Bizi takip edin

Güvenlik Önerileri

Sosyal Mühendislik Saldırılarından Korunmak

Sosyal mühendislik saldırılarına karşı nasıl hazırlıklı olunur, tuzakları fark etmek için nelere dikkat edilmeli?

tarihinde yayımlandı

İnsanların duygularını özel bir amaç için hedef alan ve finansal zararı da içerebilen çeşitli suistimallerin nedenini oluşturan saldırı yöntemlerine sosyal mühendislik denir. İnsan zafiyetlerini kullanma üzerine kurulu teknikler, sosyal mühendislik yapan dolandırıcılar tarafından koordineli ve etkili bir şekilde uygulanır. Kurban, doğal ve incelikle düşünülmüş bir akış söz konusu olduğu için genellikle sosyal mühendislik yapan bir dolandırıcının saldırısıyla karşı karşıya olduğunun farkına bile varmaz. Hazırlıksız yakalanabilir ve buna bağlı olarak ister istemez hilelere kanabilir.

Peki sosyal mühendislik saldırılarına karşı nasıl hazırlıklı olunur, fark etmek için nelere dikkat edilmeli?

Saldırıları tanımak

Bir sosyal mühendislik saldırısını önleyebilmek için öncelikle bunu ‘anlamak’ gerekir. İletişim sırasında sosyal mühendislik yapan dolandırıcılar tarafından kullanılan bazı ifadeler, karşı karşıya olunan durumu anlamaya katkı sağlar. Bu noktada farkındalık ve dikkat düzeyi, iyi seviyede olmalıdır.

Sosyal mühendislik saldırılarını önleme esasıyla farkındalığı geliştirebilecek ipuçlarını, muhtemel saldırı emareleri üzerinden bazı örneklerle aktaracağız. İlk olarak e-postaları inceleyelim…

1- E-posta

Tanıdığınız birinden gelen e-posta, bir sosyal mühendislik saldırısının ilk adımını oluşturabilir, zira siber korsanlar, yakın arkadaşınızın hesabını ele geçirmiş olabilir. Tanıdığı kişinin e-posta hesabı ele geçirildikten sonra hedefin genellikle aşağıdaki türlerde içeriklere maruz kaldığı görülür.

  • İçerisinde link olan e-postalar
  • İçerisinde indirilebilir eklenti bulunan e-postalar
  • Bağış talep eden e-postalar

Güvenilir bir kişiden geldiğine inanılan bir e-postadaki linkin tıklanması veya dosyanın pek düşünülmeden indirilmesi, sosyal mühendislik saldırılarının tehlikeli sonuçlarının başında gelir. Arkadaşının kendisine zarar vermeyeceğine inanan hedef, PDF dosyasını indirebilir veya varsa linke tıklayabilir. Bu durumda cihazına virüs bulaşabilir, çeşitli kişisel verilerini çaldırabilir ve finansal kayba uğrayabilir.

Bağış talebi ise kültürel bir davranış olan muhtaç durumdaki kimselere yardımcı olma duygusunu istismar etmeyi hedefler. Sahte bahaneler ve durumlar söz konusudur.

Arkadaşınızdan gelen bir e-postada tanımadığınız birine ya da kuruma yardım talebi varsa bu bir sosyal mühendislik saldırısı emaresi olarak kabul edilebilir, dikkatli olunmalıdır.

2- Oltalama çabaları

Tanıdık ama aslında hesabı çalınmış biri tarafından gönderilen e-postalara ek olarak hedef gözetmeden çok sayıda oltalama e-postası ya da spear phishing denen hedef odaklı e-postalar gelebilir. Bu tür siber saldırılarda ağırlıklı olarak;

  • Bir problem açıklanır,
  • Para kazanıldığı, gerçek olamayacak kadar büyük bir fırsatın söz konusu olduğu belirtilir,
  • Bir konuda yardım talep edilir.

Sosyal mühendislik yapan dolandırıcılar e-postalar veya SMS’ler yoluyla hedeflerine bazı bilgilerin doğrulanması gerektiğini ifade eden iletiler ulaştırır. Bunların içerisinde genelde link bulunur ve tıklanması halinde hedefi, ‘klon’ ya da ‘sahte’ bir siteye yönlendirir. Dikkatli bir kullanıcı bazı detayların normal görünmediğini fark edecektir; zira yazım yanlışlar, anlatım bozuklukları, kullanılan görsellerde, logolarda sorunlar dikkat çeker. Eğer farkına varılmazsa kurban, sahte web sitesinde kendisinden istenen bilgileri doldurur (kredi kartı/banka kartı bilgileri de çalınmak isteniyor olabilir) ve siber korsan amacına ulaşır.

Büyük bir para kazanıldığı vaadiyle hedeflerini tuzağa düşürmeye çalışan e-postalar ve SMS mesajları son derece yaygındır. Bu tuzaklarda kullanılan hile genellikle değişmez, ödül veya parayı göndermek için hedeflenen kimselerden banka hesap bilgileri, bazı özel veriler talep edilir veya yönlendirilen sahte sitedeki sahte formun doldurulması istenir.

Yardım mesajları, cömertlik ve nezaket duygularının suistimali üzerine kuruludur. Birinin ya da bir yerin büyük bir felakete uğradığı ve yaraların sarılması adına bağış toplandığı söylenir. Senaryo yalan olduğu gibi toplanan paralar da vadedildiği yere ulaşmaz.

Elbette cömertlik ve yardım severlik yanlış davranışlar değildir, ancak bağış taleplerinin güvenilirliğinden tam olarak emin olunması gerekir.

3- Yemleme

İstediği şeyler önüne serilen hedef, adım adım tuzağa çekilir. Buna en güzel örnek torrent siteleridir. Bu tip sitelerde normalde binlerce TL fiyatlı yazılımların ve izlemek için ücretli üyelik gerektiren filmlerin/dizilerin indirilmesine imkân tanınır. Ancak buna karşın kullanıcının bilgisayarlarına farkında olmadan zararlı yazılım bulaşır.

4- Sorulmamış soruya cevap vermek

Bir kurum veya kuruluş adına ulaştığını söyleyen müşteri temsilcisi rolündeki sosyal mühendislik yapan dolandırıcı, ücretsiz bir hizmet kazanıldığını veya normalde pahalı olan bir şeyin çok daha ucuza alınabileceğini belirtir. Bu taktik telefon görüşmesinin yanı sıra e-posta yoluyla da kullanılabilir. Genellikle kişisel bilgilerin güvenin istismarı ile birlikte telefonun karşısındaki kötü niyetli kişiye söylenmesi hedeflenir. E-posta üzerinden gerçekleştirildiğinde sahte sitelerin tıklanması ve sahte formların doldurulması beklenir.

Saldırılardan korunmak

Sosyal mühendislik saldırısı altında olduğunuzu, genel tavırlar ve yöneltilen sıra dışı iltifatlarla anlamanız mümkün. Müşteri temsilcilerinin nazik olması beklenir, ancak telefondaki ‘sahte’ müşteri temsilcisi, zaman zaman bu kibarlıktan uzaklaşabilir. Bu ipucundan yola çıkarak karşınızdaki kişinin bir sosyal mühendislik yapan dolandırıcı olduğunu tespit edebilirsiniz. Ek olarak sizden talep edilen bilgilerden yola çıkabilirsiniz; örneğin hiçbir banka sizden online şifrenizi veya kredi kartınızın arkasındaki güvenlik kodunu talep etmez, eğer biri bunları talep ediyorsa bir sosyal mühendislik yapan dolandırıcı ile görüşüyorsunuz demektir.

Telefon aramaları, sosyal mühendislik yapan dolandırıcılar tarafından sıklıkla kullanılır. Kendilerini müşteri temsilcisi, polis, asker, savcı gibi göstererek istedikleri şeyleri yaptırmaya çalışırlar. Bu noktada arayanın gerçekten iddia ettiği kişi olup olmadığının teyit edilmesine gayret edin. Çağrı sonlandırılarak ilgili banka ya da kurumun numarasını arayın. Para talep eden ve korkutacak şeyler anlatan kişileri dinlemeyin, telefonu kapatıp en kısa sürede kolluk kuvvetlerine başvurun.

Eklenti ve link barındıran e-postalara karşı çok temkinli olun. E-posta aracılığıyla kişisel verilerinizi, kullanıcı adı-şifre gibi bilgilerinizi göndermeyin. Gerçekten form doldurmanız gerekiyorsa ilgili kurum ya da kuruluşun resmî web sitesine giderek orada doldurun. Gönderen kişinin güvenilirliğinden emin olmadığını durumlarda varsa linklere tıklamayın ve eklentileri indirmeyin. Sizi heyecanlandıran ve aşırı vaatler içeren e-posta ve SMS içeriklerinin bir sosyal mühendislik tuzağı olduğunu aklınızdan çıkarmayın.

Kullanılan yazılımlar ve işletim sistemlerinde güncellemeler yapmayı ihmal etmeyin.

Son olarak cihazlarınızı korumak için siber güvenlik yazılımı kullanabilirsiniz.

Aşağıda sosyal mühendislikle ilgili oldukça kapsamlı bir video yer alıyor, iyi seyirler dileriz.

Etiketler:
Okumaya Devam Et

Son Eklenenler

Online Alışverişte Sahte Ürünlerle Kurulan Tuzaklar
Haberler6 gün önce

Online Alışverişte Sahte Ürünlerle Kurulan Tuzaklar

“Phish ‘n’ Ships” adı verilen oltalama saldırısında 1.000’den fazla güvenilir alışveriş sitesinde sahte ürün listeleriyle kredi kartı bilgilerinin ele geçirildiği...
Son Gelişmeler2 hafta önce

Yapay Zeka ve Dolandırıcılık: ChatGPT-4o ile Yeni Nesil Riskler
Haberler3 hafta önce

Yöneticilerin %70’i Çalışanlarında Siber Güvenlik Açığı Olduğunu Bildirdi
Daha Fazla Görüntüle

Videolar

Yardım Paketi – Gerçek hayatta bunları yapmazsınız, internette de yapmayın!
Videolar4 sene önce

Yardım Paketi – Gerçek hayatta bunları yapmazsınız, internette de yapmayın!

Gerçek yardımseverler kişisel bilgilerinizi istemezler! Kişisel bilgilerinizi gerçek hayatta olduğu gibi internette de kimseyle paylaşmayın, oltaya gelmeyin! Dolandırıcıların ekmeğine taş...
Videolar4 sene önce

Uygulama Dükkanı – Gerçek hayatta bunları yapmazsınız, internette de yapmayın!
Videolar4 sene önce

Oyuncu Koltuğu – Gerçek hayatta bunları yapmazsınız, internette de yapmayın!
Daha Fazla Görüntüle

Haberler

Siber Saldırılara Davetiye Çıkaran Parola Alışkanlıkları
Haberler4 hafta önce

Siber Saldırılara Davetiye Çıkaran Parola Alışkanlıkları

Güvenlik teknolojilerindeki gelişmelere rağmen, pek çok birey ve kurum, güvenli olmayan kimlik doğrulama yöntemlerine bağlı kalmaya devam ediyor. Bu eski...
Haberler1 ay önce

VPN Kullanmanın Faydaları ve Dikkat Edilmesi Gerekenler
Haberler1 ay önce

Yatırım Dolandırıcılığına Karşı Bilinçli Yatırımcı Olmak
Daha Fazla Görüntüle

Güvenlik Önerileri

Zararlı Yazılımlardan Nasıl Korunursunuz?
Güvenlik Önerileri1 sene önce

Zararlı Yazılımlardan Nasıl Korunursunuz?

Zararlı yazılım, kuruluşların ve bireylerin karşılaşabileceği en yaygın siber güvenlik tehditlerinden birisidir. Zararlı yazılımlardan korunmak için geliştirilen yazılımlar her ne...
Güvenlik Önerileri1 sene önce

Sesiniz En Büyük Savunmasızlığınız Olabilir
Güvenlik Önerileri1 sene önce

Kart Verileriniz Açığa Çıktığında Ne Yapmalısınız?
Daha Fazla Görüntüle