Ana Sayfa

Sosyal Mühendislikle Mücadele

Sosyal Mühendislikle Mücadele
selen guvenc
Ocak 8, 2024
  • 978

Siber güvenlik genellikle teknik güvenlik açıkları ve karmaşık savunmalarla ilişkilendirilir. Ancak sosyal mühendislik olarak bilinen popüler bir siber saldırı yöntemi, bilgi toplamak ve bunun yerine saldırı gerçekleştirmek için insan psikolojisinden yararlanır.

Sosyal mühendislik, insanların belirli eylemleri gerçekleştirmeleri veya gizli bilgileri ifşa etmeleri için psikolojik olarak manipüle edilmesidir. Bu görünmez tehdit günümüz örgütleri için ciddi bir risk oluşturmaktadır.

Aşağıdakiler, kuruluşunuzu bu tehlikeli saldırılara karşı güçlendirmeye yönelik en iyi uygulamaların yanı sıra, dikkatli olunması gereken temel sosyal mühendislik ilkelerini ve tekniklerini temsil etmektedir:

Sosyal Mühendislik İlkeleri

Sosyal mühendisliğin temel kavramlarından biri, insanların nasıl tepki verdiğini ve istenen eylemi gerçekleştirmek için stres veya baskıdan nasıl yararlanılabileceğini anlamaktır. Sonuç olarak, saldırganlar bir kişiyi tasarlarken genellikle yedi temel ilkeden yararlanır; genellikle birden fazla ilkeyi tek bir saldırıda birleştirir. Bu ilkelerin ne zaman kullanıldığını anlamak ve tanımayı öğrenmek, bu psikolojik siber saldırılara karşı korunmanın ilk adımıdır.

Yetki

Bu ilke, çalışanların, fiilen herhangi bir etkiye sahip olup olmadığına bakılmaksızın, sorumlu veya yetkili olduğunu düşündükleri bir kişinin talebine uymalarına dayanmaktadır.

Gözdağı

Gözdağı taktikleri, bilgisayar korsanları tarafından, bir kişiyi sosyal mühendisin istediği eylemi gerçekleştirmesi için korkutmak amacıyla kullanılır.

Uzlaşma

Çoğu insan etrafındakilerin yaptığını yapmak ister ve siber suçlular bu taktiği şüphelenmeyen insanları da aynı şekilde davranmaya ikna etmek için kullanır.

Kıtlık

Kıtlık, bir şeyin arzu edilir görünmesini sağlamak için sınırlı kaynak veya fırsatlar algısından yararlanır.

Aşinalık

Siber suçlular, mevcut bir bağ nedeniyle temsil ettiklerini iddia ettikleri toplum mühendisine veya kuruluşa karşı olumlu duygular beslerler.

Güven

Sosyal mühendisler hedeflenen çalışanla bağlantı kurmaya çalışır.

Aciliyet

Aciliyet, bireyleri aceleci kararlar almaya teşvik eden sahte bir zamana duyarlı baskı hissi yaratır.

Sosyal Mühendislik Teknikleri

Sosyal mühendisler, bir saldırı gerçekleştirirken yukarıdaki ilkeleri uygulamak için hem teknik hem de teknik olmayan çeşitli teknikler kullanabilirler.

Teknik Teknikler

Bir saldırganın kullanabileceği en yaygın teknik tekniklerden biri kimlik avıdır. Kimlik avı, genellikle kullanıcı adlarına, şifrelere, kredi kartı numaralarına ve ilgili hassas bilgilere odaklanan bilgilerin sahtekarlıkla toplanmasını tanımlayan geniş bir terimdir. E-posta, kimlik avının en yaygın yollarından biri olsa da, diğer yöntemler arasında smishing (SMS yoluyla kimlik avı), vishing (IP üzerinden ses kimlik avı), hedef odaklı kimlik avı (hedefli kimlik avı) ve balina avcılığı (kıdemli çalışan kimlik avı) yer alır.

Bir kuruluşun kimlik avı saldırılarına karşı savunma yapmasının en iyi yollarından biri çalışanların farkındalık eğitimidir. Bir kuruluştaki herkesin başına bir kimlik avı saldırısı gelebilir; bu nedenle, tüm çalışanlara kimlik avı saldırılarını nasıl tanıyacakları ve bunlara nasıl yanıt verecekleri öğretilmelidir.

Diğer teknik siber saldırı teknikleri, trafiği yasal bir web sitesinden kötü amaçlı bir web sitesine yönlendiren web sitesi saldırılarını içerebilir. Buna pharming denir. Yazım hatası işgali başka bir yaygın web sitesi saldırısıdır. Bu saldırı, kullanıcının bir URL'yi yanlış yazmasına ve benzer adlı kötü amaçlı bir siteye ulaşmasına dayanır. Örneğin, bir sosyal mühendis googl.com adlı bir web sitesini konuşlandırarak, popüler web sitesi google.com'u yanlışlıkla yanlış yazan kişilere saldırabilir.

Teknik Olmayan Teknikler

Arkadan takip, kapıyı açtıktan sonra bir kişiyi bir binaya veya kısıtlı alana kadar takip etmeye dayanan yaygın bir fiziksel giriş saldırısıdır. Bazı durumlarda, hiçbir şeyden haberi olmayan çalışanlar, arkalarında yürüyen kişiye kapıyı bile açık tutabilirler. Kimlik avına benzer şekilde, arka kapı kullanımı da en iyi şekilde farkındalık eğitimi yoluyla ve her çalışanın korunan tesislere erişim için kendi rozetini veya kimlik bilgilerini kullanmasını zorunlu kılmak gibi güvenlik önlemlerinin uygulanması yoluyla önlenir.

Benzer şekilde, omuz sörfü, girilen kimlik bilgilerini görüntülemek ve yakalamak için bir kişinin omzunun üzerinden bakma işlemidir. Adının aksine, saldırganların bu tekniği uygularken birinin omzunun üzerinden bakmak dışında çeşitli yöntemler kullanabileceğini unutmamak gerekir. Bunun yerine aynalara veya pencerelerden de bakabilirler. Bu tekniğe karşı korunmak için kuruluşlar, çalışanların hassas bilgileri girerken çevrelerine karşı dikkatli olmalarını teşvik etmenin yanı sıra gizlilik ekranları kurmayı da düşünmelidir.

Sosyal Mühendislik Eğitimi

Sosyal mühendislik, bireysel muhakemeyi hedef aldığı için korunması gereken en zorlu siber güvenlik tehditlerinden biridir. Bir kuruluşun bu saldırılara karşı kendini savunmasının en iyi yolu kapsamlı, periyodik sosyal mühendislik eğitimleri vermektir. Bu eğitim, çalışanları yalnızca bu makalede ele alınan ortak sosyal mühendislik ilkeleri, teknikleri ve saldırılar konusunda eğitmekle kalmamalı, aynı zamanda potansiyel saldırıları tespit edip proaktif bir şekilde önlemek için onları gerekli araç ve bilgilerle donatmalıdır.


Gelişmelerimizden haberdar olmak ve fırsatlarımızdan faydalanmak için; bültenimize abone olmayı ve bizi takip etmeyi unutmayın!


siber güvenlikbtsosyal mühendisliksiber saldırı
İlgili İçerik
Duyurular
2026 KVKK İdari Para Cezaları Resmileşti: Güncellenen Tutarlar Kurumlar İçin Ne Anlama Geliyor?
makaleyi oku

2026 KVKK İdari Para Cezaları Resmileşti: Güncellenen Tutarlar Kurumlar İçin Ne Anlama Geliyor?

6698 sayılı Kişisel Verilerin Korunması Kanunu (KVKK) kapsamında uygulanacak idari para cezaları, 2026 yılı için güncellendi.

selen guvenc Aralık 10
2025 Black Friday Analizi: Satışlar, Tüketici Davranışları ve Markalar İçin Çıkarımlar
makaleyi oku

2025 Black Friday Analizi: Satışlar, Tüketici Davranışları ve Markalar İçin Çıkarımlar

Küresel ve yerel ölçekte paylaşılan veriler, Black Friday’in hem ticari hem de stratejik etkisinin her yıl daha da derinleştiğini gösteriyor. Peki 2025 Black Friday rakamları bize ne anlatıyor? Ve bu tablo markalar için hangi net dersleri içeriyor?

selen guvenc Aralık 10
Kazandıran Kasım'la Web Sitelerinde Gizlilik Uyumu Nasıl Güçlendi?
makaleyi oku

Kazandıran Kasım'la Web Sitelerinde Gizlilik Uyumu Nasıl Güçlendi?

Kasım ayı, satışların yanı sıra gizlilik ve yasal uyumun da öne çıktığı bir döneme dönüştü. Mobildev’in Kazandıran Kasım kampanyası, web sitelerinde gizlilik uyumunu daha erişilebilir ve ölçülebilir hale getirdi.

selen guvenc Aralık 10
2025’te Neler Arandı? Google Year in Search Verileri Ne Anlatıyor?
makaleyi oku

2025’te Neler Arandı? Google Year in Search Verileri Ne Anlatıyor?

Google’ın 2025 raporunda yer alan “Year in Search 2025” listesinde, yıl boyunca en çok aranan genel kelimeler yerine — 2024’e göre en hızlı yükseliş gösteren sorgular (trending queries) derlenmiş.

selen guvenc Aralık 10
Google Search Console Yapay Zeka Destekli Yapılandırma ile Dinamik Raporları Test Ediyor
makaleyi oku

Google Search Console Yapay Zeka Destekli Yapılandırma ile Dinamik Raporları Test Ediyor

Google Search Console (GSC), performans raporlarında kullanılmak üzere yeni bir “yapay zeka destekli yapılandırma (AI powered configuration)” özelliğini test etmeye başladı.

selen guvenc Aralık 10
Yeni Trend: Yapay Zeka İnternet Tarayıcıları
makaleyi oku

Yeni Trend: Yapay Zeka İnternet Tarayıcıları

Günümüzde tarayıcılar, kurumsal iş akışlarının merkezinde yer alıyor. Ancak Yapay Zeka (YZ) entegrasyonlu tarayıcılar, bilgi güvenliği açısından yeni riskler doğuruyor. Bu yazıda 2025 Tarayıcı Güvenlik Raporu bulgularına dayanarak bu riskleri inceliyoruz.

selen guvenc Aralık 10

Bültene Üye Ol

İşinizi geliştirmenize katkı sağlayacak, başarılı örnekleri, sektörel gelişmeleri ve kampanyaları kaçırmayın.