17.03.2021
Sosyal Mühendislik Nedir?
Sosyal mühendislik ya da orijinal haliyle “social engineering”, geniş anlamıyla, davranışsal psikolojiyle bağlantılı herhangi bir tür manipülasyon sosyal mühendislik olarak kabul edilebilir. Fakat, kavram her zaman suça ya da sahteciliğe yönelik eylemleri içermez. Aslında sosyal mühendislik; sosyal bilimler, psikoloji ya da pazarlama alanları gibi geniş bir alanda kullanılmakta ve çalışılmaktadır.
Konu siber güvenlik olunca sosyal mühendislik, teknik olarak ulaşılması mümkün olmayan sistemlere erişmek için kullanılır ve kişileri daha sonra kendilerine ya da şirketlerine karşı kullanılabilecek kişisel ya da gizli bilgilerini vermek gibi yanlış hareketler yapmaya yönlendiren kötü niyetli eylemler olarak tanımlanır. Burada öncelikli olarak kullanıcılar hakkında detaylı şekilde bilgi toplanır ve birçok özellik araştırılır. Sonrasında ise bu toplanan bilgiler güvenlik duvarlarını aşmak için kullanılır.
Sosyal Mühendislerde bulunması gereken özellikler aşağıdaki gibidir :
1- İkna etme yetenekleri gelişmiştir.
2- Etkileme özelliği yüksektir.
3- Aldatmaktan çekinmezler her yolu mübah görürler
4- Bilgili ve donanımlı olduğunu karşı tarafa gösterme
5- Senaryo üretme yetileri oldukça fazladır.
Sosyal mühendislikte telefon ya da internet üzerinden kişilere ulaşım sağlanabilir.
Oltalama (phishing)
Phishing, İngilizce bir kavramdır ve Türkçedeki karşılığı oltalamadır.
Bilgi toplamak için kullanılan phishing saldırılarında kullanıcılar çoğunlukla sahte ve virüslü bir e-posta ile tuzağa düşürülür. Saldırıyı yapan, ulaştığı kullanıcının bilgilerini bu e-posta üzerinden kopyalayabilir ve bankaların ya da ulaşmayı hedeflediği firmaların sistemine bu bilgiler aracılığıyla giriş sağlayabilir.
Korkutma Amaçlı Yazılımlar (scareware)
Kullanıcıları genellikle, meşru gözüken ama aslında dolandırma amaçlı bir yazılım yüklemeye ya da sistemlerine virüs bulaştıracak bir web sitesine giriş yapmaya yönlendirecek sahte alarmlar yaratırlar. Mesaj genellikle şunu söyler: “Sisteminize virüs bulaştı, temizlemek için buraya tıklayın”
Yemleme (baiting)
Yemleme, dikkatsiz kullanıcılar için sorun yaratan başka bir sosyal mühendislik yöntemidir. Kullanıcıların açgözlülüklerine ya da meraklarına hitap eder. Dolandırıcılar, müzik dosyası, video ya da kitap gibi bir şeyi bedava sunduğunu iddia eden bir web sitesi yaratırlar. Fakat bu dosyalara ulaşmak için, kullanıcıların bir hesap oluşturması ve kişisel bilgilerini paylaşması gerekir.
Bazen de USB ya da harici belleklerin kullanımıyla görülebilir. Dolandırıcılar enfekte olmuş cihazları özellikle halka açık bir yerde bırakarak, meraklı bir kişinin içeriğini kontrol etmek için bunu kullanmasıyla, bu kişinin kişisel bilgisayarını enfekte edebilirler.
Sosyal mühendislik saldırılarından nasıl korunabilirsiniz?
Bilgisayarlarınıza ya da mobil cihazlarınıza gönderilen her linke tıklamayın. Linkin güvenli bir yerden veya kişiden geldiğine emin olmalısınız. Ayrıca linkin http değil de https bağlantılı olması gerektiğini unutmayın.
Dikkatli olun. Linkler çoğunlukla asıl linke benzeyecek şekilde tasarlanırlar. Ufak bir iki farklılık olması muhtemeldir, dikkatle inceleyin.
Özel bilgilerinizi verirken seçici davranın. Zorunda değilseniz, bilgilerinizi paylaşmayın. Karşıdaki kişinin bilgilerinizi aleyhinize kullanıp kullanmayacağını bilemezsiniz.
Yapılabilecek en küçük hata bile size çok büyük felaketlere dönüş yapabilir. Farkındalığınızı arttırmalı ve çevrenizdeki insanları da bu konuda bilgilendirmelisiniz.
Bir yönetici iseniz kurumunuza gelen her çalışanın siber güvenlik, sosyal mühendislik ve bilgi güvenliği konusunda bilgilendirilmesini, bu konularda eğitilmelerini sağlamalısınız.