Kişiyi En Çok Hedefleyen Sosyal Mühendislik Saldırıları

İnternet dünyasının çok uzun zamandır her nimetinden yararlanır hale geldik. Sürekli aktif olarak bulunduğumuz online sistem kişilerden kurumlara doğru ilerledikçe, dolandırıcılık suçu da bu alana taşındı. Kurumların müşterilerinin bilgilerinin ele geçirilmesi, ödeme talebi ya da hediye vaadiyle kullanıcılardan para alınması gibi durumlar internet dünyasının önlenemez dolandırıcılık suçları haline geldi. Fakat bunlardan en eskisi ve en köklüsü halen sosyal mühendislik saldırıları.

Sosyal mühendislik saldırıları kişisel bilgilere yönelik yapılan dolandırıcılık yöntemidir. Bunu ilk aşamada direkt bireysel bir internet kullanıcı olarak düşünebilirsiniz fakat durum bu kadar basit değil. Sosyal mühendislik saldırılarının amacı, internet dünyasına aktif olarak yer alan kurumların çalışanları üzerinden dolandırıcılık yapabilmek. Peki bu ne anlama geliyor?

Sosyal mühendislik saldırılarında öncelikle işlemlerin yapılacağı kurum hedef alınıyor. Sonrasında karşımıza çok fazla çıkan bankaların ya da kurumların sahte isimli adresleri değil de direkt kişiler kullanılıyor. Bunun için de kurumun çalışanları içerisinde internette doğru şifreleme yapamayan ya da çok fazla siteye üye olan kişi tespit ediliyor ve ona yönelik çalışmalar başlatılıyor. Bu çalışmaların ardından kolaylıkla sistemine giriş yapılabilen kişi sayesinde kurumun tüm müşteri bilgileri hatta bazen bankacılık bilgileri bile ele geçirilebilir hale geliyor.

Bunu bir örnekle açıklamak gerekirse… Örneğin bir bankada pazarlamacı olarak çalışıyorsunuz ve internet dünyasında aktif olarak yer alıyorsunuz. Kullanıcı alışkanlıklarınız her site için aynı ve olmaması gerektiği şekilde sürekli aynı şifreyi kullanıyorsunuz. Sosyal mühendislik saldırılarını gerçekleştirenler için araştırıldığında sizin sürekli aynı şifreyi kullandığınızı tespit etmek zor değil ve hemen sizin üye olabileceğiniz bir portal ile size ulaşabilirler. Size ulaşan site üzerinden oluşturduğunuz giriş bilgileri ile artık ellerindesiniz. Bu bilgilerle kişisel olarak verilerinizi ele geçirebilecekleri gibi çalıştığınız kurumun bilgilerini de tehlikeye atmış oluyorsunuz istemeden.

  

Kandırma sistemi hakim

Sosyal mühendislik saldırılarının en büyük farkı sadece internet üzerinden açılan dolandırıcılık sistemi olmamasından kaynaklanıyor. İlk örneğinden bu yana düzenlenen iletişim sistemleri ile bilgilerinizi almak üzere kandırılmanız en etkili yöntem. Siz aslında zaten bilgilerinizi vermeniz gereken birilerine telefonda ya da internette aktarım yaparken bir anda kişisel verileriniz başkalarına geçmiş oluyor. Sürekli olarak kullandığınız kurum ya da kuruluşlarla yaptığınız iletişimlerde bile direkt olarak sosyal mühendislik saldırılarına maruz kalabilirsiniz. Bir nevi sosyal hacklenme de denebilir.

      

Sosyal mühendislik saldırılarının iki yolu

1. İnsan Tabanlı: Kullanıcılardan direkt iletişim kurarak bilgi alma aşamasıdır. Bu aşamada telefonda ya da internet üzerinden dolandırıcılık yapacak kişi kullanıcıya yakın olan birini taklit ederek bilgileri alabilir.
2. Bilgisayar Tabanlı: Phishing konusunun en çok ön plana çıktığı alandır. Sahte internet sitesi, sosyal medya hesabı, reklamlar ile kullanıcıların esas hedeflediği alanlardan çok başka yerlere bilgi girişinin yapılması sağlanır.

Sosyal mühendislik saldırılarının zararları

Yetkisiz erişim: Kurumların sistemlerine erişimi olmayan dolandırıcıların bilgi ederek bu girişleri sağlayabilmesi.

İtibar Kaybı: Kurumların müşterilerinin gözünde bilgi dağıtan ve kendi güvenliklerini hiçe sayan markalar olarak görünmesi.

Veri Hırsızlığı: Kurumlara giriş yapan dolandırıcıların çalışma sistemini aksatması, para talep etmesi ya da verileri çalarak satışa sunması.

Hizmet Durdurma: Ele geçirilen kurumların internetteki varlıklarına erişimin kapatılması ve kurumların maddi kayıp yaşaması.

              

Sosyal mühendislik saldırılarına karşı güvenlik önlemleri

Sosyal mühendislik saldırıları büyük noktada şirketleri hedef aldığı için öncelikle veri dosyalarının iyi saklanması gerekiyor. Uygun yazılım oluşturarak ayarlanacak karmaşık şifreler ile kolay erişimin önünü kapatmaya başlamış olursunuz. Bunun düzgün sağlanabilmesi için de kurumların güvenlik politikalarının iyi belirlenmesi ve bu çalışmaların sistemli yürütülmesi gerekmektedir. Hatta uluslararası alanda uygulanan gizlilik politikaları ile kurumsal firmalar kendini daha yüksek koruma altında hissetmektedir.

Kurum çalışanları üzerinden gerçekleşebilecek sosyal mühendislik saldırıları için de eğitimler çok önemli. Kullanıcıların hangi alanda ve hangi şartlarda bilgilerini paylaşmasının doğru olduğunu anlamak için verilen phishing ve siber suçlar eğitimi çok faydalı olacaktır. Bu eğitimlerde özellikle altı çizilen parola işlemleri ve şüphecilik noktası ile internet suçları hakkında daha bilinçli çalışanlar elde edilmesi mümkün.