Geçen günlerde haberlerde; ‘MİT'ten "sahte baz istasyonu" kuran siber casusluk ağına operasyonda, Milli İstihbarat Teşkilatı (MİT), İstanbul'da sahte baz istasyonu kurarak siber casusluk yapan yabancı uyruklu 7 şüpheliyi suçüstü yakaladı. Şüpheliler, çıkarıldıkları mahkemece tutuklandı.’ haberi vardı.
Sahte baz istasyonları ile vatandaşların mahrem bilgilerini ele geçirip, bunları kullanarak insanları dolandırıyorlar. İşte mahrem bilgilerin toplanmasına ve bunları dolandırıcılıkta kullanılmasına sosyal mühendislik deniyor.
“Sosyal Mühendislikte ise en zayıf halka insandır.” İnsanın zaafları, dikkatsizliği, umursamazlığı, aşırı özgüveni, bilgi eksikliği ve ihtirasları hata yaptırır. Bu zafiyetleri değerlendirip, kötüye kullanabileceklere karşı her daim dikkatli olmak lazım.
Sosyal Mühendislik; insanların zafiyetlerinden faydalanarak çeşitli ikna ve kandırma yöntemleriyle istenilen bilgilerin elde edildiği dolandırıcılık türüdür.
"Bedava peynir sadece fare kapanında olur.” Bir hizmet veya bir mal değerinin çok altında bir fiyata satılıyorsa mutlaka iki defa düşünmek lazım"
Saldırganlar en zayıf noktalarımız olan duygularımızı sömürmeyi amaçlar. Bu insani duygular; tembellik, bilgisizlik, korku, telaş, güven, umursamazlık, acıma, ego, hırs ve arzu gibi hislerdir. Bu hisleri kötüye kullanmak için bilgi toplayıp istismar edenlere sosyal mühendis denir.
Başka bir deyimle; sosyal mühendislik, siber güvenlikte insan faktörünü hedef alan ve teknik zafiyetlerden çok psikolojik manipülasyonla bilgi elde etmeyi amaçlayan ve elde ettiği bilgiyi kötü amaçlar için kullanan bir saldırı yöntemidir.
Yani; Sosyal Mühendislik, saldırganın istediği şekilde davranmanızı sağlayan psikolojik bir yönlendirme ve inandırma şeklidir. İnsanların tanımadıkları biri için yapmayacakları şeyleri, yapmalarını sağlama sanatıdır.
Geçmişte Sülün Osmanlar vardı, akıcı konuşması, zekâ oyunları ile karşısındakini manipüle eden ve akabinde Galata köprüsünü sudan ucuz bir fiyatta satan biriydi. Satan vardı da alanda vardı. Peki, satan suçlu da alanın hiç mi suçu yoktu. Sülün Osman’ın deyimiyle köprünün bir günlük kazancına köprüyü satıyordu. Alanda sormuyor ‘neden bu kadar ucuza satıyorsun’ diye. Aslında alan da Osman’ı dolandırıyordu.
Sülün Osman:
“Hayatım boyunca beni dolandırmaya kalkışmamış tek bir kişiyi dolandırmadım” demiş. Aslında namı değer dolandırıcı Sülün Osman, insanın içinde bulunan emeksiz-kazanma hırsını kullanıyordu.
İnsanlar kandırılma ihtimalinin çok düşük olduğunu düşünür. Bu ortak inancın farkında olan saldırganlar, isteklerini çok akıllıca sunarak hiç kuşku uyandırmadan kurbanların güvenini sömürürler.
Aldatmak, kandırmak, dolandırmak gibi kavramlar binlerce yıldır var olmuş kavramlardır. Ancak saldırganlar bu tekniği dijital ortamda kullanmanın da son derece etkili olduğunu keşfetmiştir. Bu tekniğin nasıl kullanıldığını anlamak için günümüzde yaygın olan örneklerine bakmakta yarar var.
Kendilerini “Polis”, “Asker”, “Savcı” Olarak Tanıtanlara İnanmayın!“
⇒ Kendilerini “polis”, “asker”, “savcı” olarak tanıtanlar”
⇒ Ödül Kazandınız” gibi mesajlar göndererek insanlardan bilgi ya da para talep edenler
Sosyal Mühendislikte; basit tarifiyle dolandırıcılığa benzese de genelde bilgi sızdırmak veya bir bilişim sistemine sızmak için kullanılabilen bir yöntemdir. Bu yöntemde genel olarak saldırgan mağdur ile yüz yüze gelmez. Kötüye kullanılan unsur ise sistem zafiyetleri değil insan zafiyetleridir.
Saldırganlar, telefon, sosyal, medya, dijital araçlar, yüz yüze, iletişim gibi farklı Sosyal Mühendislik iletişim yöntemlerini kullanılabilirler.
Başta da belirttiğimiz gibi; sosyal mühendislik saldırıları, insan psikolojisini manipüle ederek güven, korku, acelecilik veya merak gibi duyguları sömüren dolandırıcılık yöntemleridir. İşte en yaygın sosyal mühendislik saldırı türleri ve örneklerinden aşağıda bahsedilmiştir.
Dolandırılmamanız dileğiyle!
Sosyal Mühendislik Saldırı Türleri
Phishing (Oltalama); kullanıcıları sahte e-posta, SMS veya web siteleriyle kandırarak şifre, kredi kartı bilgisi gibi verileri çalmak.
Örneğin; "Hesabınız askıya alındı!" başlıklı sahte banka e-postaları.
WhatsApp’tan gelen "Paketiniz bekliyor, linke tıklayın" mesajları.
Sosyal medya hesaplarına “miras kaldı, ben Yüzbaşı Cesika yüksek miktarda para transferi” yalanı
Vishing (Sesli Oltalama); telefon görüşmesiyle kurbanı kandırmak.
Örneğin; “Terör örgütüne iltisaksınız, hırsızlık mal, cinayet mahallinde bulunmuşsunuz, adınıza kredi çekilmiş” gibi sahte aramalar.
“WhatsApp’ta yazıştığınız kişi 18 yaşından küçük kız idi” tehditleri.
"BTK’dan arıyoruz, tarifenizin süresi dolmuş, internetiniz kesilecek!" diyen sahte operatör çağrıları.
"Vergi borcunuz var, ödeme yapmazsanız dava açılacak, arabulucu avukata yönlendirme" şeklinde tehditler.
Smishing (SMS Oltalama); SMS yoluyla kötü amaçlı link veya numaralara yönlendirmek.
Örneğin; "Hesabınıza 5.000 TL yüklendi, detay için tıklayın: [sahte link]".
"Kargonuzu teslim edemedik, adres güncellemesi yapın" mesajları.
Pretexting (Role Girme); sahte bir kimlikle (teknisyen, polis, banka çalışanı) güven kazanıp bilgi sızdırmak.
Örneğin; "Bilgisayarınızda virüs tespit ettik, uzaktan bağlanmamıza izin verin" diyen sahte teknik destek.
"Şirketinizin muhasebe kayıtlarını doğruluyoruz" diyen dolandırıcılar.
Baiting (Yemleme); ücretsiz ürün, indirme veya hizmet vaadiyle kötü amaçlı yazılım yükletmek.
Örneğin;"Bedava Netflix hesabı için bu dosyayı indirin" diyen paylaşımlar.
Sokakta bırakılan "Şirket gizli verileri" yazan USB bellekler.
Quid Pro Quo (Karşılıklı Çıkar); küçük bir avantaj karşılığında kritik bilgileri almak.
Örneğin; "Ankete katılın, 50 TL kazanın!" diyerek kişisel veri toplamak.
"Ücretsiz yazılım lisansı için şirket bilgilerinizi paylaşın" teklifi.
Tailgating (Peşine Takılma); fiziksel olarak güvenli alanlara (ofis, veri merkezi) sızma.
Örneğin; "Kartımı unuttum, kapıyı açar mısınız?" diyerek binaya girmeye çalışmak.
Teslimatçı kılığında şirket içine sızmak.
Honey Trap (Bal Tuzağı); duygusal manipülasyonla (flört, arkadaşlık) bilgi çalmak.
Örneğin; Sosyal medyada kurbanla yakınlık kurup iş sırlarını öğrenmek.
Sahte bir romantik ilişkiyle banka bilgilerini ele geçirmek.
Watering Hole (Su Birikintisi); kurbanların sık ziyaret ettiği web sitelerine kötü amaçlı yazılım yerleştirmek.
Örneğin; Haber sitelerine gizlenmiş zararlı reklamlar (malvertising).
Forumlarda paylaşılan "Güncel sürümü indirin" linkleri.
Nasıl Korunursunuz?
Doğrulama yapın: Resmi kanallardan (web sitesi, telefon) kimliği teyit edin.
Linklere tıklamayın: E-posta/SMS’teki linkler yerine doğrudan siteye girin.
Bilgi paylaşmayın: Hiçbir kurum sizden şifre, PIN veya SMS kodunu istemez.
Güncel kalın: Yazılımlarınızı ve antivirüsünüzü güncel tutun.
Şüpheci olun, acele karar vermeyin! 🔐
Phishing (Oltalama) Saldırılarına Dikkat!
Şüpheli e-postaları açmayın: Tanımadığınız göndericilerden gelen, acil eylem isteyen veya gereğinden fazla "avantaj" vaat eden e-postalara güvenmeyin.
Linklere tıklamadan önce kontrol edin: Fare imlecini linkin üzerine getirerek gerçek URL’yi görüntüleyin. **http://** yerine **https://** (güvenli bağlantı) arayın.
Dil ve yazım hatalarına dikkat: Resmi kurumların yazışmalarında genellikle bu tür hatalar bulunmaz.
Telefon Dolandırıcılıkları (Vishing)
"Bankanızdan arıyoruz" senaryolarına kanmayın: Hiçbir banka veya kurum sizden şifre, PIN veya SMS onay kodunuzu telefonla istemez.
Arayan kişiyi doğrulayın: Şüphe duyduğunuzda, kurumun resmi iletişim kanallarından (web sitesi, müşteri hizmetleri) teyit edin.
Sosyal Medya Güvenliği
Gizlilik ayarlarınızı sıkılaştırın: Profilinizi "sadece arkadaşlar" olarak sınırlayın ve kişisel bilgilerinizi (doğum tarihi, adres, telefon) paylaşmayın.
Sahte hesaplara karşı uyanık olun: Tanımadığınız kişilerin arkadaşlık isteklerini reddedin. "Tanıdık birinin kopya hesabı" olabilir.
"Ücretsiz hediye" tuzağına düşmeyin: Sosyal medyada dolaşan sahte kampanyalar kişisel verilerinizi çalmak içindir.
Güçlü Parola ve İki Adımlı Doğrulama
Her hesap için farklı parola kullanın: "123456", "password" gibi basit şifreler yerine **harf, rakam ve özel karakterlerden oluşan karmaşık şifreler seçin.
İki faktörlü kimlik doğrulama (2FA) aktif edin: SMS veya kimlik doğrulama uygulaması (Google Authenticator gibi) ile ek güvenlik sağlayın.
Fiziksel Güvenlik Önlemleri
USB bellekleri bilgisayarınıza takmayın: Sokakta bulduğunuz veya tanımadığınız kişilerden gelen USB’ler kötü amaçlı yazılım içerebilir.
Omuz sörfüne karşı dikkatli olun: Halka açık alanlarda şifre girerken etrafınızı kontrol edin.
Acil Durum Planı Yapın!
Şüpheli bir durumda ne yapmalı?
Hemen bağlantıyı kapatın veya iletişimi kesin.
Banka bilgileriniz ele geçirilmişse, kartınızı bloke ettirin.
Şifrenizi değiştirin ve yetkili birimlere (BTK, banka) bildirin.
Unutmayın: Günümüz Sülün Osmanları olan, sosyal mühendisler, insanların iyi niyetini ve panik halindeki kararlarını sömürür.
"Acil durum" algısı yaratan mesajlara temkinli yaklaşın. Güvenlik, teknolojiden önce farkındalıkla başlar!
Bu bilgileri paylaşarak sevdiklerinizi de koruyabilirsiniz.
Diğer İçerikler
