Siber güvenliğin en zayıf halkası insan faktörüdür. Sosyal mühendislik, teknik altyapılara ve sistemlere saldırmak yerine zincirin en zayıf halkasını hedef alır ve insan zaafiyetlerini kötüye kullanmaktadır.
Sosyal mühendislik, saldırganın istediği şekilde davranmanızı sağlayan psikolojik bir saldırı türüdür. İnsanların tanımadıkları biri için yapmayacakları şeyleri yaptırma sanatıdır. Teknoloji kullanımından çok insanların yalanlar ile kandırılarak bilgi edinilmesidir.
İnsanlar kandırılamayacağını düşündüğü için ve saldırganlarda bu durumun farkında olduklarından isteklerini çok akıllı bir şekilde sunarak kuşku uyandırmadan kurbanlarının güvenlerini sömürürler.
Nasıl kullanıldığını anlamak için birkaç örnek verelim:
Günümüzde haberlerde gördüğümüz kendini “Polis”, “Asker”, “Savcı” olarak tanıtır ve kart bilgisi şifre para vs. talep edebilirler.
“Ödül Kazandınız” gibi mesajlar göndererek veya arayıp sözlü olarak ulaşarak sizden bilgi talep edeblirler.
“İnternet Şubemize giriş yapan kişilere 100 IPhone X 1000 Samsung Tablet 10000 kişiye 2000 Chip para” Detaylar http://www.xbank.com gibi mesajlar atarak bilgi edinebilir veya sözlü olarak arayarak kart bilgilerinizi talep edebilir.
Phishing (Oltalama) saldırıları bir sosyal mühendislik saldırısıdır. Phishing saldırısı ile ilgili blog ta bir yazımız mevcut inceleyebilirsiniz.
Zafiyetlerden yola çıkarak örneklendirmek gerekirse, kurumların ya da kişilerin çöplerinde bulunabilecek imha edilmemiş dokümanlar üzerinde bulunan ve geçerliliğini yitirmemiş bilgiler sayesinde kurumlar ve kişiler hakkında önemli bilgilere ulaşılabileceğinden bahsedilebilir.
- Bilginiz başkalarının eline geçebilir.
- Bağlı olduğunuz kurum veya kuruluşun onuru, toplumdaki imajı zarar görebilir.
- Donanım, yazılım, veri ve kurum çalışanları zarar görebilir.
- Önemli verilere erişim engellenebilir, parasal kayıplar ve vakit kaybı yaşanabilir.
Sosyal Mühendislik Teknikleri Nelerdir?
- Omuz Sörfü (Siz Erişim bilgilerinizi bir sisteme girerken omuz üstünden sizi izlemesi gibi düşünebiliriz.)
- Çöp Karıştırma
- Truva Atları
- Rol Yapma
- Oltalama
- Tersine Sosyal Mühendislik (Burada Yardım isteyen kişi kurbanın kendisidir.)
Sosyal Mühendislik Sızma Hedefleri
- Sistemi Ele Geçirme
- Kritik Bilgilere Erişim
- Hedef Sistemlere Erişim Sağlama
- Yönetici Hakkı Elde Etme
- Sistemde Kalıcı Olma
- Gizlilik
Sosyal Mühendislik Sızma Çeşitleri
- Fiziksel Sosyal Mühendislik
- Telefon İle Sosyal Mühendislik
- Mail Yoluyla Sosyal Mühendislik
Kendimizi Nasıl Koruruz?
Kendimizi Korumak için öncelikle yapmamız gereken sosyal mühendislik saldırılarının nasıl tespit edileceğini ve durdurulacağını öğrenmektir.
Biri veya birilerinin sizi hedef almaya çalıştığından şüpheleniyorsanız, o kişi ile bir daha asla iletişim kurmayın. Sizinle telefon hattı üzerinden irtibat kuruyor ise telefonu kapatın. Eğer çevrimiçi sohbette iseniz bağlantınızı sonlandırın. Eğer güvenmediğiniz bir yerden gelen bir e-posta ise, eklentilerini indirmeyin ve bahse konu e-postayı silin. Eğer çalıştığınız kurum veya iş yeri ile ilgili bir saldırı olduğunu düşünüyorsanız, işyerindeki yardım masasına ya da ilgili güvenlik uzmanlarına haber verin. Bütün bu aşamalarda kaydedeceğiniz ekran görüntüleri sonraki süreçte oldukça önem arz edecektir.
Olası Saldırıları Önlemek İçin Ne Gibi Önlemler Alınmalı?
Kişisel Bilgileriniz Paylaşmayın: Saldırganlar hakkınızda ne kadar çok bilgiye sahipse size o kadar kolay ulaşıp istediklerini yaptırmak için yanlış yönlendirebilirler. Kendiniz ile ilgili basit gördüğünüz paylaşımlar kötü niyetli kişiler tarafından bir araya getirilerek hayatınızın bütünü hakkında önemli bilgiler edinebilirler. Ne kadar az bilgi paylaşırsanız saldırıya uğrama riski de o kadar az olur.
Sizinle İletişime Geçen Kişileri Sorgulayın: Bankanızdan veya farklı kuruluşlardan aranabilirsiniz. Arayan kişi hakkında herhangi bir şüpheniz var ise arayan kişinin adını isteyerek kendisine güvenilir bir numaradan (Örn: Banka Kartınızdaki Telefon Numarasından) şahısa ulaşabilirsiniz. Böylece ilgili kurumu aradığınızda gerçekten yetkili personel ile iletişime geçtiğinizden emin olabilirsiniz.
Şifrelerinizi Paylaşmayın: Hiçbir kurum ya da kuruluş şifrenizi sormak için sizinle iletişime geçmez. Eğer birileri size şifrenizi soruyorsa bu bir sosyal mühendislik saldırısıdır.
Güvenilir Olmayan Kaynaklara Dikkat Edin: Bir dosya indirmek istediğinizde güvenilir kaynaklardan ve mümkünse doğrulanmış yapımcılardan indirmelisiniz ve bilgisayarınızda düzenli olarak virüs taraması yapmalısınız.
URL/Adres Kontrolü Yapın: Oltalama saldırılarında oltaya takılmamanın en önemli unsurlarından birisi de tarayıcıda bulunan adresi kontrol etmektir. Adres çubuğunda göz kaçırılan bir karakter değişikliği istenmeyen sonuçlara yol açabilir.
Kurum İçinde Periyodik Olarak Bilgi Güvenliği Testleri Yapın: Kurum çalışanları periyodik olarak bilgi güvenliği eğitimleri almalı ve sızma testlerine tabi tutulmalıdır. Tüm bilgisayarlara antivirüs yazılımları kurulmalı, çöpe atılması gereken dokümanlar, mutlaka kırpma makinelerinden geçirilmelidir. Kuruma ziyaretçi olarak gelen kişilerden kimlik alınarak kurum çalışanları tarafından refakat edilmelidir.
UNUTMAYIN: En güvenli bilgisayar internet bağlantısı olmayan ve kapalı olandır. Ancak bir ihtimal var ki; saldırganlar ofise gidip bilgisayarı açması için birini ikna edebilir.
