Sosyal mühendislik, internet kullanıcılarının güvenlik açısından hata yapmalarını ve/veya hassas bilgilerini paylaşmalarını sağlamak üzere gerçekleştirilen bir dizi kötü amaçlı faaliyete denir. Sosyal mühendisler, hedeflerinin güvenini kazanmak için farklı kimliklere bürünebilir. Ayrıca psikolojik manipülasyon ve sahte etkileşimler gerçekleştirebilir.
Sıklıkla karşılaşılan “ödül kazandınız” tarzında mesajlar sosyal mühendislik tekniklerinin başında gelir. Bu örnekte sosyal mühendisler bir linke yönlendirme yaparak kişilerin bilgilerini ele geçirmeyi hedefler.
Daha çok panik yaratarak manipülasyon yapmak için ise polis veya savcı gibi davranabilirler. Kişisel bilgilerinize ulaşmanın yanı sıra bu yöntemde para talep eden sosyal mühendisler de bulunur.
Sosyal mühendislik saldırıları
Sosyal mühendisliğin oldukça çeşitli saldırı türleri bulunur. Tüm sistem insanları manipüle edip yönlendirmek üzerinden döndüğü için çok farklı hallerde karşınıza çıkabilir. En sık karşılaşılan üç saldırı türü aşağıda sıralanmıştır.
Oltalama (phishing)
Elektronik bankacılık, alışveriş uygulaması kullanıcılarından sonra kripto varlık kullanıcıları da sosyal mühendislerin hedef aldığı insanlar arasında yer alıyor. Bu kullanıcıların varlıklarını ve bilgilerini ele geçirebilmek için uygulanan siber saldırı türleri arasında en yaygın olanı ise, ‘oltalama’ adı verilen yöntemdir. Bu yöntemle sahte içeriğe sahip web siteleri, sosyal medya hesapları, e-postalar, telefon aramaları üzerinden kullanıcılar hakkında daha fazla bilgi edinme ve/veya kullanıcıya ait değerli varlıkların çalınması hedeflenir.
Baiting
Baiting, kişilerin meraklarını cezbederek ya da onları korkutarak zararlı yazılımların bilgisayarlarına yüklenmesini sağlayan sosyal mühendislik türüdür. Eskiden bu yöntem zararlı yazılımların bulunduğu USB belleklerin çeşitli yerlerde bırakılmasıyla yürütülmüştür. Günümüzde ise yönlendirme içeren mesajlardaki linkler üzerinden zararlı yazılımlar kişilerin cihazına yüklenebilir.
Omuz sörfü
Adından da anlaşılabileceği üzere omuz sörfü kişilerin cihazlarını gizlice gözlemlemeyle yapılan saldırı türüdür. ATM’lerde ya da toplu taşımalarda bilgilerinizi girerken bu kişiler bilgileri kopyalayabilirler.
Sosyal mühendislik saldırılarından korunma
Sosyal mühendislik saldırıları sıklıkla görülse de bunlardan korunmak hala kullanıcının elindedir. Öncelikle bunun bir manipülasyon türü olduğunu unutmamak gerekir. Bu sebeple kullanıcıların resmi olduğundan emin olmadığı hiçbir linke tıklamaması gerekir.
Ayrıca korkmanızı sağlayabilecek türde mesajlar için de mutlaka bir avukata danışıp fikir almak mantıklı olacaktır. Dikkatli ve tedbirli yaklaşımların ötesinde alınabilecek bazı temel güvenlik önlemleri de bulunur.
Bilgi paylaşımı ve yönlendirmeler
Sosyal medya hesaplarında kişisel bilgiler paylaşılmamalı, kimliği doğrulanmamış kişilerden gelen e-postaların içindeki bağlantılara tıklanmamalı, dosyalar indirilmemeli ve şüpheli telefon aramalarına karşı dikkat edilmelidir. Özellikle sosyal medya platformlarında paylaşılan bilgilerin, saldırganların hedef profili tanımaları ve buna göre içerik üretmelerine yardımcı olduğu daima göz önünde bulundurulmalıdır.
Paribu resmi hesapları dışındaki sahte hesaplar ve sosyal medya platformlarında verilen “ödül kazandınız” reklamları, kullanıcıların kişisel bilgilerini ele geçirmek üzere uygulanan oltalama yöntemine iyi bir örnektir. Bu gibi durumlarda mağduriyet yaşamamak adına, Paribu’nun resmî hesapları dışında yapılan hiçbir paylaşım dikkate alınmamalı ve yönlendirilen farklı alanlara kesinlikle kullanıcı bilgileri girilmemelidir.
Parola ve erişim güvenliği
Öncelikli güvenlik tedbirlerinden bir diğeri parola güvenliğidir. Üye olunan tüm uygulama ve sistem erişimlerinde güçlü parolalar kullanmak ve bunları belirli aralıklarla değiştirmek gereklidir. Örneğin; Paribu erişimlerinde güvenliği artırmak amacıyla güçlü parolanın yanı sıra, çok faktörlü kimlik doğrulama (2FA, MFA) yöntemi uygulanabilir.
Bununla birlikte üçüncü şahısların kullanıcıyı bir uygulamaya giriş yaparken izleyerek bilgi çaldığı bilinmeli ve buna karşı dikkatli olunmalıdır. Uygulama şifreleri kimseyle paylaşılmamalıdır.
Bilgisayar veya mobil cihazlara yüklenen uygulamalar, kötü niyetli yazılım barındırma ihtimaline karşı güvenilir platformlardan indirilmelidir.
Tüm bu önerilere dikkat ederek sosyal mühendislik saldırılarına karşı kendinizi ve varlıklarınızı koruyabilirsiniz.
