Bilgi G?venli?i

Sosyal M?hendislik

Admin 

” Bir bilgisayar sistemini hacklemek zor olabilir.

Ama bir insan? kand?rmak ?o?u zaman ?ok daha kolayd?r. “

??te sosyal m?hendislik tam olarak burada devreye girer. G?n?m?zde bir?ok siber sald?r?, karma??k yaz?l?mlardan ?ok insan psikolojisini hedef al?r. ??nk? en g??l? g?venlik sistemleri bile, yanl?? ki?iye verilen tek bir ?ifreyle etkisiz hale gelebilir.

Sosyal m?hendislik; insanlar?n g?ven, korku, merak veya yard?m etme iste?i gibi duygular?n? manip?le ederek bilgi, eri?im veya para elde etmeyi ama?layan bir sald?r? y?ntemidir. Bu sald?r?lar teknik de?il, psikolojiktir. Bu nedenle fark edilmesi ?o?u zaman daha zordur.

Sald?rgan, insanlar? manip?le ederek gizli bilgilere eri?meyi, sistemlere s?zmay? veya para transferi yapt?rmay? ama?lar. G?venlik duvarlar?, antivir?sler veya ?ifreli ba?lant?lar ne kadar g??l? olursa olsun, bir ?al??an ger?ek bir yetkiliymi? gibi arand???nda ki?iler buna inanarak ?ifrelerini vermekte ve t?m ?nlemler bo?a ??kmaktad?r. Bu nedenle sald?rganlar, bilgisayar hatalar?ndan ?ok, inanma, yard?mseverlik, korku gibi insan psikolojisindeki a??klar? s?m?r?rler. ?rne?in, sahte bir ?d?l Kazand?n?z bildirimi, kaybolmu? bir yak?n?n?zdan gelen Acil Yard?m Mesaj? ya da kendilerini Polis/Savc? olarak tan?tan doland?r?c?lar, g?venimizi k?t?ye kullan?rlar.

Sosyal M?hendisli?in ??leyi?i

Sosyal m?hendislik sald?r?lar? genellikle ad?m ad?m ilerleyen bir s?re? izler. ?ncelikle sald?rgan, hedef ki?i veya kurum hakk?nda sosyal medya, web sitesi veya veri s?z?nt?lar? ?zerinden bilgi toplar, ard?ndan g?ven tesis etmek i?in etkile?im ba?lat?r. Bu safhada sald?rgan rol yaparak mahremiyetinize m?dahale edebilir. Sonraki a?amada ihtiya? duydu?u eylemi (?ifre giri?i, ba?lant?ya t?klama, para g?nderme vb.) ger?ekle?tirmek i?in sizi ikna eder. ?rne?in Kaspersky ara?t?rmas?na g?re, sosyal m?hendislik s?reci genelde bilgi toplama – g?ven olu?turma – istismar – ba?lant?y? kesme basamaklar?ndan olu?ur. Bu s?re? y?z y?ze, telefonla veya tamamen ?evrimi?i kanallarda da ger?ekle?ebilir. ?nemli olan, sald?rgan?n sizin Dikkatli Oldu?unuz izlenimini yarat?p sizi Ku?ku Yok hissine sokarak harekete ge?menizi sa?lamas?d?r.

Kullan?lan Yayg?n Teknik ve Y?ntemler

Sosyal m?hendisler ?ok ?e?itli tuzaklar kurabilmektedirler. ?rne?in phishing (oltlama) sald?r?lar?nda size kurum logosu ta??yan sahte e-postalar g?nderilir, zararl? ba?lant?lara t?klaman?z veya bilgilerinizi girmeniz sa?lan?r. Bu t?r sahte e-postalar genellikle Hesab?n?z Bloke Oldu veya G?ncelleme Yapman?z Gerekiyor gibi aciliyeti y?ksek konular i?erir. Baz? sald?r?larda SMS (smishing) veya uygulama i?i mesajla?malarla benzer oltalama yap?l?r. ?zellikle ak?ll? telefonlar hedef al?n?r. Doland?r?c?, cep telefonunuza gelen sahte bir bildirimde yer alan ba?lant?yla sizi, kopyas? yap?lm?? bir bankac?l?k sayfas?na y?nlendirebilir. Bu yolla ?ifreniz veya kredi kart? bilgileriniz ele ge?irilebilir.

Oltalama (Phishing): E-posta veya SMS yoluyla kimlik av? yap?lan sald?r?lard?r. ?rne?in, m??teri bilgilerinin g?ncellemesi ad? alt?nda sahte e-postalar g?nderilir ve sizi ger?ek banka sitesine ?ok benzeyen bir ba?lant?ya y?nlendirirler.

Sahte ?a?r?lar (Vishing): Telefon doland?r?c?l???. Doland?r?c? kendisini polis, banka veya IT personeli gibi tan?tarak hesap bilgilerinizi veya tek kullan?ml?k kodlar? talep eder. Telefon numaras? veya banka logosu taklidiyle kurban? yan?lt?r.

Senaryo Kurma (Pretexting): Kendine uygun bir senaryo kurarak g?ven kazanmaya ?al??ma y?ntemi. ?rne?in bir kurumdan yetkiliymi? gibi davran?p sizden bilgi isterler veya yeni i?e ba?lad?m diyerek yard?m talep ederler. Amac?, kar?? taraf?n size yard?mc? olma i?g?d?s?n? k?t?ye kullanmakt?r.

Yemleme (Baiting): Cazip hediye veya ?d?l vaadiyle tuzak kurma. ?rne?in ?cretsiz bir yaz?l?m, m?zik indirme veya ?ekili? kazand?n?z vaadiyle sizi kand?r?rlar. ?nsanlar?n merak ve a?g?zl?l??? burada hedef al?n?r.

Fiziksel Teknikler: Omuz s?rf? (?ifre giri?i yapan ki?inin arkas?ndan bakma), ??p kar??t?rma (dumpster diving), USB b?rakma (USB drop) gibi fiziksel y?ntemler de kullan?l?r. ?rne?in bir i?i yapt?rmak i?in size USB bellek b?rak?p a?man?z? sa?lamaya ?al??abilirler.

Rol Yapma ve Kimli?e B?r?nme: Sald?rgan kendisini bir ?al??an?n patronu, IT destek birimi veya bankac? gibi g?sterir. Bu sayede kurban, sorgulamadan talimatlar?na uyar. T?rkiye’de bir bankada ya?anan ger?ek bir vakada, sahte IT G?venlik aramas?yla 8 m??terinin hesab?ndan toplam 2,4 milyon TL ?ekilmi?tir.

Psikolojik Etkenler ve ?nsan Zafiyetleri

Sosyal m?hendislik sald?r?lar?n?n ba?ar?s? ?o?unlukla psikolojik zaaflara dayan?r. Ara?t?rmalar, a??r? g?ven, otoriteye boyun e?me, kay?p korkusu gibi insan e?ilimlerinin sald?rganlarca aktif kullan?ld???n? g?steriyor. ?rne?in, beni kand?ramazlar diye d???nen bir ki?i, acil bir durumla kar??la?t???nda sorgulamadan karar alabilir. Doland?r?c?lar ayr?ca insanlar?n yard?m etme iste?ini, merhametini veya panik duygusunu tetikler. Garanti BBVA uzmanlar?na g?re g?ncel vakalarda, ki?i yak?n?ndan geldi?ini d???nd??? acil bir mesaj ald???nda h?zl? ve d???nmeden tepki verebiliyor. Benzer ?ekilde, ?d?l Kazand?n?z gibi iddialar da insanlar?n merak duygusunu kullanarak onlar? tuza?a ?ekebiliyor. Ayr?ca sosyal m?hendislerin genellikle iyi giyimli, sempatik ve yard?msever bir profil ?izerek g?ven kazanmaya ?al??t??? bilinmektedir. T?m bu y?ntemler, kurban?n ??phe seviyesini d???r?r ve mant?kl? de?erlendirme yapmas?n? zorla?t?r?r. ?nsanlar ba?kalar?na g?venme, yard?ma ko?ma ya da cezadan ka??nma gibi i?g?d?lerle hareket eder ve sald?rganlar bu d?rt?leri ustaca s?m?r?r.

Ger?ek Hayat ?rnekleri

Sosyal m?hendislik sald?r?lar? hem d?nyada hem de T?rkiye’de bir?ok kurum ve bireyi hedef alm??t?r. ?rne?in, daha ?nce bahsedilen banka ?al??an?na y?nelik vishing sald?r?s?nda, sald?rganlar kendilerini yetkili personel gibi tan?tarak m??terilerin hesap bilgilerine eri?meyi ba?arm??t?r. Bir ba?ka vakada ise bir e-ticaret ?irketinde y?neticilerin e-posta hesaplar? taklit edilmi? ve yakla??k 850.000 TL tutar?nda sahte havale i?lemi yap?lmaya ?al???lm??t?r.

Benzer ?ekilde, bir lojistik ?irketinde ?al??an bir ki?inin cep telefonuna gelen sahte kargo mesaj?ndaki ba?lant?ya t?klamas? sonucunda kimlik bilgileri ele ge?irilmi?tir. Pandemi d?neminde uzaktan ?al??ma sistemine ge?en ?irketlerde ise sahte VPN davetleri ?zerinden oltalama sald?r?lar?nda ciddi art?? g?r?lm??t?r.

Uluslararas? ?rneklerde ise baz? doland?r?c?lar?n insani krizleri f?rsata ?evirdi?i g?r?lmektedir. ?rne?in, yard?m kampanyas? ad? alt?nda olu?turulan sahte ba??? siteleri arac?l???yla ?ok say?da ki?i doland?r?lm??t?r.

?zellikle son y?llarda T?rkiye’de siber su?lar?n ?nemli ?l??de artt??? ve sald?r?lar?n b?y?k b?l?m?n?n teknik sistemlerden ziyade insan zafiyetlerini hedef ald??? g?r?lmektedir. Bu vakalar, sosyal m?hendisli?in ne kadar yayg?n, etkili ve tehlikeli bir tehdit oldu?unu a??k?a ortaya koymaktad?r.

Korunma Y?ntemleri

Sosyal m?hendislik sald?r?lar?ndan korunmak i?in hem bireylerin hem de kurumlar?n birden ?ok ?nlem almas? gerekir. ?ncelikle fark?ndal?k ve e?itim ?artt?r. D?zenli aral?klarla senaryo temelli g?venlik e?itimleri ve oltalama testleri d?zenlenmelidir. Ara?t?rmalar, s?rekli ve ?l??lebilir e?itimlerle sosyal m?hendislik sald?r?lar?n?n ba?ar? oran?n?n yar?dan fazla azalabilece?ini g?stermektedir. Kurum i?erisinde g?venlik duvar? olu?turmak i?in ?al??anlar ger?ek zamanl? ?rneklerle e?itilmelidir.

Bireysel d?zeyde ise baz? basit kurallara dikkat etmek ?nemlidir: Tan?mad???n?z birinden gelen bilgi iste?ine kar?? temkinli olun. Hi?bir banka veya resmi kurum personeli sizden ?ifre, tek kullan?ml?k kod veya kimlik bilgisi istemez. B?yle bir durumla kar??la??rsan?z telefonu kapat?p kurumu kendi resmi numaras?ndan arayarak do?rulay?n. E-postalara ve mesajlardaki ba?lant?lara gelince, mutlaka URL/ adres kontrol? yap?n. Taray?c?daki kilit simgesine t?klay?p sertifikay? incelemek ya da mail i?indeki linkin ger?ek hedefini g?rmeden t?klamamak gerekir. Bilinmeyen kaynaklardan gelen eklentileri kesinlikle a?may?n. Ayr?ca, ki?isel verilerinizi sosyal medyada payla?mamaya ?zen g?sterin; ??nk? siber su?lular bu verileri bir araya getirerek ?antaj yapabilirler.

Teknik ?nlemler de es ge?ilmemelidir. T?m kritik hesaplar?n?zda iki fakt?rl? kimlik do?rulama (2FA) aktif olsun. ?lgili yaz?l?mlar?n?z? ve antivir?slerinizi g?ncel tutun. Kurumsal olarak, geli?mi? e-posta filtresi ve alan ad? korumas? kullanmak, ??pheli aktiviteleri izleyen SIEM/SOAR sistemleri kurmak faydal?d?r. Kurum i?inde herkesin g?venlik politikalar?na hakim olmas?, a??k ileti?imle ??pheli eylemleri bildirebilmesi te?vik edilmelidir.

Sosyal m?hendislik bize ?nemli bir ger?e?i g?sterir. G?venlik sadece teknoloji meselesi de?ildir. Ayn? zamanda insan davran??? meselesidir.

Bug?n en b?y?k siber tehditler, bilgisayar sistemlerini de?il insan psikolojisini hedef almaktad?r. Bu nedenle fark?ndal?k, e?itim ve ??pheci d???nme al??kanl??? en g??l? savunma mekanizmas?d?r.

??nk? bazen en b?y?k g?venlik a???? bir yaz?l?m hatas? de?il, 
” Bana bir ?ey olmaz ” d???ncesidir.

Recommended Posts

Bilgi G?venli?i

Sosyal M?hendislik

” Bir bilgisayar sistemini hacklemek zor olabilir. Ama bir insan? kand?rmak ?o?u zaman ?ok daha kolayd?r. “ ??te sosyal m?hendislik tam olarak burada devreye girer. G?n?m?zde bir?ok siber sald?r?, karma??k yaz?l?mlardan ?ok insan psikolojisini hedef al?r. ??nk? en g??l? g?venlik sistemleri bile, yanl?? ki?iye verilen tek bir ?ifreyle etkisiz hale gelebilir. Sosyal m?hendislik; insanlar?n g?ven, […]

Admin 

ABP Framework ile Ad?m Ad?m Yaz?l?m Geli?tirme ? B?l?m 7: Kullan?c? Aray?z? Geli?tirme

Uygulaman?n kullan?c?larla etkile?im kurdu?u katman olan Kullan?c? Aray?z? (UI) Katman?, genellikle ASP.NET Core MVC (Razor Pages), Angular veya Blazor gibi teknolojilerle geli?tirilir. ABP Framework, se?ti?iniz UI teknolojisiyle sorunsuz entegrasyon sa?layarak geli?tirme s?recinizi h?zland?r?r ve ortak UI ihtiya?lar?n? kar??lar. Bu b?l?mde, ABP ile kullan?c? aray?z? geli?tirmenin temel y?nlerini ele alaca??z. Se?ilen UI Teknolojisine G?re Temel Yap?land?rma […]

Admin 

ABP Framework ile Ad?m Ad?m Yaz?l?m Geli?tirme ? B?l?m?6: API Katman? Geli?tirme

Modern uygulamalarda API (Application Programming Interface) katman?, hem istemci uygulamalar (mobil, web) hem de di?er servislerle ileti?im kurmak i?in kritik ?neme sahiptir. ABP Framework, g??l? ve kolay yap?land?r?labilir bir API katman? olu?turman?z? sa?lar. Bu b?l?mde, ABP’nin API geli?tirme ?zelliklerini ve en iyi pratikleri inceleyece?iz. Auto API Controller ?zellikleri ABP Framework’?n en kullan??l? ?zelliklerinden biri Auto […]

Admin 

Leave A Comment