Sosyal mühendislik nedir?
Siber güvenlik hakkında düşünürken çoğumuzun aklına veri ağlarına saldırmak için teknolojik zayıflıkları kullanan korsanlara karşı kendimizi savunmak gelir. Ancak kuruluşlara ve ağlara sızmanın başka bir yolu daha vardır ve insanların zayıflığından faydalanır. Bilginin açığa çıkarılması veya veri ağlarına erişimin sağlanması için birinin kandırılmasıyla uygulanan bu yöntem sosyal mühendislik olarak bilinir.
Örneğin davetsiz bir misafir, BT yardım masası personeli gibi davranıp kullanıcılardan kullanıcı adı ve parola gibi bilgileri vermelerini isteyebilir. Kaç kişinin hiç sorgulamadan bu bilgileri verdiğini duysanız şaşırırsınız, özellikle de bilgiler meşru bir temsilci tarafından talep ediliyor gibi görünüyorsa...
Basitçe ifade etmek gerekirse sosyal mühendislik, kişileri bilgi veya verilere erişim vermeleri ya da bunları ifşa etmeleri için manipule ederek kandırmaktır.
Sosyal mühendislik saldırılarının türleri
Çeşitli sosyal mühendislik saldırıları vardır. Bu nedenle, sosyal mühendisliğin tanımını ve nasıl uygulandığını anlamak önemlidir. Temel yöntemleri anladıktan sonra, sosyal mühendislik saldırılarını tespit etmek çok daha kolaydır.
Yem atma
Yem atma, kötü amaçlı yazılım yüklü USB çubuğu gibi bir tuzak oluşturmayı içerir. Çubukta ne olduğunu merak eden biri USB sürücüsüne çubuğu takıp ve sistemin tehlikeye girmesine neden olur. Aslında, USB sürücüsünden aldığı enerjiyle kendini şarj eden ve şiddetli bir güç dalgalanmasında bu enerjiyi serbest bırakarak bilgisayarları yok edebilen bir USB çubuğu vardır, takıldığı cihaza zarar verir. (üstelik sadece 54 dolar değerindedir).
Mazeret gösterme
Bu tür saldırılar, dikkat çekmek ve kurbanı bilgi sağlamaya yönlendirmek için bir mazeret bulur. Örneğin bir internet anketi başta oldukça masum görünebilir, ancak daha sonra banka hesabı bilgilerinizi isteyebilir. Ya da biri elinde defteriyle gelip dahili sistemlerin denetimi yaptığını söyleyebilir ancak iddia ettiği kişi olmayabilir ve değerli bilgileri çalmak için sizi kandırmaya çalışabilir.
Oltalama
Oltalama saldırıları, güvenilir bir kaynaktan geliyormuş gibi görünen ve bilgi isteyen e-postalar veya kısa mesajlar içerir. Müşterilerin güvenlik bilgilerini “onaylamasını” ve onları giriş bilgilerinin kaydedileceği sahte bir siteye yönlendirmesini isteyen bir bankadan e-posta göndermek en çok başvurulan yöntemdir. “Hedefli oltalama” şirketteki tek bir kişiyi hedefler ve üst düzey bir yönetici tarafından gönderilmiş gibi görünen e-postayla gizli bilgi istenir.
Telefon veya SMS ile kişisel bilgileri ele geçirme
Kimlik avının varyantlarından biri olan “sesle kimlik avı” telefon edip veri istemek anlamına gelir. Suçlu örneğin BT yardım masasındanmış gibi davranıp giriş bilgilerini istemek için iş arkadaşı kılığına girebilir. Diğer varyantta da bilgilerin ele geçirilmesi için SMS mesajları kullanılır.
Takas
“Adil takas hırsızlık değildir” deseler de aslında öyledir. Birçok sosyal mühendislik saldırısında kurbanlar, verdikleri veri veya erişim karşılığında bir şeyler aldıklarına inandırılır. “Scareware” yazılımlar bu şekilde çalışır; bilgisayar kullanıcılarına acil bir güvenlik sorununu ortadan kaldırmak için güncelleme vadeder ama aslında kötü niyetli güvenlik tehdidi yazılımın ta kendisidir.
Kişi listesindekilere istenmeyen e-posta gönderme ve e-posta korsanlığı
Bu saldırı türü, kişi listesine erişmek için birinin e-posta veya sosyal medya hesaplarını ele geçirmeyi içerir. Kişilere, bireyin saldırıya uğradığı ve tüm kredi kartlarını kaybettiği söylenir, ardından bir para transfer hesabına para yatırmaları istenir. Veya sözde “arkadaş” kötü amaçlı yazılımlara ya da bir tuş kaydedici truva atına bağlantı veren “mutlaka bu videoyu görmelisin” e-postası iletebilir.
Çiftçilik ve avcılık
Son olarak, bazı sosyal mühendislik saldırılarının çok daha gelişmiş olduğunu unutmayın. Açıkladığımız basit yaklaşımların çoğu bir çeşit “avcılık”tır. Temel olarak içeri gir, bilgileri al ve dışarı çık şeklinde çalışırlar.
Bununla birlikte, bazı sosyal mühendislik saldırıları, daha uzun bir zaman diliminde daha fazla bilgi elde etmek için hedefle ilişki kurmayı içerir. Bu "çiftçilik" olarak bilinir ve saldırgan için daha risklidir: keşfedilmeleri daha olasıdır. Ancak sızmayı başarırlarsa çok daha fazla bilgi ele geçirebilirler.
Sosyal mühendislik saldırılarından nasıl korunabilirsiniz?
Sosyal mühendislik saldırılarına karşı koymak özellikle zordur. Çünkü merak, otoriteye saygı ve arkadaşlarına yardım etme arzusu gibi duygularla oynamak için özellikle tasarlanmıştır. Sosyal mühendislik saldırılarını tespit etmeye yardımcı olabilecek birkaç ipucu vardır.
Kaynağı kontrol edin
İletişimin nereden geldiğini öğrenmeye zaman ayırın; körü körüne güvenmeyin. Masanızda bir USB çubuğu buldunuz ve ne olduğunu bilmiyor musunuz? Biri sizi arayıp 5 milyon dolar miras kaldığını mı söyledi? CEO'nuzdan çalışanlar hakkında bir sürü bilgi isteyen bir e-posta mı aldınız? Bunların hepsi şüphe uyandırdığından kuşkuyla yaklaşmalısınız.
Kaynağı kontrol etmek zor değildir. Örneğin böyle bir e-posta aldıysanız e-posta başlığına bakın ve aynı gönderenden gelen geçerli e-postalarla karşılaştırarak kontrol edin. Bağlantıların nereye yönlendirdiğine bakın; imlecinizi üzerine getirerek (bağlantıyı tıklamayın!) sahte adresli köprüleri kolayca tespit edebilirsiniz. Yazım hataları olup olmadığını kontrol edin: Bankaların müşterilerle iletişim kurmak için özel olarak atanmış nitelikli ekipleri vardır, bu yüzden göze çarpan hataların olduğu bir e-posta muhtemelen sahtedir.
Şüpheniz varsa resmî web sitesine gidin ve e-postanın/mesajın gerçek veya sahte olup olmadığını onaylayabilecek resmî bir temsilci ile iletişime geçin.
Hangi bilgilere sahip?
Kaynakta, tam adınız gibi sahip olmasını beklediğiniz bilgiler yok mu? Unutmayın ki, bir banka temsilcisi sizi aradığında tüm ilgili verilerin önünde olması gerekir ve hesabınızda değişiklik yapmanıza izin vermeden önce her zaman güvenlik soruları sorar. Bu bilgiler elinde yoksa sahte bir e-posta/çağrı/mesaj almış olma ihtimaliniz son derece yüksektir ve dikkatli olmalısınız.
Döngüyü kırın
Sosyal mühendislik yöntemlerinin başarısı genellikle aciliyet duygusuna bağlıdır. Saldırganlar hedeflerinin ne olup bittiği hakkında çok fazla kafa yormayacağını umar. Bir dakikalığına durup düşünmek, korsanları caydırabilir veya onlara ne olduklarını bildiğinizi gösterebilir: sahte.
Telefonda bilgi vermek veya bir bağlantıya tıklamak yerine resmî numarayı arayın veya resmî web sitesi URL'sini inceleyin. Kaynağın güvenilirliğini kontrol etmek için farklı bir iletişim yöntemi kullanın. Örneğin bir arkadaşınızdan para göndermenizi isteyen bir e-posta alırsanız, gerçekten arkadaşınızdan gelip gelmediğini doğrulamak için cep telefonundan mesaj gönderin veya arayın.
Kimlik bilgilerini sorun
En kolay sosyal mühendislik saldırılarından biri, binaya girerken büyük bir kutu veya kucak dolusu dosya taşıyarak güvenliği atlatmaktır. Sonuçta yardımsever biri ona mutlaka kapıyı tutacaktır. Bu oyuna gelmeyin. Her zaman kimlik bilgilerini sorun.
Aynı şey, diğer yaklaşımlar için de geçerlidir. Arayan kişinin adını ve numarasını kontrol etmek veya "Kime rapor veriyorsunuz?" sorusunu sormak bilgi taleplerine temel bir cevap olmalıdır. Ardından, herhangi bir özel bilgi veya kişisel veri vermeden önce kuruluş şemasını veya telefon dizinini kontrol edin. Bilgi isteyen kişiyi tanımıyorsanız ve bilgi vermek konusunda içiniz hâlâ rahat değilse ona, bilgi vermeden önce bu talebi başka biriyle tekrar kontrol etmeniz gerektiğini ve geri döneceğinizi söyleyin.
İyi bir istenmeyen posta filtresi kullanın
E-posta programınız istenmeyen postaları yeterince filtrelemiyor veya e-postaları şüpheli olarak işaretlemiyorsa ayarlarını değiştirmek isteyebilirsiniz. İyi istenmeyen posta filtreleri, hangi e-postaların istenmeyen posta olup olamayacağını belirlemek için çeşitli bilgiler kullanır. Şüpheli dosyaları veya bağlantıları algılayabilir, şüpheli IP adreslerinin veya gönderen kimliklerinin bir kara listesine sahip olabilir ya da hangilerinin sahte olduğunu belirlemek için mesajların içeriğini analiz edebilirler.
Bu gerçeğe uygun mu?
Bazı sosyal mühendislik saldırıları, analitik düşünmenize engel olup sizi kandırmaya çalışır ancak durumun gerçeğe uygun olup olmadığını değerlendirmeye zaman ayırmak birçok saldırıyı tespit etmenize yardımcı olabilir. Örneğin:
- Arkadaşınız gerçekten Çin'de sıkışıp kalmış olsaydı, size bir e-posta veya mesaj gönderir miydi ya da sizi arar mıydı?
- Nijeryalı bir prensin size bir milyon dolar bırakması mümkün mü?
- Bankanız sizi hesap bilgilerinizi sormak için arar mıydı? Aslında birçok banka, müşterilerine e-posta gönderdiğinde veya onları aradığında bu duruma dikkat çeker. Dolayısıyla emin değilseniz iki kez kontrol edin.
Çok hızlı hareket etmeyin
Görüşme sırasında karşınızdakinin sizde bir aciliyet hissi uyandırmak istediğini hissederseniz özellikle dikkatli olun. Kötü niyetli aktörler, hedeflerinin sorunu detaylıca düşünmesini engellemek için genelde bu yola başvurur. Kendinizi baskı altında hissediyorsanız yavaşlayın. İşleri yavaşlatan ve düşünmek için kendinize zaman verecek bir şeyler söyleyin; örneğin bilgiyi almak için zamana ihtiyacınız olduğunu, yöneticinize sormanız gerektiğini, şu anda doğru bilgilere sahip olmadığınızı...
Çoğu zaman, sosyal mühendisler şaşırtma avantajını kaybettiklerini anlarlarsa şanslarını zorlamazlar.
Cihazlarınızı güvenceye alın
Cihazları güvence altına almak da önemlidir, böylece bir sosyal mühendislik saldırısı başarılı olsa bile elde edebileceği şeyler sınırlıdır. İster akıllı telefon, ister standart bir ev ağı, ister büyük bir kurumsal sistem olsun, temel ilkeler aynıdır.
- Kötü amaçlı yazılımdan ve virüsten koruma yazılımlarınızı güncel tutun. Bu, kimlik avı e-postalarıyla gelen kötü amaçlı yazılımların yüklenmesini önlemeye yardımcı olabilir. Ağınızı ve verilerinizi güvende tutmak için Kaspersky Antivirus gibi bir paket kullanın.
- Genel yazılımı ve ürün yazılımını, özellikle güvenlik düzeltme eklerini düzenli olarak güncelleyin.
- Telefonunuza root atmayın veya ağınızı ya da bilgisayarınızı yönetici modunda çalıştırmayın. Bir sosyal mühendislik saldırısı “kullanıcı” hesabınızın kullanıcı parolasını alsa bile, sisteminizi yeniden yapılandırmasına veya üzerine yazılım yüklemesine izin vermez.
- Farklı hesaplar için aynı parolayı kullanmayın. Bir sosyal mühendislik saldırısının, sosyal medya hesabınızın parolasını alması durumunda diğer tüm hesaplarınıza da erişmesini istemezsiniz.
- Kritik hesaplar için iki aşamalı kimlik doğrulama kullanın, böylece bu hesaplara erişmek için yalnızca parolanız yeterli olmaz. Buna ses tanıma, bir güvenlik cihazı kullanımı, parmak izi veya SMS onay kodları dahil olabilir.
- Hesabınızın parolasını birine verdiyseniz ve “mühendislik” ile karşı karşıya olabileceğinizi düşünüyorsanız parolayı hemen değiştirin.
- Kaynak Merkezimizdeki makaleleri düzenli olarak okuyarak yeni siber güvenlik riskleri hakkında bilgi sahibi olun. Yeni saldırı yöntemleri ortaya çıktıkça onlar hakkında her şeyi öğrenerek mağdur olma ihtimalinizi azaltın.
Dijital ayak izinizi düşünün
Dijital ayak iziniz hakkında da biraz kafa yormak isteyebilirsiniz. Sosyal medya yoluyla kişisel bilgilerin çevrimiçi olarak aşırı paylaşılması saldırganlara yardımcı olabilir. Örneğin birçok bankanın güvenlik sorusu “ilk evcil hayvanınızın adı” ile ilgili olabilir. Bu bilgiyi Facebook'ta paylaşmış mıydınız? Yanıtınız evetse güvenlik açığınız olabilir! Buna ek olarak bazı sosyal mühendislik saldırıları, sosyal ağlarda paylaşmış olabileceğiniz son etkinliklere başvurarak güvenilirlik kazanmaya çalışır.
Sosyal medya ayarlarınızı “yalnızca arkadaşlar” olarak değiştirmenizi ve paylaştıklarınıza dikkat etmenizi öneririz. Paranoyak olmanıza gerek yok, sadece dikkatli olun.
Hayatınızın çevrimiçi olarak paylaştığınız diğer yönlerini düşünün. Örneğin çevrimiçi bir özgeçmişiniz varsa, sosyal mühendislik saldırısı planlayan herkesin işine yarayacak tüm bilgileri (adresinizi, telefon numaranızı ve doğum tarihinizi) yeniden düzenlemeyi düşünmelisiniz. Bazı sosyal mühendislik saldırıları kurbanı derinden etkilemez ama bazıları titizlikle hazırlanır. Bu suçlulara faydalı bilgiler vermemeye çalışın.
Sosyal mühendislik çok tehlikelidir çünkü normal durumları, kötü amaçlar için mükemmel şekilde manipüle eder. Bununla birlikte, nasıl çalıştığını tam olarak anlayarak ve temel önlemleri alarak sosyal mühendislik kurbanı olma ihtimalinizi daha da azaltabilirsiniz.
İlgili bağlantılar
Kötü Amaçlı Yazılımlar Bilgisayarlara ve BT Sistemlerine Nasıl Nüfuz Eder?