Sosyal mühendislik, internet ortamında kullanıcıların zafiyetlerinden yararlanarak kandırma veya iknayla bilgilerinin elde edilmesidir. Bu faaliyetler e-posta gibi dijital yollarla yapılmasının yanı sıra fiziksel olarak da gerçekleşebilir.
Sosyal mühendisler, mağdurları güvenlik hataları yapma konusunda kandırmak veya kendi istekleriyle bilgi vermek için çeşitli psikolojik manipülasyon teknikleri kullanmaktadır. Sosyal mühendisler bilgi toplama, kullanıcıyı ikna etme ve bilgilere erişme olmak üzere farklı adımlarla siber saldırı gerçekleştirmektedir.
Günümüzde verilerin öneminin artmasıyla, sosyal mühendislik siber saldırılarında artış yaşanıyor. En yaygın sosyal mühendislik siber saldırılarını ise şu şekilde sıralayabiliriz:
1)Phishing: Kimlik hırsızlığı, sosyal mühendislik siber saldırılarının en yaygın biçimlerinden biridir. Lifewire.com gibi sitelere göre, aslında insanların günlük olarak aldığı tüm spam e-postaların önemli bir kısmını oluşturmaktadır. SMS, IM ve diğer sosyal medya etkileşimi biçimleriyle de kimlik hırsızlığı saldırıları denenebilmektedir.
Bu tür mesajlar kullanıcıların şifreleri, kart bilgileri vb. gibi hassas bilgileri doğrudan açığa çıkarmak için kandırmaya çalışır. Benzer bilgilere ulaşmak için kullanıcıları sahte bir URL’ye yönlendirir.
Watering hole attacks: İnternet sitelerindeki sadık kullanıcılara saldırmak için sitelere kötü amaçlı kod enjekte eden bir saldırı yöntemidir.Kullanıcılar siteyi ziyaret ettiğinde, oluşturulan web sitesi kullanıcının bilgisayarında arka planda bir trojan açar.
Tailgating: Adından da anlaşılacağı gibi Tailgating, kötü niyetli bir kişiye, uygun şekilde izinsiz bir alana fiziksel erişim sağlamak için kullanılan bir sosyal mühendislik saldırısı şeklidir. Bu yöntemde saldırgan, yetkili bir kişinin elektronik erişim kartını veya biyometrik bilgilerini kullanarak erişim sağlamaktadır.
Pretexting: Zaman içinde güven inşa ederek hassas bilgilere ulaşma girişimidir. Pretexting’de örneğin, yeni bir sistem hesabını aktif hale getirmek veya kimlik bilgilerini doğrulamak için çeşitli bilgiler talep ediliyormuş gibi davranılır. Kişinin güvenini sağladıktan sonra bilgiler talep edilerek siber saldırı gerçekleşir.
Whalingattacks: Hassas bilgileri toplamak için daha ileri sosyal mühendislik teknikleri kullanan daha karmaşık bir kimlik hırsızlığı şeklidir. Saldırgan, ekonomik ve ticari değeri yüksek bilgiler edinmeye çalışır. Bu saldırıyı diğerlerinden ayıran şey, hedeflerin seçimidir. Şirket veya yönetim genelinde gizli konular ve sahte bilgiler aracılığıyla saldırı gerçekleştirilir.
Baiting ve Quid Pro Quo: Baiting, mağdurun merak duygularını kullanan bir diğer kötü sosyal mühendislik saldırısıdır. Örneğin, bir yazılım güncellemesi aracılığıyla kullanıcılara kötü amaçlı dosyalar aktarılmaktadır. Bu saldırılar, USB bellek gibi donanımlar aracılığıyla da gerçekleşmektedir. Örneğin, park yerinde unutulduğu düşünülen bir USB bellek, bir kişi tarafından alınıp bilgisayarına takıldığında siber saldırı gerçekleşir. Quid Pro Quo saldırısı, Baiting ile benzerlik göstermektedir. Bu saldırı yönteminde sosyal mühendis, mağdur için hizmet veya farklı faydalar karşılığında erişim izni talep eder. Kötü amaçlı yazılımlar ve dosyalar bu erişim sırasında mağdura aktarılır.
Burak Kesayak
Twitter: @BurakKesayak