosyal mühendislik, tamamen gizli kalması gereken bilgileri ele geçirmekle ilgilidir.

Peki, sosyal mühendislik kavramını kim ortaya atmıştır? Çoğu araştırmacı, bu terimin 90’lı yıllarda ünlü hacker Kevin Mitnick tarafından meşhur edildiği konusunda hemfikirdir. Mitnick, sadece telefon görüşmeleri yaparak çok iyi korunduğu düşünülen bilgisayar sistemlerinin şifreleri ele geçirmeyi başarmıştır. Ancak onu sosyal mühendisliği icat eden kişi olarak görmek yanlış olur zira Mitnick dolandırıcılar tarafından zaten bilinen ve kullanılan teknikleri dijital dünyaya uyarlamıştır.

Sosyal mühendislik saldırıları türleri

Phishing saldırıları (oltalama)

Phishing saldırılarında, siber suçlular e-posta kullanarak başka birinin kimliğine bürünür. Saldırgan kendisini bankanız, kargo şirketi veya resmi bir kurum gibi göstererek bir bağlantıya tıklamanızı veya bir dosya indirmenizi ister. Örneğin bankanızdan geliyormuş gibi görünen bir e-postada “hesap bilgilerinizin ele geçirildiği, kimliğinizi doğrulamak için hemen bu mesajdaki bağlantıya tıklamanız gerektiği” yazabilir. Buradaki amaç, oturum açma bilgileriniz veya banka kartı numaranız gibi bilgileri ele geçirmek için sizi kandırmaktır.

Phishing saldırılarının pek çok farklı türü vardır ve hepsinde amaç aynıdır: Saldırgan, sizi başka biri olduğuna ikna etmeye ve böylelikle gizli kalması gereken bilgililerinizi ele geçirmeye çalışır. Bunun için farklı sosyal mühendislik teknikleri ve araçları kullanabilir. Örneğin:

• Smishing saldırıları: Bu teknikte e-posta yerine SMS kullanılır. Gönderilen mesajlarda daima bir bağlantıya tıklamanız istenir. Mesaj bankanızdan veya bir arkadaşınızdan geliyormuş gibi görünebilir. Bazen de tanımadığınız bir kişiden gelir ancak içeriği teşvik edicidir (örneğin, “kredi kartı aidatınızı iade almak için tıklayın”).
• Vishing saldırıları: Bu teknikte e-posta veya SMS değil, telefon kullanılır. Saldırgan doğrudan hedef olarak seçtiği kişiyi arar ve kendisini başka biri gibi tanıtır. Arayan numara, bildiğiniz ve güvendiğiniz bir numaraymış gibi görünebilir. Genellikle bir tehdit veya vaat içerirler, örneğin “hediyenizi almak için kredi kartınızın numarasını tuşlayın” gibi.

Pretexting saldırıları

Pretexting tekniğinde de saldırgan bir başkasıymış gibi davranır ve sizi bir şey yapmaya teşvik eder. Bu yönüyle phishing saldırılarına benzese de, iki önemli farkı vardır: Birincisi, pretexting tekniğinde saldırgan korku ve endişe yaratmak yerine ona güvenmenizi sağlamaya çalışır. İkincisi, bu teknik diğer sosyal mühendislik yöntemlerine kıyasla çok daha fazla araştırma gerektirir.

Bu saldırı türünde, suçlular arkadaşınız veya meslektaşınız gibi davranır. Sadece yalan söylemekle kalmaz, sizi kandırmak için sahte kimliklerin, ürün görsellerinin ve belirli bir endüstriye özgü terimlerin yer aldığı bir senaryo kurgular. Tek bir saldırı yapmak yerine uzun vadeli çalışırlar. Örneğin bir şirkete saldırıyorlarsa, belirli bir kıdem düzeyindeki kişinin bilgilerine erişim elde edene dek kurguladıkları senaryoya devam ederler. Bir örnek verecek olursak:

• Tanınmış bir şirketten bir müşteri temsilcisi sizi arar.
• Müşteri deneyimini iyileştirmeye yardımcı olmak için bir test yaptıklarını, yeni bir para transfer sisteminin doğru çalışıp çalışmadığını kontrol etmek istediklerini, kendilerine yardımcı olup olamayacağınızı sorar.
• Kabul ederseniz, belirli bir banka hesabına para aktarmanızı ve şirket hesabınızın kullanıcı adı ile şifresini kullanmanızı isterler.
• Parayı transfer ettiğinizde, saldırgan hem parayı hem de hesap bilgilerinizi çalar.

Böyle bir numaraya kimsenin kanmayacağını düşünebilirsiniz ancak saldırgan gayet profesyoneldir, aradığı numara gerçekten de tanıdığınız bir şirkete aittir, hatta öncesinde aynı kişiyle konuşup bazı işlemleri başarıyla gerçekleştirmiş dahi olabilirsiniz. Diğer bir deyişle, güven uyandırmak için gereken her şeyi yaparlar.

Catfishing saldırıları

Catfishing saldırılarında, suçlular diğer insanların fotoğraflarını, videolarını ve hatta kişisel bilgilerini kullanarak sahte sosyal medya profilleri oluşturur. Bu sahte dijital kimlikler genellikle siber zorbalık yapmak veya belirli bir kişinin (romantik anlamda) dikkatini çekmek için kullanılır. Bu kimliklerin farklı türden sosyal mühendislik saldırılarında kullanılmak üzere (örneğin hedefin güvenini kazanmak için) kullanılması da mümkündür.

Çevrimiçi tanıştığınız biriyle aniden çok iyi arkadaş olmuşsanız ancak arkadaşınız yüz yüze görüşmemek için sürekli bahaneler üretiyorsa, büyük ihtimalle bir catfishing saldırısı yapılıyor demektir. Bu arkadaşınız sizden borç para istemeye de başlamışsa, alarm zillerinin çalmaya başlaması gerekir.

Sosyal mühendislik saldırılarından nasıl korunabilirsiniz?

Sosyal mühendislik saldırıları nedir sorusunu yukarıda cevapladığımıza göre, artık bu saldırılardan kendinizi nasıl koruyabileceğiniz hakkında konuşmaya başlayabiliriz.

• Farklı sosyal mühendislik taktikleri hakkında bilgi edinin. Ne beklemeniz gerektiğini biliyorsanız, size kurulan tuzaktan kaçınmak daha kolay olacaktır. Bir şirket yönetiyorsanız, çalışanlarınızı sosyal mühendislik saldırıları konusunda eğitmeniz çok önemlidir. Bu bakımdan, sızma testleri ağınızdaki güvenlik açıklarını bulmanın ve çalışanlarınızı eğitmenin en iyi yollarından biridir.
• Uyanık olun. Gelmesini beklemediğiniz bir e-posta, SMS veya arama alırsanız, karşınızdaki kişinin kimliğini kontrol ettiğinizden emin olun. Gerçek olamayacak kadar iyi görünen tekliflerin zaten gerçek olmadığını unutmayın.
• Yazım hatalarına dikkat edin. Meşru işletmeler, mesajlarını (e-posta, SMS ve her türden yazılı iletişim) göndermeden önce birden çok kez kontrol eder ve yazım hatası olmadığından emin olur. Bilgisayar korsanları ise hemen hemen daima yazım hatalarıyla dolu mesajlar gönderir. Bir mesajdaki gramer hataları dikkatinizi çekecek kadar çoksa, bu bir sosyal mühendislik saldırısının göstergesi olabilir.
• Soru sormaktan korkmayın. Birinin sizi telefonda dolandırmaya çalıştığını düşünüyorsanız, kimliklerini ve hikayelerini doğrulayacak sorular sormaktan korkmayın. Örneğin arayan kişi kendisini polis, asker veya savcı olarak tanıtıyorsa, isimlerini ve sicil numaralarını sorup önce bunları doğrulamak istediğinizi söyleyin.
• Çevrimiçi paylaştığınız bilgileri sınırlayın. İnternette herkesin kolayca erişilebileceği bilgiler paylaşmak, saldırganların hakkınızda bilgi toplamasına ve bu bilgileri sosyal mühendislik saldırıları için kullanmasına yardımcı olabilir.
• VPN kullanın. VPN, kimliğinizi gizlemenizi sağlar ve bilgisayar korsanlarının özellikle halka açık Wi-Fi noktaları kullandığınızda bağlantınızı gözetlemesine engel olur. NordVPN’in Tehdit Koruması özelliği, kötü niyetli web sitelerini ziyaret etmenizi önlemeye de yardımcı olacaktır.
• Threat Protection kullanın. Bu özellik, Windows ve macOS işletim sistemli cihazlarda internetten indirdiğiniz dosyaları önceden, yani cihazınıza yüklenmeden önce tarar ve kötü amaçlı yazılımların indirilmesini engeller. Ayrıca takipçi çerezler ile reklamları da engelleyecektir.