Sosyal Mühendislik Nedir?
Sosyal mühendislik, hedeflenen bir kurbanı hassas bilgi ve verilerini vermesi için psikolojik olarak manipüle etmeyi amaçlayan siber suçlular tarafından gerçekleştirilen bir dizi kötü niyetli faaliyettir.
Sosyal mühendislik özellikle ağ sistemlerinde, yazılımlarda ve işletim sistemlerindeki güvenlik açıklarından ziyade insan hatasına dayanır. Meşru kullanıcılar tarafından yapılan hatalar daha az tahmin edilebilir olduğundan, bunları tespit etmek, kötü amaçlı yazılım tabanlı izinsiz girişleri tespit etmekten daha zordur. Genel olarak, sosyal mühendislik saldırılarının temel olarak iki ana amacı vardır:
Sabotaj: İşi kesintiye uğratarak veya verileri bozarak zarara veya rahatsızlığa neden olur.
Siber Hırsızlık: Hassas ve kritik bilgiler veya para gibi değerli eşyalara erişim kazanır.
Sosyal mühendislik saldırıları, genellikle bilgisayar korsanları ve kurbanlar arasında iyi kurulmuş bir iletişim olduğunda ortaya çıkar. Bilgisayar korsanları, kullanıcının verilerini ihlal etmek için açıkça bir kaba kuvvet saldırısı kullanmak yerine kullanıcıyı hassas bilgileri tehlikeye atmaya yönlendirir ve motive eder. Sosyal mühendislik saldırısı yaşam döngüsü, suçlulara kurbanı kolayca aldatabilecek güvenilir bir süreç sağlar. Sosyal mühendislik yaşam döngüsünde yer alan adımlar aşağıdakileri içerir:
1. Hedef Araştırması
Bir saldırıya hazırlık, bilgisayar korsanının önceden planlamasını gerektirir. Araştırma süresi boyunca, hedefin adı, kişisel ayrıntıları ve arka plan bilgileri belirlenir. Bu bilgilere dayanarak, saldırı yöntemleri/kanalları seçilir.
2. Hedefi İnandırma
Bu adımda, bilgisayar korsanı ilk adımda toplanan bilgilere dayanarak, hedef kurbanı inandırıcı olacak uydurma bir hikayeyle meşgul eder. Burada bilgisayar korsanının amacı, kurbanın güvenini kazanmaktır.
3. Saldırı
Hedef, gerekli güveni elde ettikten sonra asıl amaç olan bilgiyi çıkarmaya yönelir. Bilgisayar korsanı, amacına göre bilgiyi kullanır veya satar.
4. Çıkış
Saldırının hedefi tamamlandığında, etkileşim penceresi bilgisayar korsanı tarafından tipik olarak herhangi bir tespit veya şüpheden kaçınmak amacıyla kapatılır. Bilgisayar korsanı daha sonra izlerini kapatmaya ve elinden gelenin en iyisini yapmaya çalışır.
Telefon ve e-posta kimlik avı tekniklerinin bir kombinasyonu kullanılarak bir saldırı gerçekleştirilebilir ve kurbanı hassas (banka/sosyal güvenlik oturum açma) bilgilerini vermeye ikna edebilir.
Sosyal Mühendislik Saldırılarının Ortak Özellikleri Nelerdir?
Sosyal mühendislik saldırıları, saldırganın ikna veya güven gibi psikolojik hileler kullanması etrafında döner. Kullanıcı bu taktiklere maruz kaldığında, sessiz kalmaktan ziyade harekete geçme olasılığı daha yüksektir. Çoğu saldırıda, bilgisayar korsanları aşağıda listelenen bir dizi psikolojik manipülasyon tekniğini kullanarak kullanıcıları yanlış yönlendirir:
1. Duygusal manipülasyon
Duygusal manipülasyon, bilgisayar korsanlarına kurbanlarla her türlü etkileşimde üstünlük sağlar. Bu gibi durumlarda, mağdurlar duygusal bir durumdayken, mantıksız veya riskli eylemlerde bulunmaya daha yatkındır. Hedef kurbanları ikna etmek için öfke, merak, heyecan, korku, suçluluk ve üzüntü gibi duygular genellikle eşit ölçülerde kullanılır.
2. Anında eylem
Bilgisayar korsanları, kullanıcıları kandırmak için zamana duyarlı fırsat veya istekleri kullanma eğilimindedir. Kullanıcılar, acil müdahale gerektiren ciddi bir sorun kisvesi altında hassas bilgileri veya kritik kaynakları tehlikeye atmaya motive olabilir. Bazı senaryolarda, kullanıcılar hemen harekete geçmedikleri takdirde ortadan kalkabilecek bir ödül biçimine maruz kalabilir. Bu yaklaşımların her ikisi de mağdurun eleştirel düşünme veya mantıksal akıl yürütme yeteneğini geçersiz kılma eğilimindedir.
3. Güven
Sosyal mühendislik saldırıları, güvenle gelişir. Bilgisayar korsanı, kullanıcıya yalan söylediğinin farkında olduğundan, güven ve inanç bu tür saldırılarda çok önemli bir rol oynar. Saldırganlar, şüphe uyandırmayacak tanımlanmış bir anlatı oluşturmak için hedef kurban üzerinde önemli araştırmalar yürütür.
4. Basit yöntemler
Bu ortak özelliklerin bazı istisnaları, saldırganların ağ veya sistem erişimi elde etmek için kullandıkları basit yöntemleri içerir. Örneğin, büyük bir organizasyon binasının ortak yemek katındaki bir bilgisayar korsanı, tablet veya dizüstü bilgisayarlarında çalışan kullanıcıların yaptığı işlemleri gözetleyebilir ve bir e-posta göndermeden veya bir satır virüs kodu yazmadan hassas bilgilerine erişmeye çalışabilir.
Sosyal Mühendislik Türleri
Sosyal mühendislik saldırıları iki ana kategoride sınıflandırılabilir:
1. Teknoloji tabanlı saldırılar
Teknoloji tabanlı bir yaklaşım, kullanıcıyı “gerçek” bir bilgisayar sistemiyle etkileşime girdiğine inandırır ve onu gizli bilgileri sağlamaya ikna eder. Örneğin, kullanıcı bilgisayar uygulamasında bir sorun olduğunu ve hemen düzeltilmesi gerektiğini bildiren bir açılır pencere gördüğünde, kullanıcıya devam etmesi için bir bilgisayar uygulamasını yeniden doğrulaması söylenir. Kullanıcı yeniden kimlik doğrulama işlemine devam ederek kullanıcı kimliğini ve parolasını açılır pencerede tekrar girer. Kimlik doğrulama için gerekli kimlik bilgilerini girdikten sonra açılır pencereyi oluşturan bilgisayar korsanı artık kullanıcının kimliğine, parolasına erişebilir ve bu adımdan sonra ağlarına ve bilgisayar sistemlerine erişebilir.
2. İnsan etkileşimine dayalı saldırılar
İnsan etkileşimine dayalı bir yaklaşımda, sisteme veya ağa saldırmak için kurbanın farkında olmamasından yararlanılır. Bu genellikle saldırganın, gerçek kimliğini gizlerken kurbanın zaten bildiği bir kişi veya otorite gibi davranmasıyla gerçekleştirilir.
3. Hibrit saldırılar
Hibrit saldırılar, bilgisayar korsanının sosyal mühendislik saldırısını gerçekleştirmek için hem teknolojiyi hem de insan etkileşimlerini platform olarak kullandığı siber saldırıların en yaygın biçimidir. Örneğin, kurumsal bir sosyal mühendislik saldırganı, yardım masasına yaptığı bir çağrıda, bir işletme içinde çok yüksek yetkiye sahip bir kişi gibi davranır, parolayı unuttuğunu ve hemen sıfırlaması gerektiğini söyler. Buna karşılık, çalışan şifreyi sıfırlar ve yeni ayarlanan şifreyi e-posta ile göndermek yerine aramanın diğer ucunda bekleyen kişiye verir. Bir e-posta’ya erişimi olan bilgisayar korsanı, artık diğer çalışanlara daha fazla hassas bilgi vermeye zorlamak için sahte e-posta’lar gönderir. Yukarıdaki örnekte, saldırgan, insan etkileşimine dayalı bir sosyal mühendislik tekniğini kullanarak bir teknoloji portalının (e-posta) kontrolünü ele geçirdi ve ardından daha fazla sosyal mühendislik saldırısı gerçekleştirmek için teknoloji tabanlı platformu kullandı.
Sosyal Mühendislik Saldırıları Nasıl Önlenir?
Sosyal mühendislik saldırılarını önlemek için kullanacağınız bazı yöntemleri aşağıda bulabilirsiniz:
1. Güvenli iletişim ve hesap yönetimi alışkanlıkları
Bir birey, yalnızca çevrimiçi iletişim veya etkileşime maruz kaldığında dış tehditlere karşı savunmasızdır. Bu tür etkileşimler, sosyal medya, e-posta, metin mesajları ve yüz yüze etkileşimleri içerir.
Aşağıdaki en iyi uygulamalar, sosyal mühendislik saldırılarına karşı bir güvenlik duvarı görevi görebilir:
a) E-posta’lardaki veya mesajlardaki bağlantılara tıklamayın
Gönderenden bağımsız olarak her zaman adres çubuğuna manuel olarak bir URL yazın. Sizin tarafınızdan resmi olarak doğrulanmayan veya meşru olmayan hiçbir URL ile etkileşimde bulunmayın. Ayrıca, şüpheli kaynaklardan gelen ekleri açmayın.
b) Çok faktörlü kimlik doğrulamayı kullanın
Çok faktörlü kimlik doğrulama, oturum açma sırasında kullanıcının kimliğini doğrulamak için ek katmanlar ekler. Bu tür faktörler, parmak izi veya yüz tanıma gibi kullanıcı biyometrik verilerini veya kısa mesaj yoluyla gönderilen OTP şifrelerini içerebilir.
c) Güçlü parolalar kullanın
Her kullanıcının şifresi benzersiz ve karmaşık olmalıdır, bu da şifrenin tahmin edilmesinin zor olması gerektiği anlamına gelir. Bu yüzden şifrelerinizde büyük harf, küçük harf, sayı ve sembol gibi çeşitli karakter türlerini kullanmayı deneyin.
d) Kişisel bilgileri paylaşmaktan kaçının
Herhangi bir şeyle veya herhangi biriyle etkileşim kurarken bilmeden güvenlik sorularının yanıtlarını veya parolanın bazı bölümlerini açığa vurmayın. Unutulmaz ancak yanlış olan güvenlik soruları oluşturmayı deneyin. Bunu yaparak, bir suçlunun hedef hesabı kırmasını zorlaştırabilirsiniz.
e) Dikkatli çevrimiçi arkadaşlıklar kurun
İnternet, dünya çapındaki insanlarla bağlantı kurmak için harika bir yol olsa da, aynı zamanda sosyal mühendislik saldırılarının gelişmesi için ortak bir platformdur. Bu nedenle, psikolojik manipülasyon veya güvenin açık bir şekilde kötüye kullanıldığını hissettiğiniz kişilere dikkat edin.
2. Güvenli ağ kullanım alışkanlıkları
Güvenlik açığı, güvenliği ihlal edilmiş çevrimiçi ağlarda maksimum düzeyde kullanılabilir. Bu nedenle, sosyal mühendislik saldırıları sırasında kullanıcıların verilerinin kurcalanmasını ve kötüye kullanılmasını önlemek için kullanıcının bağlı olduğu herhangi bir ağ için koruyucu önlemler alması gerekir.
a) Yabancıların birincil Wi-Fi ağınıza bağlanmasına izin vermeyin
Evdeki veya işyerindeki yabancıların, misafir Wi-Fi bağlantısı üzerinden Wi-Fi erişimine izin verin. Böyle bir düzenleme, ana şifreli, parola korumalı bağlantının güvenli ve müdahalesiz kalmasını sağlar.
b) Bir VPN kullanın
Ana kablosuz ağdaki (kablolu veya hücresel) birinin trafiği engellemenin bir yolunu bulduğu senaryolarda, sanal bir özel ağ (VPN) bu tür davetsiz misafirleri dışarıda tutabilir. VPN’ler, kullanıcıların internet bağlantılarını şifreli bir “tünel” üzerinden gizli tutmalarına olanak tanıyan hizmetler sunar. Bağlantı, üçüncü şahıs davetsiz misafirlere ve gizlice dinlemelere karşı korunur. Kullanıcıların verileri, çerezler veya başka yollarla izlenemeyecek şekilde anonimleştirilir.
c) Ağa bağlı cihazların ve hizmetlerin güvenliği
Ağa bağlı cihazların, akıllı cihazların ve bu cihazlarla ilişkili bulut hizmetlerinin güvenliğinin sağlanması önemlidir. Bu yüzden ev ağı yönlendiricileri veya araba bilgi-eğlence sistemleri, ev sinemaları vb. gibi genel olarak gözden kaçan cihazları koruyun. Tüm bu cihazlarda veri ihlalleri, potansiyel bir sosyal mühendislik dolandırıcılığı için kişiselleştirmeyi tetikleyebilir.
3. Güvenli cihaz kullanım alışkanlıkları
Cihazları güvende tutmak, dijital davranışları yönetmek kadar önemlidir. Cep telefonları, tabletler ve diğer bilgi işlem cihazları aşağıdaki ipuçları izlenerek korunabilir:
a) Kapsamlı internet güvenlik yazılımı
Sosyal saldırıların başarılı olduğu senaryolarda, kötü amaçlı yazılım bulaşmaları genel bir sonuçtur. Rootkit’ler, Truva atları ve diğer gömülü botlarla savaşmak için bulaşıcı izinsiz girişleri ortadan kaldırmak ve kaynaklarını takip etmek için gelişmiş bir internet güvenlik çözümü kullanmak önemlidir.
b) Cihazları halka açık yerlerde emniyetsiz bırakmayın
Bir işyerinde veya herhangi bir kamuya açık ortamda bir kullanıcı için en iyi uygulama, hiç kimsenin bu cihazlara erişmemesi için bilgisayarı ve mobil cihazları her zaman kilitlemektir. Ayrıca havaalanları, kafeler veya ticari pazarlar gibi halka açık yerlerde bu cihazları her zaman elinizde bulundurmanız gerekir.
c) Tüm yazılımlarınızı güncel tutun
Yama güncellemeleri, yazılıma temel güvenlik düzeltmeleri sağlar. Güncellemeler ertelendikçe veya atlandıkça, yazılım farkında olmadan saldırganların hedef alması için güvenlik açıkları ortaya çıkarır. Suçlular genellikle çoğu bilgisayarın ve mobil kullanıcının özelliklerinin farkında olduğundan, sosyal olarak tasarlanmış kötü amaçlı yazılım saldırıları için savunmasız bir hedef haline gelirsiniz.
d) Çevrimiçi hesaplarınızın bilinen veri ihlallerini kontrol edin
E-posta adresleri gibi çevrimiçi hesaplarınız için yeni ve mevcut veri ihlallerini aktif olarak izleyin. Kullanıcının çevrimiçi hesap verilerinin güvenliği ihlal edildiğinde bildirim sağlayan güvenlik bulut hizmetlerini kullanın.
4. Güvenlik bilinci eğitimi
Sosyal mühendislik, psikolojik davranışları manipüle ederek saldırıları belirler. Bir kimlik avı e-postası düşünün; burada alıcılar, e-posta’nın içindeki gömülü bir bağlantıya tıklamaya veya kötü amaçlı bir dosya indirmeye teşvik edilir. Siber suçlular, e-posta’yı gizlemek için güven ve aciliyet duygusu gibi özellikleri kullanarak e-posta’ların gerçek bir varlık gibi görünmesini sağlar. Bu nedenle, tüm iş gücünün siber suçlular tarafından izlenen çeşitli hileleri anlamasını sağlamak, sosyal mühendisliğe karşı en iyi savunma olabilir. Sosyal mühendislik koruması, bireyleri eğiterek doğru türde farkındalık yaratmakla başlar. Tüm kullanıcılar bu tür sosyal saldırılar konusunda zaman zaman eğitilir ve uyarılırsa, güvenliği artırılabilir.
5. Düzenli siber güvenlik durum değerlendirmeleri
Siber suçlular, her saldırıda bir ortama saldırmak için kullandıkları sosyal mühendislik tekniklerini güncelleme ve değiştirme eğilimindedir. Bu nedenle, kapsamlı bir siber güvenlik yol haritası geliştirerek işletmelerin siber güvenlik savunmalarını güçlendirmeleri gerekir. Siber güvenlik durum değerlendirmesi, güvenlik açısından mevcut konumlarını, şu anda eksik olan bileşenleri ve siber güvenlik olgunluk düzeylerini artırmak için yapılması gerekenleri belirlemek isteyen işletmeler için avantajlı bir ilk adımı temsil eder.
6. 7/24 izleme uygulaması
Güvenlik ekibi, 7/24 izleme sağlayan hizmetleri test ederek ve doğrulayarak geliştirilebilir. İşletmeler, yönetmeliklere uymak, ortamlarını siber saldırılara veya veri ihlallerine karşı güvenceye almak veya operasyonel çalışma süresini yukarı doğru garanti etmek istiyorlarsa, ortamlarını 7 gün 24 saat etkin bir şekilde izlemenin bir yolunu bulmalıdır. İzleme, ağdaki sorunları gerçek zamanlı olarak tespit etmeye yardımcı olabilecek araçların kullanılmasını içerir. Bu tür araçlar, davranışsal analiz gerçekleştirme teknikleri ve anormallikleri tespit etmeye yardımcı olabilecek bazı akıllı araçları içerebilir. İzleme, yazılımın her zaman güncel tutulmasını ve sunucuların yanlış yapılandırmalarının gerektiği gibi ele alınmasını sağlayarak sistemin genel güvenliğini artırır.
Özetle, sosyal mühendislik, saldırganların özel bilgiler, erişim veya değerli eşyalar elde etmek için insan hatalarından yararlandığı bir manipülasyon tekniğini ifşa eder. Bu tür saldırılar, çevrimiçi platformdaki etkileşimler veya yüz yüze etkileşimler sırasında meydana gelir. Bir sosyal mühendislik saldırısında, saldırgan teknik, ağ veya güvenlik uzmanı olmadan kurbanın bilgilerine erişir. Saldırgan, sisteme girmek veya kurbanın bilgisi olmadan kritik bilgileri elde etmek için gerekli olan hassas bilgileri sağlamak üzere kurbanı kandırmak için çeşitli taktikler kullanabilir. Bu nedenle, sosyal mühendislik saldırılarını ele almamanın ve ortadan kaldırmamanın maliyeti oldukça yüksektir. İyi bir bilgi güvenliği stratejisi, işletmenin güvenlik ihlallerine karşı güvenliğini sağlamak için genel bir stratejinin kritik bir bileşenini oluşturur. İşletmeler, sağlıklı bir bilgi güvenliği stratejisi uygulayarak sosyal mühendislik saldırılarının etkisini azaltabilir. Böyle bir strateji, güvenlik bilinci eğitim oturumlarının ve eğitim programlarının uygulanmasını, politika uyumluluğunu izlemek için düzenli denetim programlarını, yetkisiz fiziksel erişimi önlemek için güvenlik cihazlarının kurulmasını ve güvenlik saldırılarına karşı sigorta sağlayan düzenlemelerin yapılmasını içerebilir.