SOSYAL MÜHENDİSLİK NEDİR?
Sosyal Mühendislik; basit tarifiyle dolandırıcılığa benzese de, genelde bilgi sızdırmak veya bir bilişim sistemine sızmak için kullanılabilen bir yöntemdir.
Bu yöntemde genel olarak saldırgan mağdur ile yüz yüze gelmez. Kötüye kullanılan unsur ise sistem zafiyetleri değil insan zafiyetleridir.
Bilgi güvenliği bağlamında sosyal mühendislik, eylemleri gerçekleştirmeye veya gizli bilgileri ifşa etmeye yönelik olarak insanların psikolojik manipülasyonudur. Bu, gizli bilgilerin ifşa edilmesiyle ilgili olmayan sosyal bilimlerdeki toplum mühendisliğinden farklıdır.
Özet olarak Sosyal Mühendislik; insanların zayıf noktalarını kötüye kullanarak, aldatarak, zorlayarak ya da korkutarak kişisel bilgilerin ele geçirildiği bir dolandırıcılık türüdür.
Sosyal Mühendislik Nasıl Yapılır?
Aldatmak, kandırmak, dolandırmak gibi kavramlar binlerce yıldır var olmuş kavramlardır. Ancak saldırganlar bu tekniği dijital ortamda kullanmanın da son derece etkili olduğunu keşfetmiştir. Bu tekniğin nasıl kullanıldığını anlamak için günümüzde yaygın olan örneklerine bakmakta yarar vardır.
Dolandırıcılar, kişilere sözlü olarak, e-posta yoluyla veya sosyal medya üzerinden ulaşırlar ve şu şekillerde davranabilirler;
Telefonla ulaşıp;
- Banka çalışanı gibi davranarak iletişime geçip kişisel bilgileri ve/veya banka şifrelerini öğrenmeye çalışabilirler,
- Kredi kartı aidatlarını veya sigorta ücretlerini kişilere iade etmeye çalıştıklarını söyleyerek kişisel bilgi veya şifreleri öğrenmeye çalışabilirler.
- Güvenilir bazı kurumların adını vererek, hesaplarda şüpheli işlem yapıldığını öne sürüp, kişisel bilgi ve şifreleri ele geçirmeye çalışabilirler. Burada amaç, kişiyi paniğe sokup düşünmeden hareket etmelerini sağlamaktır.
- Kendilerini, polis, savcı, hakim gibi devlet görevlileri olarak tanıtıp, kişi üzerinde otorite kurarak istediklerini yaptırmaya yönlendirebilirler,
- Bankalardan arıyormuş izlenimi verip, COVID-19 nedeniyle, uzaktan işlem yapmak üzere aradıklarını söyleyebilirler.
İnternet Üzerinden Ulaşıp;
- Güvenilir kurumların e-mail adreslerini taklit edip kişisel bilgileri, bankacılık şifrelerini vb. öğrenmeye çalışabilirler.
- Zararlı ekler içeren sahte e-mailler aracılığı ile, cihazınıza casus yazılımlar yüklenmesini ve bu yollarla kişisel bilgilerin ele geçirilmesi yolunu izleyebilirler. Sahte e-mail gövdelerinde bulunan linkler, kişilerin cihazlarına zararlı yazılım yüklenmesini sağlayan sayfalara yönlendirebilir.
- Sosyal medya hesapları üzerinden, ödül kazanma, ödül paylaşma, bedava alışveriş vb. tekliflerle kişilerin karşılarına çıkabilirler,
- Yüksek limitli kredi kartı veya ek harcama limitleri vereceklerini söyleyerek sahte linklere (bağlantılar) veya sitelere yönlendirebilirler.
Sosyal Mühendisliğe Karşı Dikkat Edilmesi Gerekenler
- Hiçbir banka veya devlet görevlisi kişileri arayarak özel bilgileri ve şifreleri sormaz, sorgulayamaz. Bu tür arama ve sorulara itibar edilmemesi gerekir.
- Bu yönde bir arama alındığında, bankaların veya diğer finans kurumlarının internet siteleri, cep uygulamaları vb. ortamlarda işlem yapılmaması esastır.
- Google Play Store veya Apple AppStore dışında herhangi bir ortam üzerinden uygulama indirilmemeli ve kullanılmamalıdır.
- Bankaların veya diğer finans kurumlarının kendi web siteleri dışında, benzer site adresleri üzerinden sistemlerine girmeye çalışılmamalıdır.
- Gelen sahte e-mailler içinde şüpheli görülenlerin gönderici mail adresleri dikkatlice incelenmeli, gerekirse bankanın çağrı merkezinden teyit alınmadan hiçbir işlem yapılmamalıdır.
- Güvenli bağlantı sağlamayan LAN veya WI-FI ağları üzerinden bankacılık sistemlerine giriş yapmaktan kaçınılmalıdır.
- Tüm bankaların resmi web siteleri HTTPS bağlantısı sağlar. Güvenli bağlantı sağlamayan (HTTP) web sitelerine girmekten imtina edilmelidir.
- Sosyal mühendislik mağduru olmamak için mobil cihazlar, uygulamalar ve tarayıcılar sürekli güncel tutulmalıdır.
- Tanıdıklardan ve arkadaşlardan gelse bile, sosyal medya mesajları aracılığı ile gönderilen linkler tıklanmamalıdır. Sosyal medya hesaplarının ele geçirilmesi ve kötü amaçla kullanılması çok sık rastlanan bir durum halini aldı.
- Yine sosyal medya üzerinde karşılaşılan hediye, ücretsiz bonus avantajlar, yatırım ön ödemesi vb. taahhütlerde bulunan reklamlar veya bağlantılar tıklandığında, kötü amaçlı yazılımlara yönlendiren web sitelerine, uygulamalara ve ortamlara yöneltme ihtimali yüksektir.
- Yüksek limitli kredi, kredi kartı, ek hesap, kripto para vb. imkanlar sunacağını iddia eden reklam veya bağlantılara tıklamak da sosyal mühendislik kurbanı olmanın sık rastlanılan bir diğer seçeneğidir.
Sosyal Mühendislik Kurbanı Olmayın
Yukarıda bahsedilen durum ve ortamlardan şüphelendiğinizde, bankanın veya kurumun resmi telefon veya çağrı merkezi numaralarından ulaşarak teyit almak en doğru yaklaşım olacaktır.
Böylesi bir sosyal mühendislik çalışması ile karşı karşıya olduğunuzu hissettiğinizde, panik yapmadan görüşmeyi sonlandırın. size verilen talimatları, uygulama indirme önerilerini, savcı-polis iddialarını dikkate almayın.
Devlet görevlilerinin ve kurumlarının işleyiş ve iletişim tarzını bilmek oldukça önemlidir. Devlet kurumları veya görevlileri kişileri çok nadir olarak telefonla ararlar. Bu aramaların amacı da bilgi sormak değil, bilgi vermektir. Bunun haricindeki durumlarda, zaten kurumlar sizinle yasal tebligat yolları ile iletişim kuracaktır.