Son zamanlarda sıklıkla sosyal mühendislik saldırılarını duyar olduk. Sadece bilgi teknolojilerinde çalışanlar değil, sektör içerisinde olmayan, genci yaşlısı fark etmeksizin pek çok kişinin başına gelen bir saldırı şekli olarak karşımıza çıkıyor. Bununla birlikte phishing (oltalama) gibi yeni kelimeler de ortalıkta dolaşıyor. Peki nedir bu sosyal mühendislik?

Birçok siber saldırının başlangıç aşaması sosyal mühendisliktir. Siber saldırı deyince akla ilk olarak sosyal mühendislik gelmeyebilir fakat sosyal mühendislik yöntemlerinin oranı diğer yöntemlere göre oldukça yüksektir. Sosyal mühendislikte hedef, bilgisayarı kullanan kişinin zihnini bulandırarak bilgisayarını hacklemektir.

Sosyal mühendislik saldırıları temelde insan ve bilgisayar hedefli olmak üzere iki ana başlığa ayrılıyor. İnsan hedefli saldırılarda saldırgan kurbanla yüz yüze gelir. Böyle durumlarda beden dili kullanımının yeri oldukça büyüktür. Ancak yetenekleri üst düzey olmayan sosyal mühendisin, konuşma tarzı, jest ve mimikleri, ellerinin ve kollarının hareketleri, oturma şekli, göz kontağı kurması gibi birçok etken maskesini düşürmesine, kendini ele vermesine neden olabilir. Bu sebeple bazı durumlarda sosyal mühendisler kendilerini ele verme riskinden kaçınır ve kurbanlarıyla yüz yüze görüşmeyi pek tercih etmezler. Bilgi teknolojilerine gerçekleştirilen sosyal mühendislik saldırılarında ise kurbana bir bilgisayar, mobil cihazı gibi vektörler tercih edilir. Bu saldırı şekli görece daha etkilidir ve az risk taşır bununla birlikte saldırganın yakalanma ihtimalini daha da azaltır. Bu nedenle sosyal mühendislik saldırılarında tercih edilen yöntem bilgi teknolojilerinin kullanılması olmaktadır.

Bilgi teknolojilerinin kullanıldığı sosyal mühendislik saldırılarında genelde phishing (oltalama) gibi e-posta, vishing gibi telefonla arama veya kısa mesaj gönderme şeklinde karşımıza çıkmaktadır. Hedefli yapılan bir saldırılarda ise spear phishing (hedefli oltalama) yöntemi kullanılıyor. Fakat bunların dışında daha pek çok yöntemi olabiliyor. İnanması güç gelse de sosyal mühendisler; değersiz görüp çöpe attığınız belgelerden adres bilginizi, attığınız fişlerden gittiğiniz yerlere kadar birçok bilgi edinebiliyorlar.

Sosyal Mühendisler Hangi Yolları İzler?

Sosyal mühendislik, insanların psikolojisini etkileyerek, ikna etme yöntemleriyle zayıf yönlerini kullanarak onları aldatma sanatına denir. Evet, ne kadar kötü bir amaca hizmet etse de bu bir sanattır ve oldukça beceri gerektirir. Mağdur edecekleri kurbanları hakkında bilgi toplarlar ve plan yaparlar. Hatta A planının ötesinde B planı, C planı gibi olası bir hata durumunu kurtarabilmek için yedek planlar bulundururlar. Bu şekilde sistematik ilerleyebilirler. Toplanan bilgi, saldırı zamanı geldiğinde aşamalı olarak uygulanır. Sosyal mühendislik uzmanları temelde insanların zayıf yönlerini bulurlar, yumuşak karınlarına dokunurlar. Şahsi ve özel bilgilerini öğrenirler, kişi hakkında bilgi toplarlar. Bunlara örnek olarak ad, soyad, adres bilgileri, ilgi alanları, korktukları hayvanlar, yakın arkadaşları gibi birçok unsur sıralanabilir. Çevrimiçi bankacılık ve alışveriş işlemleri, pazarlama ve reklam stratejilerinde sosyal mühendislik örneklerine çok fazla rastlarız. Dikkatli davranmamız gereken konulardan biri bu stratejilere hemen kanmayıp, inceleme yapmadan bilgilerimizi paylaşmamaktır.

Sosyal mühendisler için, güven duygusunu kazandırdıktan sonra işler daha da kolaylaşmaktadır. Karşı tarafta yani kurbanda hissettirilen güven duygusu istenilen bilgileri almayı oldukça kolaylaştırmaktadır. Hatta öyle ki sosyal mühendisler kullanmayacağı, işine yaramayacak belki de öğrenmeyi istemeyeceği fazla bilgiyi de beraberinde öğrenebilir.
Saldırganların uyguladığı bir özellik de başka biri gibi davranmaktır. Kurbanın tanıdığı fakat az görüştüğü ya da hiç konuşmadığı bir kişiymiş gibi davranıp mağduru rahatlıkla kandırabilirler. İstedikleri bilgileri tanıdık kişi olarak daha kolay alırlar. Çünkü bazı insanlar tanıdıklarına yardım etmeyi hiç tanımadıklarına göre daha kolay kabul edebilirler. Ya da saldırganlar, mağdur için toplanılan bilgilerden ortak alanlar oluşturarak ( hobileri gibi ) o konu hakkında sohbetle o ortak alana ilgi duyduğunu mağdura hissettirmeyle başlayan bir konuşma esnasında sosyal mühendislik uygulamalarını gerçekleştirebilirler.

Bunların dışında tamamen insanların duygularına oynama ve onları yıpratma politikası güden sosyal mühendisler vardır. Mesela bir sosyal mühendis karşısındaki kişiye istediği bilgiyi vermezse işten atılacağını veya hapse düşeceğini söylerse kurban muhtemelen istediği bilgiyi verecektir. Keza saldırgan mağduru psikolojik yönden etkilerse yine aynı sonuca varma potansiyeli yüksek olacaktır.

Sosyal Mühendislikte Olası Mağdurların Psikolojik Tepkileri

Sosyal mühendislik yöntemlerini ne kadar öğrensek de kendi başımıza gelme olasılığını genellikle göz ardı etmekteyiz. Bilgisayarımızda önemli bir verinin olmadığını savunarak önlem almayabilir ve farkında olmadan saldırganın hedefine ulaşmasını sağlayabiliriz. Bu duruma ünlü Titanik gemisinin asla batmayacağı inancına sahip olan yöneticilerin önlem almaması durumunda buzdağına çarpması olayından yola çıkılarak “Titanik Sendromu” adı verilmektedir.

Sosyal mühendislik mağdurlarında oluşan bir diğer tepki ise inkar savunma mekanizmasıdır. Bu mekanizmaya sahip olan birey bilgisayarında güvenlik yazılımı olduğu için kendini aşırı güvende hissedebilir ve böylece kaygı seviyesinin çok düşük olması sonucu saldırganın hedefine ulaşmasında etkin rol oynamaktadır.

Dünyanın en çok bilinen hackerı Kevin Mitnick’in de sosyal mühendislik konusunda uzman olduğu yadsınamaz bir gerçektir. Çocuk yaşlarda telefonla başlayan siber saldırı serüveni yıllarca farklı cihazlarla devam etmiştir. Kevin D. Mitnick’in William L. Simon ile birlikte yazdığı ve hacker hayatını anlattığı “Aldatma Sanatı” kitabında daha nice şaşırılacak sosyal mühendislik olayına imza attığını görmekteyiz.

Sosyal mühendislik saldırılarından nasıl korunabilirsiniz?

• Her gönderilen linke tıklamayın. Linkin güvenli bir yerden veya kişiden geldiğine emin olmalısınız. Ayrıca linkin http değil de https bağlantılı olması gerektiğini unutmayın.
• Dikkatli olun. Linkler çoğunlukla asıl linke benzeyecek şekilde tasarlanırlar. Ufak bir iki farklılık olması muhtemeldir, dikkatle inceleyin.
• Özel bilgilerinizi verirken seçici davranın. Zorunda değilseniz, bilgilerinizi paylaşmayın. Karşıdaki kişinin bilgilerinizi aleyhinize kullanıp kullanmayacağını bilemezsiniz.
• Yapılabilecek en küçük hata bile size çok büyük felaketlere dönüş yapabilir. Farkındalığınızı arttırmalı ve çevrenizdeki insanları da bu konuda bilgilendirmelisiniz.
• Bir yönetici iseniz kurumunuza gelen her çalışanın siber güvenlik, sosyal mühendislik ve bilgi güvenliği konusunda bilgilendirilmesini, bu konularda eğitilmelerini sağlamalısınız.