Blog

Sosyal Mühendislik Saldırısı ve Korunma Yolları

28.05.2024

İçerikler

Finans & Girişimcilik

Sosyal Mühendislik Saldırısı ve Korunma Yolları


Günümüzde teknolojinin hızla ilerlemesi ve dijitalleşmenin her alanda kendini göstermesi, beraberinde birçok avantajı getirirken maalesef bazı riskler de barındırıyor. Bu risklerden biri de sosyal mühendislik saldırıları. Sosyal mühendislik, teknik olmayan bir yöntemle kişilerin güvenini kazanarak veya manipüle ederek kişisel bilgilere ulaşmayı hedefleyen bir tür dolandırıcılıktır.

Bu yazımızda sosyal mühendislik saldırılarının ne olduğunu, nasıl gerçekleştirildiğini ve en önemlisi bu tür saldırılardan nasıl korunabileceğimizi detaylı bir şekilde ele alacağız. Çünkü bilgi güvenliğini sağlamak ve dijital dünyada güvende kalmak için bu konuda bilinçlenmek ve alınabilecek önlemleri bilmek büyük önem taşıyor.

Bu amaçla sosyal mühendislik saldırılarının en yaygın türlerini ve bu saldırıların nasıl gerçekleştirildiğini inceleyeceğiz. Bu bilgiler, saldırıları daha iyi anlamamızı ve böylece onlara karşı daha etkili bir savunma geliştirebilmemizi sağlayacak.

Ardından bu tür saldırılardan korunmak için neler yapabileceğimizi, hangi güvenlik önlemlerini alabileceğimizi ve bu konuda daha bilinçli hale gelmek için neler öğrenebileceğimizi ele alacağız.

Dijital dünyada güvende kalmak ve bilgi güvenliğimizi sağlamak için sosyal mühendislik saldırılarına karşı bilinçli olmak ve etkili bir savunma stratejisi geliştirmek büyük önem taşıyor.

Siber saldırı türleri hakkında bu detaylı rehberi okumaya hazırsanız başlayalım.

Sosyal Mühendislik Nedir?

Sosyal mühendislik, daha önce de söylediğimiz gibi teknik olmayan bir yöntemle kişilerin güvenini kazanarak veya manipüle ederek kişisel bilgilere ulaşmayı hedefleyen bir tür dolandırıcılıktır. Bir kişinin veya kuruluşun hassas bilgilerine erişmek için insanların doğal eğilimlerini ve davranışlarını kullanma uygulamasıdır.

Sosyal mühendislik saldırıları, genellikle bilgi güvenliği ihlallerinin en yaygın nedenlerinden biridir ve teknik saldırılardan daha etkilidir. Bunun nedeni teknik güvenlik önlemlerinin çoğunun, insan hatalarını veya dikkatsizliğini önlemeye yönelik olmamasıdır.

Çoğu zaman e-posta yoluyla gerçekleştirilen phishing saldırıları, telefon dolandırıcılığı veya yüz yüze gerçekleştirilen sahte kimlik saldırıları gibi çeşitli şekillerde gerçekleştirilir. Bu saldırılar, bir kişinin veya kuruluşun hassas bilgilerine erişmek için insanların doğal eğilimlerini ve davranışlarını kullanır.

Sosyal Mühendislik Saldırılarının Türleri


Kişilerin veya kuruluşların hassas bilgilerine ulaşmak için doğal eğilimlerini kullanmayı hedefleyen sosyal mühendislik saldırılarının en yaygın türleri şu şekilde:

Phishing: Sosyal mühendislik saldırılarının en yaygın çeşididir. Phishing saldırıları, genellikle bir kişinin veya kuruluşun hassas bilgilerine erişmek için sahte e-postalar veya web siteleri kullanır. Altta belirtilen kıstaslar, en çok kullanılan pishing yöntemleridir.

Oltalama Linki İçeren SMS’ler: Güvenilir bir kişi veya kurumu taklit ederek SMS’te yer alan bir bağlantıya tıklanmasını sağlamaya çalışan bir yöntemdir. Bir kargo firmasının iletişim dilini kullanarak kullanıcıya bir kargo geleceğini söyleyen ve kargo takip bağlantısı içeren sahte SMS’ler bu yönteme örnek gösterilebilir.

Sahte Alan Adı (Fake Domain): İnternet reklamlarıyla güvenilir kurumlara ulaşıyormuş gibi bir imaj uyandıran, fakat bazı ufak nüanslar ile bu kurumların adreslerinden farklılaşan sosyal mühendislik saldırılarıdır. Örneğin bir devlet kurumunu taklit ederek karşılıksız ödeme vereceğini belirten web siteleri bulunur. Ancak adres satırına dikkat ettiğiniz zaman tire (-) veya nokta (.) gibi işaretler ile ilgili kurumun adresinden farklılaştığını görebilirsiniz.

Sahte ve Ele Geçirilen Sosyal Medya Hesapları: Çoğunlukla oltalama yöntemleriyle ele geçirilmiş sosyal medya hesaplarının takipçilerine veya arkadaş listesine gönderilen mesajlar ya da art niyetli bağlantılar içeren paylaşımlar yoluyla uygulanan sosyal mühendislik saldırısıdır. Herkes en az bir kez, bir arkadaşının ele geçirilen hesabından “Merhaba! Elimde x marketin x TL’lik alışveriş çeki var! Aklıma sen geldin, telefonun faturalı mıydı?” gibi bir mesaj almıştır…

Arama Motorlarında Yayımlanan Kampanyaları İçeren Linkler: İyi taklit edilmiş art niyetli bir bağlantıyı tespit etmek, algoritmalar için hâlâ yeterince kolay değil. Dolayısıyla arama motorlarında reklam vererek kötü niyetli bağlantıları ön plana taşımak mümkün. Burada dikkat edilmesi gereken noktalar mutlaka adres satırının kontrol edilmesi ve ilgili kurum / kuruluşun resmi sitesine reklama tıklamadan manuel olarak giderek söz konusu kampanyayı bulmaya çalışmaktır.

Telefonda İkna Dolandırıcılığı: En bilinen sosyal mühendislik saldırılarından birisi de telefonda ikna dolandırıcılığıdır. Çoğu zaman polis, hakim veya savcı gibi kamu kimliği ile güven teşkil eden unvanları kullanan dolandırıcılar; telefonda ikna ettikleri mağdurların kredi kartı benzeri özel bilgilerine ulaşabilir ya da telefonlarına herhangi bir ödemenin onay kodunun gelmesini sağlayarak ödemeyi sanki mağdur tarafın rızası varmış gibi gerçekleştirmesine yol açabilir. Ayrıca kısa sürede yüksek kazanç vadeden işlemler için gelen telefon aramaları ve kart ücreti iadesi, kredi masrafı iadesi gibi kaynağı belirsiz aramalar da bu dolandırıcılık kapsamındadır.

Bu türlerin temel özelliği aslında hepsinin birer ikna dolandırıcılığı olmasıdır. Eğer bir ikna dolandırıcılığı ile karşı karşıya kaldığınızdan en ufak bir şüpheniz varsa her şeyi iyice kontrol etmelisiniz. Örneğin çok güvendiğiniz bir akrabanız veya arkadaşınız size sosyal medya hesabından ulaşarak bir kampanya veya hediye çeki teklif ediyorsa kendisini arayıp bu bilgiyi teyit etmelisiniz.

Bir devlet kurumundan size bir bağlantıya tıklamanız, karşılığında da bir teklif alacağınız gibi bir SMS geldiyse de ilgili kurumun resmi sitesine güvenilir bir biçimde giriş yaparak söz konusu içeriği araştırabilirsiniz. Çoğu zaman gönderilen SMS’ler ilgili kurumlara e-Devlet şifrenizle giriş yaptığınız zaman size internet üzerinden de bildirim olarak gönderilir. Eğer gerçek platformda size gönderilmiş bir bildirim yoksa sosyal mühendislik saldırısıyla karşı karşıya kalmış olma ihtimaliniz çok yüksektir. 

Yöntemi ve türü ne olursa olsun siber saldırı çeşidi olan sosyal mühendislik saldırıları; siber suçluların dolandırıcılık, veri toplama, yetkisiz erişim gibi amaçlarla gerçekleştirdiği girişimleridir.

Sosyal Mühendislik Saldırı Örnekleri

En bilinen sosyal mühendislik saldırılarını şöyle örneklendirebiliriz:

• Bir kişi, bankasından geldiğini düşündüğü bir e-posta alır. Bu e-posta, hesabının tehlikede olduğunu ve hemen gönderilen link üzerinden giriş yapması gerektiğini söyler. Ancak link, sahte bir web sitesine yönlendirir ve kullanıcı giriş yaptığında bilgileri dolandırıcıların eline geçer. Phishing (oltalama) yönteminin çalışma mantığı bu şekildedir.

• Phishing yönteminin biraz daha ileri boyutu ise “spear phishing” olarak isimlendirilir. Spear phishing; hedeflenen bir kurum veya kuruluş hakkında bilgi toplayan saldırganların, e-postalarını daha inandırıcı bir şekilde göndermesidir. Örneğin bir işletme müdürünün kullandığı ifadeleri, e-posta imzasını vs. kullanarak finans departmanından bir çalışana sahte bir faturanın ödenmesi için talep gönderilebilir.

• Herhangi bir bankanın adresi, kurumsal logosu ve genel olarak tercih ettiği görsel iletişim dili taklit edilerek hazırlanan bir sosyal medya paylaşımına reklam çıkan art niyetli saldırganlar; sahte alan adı kullanarak kullanıcıların bilgilerini bir forma doldurup ikramiye kazanabileceklerini belirttikleri sosyal mühendislik saldırıları gerçekleştirebilir. Bu tarz saldırılarda ilgili kurumun web site adresine çok yakın bir alan adı alınır. Dolayısıyla web sitesi adresini dikkatli biçimde incelemek gerekir.

• Sosyal medya hesaplarının ele geçirilmesinin ardından bu hesaplardan para fotoğraflarının paylaşılması, “Kazancımı x kişi sayesinde katladım!” gibi metinlerle art niyetli kullanıcıya yönlendirme yapılması da son dönemde en çok karşılaşılan sosyal mühendislik saldırılarından birisidir.

• Telefonla arayan art niyetli kişiler kendilerini emniyet mensubu olarak tanıtıp telefonun diğer ucundaki kişinin bir yakını veya kendisi hakkında herhangi bir suçtan dolayı soruşturma olduğunu söyleyerek ikna dolandırıcılığının ilk adımını atabilir. Genellikle ele geçirdikleri kimlik bilgileriyle karşı tarafı ikna edebilen bu art niyetli kişiler, kredi kartı bilgileri veya nakit para karşılığında bu kişi veya yakını hakkındaki suçlamanın düşürülmesini sağlamayı teklif edebilir. Sık rastlanan bu sosyal mühendislik saldırısının toplumun her kesiminden mağdurları olduğunu hatırlatmakta fayda var.

Sosyal Mühendislik Saldırılarından Nasıl Korunabilirsiniz?

Sosyal mühendislik saldırılarından korunmak için aşağıdaki önlemleri alabilirsiniz:

• Bilinçli Olun: Sosyal mühendislik saldırılarının farkında olmak ve bu tür saldırıların nasıl gerçekleştirildiğini bilmek, bu saldırılara karşı en etkili savunmadır.

• Güvenli İnternet Kullanımına Dikkat Edin: E-postalarınızı kontrol ederken bilinmeyen veya şüphe uyandıran gönderenlerden gelen e-postaları açmamaya dikkat edin. Ayrıca hassas bilgilerinizi talep eden e-postalara veya mesajlara karşı dikkatli olun.

• Güncellemeleri Yapın: Bilgisayarınızın işletim sistemi, tarayıcılar ve diğer yazılımların son güncellemelerini yapmak, bilgisayarınızı zararlı yazılımlara karşı korur.

• Güçlü Şifreler Kullanın: Hesaplarınız için güçlü ve benzersiz şifreler kullanın. Ayrıca mümkünse iki faktörlü kimlik doğrulama kullanın.

• Kişisel Bilgilerinizi Koruyun: Kişisel ve hassas bilgilerinizi sadece güvendiğiniz kişilerle ve platformlarla paylaşın. Bilgilerinizi talep eden kişinin veya web sitesinin güvenilir olduğundan emin olun.

• Eğitim ve Farkındalığa Önem Verin: Sosyal mühendislik saldırılarına karşı en etkili savunma, eğitim ve farkındalıktır. Kendinizi ve çevrenizdeki kişileri bu tür saldırılar hakkında bilgilendirin.

• Erişim İznini Kontrol Edin: Mobil cihazınıza bir uygulama yüklediğiniz zaman bu uygulamanın istediği izinleri kontrol edin. Bilinmeyen bir kaynaktan yüklenen uygulamaların yönetici düzeyinde izin istemesi çok makul bir durum değildir. Dolayısıyla bu tarz geniş ölçekli izinleri onaylamamalısınız. 

• Ortak Bilgisayarlarda İşlem Yapmayın: Üniversite kampüsü, açık ofis gibi mekânlarda özellikle çoklu kullanıma sunulan bilgisayar veya tabletlerden internet bankacılığı gibi işlemlerinizi yapmayın.

• SMS’le ve Sosyal Medya Üzerinden Gelen Tekliflere Dikkat Edin: Çoğu zaman bir hediye senaryosuyla ya da çok ilgi çekici gibi görünen haber bildirimleriyle sizi bir bağlantıya yönlendirmeye çalışan SMS’lerde ve sosyal medya reklamlarında yer alan bağlantılara tıklamayın.

• Telefonla Arayan Kişilere İtibar Etmeyin: Herhangi bir jandarma, emniyet veya yargı mensubu, sizinle hakkınızdaki bir işlem için pazarlık yapmaz. Bu nedenle sizi bu makamlardan aradığını söyleyen kişilere itibar etmeyerek sizi arayan numarayı ilgili birimlere hızlıca iletmenizi öneririz. 

Bu önlemler, sosyal mühendislik saldırılarına karşı korunmanıza yardımcı olabilir. Ancak hiçbir güvenlik önlemi %100 etkili olmayabilir. Bu nedenle her zaman dikkatli olun ve şüpheli durumlarda yetkililere başvurun. Peki, online alışverişler sırasında güvenliğinizi ne kadar önemsiyorsunuz? Online Alışverişte Güvenlik: 3D Secure Nedir?” başlıklı yazımızı okuyarak bilgilerinizi gözden geçirebilirsiniz.

Dijital & TeknolojiChatbot Nedir? Nasıl Kullanılmaktadır?

Yapay zekanın da gelişmesiyle birlikte sorulara yanıt veren bir algoritma haline gelen chatbot nedir sizler için derledik.

29.10.2023
Devamını Oku
Dijital & TeknolojiDeFi Nedir?

Finans dünyasında blockchain teknolojisinin merkeziyetsiz yapısı olan deFI hakkındaki tüm bilgileri sizler için sayfamızda derledik.

26.10.2023
Devamını Oku
Dijital & TeknolojiMachine Learning Ne Anlama Gelmektedir?

Yapay zekaların taklit yeteneğinin en yüksek noktadaki durumu machine learning hakkında tüm bilgilere ulaşmak için hemen tıkla!

24.10.2023
Devamını Oku
Dijital & TeknolojiNFC Nedir?

Cihazlarda bulunan temassız sistemlerden olan NFC hakkındaki her şeyi sizler için derledik. Sen de sayfamızı ziyaret ederek bilgileri edinebilirsin.

24.10.2023
Devamını Oku
Dijital & TeknolojiOnline Alışverişte Güvenlik: 3D Secure Nedir?

E-Ticaretin gelişmesiyle beraber artan online alışverişlerde verilerin güvenliğini sağlamanın yolu olan 3D Secure hakkındaki yazıya ulaşmak için hemen tıkla!

22.10.2023
Devamını Oku
Dijital & TeknolojiSanal Gerçeklik Nedir? Nasıl Kullanılır?

Sanal dünyanın yeni teknolojiyle birlikte tecrübesini artıran sanal gerçeklik nedir öğrenmek için hemen sayfamızı ziyaret edin!

18.10.2023
Devamını Oku
Dijital & TeknolojiWeb 3.0 Nedir? Özellikleri Nelerdir?

Özgürlüğün dijitaldeki baskınlığı sonrası konuşulmaya başlanan terimlerden olan Web 3.0 nedir ve ne anlama gelmektedir sizler için derledik.

17.10.2023
Devamını Oku
Dijital & TeknolojiOnline Alışverişte Kullanılan Sanal Kredi Kartı Nedir?

Alışverişlerinizde online olarak kullanabileceğin sanal kart nedir ve nasıl çalışır öğrenmek için hemen sayfaya tıkla!

16.10.2023
Devamını Oku
Dijital & TeknolojiYeni Nesil Yatırım: NFT Nedir? Nasıl Alınır?

Dijital ortamdaki sanat eserleri olan NFT hakkında her şeyi sizler için derledik. NFT hakkındaki detaylı bilgilere ulaşmak için hemen tıkla!

15.10.2023
Devamını Oku