Sosyal Mühendislik

Günümüzde sanal ortam yani internet ortamı hayatımızın çok önemli bir parçasıdır. Artık bankacılık işlemleri, alışveriş, hastane randevusu alma gibi güvenlik gerektiren birçok işlemimizi internet ortamında yapmaktayız. İnternet ortamında yaptığımız işlemler için kimlik ve adres bilgilerinin yanında kredi kartı bilgilerimizi kullanmaktayız. Ayrıca alışveriş siteleri, e-devlet ve bankacılık sistemlerine giriş için kullanıcı adı, e-mail adresi ve şifre bilgileri gerekmektedir. Kişiye özel olan bu gibi önemli bilgileri paylaşırken bu bilgilerin güvenliğini sağlamak da çok önemlidir. Bu tür bilgilerin kötü niyetli kişilerin eline geçmemesi gerekmektedir. Hâl böyleyken sosyal mühendislik ile insanların zaafları kullanılarak bu tür önemli bilgilerin ele geçirilmesi amaçlanmaktadır. Peki sosyal mühendislik nedir? Sosyal mühendislik insanların tanımadıkları biri için yapmayacakları şeyleri yapmalarını sağlama sanatıdır. Teknoloji kullanımından çok insanların hile ile kandırılarak onlar hakkındaki bilgilerin elde edilmesidir. Güvenliği ciddi anlamda tehdit eden ve güvenlik önlemlerinin aşılmasını kolaylaştıran en önemli unsurların başında insan faktörü gelmektedir. Sosyal mühendislikte de teknik altyapılar ve sistemler yerine insanların zafiyetleri kötüye kullanılmaktadır.

Sosyal mühendislik, basit tarifiyle dolandırıcılığa benzese de genelde bilgi sızdırmak veya bir bilişim sistemine sızmak için kullanılabilen bir yöntemdir. Bu yöntemde genel olarak saldırgan, mağdur ile yüz yüze gelmez. İnsanları aldatmak, sistemlere girmekten çok daha kolay olduğu için en sık yapılan saldırılardan biri sosyal mühendisliktir. Bir sosyal mühendislik tehdidinde, hedefi kandırmak için insan duyguları (genellikle korku ve aciliyet) kullanılır. Hedefin genellikle hassas müşteri bilgileri veya kimlik doğrulama bilgileri ele geçirilmeye çalışılır. Bunun nasıl yapıldığını anlamak için günümüzde yaygın olan örneklerine bakmakta yarar vardır:

1.Kendilerini “polis”, “asker”, “savcı” olarak tanıtanlar
2.“Ödül Kazandınız” gibi mesajlar göndererek insanlardan bilgi ya da para talep edenler
3.İnternet paketiniz bitti diyerek kişisel bilgilerinizi sızdırmak isteyenler
4.İnsanların kolay para kazanmaya yönelik zaaflarını kullanarak insanları dolandırmak isteyenler
5.İnsanları gerçek süsü verilen sahte sitelere yönlendirenler

Saldırganların en belirgin özellikleri ise şunlardır:

1. Yardımsever görünürler.

2. Telefonları ve interneti iyi kullanırlar.

3. İyi giyimli ve iyi konuşan kişilerdir.

4. Güven kazanma eğilimindelerdir.

5. İnsanların korku, ahlakî zorunluluk, açgözlülük, şehvet, suçluluk duygusu gibi zaaflarını kullanmaya çalışırlar.

6. İkna kabiliyeti olan insanlardır.

7. Etkileyici, nazik ve sempatik bir tavır sergilerler.

8. Basit soruların arasına esas bilmek istedikleri kilit soruları sıkıştırırlar.

9. Suçluluk hissettirme ve acındırma en çok kullandıkları psikolojik yöntemlerdendir.

10. Genelde insanların yalnız olmasına dikkat ederler.

Kendinizi korumak için ilk olarak yapmanız gereken, sosyal mühendislik saldırılarının nasıl tespit dileceğini, engelleneceğini, durdurulacağını öğrenmektir. Biri veya birilerinin sizi hedef almaya çalıştığından şüpheleniyorsanız o kişi ile bir daha asla iletişim kurmayın. Sizinle telefon hattı üzerinden irtibat kuruyor ise telefonu kapatın ve ardından arayan kişiyi engelleyin. Eğer çevrim içi sohbette iseniz bağlantınızı sonlandırın.

Bunların yanı sıra olası saldırıları engellemek için yapılması gerekenler:

1.Kişisel / özel bilgilerinizi internet ortamında paylaşmayın. Ne kadar az bilgi paylaşırsanız (forum siteleri, e-posta adresleri ya da sosyal medya siteleri) saldırıya uğrama riskiniz o kadar az olur.

2.Şifrelerinizi paylaşmayın. Hiçbir kurum ya da kuruluş şifrenizi sormak için sizinle iletişime geçmez. Eğer birileri size şifrenizi soruyorsa bu bir sosyal mühendislik saldırısıdır.

3.Sizinle irtibat kuran kişileri ve numaraları sorgulayın. Bankanızdan ya da servis sağlayıcınız gibi kuruluşlardan aranabilirsiniz. Bu aramalarda özellikle arayan numaranın doğruluğundan emin olun. Arayan numaranın yetkili kuruluşa ait olup olmadığını kontrol edin.

4.Sizinle irtibat kurulursa yalnız kalmamaya dikkat edin. Çünkü saldırganlar insanların yalnızlığından faydalanırlar. Yalnız olan insanı kandırmak çok daha kolay olmaktadır.

5.Sizinle irtibat kuran kişiler özel bilgilerinizi sizinle paylaşıp daha fazlasını isterse bile bu bilgileri onlarla paylaşmayın. Kredi kartı, banka hesap bilgileri, adres, kimlik bilgileri, kullanıcı adı ve şifreniz gibi bilgilerinizi kesinlikle kimseyle paylaşmayın.

6.Arayan numaradan şüphelendiyseniz telefon numarasını Google’a ya da diğer arama motorlarına yazın ve bu numaraya ait yorumlar olup olmadığını kontrol edin. Çoğunlukla internette şüpheli numaralara yorumlar olmaktadır.

7.Telefonunuzda “Arayan kimliği” ve “Spam” korumasını açarak arayan numaranın spam olup olmadığını görebilirsiniz. Spam olan numaralar şüpheli numaralardır. Bu numaralara çok dikkat etmek gerekmektedir.

8.Bir internet sitesinde yada sosyal medya ortamında iken önünüze gelen her bağlantıya tıklamayın. Saldırganlar genelde mağdurların tıklaması için sahte bağlantı linkleri oluştururlar ve mağdurlar bu sahte linkleri tıkladıktan sonra tuzağa düşürülüp bilgileri ele geçirilir.

Günümüzde insanlar sosyal mühendislik saldırılarına çok yaygın olarak uğramaktadırlar. Şunu unutmayalım ki bu saldırılardan korunmak için en büyük görev bize düşmektedir. Bu nedenle sosyal medya ortamında ve telefon görüşmelerinde çok dikkat etmeliyiz. Sosyal medyada her bağlantıya itibar etmemeliyiz. Tanımadığımız kişiler ve bağlantılara karşı dikkatli davranmalıyız. Özellikle telefon görüşmelerinde tanımadığımız, bilmediğimiz numaralara karşı çok dikkatli davranmalıyız. Olası saldırıları engellemek için gereken hassasiyeti sağlamalıyız ve saldırılardan korunmak için yukarıda belirtilenleri mutlaka uygulamalıyız.

Rıza Mallı