Sosyal Mühendislik Kullanıcı Farkındalık Eğitimi
Sosyal mühendislik saldırıları nedir?
Sosyal mühendislik saldırıları, siber suçlular tarafından bilgi toplama, dolandırıcılık veya yetkisiz erişim gibi amaçlar için insanların eğilimlerini, duygularını ve davranışlarını istismar etmek üzere düzenlenir.
‘’Çantamı kaybettim, şu an tanımadığım birinin cep telefonundan yazıyorum, bana kredi kartı numaranı verir misin? Hemen bir taksiye binip eve geleceğim.’’
Son günlerde gerçekleşen dolandırıcılık olaylarının çoğunda bu ve buna benzer ‘yardım çağrısı’ mesajlarına çok sık rastlamaktayız. Dolandırmak istedikleri kişi veya kişilerin sosyal ağ hesaplarını ele geçiren ve bu ağlar aracılığıyla o kişinin yakınlarına acil durum mesajları atan hacker’ların yeni yöntemi, insanları panik yaptırmak ve iyi niyetlerini suistimal etmek. Bu tür dolandırıcılık yöntemlerine günümüzde sosyal mühendislik saldırıları denmektedir.
Saldırganlar neyi hedefliyor?
Bireysel hedeflere yapılan saldırılar genelde kredi kartı hırsızlığı gibi sadece para odaklı dolandırıcılıkları kapsıyor. Ancak şirketlere yapılan saldırılarda şirketlerin gizli bilgileri, kurumun itibarına zarar verecek mesleki detaylar elde edilebiliyor. Saldırganlar ele geçirmek istedikleri şirketin gizli bilgilerine erişimi olan bir personelle temasa geçiyor, o kişiyle sahte arkadaşlık kurarak bir güven oluşturmaya çalışıyor. Bu arkadaşlıklar genelde sahte sosyal ağ profillerinden oluşuyor ve kurbanın iş dışı ilişkilerinin suistimali üzerinden gerçekleşiyor.
Sosyal mühendis saldırganlarının ortak özelliklerini şöyle sıralayabiliriz:
- Yardımsever görünmektedir.
- Telefonları ve interneti çok iyi kullanmaktadırlar.
- Güzel giyinimli ve güzel konuşan kişilerdir.
- Güven kazanma peşindedirler.
- Kişilerin korku, ahlaki zorunluluk, açgözlülük, şehvet, suçluluk duygusu gibi zayıf özelliklerini istismar etmeyi hedeflerler.
- İkna yeteneği yüksek olan kişilerdir.
- Etkileyici, kibar ve sevecen bir tavır sergilerler.
- Basit soruların içine asıl bilmek istedikleri kilit soruları sıkıştırırlar.
- Suçluluk hissettirme ve acındırma en çok kullandıkları yöntemlerdendir.
En çok kullanılan sosyal mühendislik saldırıları nelerdir?
Günümüzde sosyal mühendislik saldırılarının büyük bir çoğunluğu kişilerle doğrudan iletişime geçilerek yapılıyor. Fakat trojan, virüs, solucan, oltalama gibi sadece yazılımlar aracılığıyla yapılan saldırılar da var.
- Omuz sörfü - Shoulder surfing: Klavye ile bilgi giren bir kişinin şifresini ya da diğer bilgilerini çalmak için gözetlemek.
- Çöp dalışı - Dumpster Diving: Bilgiler bulmak amacıyla hedeflenen kişinin çöp kutularını karıştırmak.
- Kimlik hırsızlığı - İdentity Theft: Başkasına ait bilgilerin saldırgan tarafından kullanılması ve bu sahte kimlikle dolandırıcılık yapılması.
- Oltalama (Phishing): Amaçlanan bilgileri ele geçirmek için hedefe, sahte e-posta, SMS veya bağlantı linki gönderilmesi. Genelde bu link, bir banka veya resmi bir kurumdan geliyormuş gibi tasarlanır ve hedeften bilgilerin doldurulması talep edilir.
- Telefon oltalaması - Vishing: Voice ve phishing kelimelerinden türetilen bu dolandırıcılık kavramı, hedefe gönderilen sahte e-postada, bir telefon numarası yönlendirmesi yer alır. Hedefin bu numarayı arayarak bilgilerini güncellemesi talep edilir.
- Kimliğe bürünme - İmpersonation: Saldırganın bir çalışan veya yetkili kişi gibi davranarak bilgi çalmasıdır.
- Yardım masası - Help desk: Hedef kişiyi teknik yardım etmek amaçlı aramak, verilen yönlendirmelerle onun bilgisayarında işlem yapmaktır.
- Üçüncü taraf - Third-party Authorization: Saldırganın, hedeflenen kişinin bilgisayarına erişim sağlamak için yetkili birinden izin aldığını söylemesidir. Bu saldırı yöntemi genelde yetkili kişiyle erişim kurulmanın imkansız olduğu zamanlarda yapılır.
Sosyal mühendislik saldırılarından nasıl korunulabilir?
Öncelikle bu saldırıların her zaman olabileceğinin farkında olmak ve özellikle üçüncü şahıslara, birden ortaya çıkan ‘yardımseverlere’ güvenmemek, en temel yöntemlerdendir. Yine de sosyal mühendislik saldırılarına karşı tetikte olmanın son derece zor olduğunu unutmayın. Çünkü otoriteye saygı, sevdiklerimize yardım etme güdüsü hemen hepimizde vardır ve bu saldırıların özellikle bu güdülere odaklandığını aklımızdan çıkarmamalıyız.
Kendinize şunları sormanız gerekmektedir:
Bu tarz sahteciliklere inanmamak için durumunuzu sorgulamalısınız. Örneğin ailenizden biri gerçekten yolda kalmış olsaydı, size mesaj atar mıydı? Herhangi bir kurumdan hediye kazansaydınız, sadece bir SMS ile bilgilendirilir miydiniz? Bankanızın sizin hesap bilgilerinizi size neden sorsun, bu bilgileri bilmesi gerekmiyor mu? Birkaç saniye düşünerek ve benzeri sorulara cevap arayarak, olayın gerçekliğini test edebilirsiniz.
Kaynak kontrolü:
Masanızda daha önce görmediğiniz bir eşya mı gördünüz? İş vereninizden daha önce almadığınız tarzda, tüm bilgilerinizi isteyen bir mail mi aldınız? Ne olursa olsun, kaynağı kontrol etmelisiniz. Bilgisayarınıza daha önce kullanmadığınız şüpheli donanımları takmayın, size ulaşan şüpheli hiçbir bağlantıya tıklamayın. Eğer gelen mail adresini tanımıyorsanız, aynı gönderenden daha önce mail alıp almadığınızı kontrol edin. Üzerine tıklamadan farenin imlecini şüpheli linke getirin ve nereye yönlendirdiğini kontrol edin.
Kaynağın güvenilirliğini kontrol etmek için farklı iletişim kanalları kullanın:
Sosyal mühendislik saldırıları genelde insanların aciliyet duygusundan yararlanır. Saldırganlar hedeflerinin panik halinde çok düşünemeyeceklerini öngörürler. Bu tip şüpheli aramalarda veya durumlarda, kendinize zaman tanıyın, bir süre bekleyin ve saldırganın şaşırmasını sağlayın. Hemen bilgi vermek veya yönlendirilen bağlantıya tıklamak yerine, ilgili yeri internette araştırın, resmi numaraya ulaşın.
Kimlik bilgilerini sorgulayın:
En sık rastlanılan dolandırıcılık yöntemlerinden biri, elinde dosya ya da eşya taşıyormuş gibi görünen insanların, kolayca yetkisiz alanlara girebilmesidir. Elleri dolu olan bu insanlara yardım amaçlı kapı açmak ve hatta bu sırada kimlik sormamak oldukça sık yapılan bir güvenlik zaafıdır. Çünkü bu şekilde saldırganlar istedikleri bölgere rahatça ulaşırlar. Bu yüzden mutlaka üçüncü şahıslara kimlik sormalı, ne amaçla geldiklerini ve kimden talimat aldıklarını söylemelerini istemelisiniz. Aynı şekilde, sizden telefonla ya da e-posta ile bilgi isteyenlere, bu bilgiyi kime ya da hangi kuruma rapor edeceklerini sorun. Bir cevap verirlerse, o kişiyi veya kurumu araştırın, gerekirse iletişime geçin.
Spam filtresi kullanın:
Kullandığınız e-posta hizmeti spam'ı yeterince iyi filtrelemiyor olabilir. Şüpheli görünmeyen e-postalar doğrudan gelen kutunuza gider. Spam filtresi, şüpheli dosyaları ve bağlantıları tanımlamanıza, IP adreslerini kara listeye almanıza ve hangilerinin sahte olduğunu görmek için gelen e-postaların içeriğini kontrol etmenize olanak tanır.
Cihazlarınızın güvenliğini artırın:
Akıllı cihazlar ve bilgisayarlarda güvenlik önlemleri uygulayarak, saldırıları önemli bir hasara yol açmadan tespit edebilirsiniz. Antivirüs yazılımınızı güncel tutun. Akıllı telefonlarınızı rootlamayın, aksi takdirde telefonlar dış saldırılara karşı daha savunmasız olacaktır.
Farklı sosyal medya hesapları için aynı şifreyi kullanmayın. İki adımlı doğrulama ile önemli hesaplarınıza giriş yapın. Dijital okuryazarlık dersindeki makaleleri takip ederek güncel siber saldırı yöntemlerinden haberdar olun.
Bilgi, çağımızın en büyük maddi değerlerinden biridir. Birçok kişi, mülklerinin çalındığını hemen fark etse de, kişisel bilgilerinin çalındığının farkına varamayabilir. Kişisel verilerin her saniye işlendiği bu dijital çağda savunmasız kalmamak için alınabilecek en büyük önlem saldırılara karşı uyanık olmaktır. Çünkü en güçlü güvenlik sistemine sahip bir bilgisayar bile onu kullanan kişilerin bilinçsizliği karşısında etkinliğini kaybeder.