Mehmet Deniz Özkahraman tarafından yazılmıştır.
Sosyal Mühendislik Kavramı ve Phishing Saldırıları
Herkese merhaba, ben Mehmet Deniz Özkahraman. Bu yazımda birbiriyle bağlantılı iki konudan bahsetmek istiyorum. İlk olarak 'Sosyal Mühendislik' kavramını ele alacağım, ardından geçmişin, günümüzün ve geleceğin en tehlikeli saldırılarından biri olan 'Phishing Saldırıları' üzerinde duracağım. Bu yazıyı, sizlere farkındalık kazandırma motivasyonuyla yazıyorum, umarım başarılı olurum. Keyifli okumalar dilerim.
Sosyal Mühendislik Nedir?
Günümüzün hızla gelişen teknoloji dünyasında siber güvenlik yalnızca yazılım ve donanım düzeyinde değil, insan düzeyinde de bir sorundur. Burada karşımıza çıkan kavramlardan biri de “sosyal mühendislik”. Sosyal mühendislik, kişisel bilgileri elde etmek için insanların duygusal ve zihinsel tepkilerini manipüle etmeyi amaçlayan bir saldırı taktiğidir.
Genel algı artık bu yönde olsa da, 'Sosyal Mühendislik' temelinde insan manipüle etme sanatıdır. Bu sanatı iyi ya da kötü yönde kullanmak diğer her şeyde olduğu gibi insanın elindedir. Burada şu soruyu soruyor olabilirsiniz: insan manipüle etmenin neresi iyi olabilir? Açıkçası bu soruya bir çok cevap verilebilir. Örneğin; bir psikolog, danışanına 'sosyal mühendislik' teknikleri sayesinde farklı bakış açıları kazandırabilir veya bir polis memuru sorgu esnasında sosyal mühendislik teknikleri sayesinde istediği bilgilere ulaşabilir. Az önce bahsettiğim gibi kavramları ve teknikleri iyi ya da kötü olarak sınıflandıramayız. İyi ya da kötü olan insandır. Dolayısıyla, genel kanının aksine 'sosyal mühendislik' kavramı temelinde bir manipülasyon sanatı olarak tanımlanabilir. Göz ardı edilmemesi gereken önemli bir nokta ise bu sanat neredeyse tamamen kötü amaçlar için kullanılmaktadır.
Sosyal Mühendisliğin Temel İlkeleri
Sosyal mühendislik, genellikle bir saldırganın hedeflenen kişiyi kandırmak, yanıltmak veya manipüle etmek için psikolojik yöntemleri kullanmasıyla gerçekleşir. Bu taktikler arasında sahtekarlık, ikna etme, güven kazanma ve oltalama (phishing) gibi yöntemler bulunur. Sosyal mühendisler, kurbanlarının güvenini kazanarak, gizli bilgileri elde etmeye çalışırlar. Örneğin, bir saldırgan bankacılık bilgilerine erişmek istiyorsa, sahte bir e-posta göndererek kurbanlarına resmi bir bildirim gibi görünen bir mesaj iletebilir ve böylece hesap bilgilerini çalabilir.
Son günlerde artan yabancı numaralardan gelen çağrılar ve mesajlar aslında bakıldığında çok basit bir 'Sosyal Mühendislik' taktiğidir. Daha temele inersek, yazının ikinci kısmında bahsedeceğim tipik bir 'Phishing' saldırısıdır aslında. Saldırganın amacı kurban kişinin çağrılara veya mesajlara dönmesidir. Saldırgan kurbanı tuzağa çektikten sonra en basit ihtimalle arama veya mesaj başına para kazanacaktır. Daha kötü ihtimalle ise kurbana özel planlanmış bir senaryo ile banka hesaplarının boşaltılmasına kadar giden bir süreç başlayacaktır.
Sosyal Mühendisliğin Tehlikeleri
Sosyal mühendislik sadece bireyler için değil, işletmeler, kuruluşlar ve hatta devletler için de büyük bir tehlike oluşturur. Çünkü en gelişmiş siber güvenlik önlemleri bile, insanların dikkatsizliği veya duygusal tepkileri sonucu ortadan kalkabilir. Örneğin, bir çalışanın sosyal medya üzerinden paylaştığı bilgiler, saldırganlara hedef seçilecek kişi veya kuruluş hakkında kritik bilgiler sağlayabilir.
Bu noktada, 'Who am I' filminden bir alıntı yapmak istiyorum: "No system is safe!" Çünkü temelinde insan olan hiç bir sistem %100 güvenli değildir ve insan her zaman psikolojik açıdan saldırıya uğramaya açık bir varlıktır. Unutmayın, saldırganların en çok sevdikleri ben asla kandırılmam diyenlerdir.
Phishing Saldırıları
Günümüzde dijital dünyanın gelişmesi ile birlikte, siber suçlar da karmaşık ve sofistike hale gelmiştir. Bu suçların başında gelen "phishing saldırıları", kullanıcıların duygusal tepkilerini manipüle ederek değerli kişisel ve finansal bilgileri elde etmeyi amaçlayan tehlikeli bir taktiktir. Türkçeye, "oltalama saldırıları" olarak çevrilebilir.
Yukarıda bahsettiğim 'Sosyal Mühendislik' sanatının en popüler taktiklerinden biri olan 'Phishing Saldırıları' geçmişte olduğu gibi günümüzde de çok kişinin canını yakmaya devam ediyor. Gelecekte de yeni yöntemler geliştirilerek devam edeceği kaçınılmaz. Dolayısıyla, bu konuda bilinçli olmak kendimiz ve çevremiz açısından kritik öneme sahip.
Phishing Saldırıları Ne Anlama Geliyor?
Phishing saldırıları, saldırganların genellikle e-posta, SMS veya sahte web siteleri aracılığıyla hedeflerini kandırmayı amaçladığı siber saldırı türüdür. Saldırganlar, resmi görünen iletiler veya siteler kullanarak kullanıcıların güvenini kazanmaya çalışır. Örneğin, sahte bir banka e-postası, kullanıcıları hesap bilgilerini güncellemeye veya şüpheli aktiviteleri kontrol etmeye yönlendirebilir.
Yukarıda, 'Phishing' saldırısına örnek bir mail bulunuyor. Saldırgan sahte bir 'helpdesk' mail adresi ile kurbana ilgili yazılımın aktif edilmesiyle ilgili bir mesaj atıyor. Mesaj içeriğinde bir zararlı bağlantı linki var. Bu, kurbanı 'CLICK HERE' bağlantısına tıklaması için hazırlanan bir saldırı maili. Saldırıdan habersiz olan kurban bağlantıya tıkladığı durumda tuzağa düşmüş oluyor.
İkinci fotoğrafta ise son zamanlarda benzerlerine sıklıkla rastlanan bir SMS görüyoruz. Saldırgan sizi kolay yoldan para kazanabileceğinize inandıran bir SMS atıyor ve sizden bir cevap bekliyor. Bu cevap, mesaj yoluyla da olabilir arama yoluyla da olabilir. Her iki durumda da hazır olan senaryo uygulanıyor. Genellikle bir çekilişe katıldığınızdan ve yüklü bir miktar para kazandığınızdan bahsediliyor fakat bu parayı size yollayabilmeleri için sizden 'kazandığınız' ödülün yanında çok düşük bir vergi ödemenizi bekliyorlar. Sürekli bitmek bilmeyen bu 'küçük' miktar para isteme durumu siz dolandırıldığınızı fark edene kadar devam ediyor.
Phishing Saldırılarının Çeşitleri
- E-posta Phishing: Saldırganlar, resmi görünen e-postalar göndererek, kullanıcıları sahte web sitelerine yönlendirmeye çalışırlar. Bu tür saldırılarda genellikle acil bir durum yaratılır ve kullanıcıların hızla tepki vermesi istenir.
- Spear Phishing: Bu tür saldırılarda, saldırganlar belirli bir kişi veya kuruluş hakkında detaylı araştırma yaparlar. Hedefin ilgi alanlarına veya pozisyonuna uygun sahte iletiler hazırlayarak, inandırıcılığı artırırlar.
- Whaling (Balina Avı) Phishing: Bu saldırılarda, genellikle üst düzey yöneticilere veya kurum liderlerine yönelik sahte iletiler gönderilir. Finansal veya stratejik bilgileri elde etmek amaçlanır.
- SMS (Kısa Mesaj) Phishing: Saldırganlar, sahte kısa mesajlar aracılığıyla kişisel bilgileri veya tıklama bağlantılarını çalmaya çalışırlar. Özellikle cep telefonlarına gelen bu mesajlar genellikle acil durumlar veya ödül kazanma gibi konuları içerir.
Sosyal Mühendislik ve Phishing Saldırılarından Korunma Yolları
- Şüpheci Olmak: Gelen e-posta, SMS veya bağlantılara karşı her zaman şüpheci olun. Tanımadığınız veya beklenmedik bir kaynaktan gelen iletilere dikkat edin.
- Bağlantıları Kontrol Etme: Bir bağlantıya tıklamadan önce üzerine gelerek gerçek URL'yi kontrol edin. Eğer bağlantı güvenilir görünmüyorsa, tıklamaktan kaçının.
- Kişisel Bilgi Paylaşımı: Hiçbir resmi kuruluş veya organizasyon, e-posta veya mesaj yoluyla kişisel veya finansal bilgilerinizi istemez. Bu tür taleplere karşı dikkatli olun.
- Güvenlik Yazılımları: İyi bir antivirüs programı ve güvenlik duvarı kullanarak cihazlarınızı koruma altına alın.
- Eğitim ve Farkındalık: Kendinizi ve çalışanlarınızı phishing saldırılarının tehlikeleri konusunda eğitin. Saldırıları tanıyabilme ve önleme becerileri kazanmak, büyük bir önem taşır.
Bu yazımda sizlere, 'Sosyal Mühendislik' kavramından ve 'Phishing' saldırılarından bahsettim. Okuduğunuz için teşekkür ederim. Bir sonraki yazıda görüşünceye dek güvenle kalın!
Mehmet Deniz Özkahraman
————————————————————————————————————————-
Aşağıdaki adreslerden bana ulaşabilirsiniz.
E-mail: [email protected]
Linkedin: mdenizozkahraman
Twitter: @mdenizsec , @denizozkahraman
Github: mdenizozkahraman