Sosyal mühendislik, hedeflenen bir kurbanı bilgi ve verilerini vermesi için psikolojik olarak manipüle etmeyi amaçlayan siber suçlular tarafından gerçekleştirilen kötü niyetli faaliyettir.
Sosyal mühendislikte hedef alınan şey bir sistem değil, sisteme giriş yapmak için hedef alınan gerçek kişilerdir. Her sistem bir kişi tarafından hazırlanır ve bu sisteme giriş yapabilme yetkisi sadece belli kişilere verilir. Bu nedenle aşılması en imkansız olan sistemler bile gerekli materyaller sağlandığında kolaylıkla geçilebilir hale gelir.
Sosyal Mühendisliğin kullanım alanı hayatın her alanıdır. Fakat okunuşta ve teoride her ne kadar kolay gibi görünse de gerçek bir sosyal mühendis olmak oldukça zordur ve yılların getirdiği tecrübeleri gerektirmektedir. Bir sosyal mühendis, hedeflediği kitle, kişi, kurum veya firma hakkında olabildiğince bilgi toplamak zorundadır. Hedefine ulaşmak için her adımı ilmek ilmek işlemek durumundadır. Sosyal mühendislerin bir çok bilgi toplama yöntemleri ve araçları vardır. Bunların en bilindiği, neredeyse herkesin kullandığı, artık kullanmayanın kalmadığı günümüzün teknolojisi “internet”dir. Hedefine ulaşmak isteyen saldırgan internet üzerinden olabildiğince bilgiler toplayacaktır.
Sosyal mühendislik, tıpkı bir senaryo üretmek gibidir. Üretilecek bu senaryonun tek bir amacı vardır; o da sisteme giriş yapabilmek için yeteri kadar bilgiyi ele geçirebilmektir. Sosyal mühendislik saldırılarında genellikle insanların zaafları, korkuları ve dikkatsizlikleri en büyük silah olarak kullanılır. İstenilen bilgiyi ele geçirmek için size farklı biri olarak ulaşabilir, güveninizi kazanmak için arkadaş olabilir ve hatta dahi randevulaşabilir.
Kurumların ya da kişilerin çöplerinde bulunabilecek imha edilmemiş dokümanlar üzerinde bulunan ve geçerliliğini yitirmemiş bilgiler sayesinde kurumlar ve kişiler hakkında önemli bilgilere ulaşılabileceğinden bahsedilebilir.
- Bilginiz başkalarının eline geçebilir.
- Bağlı olduğunuz kurum veya kuruluşun onuru, toplumdaki imajı zarar görebilir.
- Donanım, yazılım, veri ve kurum çalışanları zarar görebilir.
- Önemli verilere erişim engellenebilir, parasal kayıplar ve vakit kaybı yaşanabilir.
Sosyal mühendislik teknikleri:
- Omuz Sörfü
- Çöp Karıştırma
- Truva Atları
- Rol Yapma
- Oltalama
- Tersine Sosyal Mühendislik
Sosyal mühendislik sızma hedefleri:
- Sistemi Ele Geçirme
- Kritik Bilgilere Erişim
- Hedef Sistemlere Erişim Sağlama
- Yönetici Hakkı Elde Etme
- Sistemde Kalıcı Olma
- Gizlilik
Sosyal mühendislik sızma çeşitleri:
- Fiziksel Sosyal Mühendislik
- Telefon İle Sosyal Mühendislik
- Mail Yoluyla Sosyal Mühendislik
Kendimizi Nasıl Koruruz?
Kendinizi korumak için ilk olarak yapmanız gereken, sosyal mühendislik saldırılarının nasıl tespit edileceğini, engelleneceğini, durdurulacağını öğrenmektir. Biri veya birilerinin sizi hedef almaya çalıştığından şüpheleniyorsanız, o kişi ile bir daha asla iletişim kurmayın. Sizinle telefon hattı üzerinden irtibat kuruyor ise telefonu kapatın. Eğer çevrimiçi sohbette iseniz bağlantınızı sonlandırın. Eğer güvenmediğiniz bir yerden gelen bir e-posta ise, eklentilerini indirmeyin ve bahse konu e-postayı silin.
- Kişisel/Özel Bilgilerinizi Paylaşmayın: Saldırganlar hakkınızda ne kadar çok bilgiye sahip olursa size o kadar kolay ulaşıp istediklerini yaptırmak için sizi yanlış yönlendirebilir. Her bilgi internet ortamında paylaşılmamalıdır.
- Şifrelerinizi Paylaşmayın: Hiçbir kurum ya da kuruluş şifrenizi sormak için sizinle iletişime geçmez. Eğer birileri size şifrenizi soruyorsa bu bir sosyal mühendislik saldırısıdır.
- Sizinle İrtibat Kuran Kişileri Sorgulayın: Bankanızdan ya da servis sağlayıcınız gibi kuruluşlardan aranabilirsiniz. Arayan kişi hakkında herhangi bir şüpheniz varsa arayan kişinin adını ve ona ulaşabileceğiniz bir numarayı isteyerek güvenilir bir kaynaktan kuruluşa ait telefon numarasını bulabilirsiniz.
- Güvenilir Olmayan Kaynaklara Dikkat Edin: Bir dosya indirmek istediğinizde güvenilir kaynaklardan ve mümkünse doğrulanmış yapımcılardan indirmelisiniz ve bilgisayarınızda düzenli olarak virüs taraması yapmalısınız.
Bu makale yatırım tavsiyesi veya önerisi içermemektedir. Her yatırım ve alım satım hareketi risk içerir ve okuyucular karar verirken kendi araştırmalarını yapmalıdır.
