1.Sosyal Mühendislik Nedir?
Sosyal mühendislik, insani zaafiyetlerden/hatalardan yararlanılarak, kullanıcının kişisel verilerini ele geçirmek için yapılan bir manipülasyon yöntemidir. Bu yöntem uygulanarak kullanıcıların hesap bilgileri ,şifreleri ya da bilgisayara erişim izinleri rahatlıkla ele geçirilebilir. Siber korsanlar genellikle sosyal mühendislik taktiklerini kullanırlar, çünkü kullanıcıları kandırmak ,yazılımlarını ve donanımlarını hack’lemekten daha kolaydır.
2.Sosyal Mühendislik Saldırıları Nasıl Yapılıyor?
Sosyal mühendislik saldırılarının çoğu siber saldırgan ile kullanıcı arasındaki sıradan bir iletişimle başlar. Siber saldırgan gizli verileri açığa çıkarması için kullanıcıyı motive eder.
Sosyal mühendislik saldırılarının adımları aşağıda belirtilmiştir.
2.a.Hazırlanma:Hedef kullanıcının kendisi ve bağlı olduğu şirket/grup hakkında kapsamlı bir araştırma yapılır ve ilgisini çekecek bir saldırı içeriği oluşturulur.
2.b Sızma:Kullanıcının ile iletişime geçilir.
2.c Kullanıcının Zaaflarından Faydalanma: İletişim kanalı aracılığıyla yapılan saldırının sonucu (başarılı olması) beklenir.
2.d Bırakma:Kullanıcıdan istenilen bilgiler/değerler alındıktan sonra iletişim sonlandırılır.
3.Sosyal Mühendislik Saldırı Çeşitleri
3.1 Phishing/Oltalama Saldırıları
Bu tip saldırılarda siber saldırganlar güvenli bir şirket/birey adı altında hedef kullanıcılara kendilerini tanıtırlar. Phishing/Oltalama, siber saldırganlar tarafından en yaygın olarak kullanılan saldırı yöntemidir. Daha geniş tanım için ilgili sayfamızı inceleyebilirsiniz.
3.1.1 Phishing saldırılarında üç çeşit hedefleme yöntemi vardır:
Spam Phishing: Birçok kullanıcıya yapılan geniş çaplı bir saldırı türüdür. Bu tür saldırılarda herhangi bir birey özel olarak hedef alınmaz.
Spear Phishing (Hedef odaklı): Bu tür saldırılarda önceden belirlenmiş kişiler/gruplar hedef alınır.
Whaling (Balina avı): Yapılan phishing saldırılarında şirket sahipleri, üst düzey personeller hedef alınır.
3.1.2 Phishing saldırı yöntemleri aşağıda belirtilmiştir:
-
-
- Vishing(Sesli Phishing): Bu tip saldırılarda kullanıcı ile telefondan iletişim sağlanır ve kullanıcıdan saldırıyı tamamlayacak veya kolaylaştıracak bilgiler alınmaya çalışılır.
- Smishing(SMS Phishing): Mesaj yoluyla yapılan phishing saldırılarıdır. Kişiye gönderilen mesajlarda zararlı yazılım içeren bir link ya da siber saldırganların kullanıcıyı sesli görüşme ile amaçları doğrultusunda yönlendirebileceği bir telefon numarası bulunur.
- E-Mail Phishing: En yaygın phishing saldırısıdır. Email’ler genelde kullanıcının ilgisini çekecek içeriktedir ( ödül vaadi, korkutma gibi) ve gönderilen maillerin genelde büyük bir aciliyetle açılması istenir. İlgili maillerin içerisinde telefon numaraları, web linkleri ve zararlı yazılım içeren mail eklentileri bulunabilir.
-
3.2 Baiting (Yemleme) Saldırıları
Siber saldırganlar hedef kullanıcı gruplarının merakını ve açgözlülüğünü kullanarak saldırı düzenler. Örnek olarak; İçerisinde zararlı yazılım bulunduran USB aygıtları halka açık yerlere(parklar, kafeler, kütüphaneler, vb.) bırakılır. Kullanıcının USB aygıtını bilgisayarına takıp içerisindeki zararlı dosyayı çalıştırması beklenir.
3.3 Watering Hole (Su çukuru)
Siber saldırganlar hedefleri tarafından yaygın olarak kullanılan websitelerini ele geçirip bu websitelerine zararlı yazılım yerleştirerek siteye giriş yapan kullanıcıları hedef alırlar.
3.4 Honey Trap
Siber saldırgan kendini çekici/alımlı bir birey gibi göstererek hedef birey ile iletişime geçer. Bu iletişim üzerinden hedefin kişisel bilgilerinin ele geçirilmesi veya para sızdırılması planlanır. Bu saldırılar genelde sosyal medya mecraları üzerinden yapılır.
3.5 Quid Quo Pro
Siber saldırgan, teknik destek görevlisi adı altında kullanıcı ile iletişime geçer. Kullanıcının yaşadığı zorlukları bahane ederek kullanıcıdan ilgili cihaz için erişim izni ister. İzni aldığı zaman zararlı yazılımını kullanıcı cihazına yerleştirir.
3.6 Divertion Theft (Saptırma saldırıları)
Siber saldırganlar kargo/nakliyat şirketlerinin sistemlerine girerek ilgili teslimatların yol güzergahını değiştirirler. Böylece belirledikleri adreslere yönlendirilen eşyaları ele geçirirler.
3.7 Dumpster Diving (Çöp karıştırıcılık)
Siber saldırganlar, şirketin/bireyin etrafında bulunan çöpleri karıştırarak önemli verilere ulaşmaya çalışırlar. Daha sonra ise bu verileri kullanarak siber saldırı başlatırlar.
3.8 Tailgating
Bu tip saldırılarda siber saldırgan, şirket çalışanlarından birinin giriş kartını ele geçirerek güvenli bir binaya giriş yapmaya çalışır.
3.9.Pretexting
Siber saldırgan ,bilinen bir şirketin adı altında sahte bir kimlik oluşturur. Bu kimliğin yardımıyla hedefle iletişime geçer. Belli bir süre sonra hedefin verilerini, finansal bilgilerini, şifrelerini,vb. ele geçirmeye çalışır.
3.10 Scareware (Korku temelli saldırılar)
Bu tip saldırılarda kullanıcının korkutularak bir dizin işlemi yerine getirmesi amaçlanır. Yapılması istenen eylemler farklılık gösterebilir. Bu eylemler hedefin kendisine veya başkasına maddi ve manevi zararlar verebilecek eylemler olabilir.
4.Alınması Gereken Önlemler
Sosyal mühendislik saldırılarını önlemenin en etkin yolu bireysel ve kurumsal farkındalığın artırılmasıdır. Bunun için ücretsiz Sosyal Mühendislik eğitimimizden yararlanabilirsiniz. Daha farklı ve profesyonel seçenekler için bizimle iletişime geçebilirsiniz.