Sosyal Mühendislik Saldırıları Nedir?

Sosyal Mühendislik Saldırıları Nedir?

Son Güncellenme: 13 Ekim 2021

Modern zamanlarda bilgi, gücün en büyük sınırı olarak kabul ediliyor. Özellikle İnternet'in yaygınlaşması ve dijitalleşmenin her alanda kendini göstermesiyle, kişisel verilere yapılan saldırıların da sayısı günbegün artıyor. Kişilere ait bilgilere ulaşmak için faaliyet gösteren siber saldırganların kullandığı çeşitli yöntemler var. Bunlardan birisi de sosyal mühendislik saldırıları. Peki sosyal mühendislik nedir?

Sosyal Mühendislik Saldırısı Nedir?

Pek çok kişi dijital ortamlarda yapılan yazılım destekli siber saldırıların ve bunlardan korunmanın yollarının farkında. Örneğin artık herkesin aşina olduğu bilgisayar virüslerinden korunmak için anti virüs programı edinmemiz gerektiğini ve bu anti virüs programlarının nasıl kullanılacağını, hemen hemen hepimiz biliyoruz. Fakat çok daha sinsi ve tehlikeli, başka yöntemlere karşı, maalesef hala bilgisiz ve korumasızız.

Sosyal mühendislik saldırıları, kişilerin mağduru olabileceği yaygın ve tehlikeli suç tiplerinden biridir. Çünkü yazılımlar veya işletim sistemleri gibi beşeri unsurları değil, doğrudan insanın kendisini hedef alırlar. İnsanları kandırmanın, makineleri kandırmaktan daha kolay olduğunu göz önünde bulundurursak, sosyal mühendisliğin getirdiği riskleri de daha iyi anlayabiliriz.

Sosyal Mühendislik Türleri

Zaman içerisinde sosyal mühendislik saldırısı amacıyla kullanılmak üzere geliştirilen tekniklerden bazıları aşağıdaki gibidir:

1. Truva atları

Truva atları, yazılım desteğiyle yapılan bir çeşit sosyal mühendislik saldırısıdır. Diğer virüslerden farklı olarak Truva atları, yayılmak için kullanıcının kendisine ihtiyaç duyarlar. Bu nedenle de sosyal mühendislik çalışmaları içinde sayılırlar. Truva atları, bilgisayar sistemlerinize sızar ve parola, kredi kartı numaraları ya da diğer özel verilerinizi elde etmeye çalışır. Bu saldırılar, kendi kişisel verilerinize karşı olabileceği gibi; çalıştığınız firmaya ait bilgileri de hedefliyor olabilir.

2. Omuz sörfü

Omuz sörfü için, siber saldırgan ile mağdurun aynı anda aynı yerde bulunması gerekir. Mağdurun bilgilerine erişmek isteyen saldırganın, mağdurun kullandığı parola ve kullanıcı adı gibi detayları kendisi yazarken görüp öğrenmesi şeklinde gerçekleşir. Aynı şekilde öğrenilmek istenen diğer bilgiler de yine omuz sörfü aracılığıyla elde edilebilir.

Omuz sörfü açısından halka açık alanlar büyük risk taşır. Bu nedenle kalabalık kafelerde, toplu taşıma araçlarında veya havalimanı, otogar gibi alanlarda son derece dikkatli olmalıyız. Bu saldırının gerçekleşmesi için siber suçlunun her zaman yakınınızda olması da gerekmez. Saldırganların çeşitli araçlar yardımıyla da ekranınız izlemesi durumuna zaman zaman rastlanır.

3. Oltalama

Bu yöntemde, saldırganın kurbanı ikna etmesi gerekir. Genellikle e-posta iletileri aracılığıyla uygulanan bir yöntemdir. Saldırıyı yapan kişi veya kişiler, size resmi ve gerçekçi görünen bir ileti atarlar. Örneğin bankanızla alakalı bir sorun olduğunu belirterek sizi bir linke yönlendirebilirler. Bu linke girip, sanal bankacılıkta kullandığınız parolayı girdiğinizde, bilgilerinizi kendi elinizle saldırganlara vermiş olursunuz. Böyle bir e-posta ile karşılaştığınızda bankanızı veya iletinin geldiği kurumu/firmayı/markayı arayarak durumu teyit etmelerini istemelisiniz.

4. Çöp karıştırma

İsmiyle paralellik gösteren çöp karıştırma tekniğinde, saldırganlar kurbanın çöp kutularını incelerler. İşiniz bittikten sonra önemli verilerinizi not aldığınız kağıtları çöpe atmanız, saldırganlar için bulunmaz bir fırsattır. Bu nedenle şifrelerinizi, adres bilginizi, kredi kartı numaranızı/son kullanma tarihini/CCV numarasını vs. yazdığınız kağıtları, atmadan önce okunamayacak hale getirdiğinizden emin olmalısınız. Çöpe atmadan önce dikkatli olmanız gereken bir diğer bilgi de TC kimlik numaranızdır.

Kişisel bilgilerinizin yanı sıra, firmanızla alakalı bilgi içeren kağıtları da çöpe atarken iki kere düşünmelisiniz. Örnek vermek gerekirse artık tarihi geçtiği için çöpe atılan raporlar sosyal mühendislik saldırıları için kullanılabilirler. Bu sebeple iş yerlerinde yaygın olarak kağıt öğütücülerin kullanıldığını gözlemleyebilirsiniz.

5. Rol yapma

Bu teknikte, saldırgan kendisine sahte bir kişilik yaratır ve senaryo üzerinden kurbanını kandırmaya çalışır. Telefonla kurbanı aramak veya kapı kapı gezerek rol yapmak, bu tekniği kullananların sıkça tercih ettiği yöntemlerdendir. Bu kişiler sizinle konuşurken özel verilerinize ulaşmaya çalışırlar. Konuşma içerisinde sizi ikna etmek için, size ait sahip oldukları bilgileri sizinle paylaşarak güveninizi kazanmaya çalışabilirler. Bu noktada sizin hakkınızda sahip oldukları bu bilgilerin, sosyal medya hesaplarınızda yer alıp almadığını kontrol etmelisiniz. Saldırganlar sosyal medya aracılığıyla bilgi edinip sizi kandırmaya çalışıyor olabilir.

Böyle bir durumda, telefon üzerinden herhangi bir işlem yapmayın ve teyit için ilgili kurumun/kişinin/firmanın resmi iletişim bilgileri üzerinden kendileri ile iletişime geçin. Sizi arayan kişilerden kimliklerini doğrulamalarını isteyin ve verdikleri bilgileri mutlaka kontrol edin. En önemli noktanın ise heyecana kapılmadan konuşmayı yönetmek ve ağzınızdan bilgi kaçırmamaya dikkat etmek olduğunu unutmayın.

6. Tersine sosyal mühendislik faaliyetleri

Tersine sosyal mühendislik, bahsettiğimiz tüm saldırılardan daha sinsi bir yöntemdir ve fark edilmesi güçtür. Çünkü bu yöntemde kurban saldırgana kendisi ulaşır. Süreç ise şu şekilde işler:

  1. Saldırganlar, mağdurun sistemine sızar ve sistemi bozmaya başlarlar.
  2. Mağduru yakın takibe alırlar.
  3. Saldırı mağduru, yardım aramak için araştırma yapar. Bu sırada mağduru takip etmekte olan saldırganlar, mağdur ile iletişime geçerler.
  4. Saldırganlar tarafından ikna edilen mağdur, sistemin düzelmesi için istenilen bilgileri kendi eliyle saldırganlara verir.

Sosyal Mühendislik Saldırılarından Korunmak

Sosyal mühendislik saldırılarından korunmak için mutlaka kaynağı araştırın ve teyit edin. Teyit etmediğiniz herhangi bir kaynaktan gelen talepleri uygulamayın veya merak edip şüpheli e-postadan gelen linke tıklamayın.

Sizi arayıp heyecanla konuşan ve taleplerde bulunan kişilere karşı temkinli olun ve istedikleri bilgileri vermeyi reddedin. Bu kişiler polis, savcı vb. olduğunu söylese bile güvenmeyin. Sorularınıza cevap vermeyi reddediyorlarsa, kafanızı karıştırmaya ve sizi acele ettirmeye çalışıyolarsa, sosyal mühendislik çalışmaları yürüten kötü niyetli kişiler olma ihtimalleri yüksektir.

Bunlara ek olarak, şifre gibi önemli bilgilerinizi alelade kağıtlara not almak yerine hafızanızda tutmaya çalışın. Bu mümkün değilse not aldığınız kağıtları güvenilir bir ortamda olsanız bile saklayın ve yerini kimseye söylemeyin.


Yazar: Timur Özçelik

Timur Özçelik, uzun yıllar çeşitli platformlarda teknoloji üzerine içerik ürettikten sonra, 2021 yılında Güvenli Sörf için yazmaya başlamıştır. Özgür yazılımı savunan ve gizliliğe önem veren Timur, tutkulu bir Ubuntu kullanıcısıdır.