Sosyal Mühendislik Nedir?
Sosyal mühendislik, özel bilgi, erişim veya kıymetli varlıkları elde etmek için insan hatasından yararlanan bir manipülasyon tekniğidir. Siber suç dünyasında, bu “insan korsanlığı” dolandırıcıları, dikkatsiz kullanıcıları verilerini ifşa etmeye, kötü amaçlı yazılım bulaştırmaya veya kısıtlı sistemlere erişim izni vermeye ikna etme eğilimindedir. Saldırılar çevrimiçi, yüz yüze ve diğer etkileşim yollarıyla gerçekleşebilir.
Sosyal mühendisliğe dayalı dolandırıcılıklar, insanların düşünme ve hareket etme yolları üzerine kuruludur. Bu bakımdan, sosyal mühendislik saldırıları özellikle kullanıcının davranışlarını yönlendirmek için kullanılır. Saldırgan, bir kullanıcının eylemlerini nelerin belirlediğini anladığında, kullanıcıyı etkin bir şekilde kandırıp yönlendirebilir.
Buna ek olarak, bilgisayar korsanları kullanıcının bilgi eksikliğinden de faydalanmaya çalışırlar. Teknolojinin hızı nedeniyle, birçok tüketici ve çalışan istenmeyen programın kullanıcı izni dışında bilgisayara otomatik indirilmesi (drive-by downloads) gibi bazı tehditlerin farkında değildir. Ayrıca kullanıcılar, telefon numaraları gibi kişisel verilerinin ne kadar değerli olduğunun farkında olmayabilir. Sonuç olarak, birçok kullanıcı hem kendilerini hem de bilgilerini en iyi şekilde nasıl koruyacaklarından emin değildir.
Genel olarak, sosyal mühendislik saldırganları şu ikisinden birini hedef alır:
Sabotaj: Zarar vermek veya rahatsızlık yaratmak için verileri bozmak veya tahrip etmek.
Hırsızlık: Bilgi, erişim veya para gibi değerli varlıkların çalınması.
Sosyal Mühendislik Saldırı Türleri Nelerdir?
Sosyal mühendislik saldırılarının birkaç farklı türü vardır:
1. Phishing: Phishing, bir kişinin veya kuruluşun resmî görünümlü bir web sitesini taklit eden sahte bir web sitesi oluşturarak, kullanıcıların hesap bilgilerini veya diğer hassas bilgilerini ele geçirmek için yapılan bir saldırıdır.
2. Spear Phishing: Spear phishing, belirli bir kişiyi veya kuruluşu hedefleyen phishing türüdür. Saldırganlar, hedef kişinin ilgi alanlarına veya işiyle ilgili konulara yönelik sahte bir e-posta veya mesaj göndererek, güvenini kazanmaya çalışır.
3. Pretexting: Pretexting, bir kişinin kimliğini taklit ederek, hedef kişinin güvenini kazanmak için yapılan bir saldırıdır. Saldırganlar, hedef kişinin güvenini kazanmak için sahte bir kimlik veya hikâye kullanır.
4. Baiting: Baiting, kullanıcılara cazip bir öğe sunarak, kullanıcıların bilgisayarlarına zararlı yazılımlar yüklemelerini sağlayan bir saldırıdır. Örneğin, bir saldırgan bir USB bellek bırakabilir ve üzerinde "Maaş Bordroları" gibi bir etiket olabilir. Bu etiket, kullanıcıların USB belleği bilgisayarlarına takmasını ve içindeki zararlı yazılımı açmasını sağlar.
5. Tailgating: Tailgating, bir kişinin güvenlik geçiş noktasından geçerken, bir başka kişinin arkasına sızarak geçiş yapmasıdır. Bu tür saldırılar genellikle, hedef kişinin güvenliğe olan güvenini kötüye kullanarak yapılır.
Bu tür sosyal mühendislik saldırıları, siber suçluların bilgi toplama, dolandırıcılık veya yetkisiz erişim gibi amaçlarla insanların güvenini kötüye kullanmasına neden olur. Bu nedenle, bilgi güvenliği açısından son derece önemli olan bu tür saldırılara karşı dikkatli olunması gerekmektedir.
