Siber güvenlikte kilit rolü insan faktörü oluşturmaktadır. Aynı zamanda insan en büyük zayıf nokta da olabilmektedir. Sosyal Mühendislik, insanın zaaf ve hatalarından fayda sağlayarak yapılan bir çeşit manipülasyondur. Dijital dönüşüm çağındayız ve bu çağ beraberinde sadece teknik değil insan zafiyetlerini de getirmiştir. Bu anlamda son kullanıcının bilinçlendirilmesi kritik bir öneme sahiptir. Bir sosyal mühendis hedefine ulaşmak için olabildiğince çok bilgi toplamalıdır. Peki bu bilgileri toplama yöntem ve araçları nelerdir ? Bizler bu saldırılardan nasıl korunabiliriz ? Tüm bu sorunların yanıtını arıyorsan, yazımı okumaya devam et!
Sosyal Mühendislik Türleri Nelerdir?
1. Omuz Sörfü:
Omuz sörfü ile gündelik hayatımızın her alanında karşılaşmamız mümkün. Peki nedir bu omuz sörfü ? Bilgisayarınızda kişisel verilerinizi veya parola bilgilerinizi içeren işlemler gerçekleştirirken ekrana sadece sizin baktığınızdan emin misiniz ? Emin olsanız iyi olacaktır. Zira sizler işlemlerinizi gerçekleştirirken yanınızdaki kişi ekranınızı seyrediyor olabilir ve bilgilerinizi kötü amaçlı kullanabilir. Bu saldırı tekniği genellikle dikkatsizlik veya güvenlik bilincinin eksikliğinden kaynaklanmaktadır. Özellikle halkın ortak kullanım alanlarında, ofis ortamında, bankamatiklerde ve kredi kartıyla ilgili işlem yaptığınız her yerde dikkatli olmalısınız. Kurban her zaman yakın mesafeden izlenmeyebilir, görmeyi artırıcı cihazlar (dürbün vs.) kullanılarak da uzak mesafeden izlemeler gerçekleştirilebilir.
2. Rol Yapma:
Sosyal mühendislikte rol yapma kavramını açacak olursak, bu teknikte saldırgan kendisini belirli bir kişi, kuruluş veya otorite figürü olarak tanıtmakla sürecine başlayacaktır. Kurbanın güvenini kazanmak, istenilen hedefe ulaşma noktasında kilit bir öneme sahiptir. Rol yapmada saldırgan kurbanını manipüle etmeye çalışır. Saldırgan, kendisini önemli bir kişi veya kuruluş olarak tanıtırken sahte kimlik kullanımı yoluna başvurabilir. Örneğin sahte bir e-posta kullanımı veya sahte sosyal medya hesabı kullanımı gibi. Bir diğer yöntem ise manipülasyon ve ikna kabiliyetidir. Bu aşamada duygusal taktikler kullanılarak, kurbanın endişelerini hedef alarak mantıksal tepkilerini manipüle etmeyi amaçlar. Ancak bu yöntemde en sık kullanılan iletişim yöntemi telefondur. Saldırgan, ara satırlarda hassas bilgilerinize erişimleri içeren sahte bir senaryo üzerinden sizinle iletişime geçecektir.
3. Çöp Karıştırma:
Çoğumuzun önemsiz olarak gördüğü bilgiler sosyal mühendisler için hedefine ulaşmanın en kritik parçası olabilmektedir. Sosyal mühendisler önemsiz olarak görülen bilgileri bir araya getirerek kurban hakkında inandırıcı senaryolar oluşturabilmekte ve az önce bahsettiğim rol yapma tekniğini hayata geçirmektedir. Çöp karıştırma tekniğinde saldırganın elde edilebileceği bilgiler nelerdir peki ?
- Saldırgan, kurbanın geri dönüşüm kutularını karıştırır ve buradan notlar, atılmış belgeler, USB sürücüler veya diğer materyaller üzerinden veri toplar.
- Atılmış olan belgeleri inceleyerek hassas bilgiler (şirket verileri, kişisel veriler) ele geçirir.
4. Oltalama:
Siber saldırganların kullandığı bir diğer ve en çok tercih edilen yöntemlerden birisi de “oltalama” tekniğidir. Bu teknik genellikle e-posta, sosyal medya, telefon veya sms gibi iletişim araçları üzerinden gerçekleşir. Toplu halde yüzlerce kişiye aynı anda yapılabilir. Son kullanıcının oldukça gerçek bulacağı senaryolar ve mail içerikleri hazırlanabilir. Örneğin saldırgan bir bankanın daha önce kullanmış olduğu mail şablonunu kullanarak, kurbanı yanıltabilir. İletiden dışarıya giden linklere tıklayan kurbanı kötü amaçlı sayfalara yönlendirebilir.
Nasıl Korunmalıyız?
- Omuz sörfü tekniğinde kurban olmamak için kişisel veriler, gizli bilgi ve parolamızı içeren işlemler gerçekleştirirken dikkatimiz son derece yüksek ve herhangi bir kişi ya da bir cihaz tarafından gözlemlenmediğimizden emin olduktan sonra işlemlerimizi gerçekleştirmeliyiz.
- Çöp karıştırma tekniğinde korunma yollarına baktığımızda “temiz masa temiz ekran” kavramının önemi bir kez daha karşımıza çıkmaktadır. Verilerimizi gizlilik derecelerine göre sınıflandırmalı ve gerekli tedbirleri alarak kilitli dolaplar veya şifreleme yöntemleri kullanarak bilgi varlıklarımızı muhafaza etmeliyiz. Artık kullanmakta olmadığımız verileri uygun bir şekilde imha etmeliyiz.
- Rol yapma yönteminde kurban olmamak adına soğukkanlı bir şekilde karşı taraftan siz de kimlik bilgilerini talep edin ve tuzak sorularla doğrulama yapmak için sorgulamaya devam edin.
- Oltalama yönteminde ise şüphe duyduğunuz e-postalarda emin olmadan açmamak büyük önem taşımaktadır. Tanımadığınız kişi veya kurumlardan gelen e-posta ve ekleri kontrol edilmeden açılmamalıdır.
Sonuç olarak güvenlik açıklıkları sadece teknik sistemlerde değil insan zafiyetleri ile de karşımıza çıkabilmektedir. Sosyal mühendislik, siber güvenlik dünyasında giderek artan bir tehdit haline gelmiştir ve kullanıcıların bu alanda farkındalık sahibi olması gerekmektedir. Bu tarafta her birimize pay düşmekte ve çevrimiçi/çevrimdışı etkileşimlerimizi doğru yönetmemiz önemini artırmaktadır. Dijital güvenliğimizi en üst düzeye çıkarmak için bizler de birer adım atalım ve sosyal mühendislik saldırılarına karşı bilinçli, eğitimli ve uyanık olalım.
