Sosyal Mühendislik Nedir?
Sosyal mühendislik, insanların psikolojik manipülasyon yoluyla kandırılarak gizli bilgilere, sistemlere veya kaynaklara erişim sağlanması yöntemidir. Teknik bir saldırı olmaktan çok, insan zafiyetlerinden yararlanarak bilgileri ele geçirmeyi hedefler.
Sosyal mühendislik saldırıları genellikle bir kişinin güvenini kazanmayı, korkutmayı veya acele ettirmeyi amaçlayarak kullanıcıyı belirli bir eylemi gerçekleştirmeye zorlar. Bu saldırılar, teknolojiyle birlikte gelişmiş olsa da, insan odaklı olduğu için her zaman bir risk unsuru taşır.
Sosyal Mühendislik Saldırı Türleri
Kimlik Avı (Phishing):
- Sahte e-postalar, web siteleri veya mesajlarla kullanıcıdan hassas bilgiler (şifre, kredi kartı bilgileri) toplamayı amaçlar.
- Örneğin, bir banka gibi davranarak kullanıcının şifresini çalmaya çalışmak.
Telefon Dolandırıcılığı (Vishing):
- Telefon üzerinden kurbanı arayarak, genellikle aciliyet hissi yaratarak bilgi toplamaya çalışılır.
- Örneğin, "Hesabınızda şüpheli bir işlem gördük, lütfen doğrulama için kimlik bilgilerinizi verin" gibi.
Sahte Yardım (Pretexting):
- Kurbanı kandırmak için sahte bir senaryo yaratılır. Saldırgan, bir şirket çalışanı, teknisyen veya bir arkadaş gibi davranabilir.
- Örneğin, bir IT uzmanı gibi davranarak, şifrenizi güncellemek için bilgilerinizi talep etmek.
Tersine Sosyal Mühendislik:
- Saldırgan önce bir sorun yaratır, ardından bu sorunu çözmek için yardım teklif ederek bilgileri ele geçirmeye çalışır.
Omuz Sörfü (Shoulder Surfing):
- Fiziksel olarak bir kişinin şifre girişi gibi hassas bilgileri görmeye çalışmak.
USB Tuzakları:
- Ortalıkta bulunan USB cihazlarını kullanıcının merakını cezbetmek için bırakmak. Takıldığı anda sisteme kötü amaçlı yazılım yükler.
Sahte Ödül veya Promosyonlar
- Nasıl Çalışır: Kurban, çekici bir ödül veya teklif ile kandırılır. Bu, genellikle sahte web siteleri veya formlar aracılığıyla yapılır.
- Örnek: “Bu anketi doldurarak ücretsiz telefon kazanın” şeklindeki dolandırıcılıklar.
Tailgating (Takip Etme)
- Nasıl Çalışır: Fiziksel erişimi kısıtlanmış bir yere saldırganın bir çalışan gibi davranarak kurbanı takip etmesi.
- Örnek: Şirket binasına girişte güvenlik kartı olan birinin arkasından kapıdan girmek.
Sosyal Medya Manipülasyonu
- Nasıl Çalışır: Sosyal medya platformlarında kurban hakkında bilgi toplayarak bu bilgileri kurbanı manipüle etmek için kullanır.
- Örnek: "Çocuklarınız hakkında bir şey biliyorum" diyerek kurbanı korkutma.
İş E-postası Dolandırıcılığı (BEC - Business Email Compromise)
- Nasıl Çalışır: Saldırgan, bir üst düzey yöneticinin e-posta adresini taklit ederek kurbanı finansal işlemler yapmaya ikna eder.
- Örnek: “Bu faturayı hemen ödeyin, aksi takdirde sözleşme iptal olacak” içerikli sahte bir talep.
Saldırılardan Kaçınma Yolları
Eğitim ve Farkındalık:
- Çalışanlar ve bireyler sosyal mühendislik tehditleri konusunda eğitilmeli.
- Sahte e-posta ve mesajların nasıl tanınacağı öğretilmeli.
E-postaları Dikkatle İncelemek:
- Gönderen adreslerini kontrol edin, bağlantılara tıklamadan önce URL’leri inceleyin.
- Aceleyle gönderilen veya şüpheli isteklerde bulunulan e-postalara karşı dikkatli olun.
Kimlik Doğrulama Prosedürleri:
- Telefon veya e-posta ile bilgi talep eden kişilerin kimliğini doğrulamak için bağımsız bir kanal kullanın.
- Örneğin, resmi müşteri hizmetlerini arayarak doğrulama yapabilirsiniz.
Güçlü Parolalar Kullanmak:
- Parolalarınızı düzenli olarak güncelleyin ve güçlü parolalar kullanın.
- Çok faktörlü kimlik doğrulama (MFA) kullanın.
Şifre ve Bilgileri Paylaşmama:
- Kim olursa olsun şifre veya kişisel bilgilerinizi asla paylaşmayın.
Güvenilir Cihaz ve Yazılımlar:
- Tanımadığınız USB cihazlarını kullanmayın.
- Güncel antivirüs ve güvenlik yazılımları kullanın.
Fiziksel Güvenlik:
- Bilgisayar ekranınızı açık bir şekilde bırakmayın.
- Ofis veya ev ortamında şifre girerken çevredeki insanlara dikkat edin.
Kötü Amaçlı Linklerden Uzak Durun:
- Tıklamadan önce bir bağlantının güvenli olup olmadığını kontrol etmek için tarayıcı eklentileri veya güvenlik araçları kullanın.
Bı gönderi chatgpt ile oluşturulmuştur.