• Sosyal Mühendislik –
    görünmez tehdit

Siber suçlular, güven kazanmak ve insanları hassas verileri açıklamaya veya bilmeyerek kendi çıkarları doğrultusunda hareket etmeye ikna etmek için hedefli manipülasyon kullanır. İkna edici bahaneler ve sahte kimliklerle, günlük zayıflıklardan faydalanırlar. Sosyal mühendisliğin nasıl çalıştığını ve erken uyarı işaretlerini daha iyi nasıl tanıyacağınızı buradan öğrenin.

Mission Security

Önemli noktalar:

Man’s hand capturing a white queen with a black rook on a chessboard

Gizli bilgileri koruyun: Sosyal platformlarda asla kişisel veya profesyonel ayrıntılar, projeler, kişiler veya gizli bilgiler paylaşmayın.

Several people sitting next to each other on a bench, each holding a smartphone and looking at it

Bilinmeyen kişilerle dikkatli olun: Kişisel veriler, parolalar veya başkalarının iletişim bilgileri gibi hassas bilgileri yabancılarla paylaşmayın. Taleplerin meşruiyetini değerlendirmek için daima zaman ayırın. Bankalar ve saygın şirketler, müşterilerinden asla e-posta veya telefon yoluyla gizli bilgiler girmelerini istemezler.

Woman sitting at a desk with a laptop and writing tools, holding a smartphone while looking at it pensively with her hand on her temple

İçgüdülerinize güvenin: Olağandışı istekleri sorgulayın ve şüpheli olayları derhal bildirin – profesyonel bir ortamda BT departmanına veya güvenlik ekibine, veya kişisel bir ortamda polis veya tüketici koruma ajansı gibi resmi raporlama merkezlerine.

Sosyal Mühendislik nasıl çalışır

Sosyal mühendislik, güven kazanmak ve hassas bilgiler elde etmek için psikolojik manipülasyon kullanır. Kimlik avı, pretexting ve baiting gibi teknikler, hedef kişileri aldatmak ve saldırıları hazırlamak için kullanılır. Siber suçlular, ortamdaki kişileri ve zayıflıkları özel olarak analiz ederler.

Bu yöntemleri bilmek, bir dolandırıcılık girişiminin işaretlerini zamanında tanımanıza yardımcı olabilir:

icon

Kimlik Avı (Phishing)

Kimlik avı, saldırganların parolalar, kredi kartı verileri veya diğer kişisel bilgiler gibi hassas bilgileri çalmak için sahte e-postalar, SMS'ler veya web siteleri kullandığı yaygın bir yöntemdir. Genellikle güvenilir kurumlar gibi davranırlar.

icon

Pretexting

Pretexting'de, saldırganlar kurbanın güvenini kazanmak ve kurbanın gönüllü olarak açıklayacağı hassas bilgileri elde etmek için inandırıcı bir hikaye ve kimlik uydururlar. Örneğin, banka çalışanları, kargo hizmetleri veya telefonla teknik destek gibi davranırlar ve görünüşte meşru bir amaç için veri veya erişim talep ederler.

icon

Yemleme (Baiting)

Yemleme, insan merakını kullanır: saldırganlar, ücretsiz bir indirme veya görünüşte çekici bir dosya gibi bir teşvikle kurbanlarını tuzağa düşürürler. Genellikle bu yemler, sistemi enfekte eden kötü amaçlı yazılımlarla donatılmıştır. Kimlik avıyla karşılaştırıldığında, yemlemede belirli bir "yem" bulunur.

icon

Kuyruk takibi (Tailgating veya Piggybacking)

Bu yöntemde, saldırganlar yetkili bir kişinin arkasından fark edilmeden bir binaya sızarak korunan alanlara fiziksel erişim sağlarlar.

icon

Sesli Kimlik Avı (Vishing) (ses + kimlik avı)

Sesli kimlik avı, saldırganların güvenilir kişiler veya kuruluşlar gibi davranarak aramalar yoluyla hassas bilgiler elde etmeye çalıştığı kimlik avının telefon varyantıdır.

icon

Karşılık (Quid pro quo)

Bu senaryoda, saldırganlar görünüşte teknik destek veya bir yarışma gibi bir hizmet sunar ve bilgi veya sistemlere erişim sağlamak için kurbanın güvenini kötüye kullanır.

Bu yöntemler, sosyal mühendislerin hedeflerine ulaşmada ne kadar çok yönlü ve yaratıcı olduklarını göstermektedir. Kendinizi korumak için uyanık olmak ve sağlıklı şüphecilik çok önemlidir.

StayInformed

Sosyal mühendisler yapay zekayı nasıl kullanıyor?

  • Ses klonlaması kullanarak, sesli mesajlarda, telefon aramalarında ve görüntülü konferanslarda bilinen bir kişinin sesiyle konuşurlar.
  • Metin oluşturucular kullanarak, kimlik avı mesajları için sahte metinler oluştururlar.
  • Sosyal mühendislik kullanarak siber saldırıları hazırlamak için, hedef şirket ve çalışanları hakkındaki yapay zeka tabanlı bilgileri kullanırlar.

Sosyal mühendisliğe karşı kendinizi nasıl aktif olarak korursunuz

Bir aciliyet duygusu veya beklenmedik kişiler gibi tipik uyarı işaretlerine dikkat edin. Her zaman dikkatli olun ve gönderenin adreslerini, telefon numaralarını ve içeriği dikkatlice kontrol edin. Sağlıklı bir şüphecilikle, sosyal mühendislik girişimlerini erken tanıyabilir ve kendinizi etkili bir şekilde koruyabilirsiniz.

  • Dikkatli olun: Özellikle gizli bilgi taleplerini içeren olağandışı istekleri, beklenmedik aramaları veya e-postaları eleştirel bir şekilde sorgulayın.
  • Şüpheli etkinliği bildirin: Olası bir sosyal mühendislik saldırısı fark ederseniz, e-posta sağlayıcınıza, taklit edilen şirkete veya BT veya güvenlik departmanınıza derhal bildirin.
  • Güvenli iletişim kurun: Hassas verileri yalnızca güvenli kanallar aracılığıyla gönderin – örneğin şifreli e-posta yoluyla. Bir web sitesi aracılığıyla veri gönderirken, adres çubuğundaki asma kilit simgesine dikkat edin. Bağlantının güvenli olduğunu gösterir. Sizden bir şey isteyen kişinin gerçekten iddia ettiği kişi olduğunu her zaman doğrulayın.
  • Eğitim kullanın: Güvenilir medya, uzman portalları veya resmi kaynaklar aracılığıyla mevcut dolandırıcılık yöntemleri ve güvenlik riskleri hakkında bilgi sahibi olun. Kurumsal bir ortamda, dahili eğitimler ve bilgi veri tabanları değerli bilgiler sağlar.

StayInformed

Hedef kişileri manipüle etmek için siber suçlular şu psikolojik stratejileri kullanır:

  • Otorite: Hükümet, profesyonel amirler veya diğer güvenilir kurumlar gibi davranırlar ve hızlı bir yanıt talep ederler.
  • Benzerlik: Hedefle sözde benzerlikler aracılığıyla bir köprü kurarlar.
  • Karşılıklılık: Sempatik görünen kişisel bir etkileşim ile başlarlar.
  • Nadirlik: Hedeflerini kısa bir süre için geçerli bir etkinlik veya ürünle cezbederler.
  • Tutarlılık: Bahane tutarlı ve anlaşılır görünür.
  • Uzlaşma: Hedef kişinin talep edilen davranışın normal ve güvenli olduğuna inanması sağlanır.

Sosyal Mühendislik saldırılarının tipik örnekleri

Woman’s hand holding a smartphone, viewed from the front

Kimlik avı: beklenmedik iletişim istekleri

Saldırganlar, sosyal medya platformlarında tanıdıklar, çalışanlar, işe alım uzmanları, etkileyiciler veya şirketler gibi davranırlar. Görünüşte zararsız bir iletişim kurduktan ve başlangıçta güven oluşturduktan sonra, sahte giriş sayfaları veya yarışmalar gibi bağlantılarla dolandırıcılık mesajları gönderirler.

Yemleme: merdiven boşluğunda bulunan USB bellek

Bir USB bellek, ortak bir giriş alanında veya otoparkta unutulmuş gibi görünür. Merakından dolayı bilgisayarına takan kişi, veri çalan veya bilgisayarı kilitleyen kötü amaçlı yazılımı yükler.

Hand inserts a USB stick into the side of a laptop

Kişisel ortamda:

  • Kimlik hırsızlığı: Ad, adres veya doğum tarihi gibi kişisel veriler, örneğin sözleşme imzalanması veya hesap açılması için kötüye kullanılabilir.
  • Finansal kayıplar: Dolandırıcılar, kimlik avı veya sahte ödeme istekleri aracılığıyla hesaplara veya ödeme hizmetlerine doğrudan erişim sağlayabilirler.
  • Kişisel fotoğraf veya içeriğin kötüye kullanılması: Özel bilgiler yayınlanabilir, manipüle edilebilir veya şantaj için kullanılabilir.
  • Çevrimiçi hesaplara erişim: Saldırganlar, e-posta kutularına, sosyal medya hesaplarına veya bulut hizmetlerine erişim sağlayarak dijital kimlikleri ele geçirirler.
  • Güven kaybı: Etkilenen kişiler, özellikle kişisel bağlantılar söz konusu olduğunda incinmiş veya ifşa edilmiş hissedebilirler.
  • Düzeltmek için yüksek çaba: Hesapları, verileri veya itibarı düzeltmek uzun ve zahmetli olabilir.

Profesyonel ortamda:

  • Finansal hasar: Saldırılar, dolandırıcılık, verilerin kötüye kullanımı veya teknoloji kesintileri nedeniyle maliyetli olabilir.
  • İtibar kaybı: Bir güvenlik olayı, müşterilerin ve ortakların güvenine kalıcı olarak zarar verebilir.
  • Hassas iş bilgilerine tehdit: Şirket içi bilgiler kötüye kullanılabilir.
  • Kişisel etki: Özel veriler kimlik hırsızlığı veya dolandırıcılık için kullanılabilir.
  • Artan koruyucu önlemlerin tetiklenmesi: Saldırılar, kapsamlı karşı önlemler gerektirir ve BT ve güvenlik ekipleri üzerindeki yükü artırır.

SSS: "Sosyal Mühendislik" hakkında sıkça sorulan sorular

Show content of Sosyal mühendislik saldırısının kurbanı olursam ne yapmalıyım?

Etkilenen tüm parolaları derhal değiştirin, bankanız veya işvereniniz gibi etkilenen kurumları bilgilendirin ve hesaplarınızı yetkisiz faaliyetlere karşı izleyin.

Show content of Sosyal mühendislik saldırısı profesyonel ortamınızı etkiler mi?

Olayı BT departmanınıza ve yöneticinize bildirin.

Show content of Sosyal Hacking nedir?

Halka açık bir ortamda bir kişiye yaklaşarak parola girerken onu gözlemlemek veya filme almak.

Aşağıdaki ilgili konuları keşfetmeye devam edin…

Close-up of an inbox with spam and phishing emails

Phishing (oltalama) Phishing (oltalama)

Woman with a shocked expression on her face clutches her heart with her hand while holding a phone to her ear.

Vishing Vishing

A person holds a tablet showing an AI chatbot

Yapay Zekâ Yapay Zekâ