Sosyal Mühendislik ve Phishing Nedir?

Genellikle phishing (oltalama) saldırıları olarak karşımıza çıkan sosyal mühendislik siber saldırıların ilk erişim aşamasında başvurulan bir saldırı türüdür.

Sosyal mühendislik ya da Social Engineering insanların zafiyetlerinden faydalanarak çeşitli ikna ve kandırma yöntemleri ile psikolojik manipülasyon yaparak genellikle sistemlere, ağlara yetkisiz erişim elde etmek, istenilen bilgileri ele geçirmek veya finansal kazanç sağlamak için kullanılan bir saldırı vektörüdür.

phishing

Siber güvenlikte en zayıf halka insandır

Sosyal mühendisliği özellikle tehlikeli yapan şey, yazılım ve işletim sistemlerindeki güvenlik açıklarından ziyade insan hatasına dayanmasıdır. Sistem ne kadar güvenilir olursa olsun, en ufak bir insan hatası tüm güvenliğin aşılması ve istismar edilmesi için saldırganlara fırsat tanımaktadır.

 

Sosyal Mühendislik (Phishing) Saldırılarının Özellikleri

Sosyal mühendislik saldırıları, saldırganın ikna ve güven sağlamasına dayanmaktadır. Çoğu saldırı sırasında, saldırganlar yükseltilmiş duygu manipülasyonları kullanarak insanları yanlış yönlendirmekte ve bu şekilde üstünlük sağlamaktadır. Bu duygular korku, heyecan, suç ve üzüntü halleridir.

oltalama

 

Sosyal Mühendislik Saldırı Teknikleri

Sosyal mühendislik saldırıları birçok farklı biçimde yapılmaktadır ve insan etkileşiminin söz konusu olduğu her yerde gerçekleştirilebilmektedir. Yaygın olarak kullanılan saldırı teknikleri aşağıda almaktadır:

  • Kimlik Avı / Oltalama Saldırıları (Phishing)
  • Yem Saldırıları (Baiting)
  • Fiziksel İhlal Saldırıları
  • Bahane Saldırıları (Pretexting)
  • Scareware Saldırıları 

Kimlik Avı / Oltalama Saldırıları (Phishing): En popüler sosyal mühendislik saldırı türlerinden biri olan kimlik avı dolandırıcılıkları, kurbanlarda aciliyet, merak veya korku duygusu yaratmayı amaçlayan e-posta ve kısa mesaj kampanyalarıdır. Kurbanları hassas bilgileri kötü amaçlı web sitelerinin bağlantılarına tıklamaya veya kötü amaçlı yazılım içeren ekleri açmaya teşvik etmektedir. Bu saldırı türü kendi içerisinde ikiye ayrılmaktadır. 

Spam Phishing: Bu saldırılar kişiselleştirilmemiştir ve şüphelenmeyen herhangi bir kişiyi yakalamaya çalışan toplu bir saldırı yöntemidir. 

Spear Phishing: Belirli kullanıcıları hedeflemek için kişiselleştirilmiş bilgiler kullanılmaktadır.

Yem Saldırıları (Baiting): Kurbanın açgözlülüğünü veya merakını kışkırtmak için onların ilgisini çekecek şekilde tuzağa düşürmektedir. Örneğin zararlı yazılım yüklü bir usb belleği kurbanın gözüne çarpan bir yere bırakarak onu kullanmasını sağlamak. 

Fiziksel İhlal Saldırıları: Saldırganların ortaya çıkıp, yetkisiz alanlara veya bilgilere erişim sağlamak için meşru biri gibi görünmesidir.

Bahane Saldırıları (Pretexting): Saldırgan, zekice hazırlanmış yalanlar ile bilgi edinir. Saldırgan genellikle iş arkadaşlarını, polisi, bankayı veya bilgi edinme yetkisine sahip diğer kişileri taklit ederek kurbanıyla güven tesis ederek başlar. 

Scareware Saldırıları: Kullanıcılar, sistemlerine kötü amaçlı yazılım bulaştığını düşünerek aldatılır ve onlardan gerçek bir kötü amaçlı yazılımı yüklemelerini ister. Scareware ayrıca aldatma yazılımı, haydut tarayıcı yazılımı ve dolandırıcılık yazılımı olarak da adlandırılır. 

sosyal mühendislikten korunma

Sosyal Mühendislik Saldırılarından Nasıl Korunulur?

Sosyal mühendislik saldırılarından korunmak için dikkat edilmesi, uygulanması gereken bazı noktalar vardır bunlar;

URL Kontrolü Yapmak: Mail, sosyal medya vs. platformlardan gelen url adreslerini tıklamadan önce kontrol etmek.

Şifreleri Paylaşmamak: Hiçbir kurum şifrenizi sormak için sizinle iletişime geçmez. Böyle bir talep varsa saldırı olasılığı çok yüksektir. 

Kişisel Bilgileri Paylaşmamak: Saldırganlar hakkınızda ne kadar çok bilgiye sahip olursa saldırı tekniklerini o kadar güçlendirebilmektedir. Kendinizle ilgili basit gördüğünüz paylaşımlarınız, saldırganlar için bir araya getirildiğinde değerli bilgilere dönüşebilmektedir.

İletişim Kuran Kişileri Sorgulamak: Kurumlardan arayan kişi hakkında herhangi bir şüphe varsa arayan kişinin/kurumun doğruluğunu tespit etmek.

Bilgi Güvenliğ Eğitimleri Almak: Kurum çalışanları periyodik olarak bilgi güvenliği eğitimleri almalıdır. Siber güvenlikte en zayıf halka olan insan unsuru bu konuda bilinçlendirilmelidir.