Webinar’a Katılın | Siber Tehditlere Karşı Güçlü Koruma

Sosyal mühendislik, büyük ölçüde insan etkileşimine dayanan bir saldırı vektörüdür ve genellikle sistemlere, ağlara veya fiziksel konumlara yetkisiz erişim elde etmek veya mali kazanç elde etmek için insanları normal güvenlik prosedürlerini ve en iyi uygulamaları çiğnemeleri için manipüle etmeyi içerir.

Siber saldırıların %98’i sosyal mühendisliği içeriyor. Bir çalışanı kötü amaçlı bir bağlantıya veya e-postaya tıklamaya teşvik etmek için güvenilir bir kişi kılığına girmeyi, oturum açma kimlik bilgilerini ele geçirmek için güvenilir bir bankacılık kurumu gibi davranmayı veya hedef sistemlere giriş elde etmek için tasarlanmış benzer faaliyetleri içerebilir.

Sosyal mühendislik saldırıları kimi hedefler?

Üç temel sosyal mühendislik türünden phishing, belirli bireyleri ve grupları hedefler. Siber suçlular bu saldırıları gerçekleştirmek için e-posta, kısa mesaj veya telefon görüşmeleri kullanabilse de bazı phishing türleri diğerlerinden daha belirgindir.

Genel olarak phishing saldırılarını aşağıdakilere dayanarak belirleyebilirsiniz:

  • E-postalarda, telefon görüşmelerinde veya metinlerde alışılmadık bir aciliyet duygusu
  • Alışılmadık dilbilgisi veya ifade hataları içeren e-postalar
  • E-posta gövdesinde şüpheli görünen bağlantılar

Siber suçlular phishing saldırıları uygularken genellikle önceden araştırma yapar. Kurbanlarının isimlerini ve bireylerin çalıştığı önceki şirketler gibi bazı özel kişisel bilgileri biliyor olabilirler. Failler daha sonra bu bilgileri, phishing girişimini masum kurbana meşru hissettirmek için kullanır.

Spear phishing saldırıları, en çok hedeflenen phishing türüdür. Hassas verilere üst düzeyde erişimi olan kişileri, kimlik bilgilerini ifşa etmeye veya bu veri ortamlarına başka bir şekilde erişim sağlamaya ikna etmek için tasarlanmıştır.

Phishing türü ne olursa olsun, bu sosyal mühendislik dolandırıcılıkları yalnızca bir kuruluştaki kullanıcılar nasıl çalıştıklarının farkında değilse etkilidir.

Sosyal Mühendislik Saldırı Türleri

1. Baiting

Saldırgan flash drive gibi kötü amaçlı yazılım bulaşmış bir fiziksel aygıtı bulunacağından emin olduğu bir yere bırakır. Hedef daha sonra cihazı alır ve istemeden kötü amaçlı yazılımı yükleyerek bilgisayarına yerleştirir.

2. Phishing

Kötü niyetli bir taraf, meşru bir e-posta kılığında, genellikle güvenilir bir kaynaktan geliyormuş gibi görünen sahte bir e-posta gönderdiğinde. Mesaj, alıcıyı finansal veya kişisel bilgileri paylaşması veya kötü amaçlı yazılım yükleyen bir bağlantıya tıklaması için kandırmayı amaçlamaktadır.

3. Spear Phishing

Phishing benzer ancak saldırı belirli bir kişi veya kuruluş için tasarlanmıştır.

4. Vishing

Sesli phishing olarak da bilinen vishing, hedeften mali veya kişisel bilgi toplamak için telefon üzerinden sosyal mühendislik kullanımını içerir.

5. Whaling

Belirli bir phishing saldırısı türü olan whaling(balina avcılığı) saldırısı, finans müdürü veya icra kurulu başkanı gibi yüksek profilli çalışanları hedef alarak hassas bilgileri ifşa etmesi için hedeflenen çalışanı kandırır.

6. Pretexting

Bir taraf, ayrıcalıklı verilere erişim elde etmek için diğerine yalan söyler. Örneğin, bir pretexting (bahane) dolandırıcılığı, alıcının kimliğini doğrulamak için finansal veya kişisel verilere ihtiyacı varmış gibi davranan bir saldırganı kapsayabilir.

7. Scareware

Bu saldırı türü, kurbanı bilgisayarlarına kötü amaçlı yazılım bulaştığını veya yanlışlıkla yasa dışı içerik indirdiğini düşünmesi için kandırmayı içerir. Saldırgan daha sonra kurbana sahte sorunu çözecek bir çözüm sunar; gerçekte kurban, saldırganın kötü amaçlı yazılımını indirmesi ve kurması için kandırılır.

8. Watering Hole

Saldırgan, ağ erişimi elde etmek amacıyla ziyaret ettikleri ve güvendikleri bilinen web sitelerine bulaşarak belirli bir grup insanı tehlikeye atmaya çalışır.

9. Diversion Theft

Bu tür bir saldırıda, sosyal mühendisler bir teslimat veya kurye şirketini kandırarak yanlış teslim alma veya bırakma konumuna gitmesini sağlayarak işlemi durdurur.

10. Quid pro quo

Bu, toplum mühendisinin hedefin bilgisi veya yardımı karşılığında bir şeyler sağlıyormuş gibi yaptığı bir saldırıdır. Örneğin, bir bilgisayar korsanı, bir kuruluş içindeki bir dizi rastgele numarayı arar ve bir bilete yanıt veren bir teknik destek uzmanı gibi davranır. Sonunda, bilgisayar korsanı meşru bir teknik sorunu olan birini bulur ve ona yardım ediyormuş gibi davranır. Bu etkileşim sayesinde bilgisayar korsanı, kötü amaçlı yazılımı başlatmak için komutlarda hedef tipine sahip olabilir veya parola bilgilerini toplayabilir.

11. Honey Trap

Bu saldırıda toplum mühendisi, bir kişiyle çevrimiçi etkileşim kurmak, sahte bir çevrimiçi ilişki kurmak ve bu ilişki aracılığıyla hassas bilgiler toplamak için çekici bir kişi gibi davranır.

12. Tailgating

Bazen piggyback olarak da adlandırılan tailgating (arkadan takip etme), bir bilgisayar korsanının yetkili bir erişim kartına sahip birini takip ederek güvenli bir binaya girmesidir. Bu saldırı, binaya meşru erişimi olan kişinin, orada olmalarına izin verildiği varsayılarak, arkasındaki kişi için kapıyı açık tutacak kadar nazik olduğunu varsayar.

13. Rogue Security Software

Bu saldırı türü, hedefleri kötü amaçlı yazılımın sahte olarak kaldırılması için ödeme yapmaları için kandıran bir tür kötü amaçlı yazılımdır.

14. Dumpster Diving

Bu saldırı türü, bir kişinin, kuruluşun ağına sızmak için kullanılabilecek yapışkan notlar veya kağıt parçaları üzerine yazılmış şifreler veya erişim kodları gibi bilgileri bulmak için bir şirketin çöp kutusunda arama yaptığı bir sosyal mühendislik saldırısıdır.

15. Pharming

Bu tür çevrimiçi dolandırıcılıkta, bir siber suçlu bir bilgisayara veya sunucuya kullanıcıyı otomatik olarak sahte bir web sitesine yönlendiren kötü amaçlı kod yükler ve burada kullanıcı kişisel bilgilerini vermesi için kandırılabilir.

Sosyal mühendislik saldırılarından nasıl korunabiliriz?

Sosyal mühendislik saldırılarına karşı koruma, hem kullanıcılar hem de kuruluşlar tarafından adımlar atılmasını gerektirir.

Bireysel olarak atmanız gereken adımlar:

  • Şüpheli kaynaklardan gelen e-postaları ve ekleri açmayın

Söz konusu göndereni tanımıyorsanız, bir e-postayı yanıtlamanız gerekmez. Onları tanıyor olsanız ve mesajlarından şüpheleniyor olsanız bile, çapraz kontrol yapın ve telefon veya doğrudan bir hizmet sağlayıcının sitesi gibi diğer kaynaklardan gelen haberleri onaylayın. E-posta adreslerinin her zaman sahte olduğunu unutmayın; güvenilir bir kaynaktan geldiği iddia edilen bir e-posta bile aslında bir saldırgan tarafından başlatılmış olabilir.

  • Çok faktörlü kimlik doğrulama kullanın

Saldırganların aradığı en değerli bilgi parçalarından biri, kullanıcı kimlik bilgileridir. Çok faktörlü kimlik doğrulamanın kullanılması, sistemden ödün verilmesi durumunda hesabınızın korunmasını sağlamaya yardımcı olur.

  • Cazip tekliflere karşı dikkatli olun

Bir teklif çok cazip geliyorsa, onu gerçek olarak kabul etmeden önce iki kez düşünün. Konuyu Google’da aramak, geçerli bir teklifle mi yoksa bir tuzakla mı karşı karşıya olduğunuzu hızlı bir şekilde belirlemenize yardımcı olabilir.

  • Antivirüs/Antimalware yazılımınızı güncel tutun

Otomatik güncellemelerin devreye girdiğinden emin olun veya her gün ilk iş olarak en son imzaları indirmeyi alışkanlık haline getirin. Güncellemelerin uygulandığından emin olmak için düzenli olarak kontrol edin ve olası enfeksiyonlara karşı sisteminizi tarayın.

  • Dijital Ayak izinizi küçültün

İnternette gezinirken kaydedilen verileriniz dijital ayak izinizi oluşturur. Çevrimiçi ortamda ve sosyal medyada ne kadar az paylaşımda bulunursanız, tehdit aktörlerinin sizi hedeflemesi o kadar zor olur. Kişisel bilgileri yayınlamaktan kaçının. Gerçek zamanlı tatil fotoğrafları veya çocuğunuzun okul adı gibi şeyler bile size karşı kullanılabilir.

İşletmeniz için atmanız gereken adımlar

  • Sızma testi

“Etik bilgisayar korsanlığı” yoluyla yapılan rutin güvenlik testleri, kuruluşunuzun sosyal mühendislik tehditlerini yaşam döngülerinin başlarında hızlı bir şekilde belirlemesine yardımcı olur. E-posta ve web uygulamaları gibi kimlik avına eğilimli varlıklar, bu tehditlerin etkisini en aza indirmek için sık sık test edilmelidir.

  • Kimlik ve erişim yönetimi

Siber suçlular kullanıcıların kimlik bilgilerini çalarsa, çok faktörlü kimlik doğrulama gibi identity and access management (IAM) kontrolleri, onların BT altyapınıza sızmasını azaltabilir.

  • Tehdit algılama

Şirketiniz, e-postalara gömülü kötü amaçlı yazılımları veya şüpheli bağlantıları belirlemek için otomatik tehdit algılama araçları kullanarak sosyal mühendislik risklerini de yönetebilir. Bu araçlar, tehdit imzalarını algılamak için tasarlanmıştır ve sizi phishing tehditlerinden korumaya yardımcı olur.

  • Olumlu bir güvenlik kültürü oluşturun

Kurbanların yalnızca %3’ü kötü niyetli e-postaları yönetime bildiriyor. Bunu yapana kadar ciddi hasar sistemi çoktan sarsmıştır.İşlerin daha da kötüye gitmeden önce mümkün olan en kısa sürede çözülebilmesi için, mağdurları olası siber güvenlik olaylarını, sonuçlarından korkmadan bildirmeye teşvik edin.

  • Devam eden güvenlik farkındalığı eğitimini taahhüt edin

BT uzmanlarının %60’ından fazlası, yeni işe alınanların sosyal mühendislik saldırılarına karşı en duyarlı kişiler olduğunu söylüyor. Bu nedenle, işe alım sırasında güvenlik farkındalığı eğitimini zorunlu hale getirin.

  • Sitenizi, uygulamanızı ve donanımınızı güncel tutun

Bilgisayar korsanları bir web sayfasında bir güvenlik açığı veya zayıflık fark ettiklerinde, bu sayfaya kötü amaçlı yazılım bulaştırabilirler. Bu daha sonra, Watering hole saldırısı olarak bilinen olayda tüm kullanıcıları hızla etkileyecektir. Kötü amaçlı yazılımdan koruma araçlarınızı, e-posta spam filtrelerinizi ve güvenlik duvarlarınızı güncel tuttuğunuzdan emin olun.

Dünyada Gerçekleştirilen Sosyal Mühendislik Saldırı Örnekleri

Bir sosyal mühendislik saldırısının belki de en ünlü örneği, Yunanlıların Truva kentine gizlice girip Truva ordusuna bir sembol olarak sunulan dev bir tahta atın içine saklanarak savaşı kazandıkları efsanevi Truva Savaşı‘ndan gelir.

Bir zamanlar “dünyanın en çok aranan bilgisayar korsanı” olarak tanınan Kevin Mitnick, bir Motorola çalışanını kendisine şirketin yeni kapaklı telefonu MicroTAC Ultra Lite’ın kaynak kodunu vermesi için ikna etti. Yıl 1992’ydi ve polisten kaçan Mitnick takma bir isimle Denver’da yaşıyordu. O sırada federal hükümet tarafından takip edilmekten endişe duyuyordu. Mitnick, konumunu yetkililerden gizlemek için kaynak kodunu Motorola MicroTAC Ultra Lite’ı hacklemek için kullandı ve ardından telefonun tanımlayıcı verilerini değiştirmeye veya cep telefonu kulelerinin telefona bağlanma özelliğini kapatmaya çalıştı.

Mitnick, cihazın kaynak kodunu almak için Motorola’yı aradı ve üzerinde çalışan departmana bağlandı. Daha sonra bir Motorola çalışanını iş arkadaşı olduğuna ikna etti ve o çalışanı kaynak kodunu kendisine göndermeye ikna etti. Mitnick sonunda tutuklandı ve bilgisayar korsanlığından beş yıl hapis yattı. Bugün o bir multimilyoner ve bilgisayar korsanlığı ve güvenlik üzerine bir dizi kitabın yazarı. Aranan bir konuşmacı olan Mitnick, aynı zamanda siber güvenlik şirketi Mitnick Security’yi de yönetiyor.

 

Çalışanların En Sık Karşılaştığı Sosyal Mühendislik Saldırıları

1.Bedavalara aşık olmak

Sonsuz pazarlama e-postaları gelen kutunuza bir göz atın ve bir dizi ücretsiz içerik veya ‘özel teklif’ indirimi bulacaksınız. Birçoğumuz bu tekliflerin ne kadar ‘özel’ olduğundan şüphe duysak da, çoğu çalışan bedava ikramların cazibesine karşı koyamaz. Sorun şu ki hiçbir şey gerçekten bedava değildir.

İşte tam da bu yüzden, hâlâ eski toplum mühendisliği hilesi olan “Özgür Yazılım”ın ortalıkta dolaştığını ve çalışanların hâlâ buna kandığını görüyoruz. İndirilmekte olan yazılım aslında ücretsiz olan bir şey olabilir. Bununla birlikte, zararlı web sitesini ziyaret etmenin riskleri vardır ve bu da kullanıcının virüslü veya güvenliği ihlal edilmiş yazılımları indirmesine neden olabilir.

Çalışanlarınız ‘paket’ yazılım sunan siteleri ziyaret ederken daha da fazla risk altında olabilir; bu da, sadece istediklerini elde etmek için ihtiyaç duymadıkları ek yazılımları indirmek zorunda kalabilecekleri anlamına gelir.

Çalışanlarınızı, şirketinizin yazılımı zaten lisanslayıp lisanslamadığını kontrol etmeleri için teşvik edin. Değilse, yazılım satıcısının web sitesini ziyaret etmek, gerçekten bu yazılımı sunduklarından ve sizin meşru bir kaynaktan indirdiğinizden emin olmanın basit ama etkili bir yoludur.

2. “Ama gerçek görünüyordu?!”

Belki de daha bariz olanı (yine de çalışanları çok sık kandıran) gerçek veya resmi görünen işle ilgili e-postalardır. “Ekli Fatura”, “İhtiyacınız olan dosya burada” ve “Bu özgeçmişe bakın” gibi satırlar daha başarılı türlerden bazıları olduğu için konu satırları bu e-postalar için çok önemli olabilir.

İşle ilgili sahte e-postaları tespit etmek zor olsa da, kart bildirimleri veya sosyal ağ hesapları gibi konulardaki ‘tüketici’ e-postaları şirketinize aynı derecede zarar verebilir. Bir çalışan, kişisel hesabı için parolasını sıfırlamak isteyen bir e-postayı tıklarsa, muhtemelen e-postanın nereden geldiğine yakından bakmayabilir, bu da bilgisayarlarına virüs bulaşmasına veya bilgisayarlarının ele geçirilmesine neden olabilir.

Bir e-postanın gerçekliğini kontrol etmenin hızlı ve kolay bir yöntemi, kullanıcının herhangi bir bağlantıya tıklamadan önce imlecini gönderenin e-posta adresinin üzerine getirmesidir.

Bu tür bir toplum mühendisliğinin sonucu olarak bir çalışanın hassas bilgileri değiş tokuş etme riski, güvenli bir dosya aktarım sistemi kullanılarak da önlenebilir, böylece dosyanın nereden geldiğini ve incelenip incelenmediğini bilirsiniz. Ayrıca kullanıcılar, alıcıdan ‘makroları’ etkinleştirmesini isteyen herhangi bir dosyanın rapor edilmesi gerektiği konusunda bilgilendirilmelidir çünkü bu, sistemin ele geçirilmesine yol açabilir.

3. Çalışırken sosyal medyada gezinmek

Çalışanlar iş sırasında Facebook, Twitter ve diğer sosyal platformlara göz atmayı tercih ettiğinde, kapı siber suçlular için geniş ölçüde açılabilir. Sosyal medya bir sosyal mühendislik saldırısının en yaygın bileşenidir, bunun ana nedenlerinden biri, birçok çalışanın, çoğumuz için günlük bir faaliyetten kaynaklanan potansiyel risklerin farkında olmamasıdır. Buna, sosyal medya kullanımına odaklanan güvenlik bilinci eğitimi eksikliğini de eklerseniz, başarılı bir saldırı için reçeteniz olur.

Mobil iş güçlerinin yükseliş trendi, şirket cihazlarında sosyal platformların kullanımında da bir artış gördü ve bu da bir kuruluş için önemli risklerin daha da artmasına neden oldu.

4. Sahte LinkedIn davetlerini kabul etmek

Popülaritesi artan en son dolandırıcılıklardan biri, LinkedIn’de bilgi toplamak için kullanılan sahte çalışan hesaplarının tanıtılmasıdır. Örneğin, birisi kuruluşunuzun bilinen bir üyesi (genellikle proje ekibinden biri veya şirket yöneticisi) gibi davranarak sahte bir LinkedIn hesabı oluşturur. Dolandırıcı, kuruluşunuzdaki bir kullanıcıyla bağlantı kurar ve ardından mesaj yoluyla iletişim kurmaya başlar.

Bir çalışan için, bir şirket yöneticisinin kendileriyle bağlantı kurması ve şirketle ilgili ayrıntıları istemesi, algılanan bu önem ve aciliyet duygusunun tüm şüpheleri gölgede bırakması anlamına gelebilir. Buradaki tehlike, çalışanın farkında olmadan hassas bilgileri bir siber suçluya vermesi ve bu bilgilerin daha sonra olası hedefli kimlik avı yoluyla şirketi hedef alan daha geniş bir kampanyada kullanılmasıdır.

LinkedIn aracılığıyla aldığımız yüksek hacimli bağlantı talepleri nedeniyle, sahte hesapları kabul etmekten kaçınmak zor olabilir. Atılabilecek bir adım, çalışanları kendi kuruluşları içinde bağlantı kurdukları kişinin iş adresine e-posta göndermeye teşvik etmektir (bu kişi bilgi istiyorsa).

5. Sahte BT Desteği

Yaygın olarak kullanılan başka bir sosyal mühendislik taktiği, BT Desteği gibi görünmek. Başarılı olursa, bu bir ağı büyük ölçüde etkileyebilir. Bu tür bir saldırı, saldırganın ağ bilgisayarlarına fiziksel erişimini sağlayabildiği için çok başarılıdır.

Birinin fiziksel erişime sahip bir bilgisayarın güvenliğini aşması yalnızca birkaç saniye alabilir. Bir sosyal mühendisin kullandığı en yaygın araçlardan biri, çok küçük, gizlenmesi kolay ve yapılması gereken göreve bağlı olarak farklı türde yüklerle kolayca yüklenebilen bir USB flash sürücüdür.

6. Parolaları Değiştirme

Bu tür bir sosyal mühendislik, bir işletmenin yardım masası desteğini aramaya ve onlardan, kılığına girdikleri kişinin şifresini değiştirmelerini istemeye dayanır. Bu bir vishing yöntemi olduğu için kişinin meşru olup olmadığını belirlemek çok zordur, insanlar sadece sesini duyabildiğiniz için telefon üzerinden kolayca manipüle edilebilir.

Çoğu zaman toplum mühendisi, yönetici veya CEO gibi üst düzey bir çalışan kılığına girer. Ne de olsa bir işletmenin sahip olduğu en önemli şeye, paraya ve verilere erişimi olan kişiler onlardır. Parolayı değiştirdikten sonra istedikleri şeye erişebilirler, ancak gerçek çalışanın erişememesi, yeniden erişim sağlamayı ve toplum mühendislerini feshetmeyi daha da zorlaştırır.

7. İsim bırakma

Bir e-postada güvenilir bir iş arkadaşının adından söz edildiğinden, bu toplum mühendisliği yöntemini tespit etmek çok zordur. Bir e-posta birinin adını içeriyorsa, bunun bir toplum mühendisinden gelmeyeceğini varsayarsınız.

Tıpkı her sosyal mühendislik dolandırıcılığında olduğu gibi, bu da duygularınıza dayanıyor, birine güvendiğinizde ne isterlerse yapacaksınız. Kimlik bilgilerinizi veya şifrenizi vermek anlamına gelse bile. Sorun şu ki, size o e-postayı gönderen ekranın arkasında kimin oturduğu hakkında hiçbir fikriniz yok.

  • En yaygın sosyal mühendislik saldırısı nedir?
    En yaygın kullanılan sosyal mühendislik saldırısı, Phishing (kimlik avı) saldırısıdır.
  • Phishing saldırısı nedir?
    Phishing, oturum açma kimlik bilgileri ve kredi kartı numaraları dahil olmak üzere kullanıcı verilerini çalmak için sıklıkla kullanılan bir tür sosyal mühendislik saldırısıdır.
  • Siber güvenlik farkındalık eğitimi kapsamı nedir? Kimler bu eğitimi almalıdır?
    Bu eğitim, çalışanları farklı siber güvenlik riskleri ve tehditleri ile potansiyel zayıf noktalar konusunda eğitme sürecini içerir. Çalışanlar, ağları ve verileri güvende tutmaya yönelik en iyi uygulamaları ve prosedürleri ve bunu yapmamanın sonuçlarını öğrenmelidir. Bu sonuçlar arasında kişinin işini kaybetmesi, cezai yaptırımlar ve hatta şirkete onarılamaz zararlar gelebilir.Siber güvenlik uzmanları, çalışanları tehditlerin kapsamı ve güvenlik başarısız olursa neyin tehlikede olduğu konusunda bilgilendirerek bu potansiyel güvenlik açığını destekleyebilir.
  • Bilinmeyen e-postaları açarken nelere dikkat etmelisiniz?
    • E-postalarda, metinlerde alışılmadık bir aciliyet duygusu
    • Alışılmadık dilbilgisi veya ifade hataları içeren e-postalar
    • E-posta gövdesinde şüpheli görünen bağlantılar

 

Kategoriler Makaleler