Ana Sayfa

Sosyal Mühendislikle Mücadele

Sosyal Mühendislikle Mücadele
selen guvenc
Ocak 8, 2024
  • 1108

Siber güvenlik genellikle teknik güvenlik açıkları ve karmaşık savunmalarla ilişkilendirilir. Ancak sosyal mühendislik olarak bilinen popüler bir siber saldırı yöntemi, bilgi toplamak ve bunun yerine saldırı gerçekleştirmek için insan psikolojisinden yararlanır.

Sosyal mühendislik, insanların belirli eylemleri gerçekleştirmeleri veya gizli bilgileri ifşa etmeleri için psikolojik olarak manipüle edilmesidir. Bu görünmez tehdit günümüz örgütleri için ciddi bir risk oluşturmaktadır.

Aşağıdakiler, kuruluşunuzu bu tehlikeli saldırılara karşı güçlendirmeye yönelik en iyi uygulamaların yanı sıra, dikkatli olunması gereken temel sosyal mühendislik ilkelerini ve tekniklerini temsil etmektedir:

Sosyal Mühendislik İlkeleri

Sosyal mühendisliğin temel kavramlarından biri, insanların nasıl tepki verdiğini ve istenen eylemi gerçekleştirmek için stres veya baskıdan nasıl yararlanılabileceğini anlamaktır. Sonuç olarak, saldırganlar bir kişiyi tasarlarken genellikle yedi temel ilkeden yararlanır; genellikle birden fazla ilkeyi tek bir saldırıda birleştirir. Bu ilkelerin ne zaman kullanıldığını anlamak ve tanımayı öğrenmek, bu psikolojik siber saldırılara karşı korunmanın ilk adımıdır.

Yetki

Bu ilke, çalışanların, fiilen herhangi bir etkiye sahip olup olmadığına bakılmaksızın, sorumlu veya yetkili olduğunu düşündükleri bir kişinin talebine uymalarına dayanmaktadır.

Gözdağı

Gözdağı taktikleri, bilgisayar korsanları tarafından, bir kişiyi sosyal mühendisin istediği eylemi gerçekleştirmesi için korkutmak amacıyla kullanılır.

Uzlaşma

Çoğu insan etrafındakilerin yaptığını yapmak ister ve siber suçlular bu taktiği şüphelenmeyen insanları da aynı şekilde davranmaya ikna etmek için kullanır.

Kıtlık

Kıtlık, bir şeyin arzu edilir görünmesini sağlamak için sınırlı kaynak veya fırsatlar algısından yararlanır.

Aşinalık

Siber suçlular, mevcut bir bağ nedeniyle temsil ettiklerini iddia ettikleri toplum mühendisine veya kuruluşa karşı olumlu duygular beslerler.

Güven

Sosyal mühendisler hedeflenen çalışanla bağlantı kurmaya çalışır.

Aciliyet

Aciliyet, bireyleri aceleci kararlar almaya teşvik eden sahte bir zamana duyarlı baskı hissi yaratır.

Sosyal Mühendislik Teknikleri

Sosyal mühendisler, bir saldırı gerçekleştirirken yukarıdaki ilkeleri uygulamak için hem teknik hem de teknik olmayan çeşitli teknikler kullanabilirler.

Teknik Teknikler

Bir saldırganın kullanabileceği en yaygın teknik tekniklerden biri kimlik avıdır. Kimlik avı, genellikle kullanıcı adlarına, şifrelere, kredi kartı numaralarına ve ilgili hassas bilgilere odaklanan bilgilerin sahtekarlıkla toplanmasını tanımlayan geniş bir terimdir. E-posta, kimlik avının en yaygın yollarından biri olsa da, diğer yöntemler arasında smishing (SMS yoluyla kimlik avı), vishing (IP üzerinden ses kimlik avı), hedef odaklı kimlik avı (hedefli kimlik avı) ve balina avcılığı (kıdemli çalışan kimlik avı) yer alır.

Bir kuruluşun kimlik avı saldırılarına karşı savunma yapmasının en iyi yollarından biri çalışanların farkındalık eğitimidir. Bir kuruluştaki herkesin başına bir kimlik avı saldırısı gelebilir; bu nedenle, tüm çalışanlara kimlik avı saldırılarını nasıl tanıyacakları ve bunlara nasıl yanıt verecekleri öğretilmelidir.

Diğer teknik siber saldırı teknikleri, trafiği yasal bir web sitesinden kötü amaçlı bir web sitesine yönlendiren web sitesi saldırılarını içerebilir. Buna pharming denir. Yazım hatası işgali başka bir yaygın web sitesi saldırısıdır. Bu saldırı, kullanıcının bir URL'yi yanlış yazmasına ve benzer adlı kötü amaçlı bir siteye ulaşmasına dayanır. Örneğin, bir sosyal mühendis googl.com adlı bir web sitesini konuşlandırarak, popüler web sitesi google.com'u yanlışlıkla yanlış yazan kişilere saldırabilir.

Teknik Olmayan Teknikler

Arkadan takip, kapıyı açtıktan sonra bir kişiyi bir binaya veya kısıtlı alana kadar takip etmeye dayanan yaygın bir fiziksel giriş saldırısıdır. Bazı durumlarda, hiçbir şeyden haberi olmayan çalışanlar, arkalarında yürüyen kişiye kapıyı bile açık tutabilirler. Kimlik avına benzer şekilde, arka kapı kullanımı da en iyi şekilde farkındalık eğitimi yoluyla ve her çalışanın korunan tesislere erişim için kendi rozetini veya kimlik bilgilerini kullanmasını zorunlu kılmak gibi güvenlik önlemlerinin uygulanması yoluyla önlenir.

Benzer şekilde, omuz sörfü, girilen kimlik bilgilerini görüntülemek ve yakalamak için bir kişinin omzunun üzerinden bakma işlemidir. Adının aksine, saldırganların bu tekniği uygularken birinin omzunun üzerinden bakmak dışında çeşitli yöntemler kullanabileceğini unutmamak gerekir. Bunun yerine aynalara veya pencerelerden de bakabilirler. Bu tekniğe karşı korunmak için kuruluşlar, çalışanların hassas bilgileri girerken çevrelerine karşı dikkatli olmalarını teşvik etmenin yanı sıra gizlilik ekranları kurmayı da düşünmelidir.

Sosyal Mühendislik Eğitimi

Sosyal mühendislik, bireysel muhakemeyi hedef aldığı için korunması gereken en zorlu siber güvenlik tehditlerinden biridir. Bir kuruluşun bu saldırılara karşı kendini savunmasının en iyi yolu kapsamlı, periyodik sosyal mühendislik eğitimleri vermektir. Bu eğitim, çalışanları yalnızca bu makalede ele alınan ortak sosyal mühendislik ilkeleri, teknikleri ve saldırılar konusunda eğitmekle kalmamalı, aynı zamanda potansiyel saldırıları tespit edip proaktif bir şekilde önlemek için onları gerekli araç ve bilgilerle donatmalıdır.


Gelişmelerimizden haberdar olmak ve fırsatlarımızdan faydalanmak için; bültenimize abone olmayı ve bizi takip etmeyi unutmayın!


siber güvenlikbtsosyal mühendisliksiber saldırı
İlgili İçerik
Duyurular
Mobildev Pazarlama Sohbetleri: E-Ticarette Yapay Zekâdan Nasıl Faydalanabiliriz
makaleyi oku

Mobildev Pazarlama Sohbetleri: E-Ticarette Yapay Zekâdan Nasıl Faydalanabiliriz

Mobildev Pazarlama Sohbetleri’nin 27 Mart Cuma günü saat 14:00’te gerçekleşecek oturumunda, Teknosa E-Ticaret & Marketplace Direktörü Tahir Yıldız bizlerle olacak.

selen guvenc Mart 17
BTK Düzenlemesi: SMS Panel Girişlerinde e-İmza/Mobil İmza Zorunluluğu Başlıyor!
makaleyi oku

BTK Düzenlemesi: SMS Panel Girişlerinde e-İmza/Mobil İmza Zorunluluğu Başlıyor!

Bilgi Teknolojileri ve İletişim Kurumu (BTK) tarafından yayımlanan düzenleme kapsamında, SMS ve MMS gönderim panellerine erişimde e-İmza veya Mobil İmza ile kimlik doğrulaması zorunlu hale geliyor.

selen guvenc Mart 6
Mobildev POP - Power of Partnership İş Birliği Günleri Yeniden İzmir'de!
makaleyi oku

Mobildev POP - Power of Partnership İş Birliği Günleri Yeniden İzmir'de!

“Ortak Ol, Güçlen, Kazan!” sloganıyla yola çıkan Mobildev POP – Power of Partnership İş Birliği Günleri, yeni gelir fırsatları oluşturmak isteyen profesyonelleri İzmir’de bir araya getiriyor.

selen guvenc Mart 5
Mobildev Pazarlama Sohbetleri: Reklamcılık Alanında Akıllı Çözümler
makaleyi oku

Mobildev Pazarlama Sohbetleri: Reklamcılık Alanında Akıllı Çözümler

Mobildev Pazarlama Sohbetleri’nin 6 Mart Cuma günü saat 14:00’te gerçekleşecek oturumunda, Adform’da Senior Solutions Consultant olarak görev yapan Cansu Genişel bizlerle olacak.

selen guvenc Mart 2
Mobildev Access: Web Sitenizi Herkes İçin Erişilebilir Hale Getirin
makaleyi oku

Mobildev Access: Web Sitenizi Herkes İçin Erişilebilir Hale Getirin

Milyonlarca ziyaretçiniz web sitenize tam anlamıyla erişemiyor olabilir. İyi haber: Bu durumu değiştirmek düşündüğünüzden çok daha kolay.

selen guvenc Şubat 20
Markalar İçin Çevrimiçi Anketin Gücü: Mobildev Anket ile Doğru Veri Toplama
makaleyi oku

Markalar İçin Çevrimiçi Anketin Gücü: Mobildev Anket ile Doğru Veri Toplama

Doğru veri toplamak, kullanıcı davranışlarını analiz etmek ve stratejilerini buna göre uyarlamak artık her sektör için şart. Bu noktada çevrimiçi anketler, hem hızlı geri bildirim toplama hem de veri odaklı karar alma süreçlerinin temel aracıdır.

selen guvenc Şubat 19

Bültene Üye Ol

İşinizi geliştirmenize katkı sağlayacak, başarılı örnekleri, sektörel gelişmeleri ve kampanyaları kaçırmayın.