İnternet, ortaya çıktığı günden bu yana pek çok güvenlik ihlaline maruz kalmıştır ve bunların neredeyse tamamı tek bir güvenlik açığına, yani insan hatasına bağlanabilir. Evet, doğru; bizler, istismar edilmeyi bekleyen bir güvenlik açığıyız. Siber suçlular, bu güvenlik açığını tek bir saldırı yöntemiyle istismar eder: Sosyal mühendislik. Bu teknik, bir kişiyi kandırarak gizli ve hassas bilgileri vermeye ikna etmek için güvene dayalı manipülasyonları içerir. Çoğu zaman saldırgan, güveninizi kazanmak için az bilinen bilgileri kullanır.

Siber suçlular sosyal mühendisliği nasıl uyguluyor?

Sosyal mühendislik, internet kullanılmasa bile pek çok farklı yolla gerçekleştirilebilir. Saldırganların bu tekniği uyguladıkları başlıca yöntemler şunlardır:

• Kimlik Avı – Bu , sosyal mühendisliğin en yaygın ve en başarılı biçimidir. Kimlik avı sırasında siber suçlular, genellikle e-postalar yoluyla kişiyi sahte bir siteye yönlendirerek gizli bilgileri ele geçirmeye çalışır. Bu e-postaların çoğu şüpheli görünmez. Kimlik avı, hedefli kimlik avı (spear phishing) ve sesli kimlik avı (vishing) dahil olmak üzere çeşitli şekillerde gerçekleştirilebilir. Hedefli kimlik avı, belirli bir kişiyi veya şirketi hedef alır. Sesli kimlik avı ise telefon görüşmesi yoluyla gerçekleştirilen kimlik avıdır. Sesli kimlik avı da yaygın bir yöntemdir ve sonunda kandırılan kişiler, sosyal güvenlik numaraları gibi bilgileri ifşa edebilirler.
• Pretexting – Bu teknik, çoğunlukla yalanlara başvurarak güven kazanmayı ve ardından kişinin kimliğini doğrulamak için kullanılabilecek bilgileri elde etmeyi amaçlar. Saldırganlar bu tekniği kullanırken empati uyandırmaya bile çalışabilirler. Örneğin, saldırganlar hastane faturalarını ödemek için yardıma ihtiyaçları varmış gibi davranabilirler. Siz yardımda bulunduğunuzda, bilgilerinize ulaşmış olurlar.
• Karşılıklı menfaat – Bu yöntem, bir şey elde etmek için bir şey vermeyi içerir. İnterneti sık kullanıyorsanız, bir PS4 kazandığınızı belirten bazı reklamlarla karşılaşmış olabilirsiniz; ancak ödülünüzü alabilmek için telefon numaranız, sosyal güvenlik numaranız ve diğer hassas bilgiler gibi bazı bilgileri girmeniz istenir.
• Yemleme – Bu teknikte, siber suçlular genellikle ücretsiz bir hizmet sunarak kişileri tuzağa düşürür. Örneğin, saldırganlar ücretsiz yazılım, oyun, film, müzik ve diğer dosyaları barındırabilir, ancak bunların içine kötü amaçlı yazılım gizlemiş olabilirler. Bir kullanıcı bu dosyalardan herhangi birini indirdiğinde, kötü amaçlı yazılımı tetikler ve sistemi virüs bulaşır.

Sosyal mühendislik saldırılarından kaçınma

Siber güvenlik bilinci

Bu, güvenlik ve gizlilik risklerini anlamayı, bu riskleri azaltmayı ve önlemeyi içerir. Bu bilgileri edindiğinizde, kimlik avı, tuzak kurma ve diğer sosyal mühendislik saldırılarıyla nasıl başa çıkacağınızı öğreneceksiniz.

Kime güvendiğinize dikkat edin

İnternette, özellikle de çevrimiçi kurumsal formları doldururken daha az kişisel bilgi verin. Günümüzde saldırganlar, hassas bilgiler gerektiren kurumsal e-postaları ve diğer kurumları taklit etme konusunda ustalaşmış durumdadır. Ayrıca, sosyal medya hesaplarınızda daha az hassas bilgi paylaşın.

İki faktörlü kimlik doğrulamayı (2FA) kullanın

Güçlü şifreler kullanmanın yanı sıra, hassas hesaplarınızda iki faktörlü kimlik doğrulamayı (2FA) etkinleştirdiğinizden emin olun. Bu, şifrenizi bir şekilde ele geçirmeleri durumunda bile verilerinizin yanlış ellere geçme riskini en aza indirir. Ayrıca, tüm hesaplarınızda aynı şifreyi kullanmaktan kaçının.

Biyometrik kimlik doğrulamayı kullanın

Bu, özellikle finansal işlemler söz konusu olduğunda 2FA’nın kullanılamadığı durumlarda yararlıdır. Parmak izi gibi biyometrik yöntemler, kimlik hırsızlığını önleyerek dolandırıcılığın azaltılmasına büyük ölçüde yardımcı olabilir. Mümkünse bu kimlik doğrulama yönteminden yararlanın.

VPN kullanın

Bir VPN, güvenlik ve gizlilik sağlayarak sosyal mühendislik saldırılarını daha gerçekleşmeden azaltmaya ve hatta önlemeye yardımcı olabilir. VPN kullandığınızda, bilgileriniz meraklı gözler tarafından ele geçirilmez; ayrıca bazı VPN’ler siber güvenliğinizi artıran özellikler sunar. Buna ek olarak, VPN kullandığınızda geride çok az veri izi bırakırsınız; bu izler takip edilse bile saldırganlar eninde sonunda VPN’in kapısına varır.