İnsanlar sosyal varlıklardır ve sosyal mühendislik bundan yararlanmanın çok etkili bir yoludur. Dahası, sosyal mühendislik saldırıları genellikle saldırganın çok özel teknik becerilere sahip olmasını gerektirmez. Binlerce kullanıcıyı hassas verileri paylaşmaları veya zararlı eylemlerde bulunmaları için zorlamak bugüne kadar epey kolay olmuştur! Tuzağa düşmeyin. İşletmeniz küçük olsa bile yine de bir hedef haline gelebilirsiniz.
Kullanıcıların duygusal tepkilerinin yanlış amaçlarla kullanıldığı iki örnek olan spam veya kimlik avı mesajlarını muhtemelen duymuşsunuzdur. Spam (istenmeyen) mesajlar genellikle e-postalar ile gönderilse de aynı zamanda hızlı mesajlaşma uygulamaları, SMS ve sosyal medya üzerinden de gönderilebilir. Kelimenin tam anlamıyla istenmeyen mesajların kendisi bir sosyal mühendislik yöntemi olmasa da bu mesajlar; kimlik avı, hedefe yönelik kimlik avı, sesli arama ile kimlik avı, SMS ile kimlik avı yöntemlerini veya kötü amaçlı eklerin ya da bağlantıların gönderilmesini içerebilir.
KOBİ’ler neden sosyal mühendisliğe dikkat etmelidir?
ABD Ulusal Siber Güvenlik Birliği adına Zogby Analytics tarafından yürütülen 2019 araştırmasına göre, KOBİ’ler siber suçluların hedefi olduğunun giderek daha fazla farkına varıyor. 251 ile 500 çalışana sahip şirketlerin yaklaşık yarısı (%44’ü), son 12 ayda resmi bir veri ihlaline maruz kaldıklarını belirtmiştir. Söz konusu araştırma küçük işletmelerin %88’inin “bir ihtimalle”, yaklaşık yarısının (%46’sının) ise “büyük ihtimalle” siber suçluların hedefi olabileceğine inandıklarını ortaya koydu.
FBI İnternet Suç Merkezi (IC3) yıllık raporunun da açık bir şekilde belirttiği gibi hasar oldukça gerçek ve kapsamlıdır. 2019’da IC3, 1,7 milyar ABD dolarının üzerinde tespit edilmiş bir kayba yol açan 23.775 işletme e-posta ihlali (BEC) / e-posta hesabı ihlali (EAC) şikayeti almıştır. BEC/EAC’ler, para transferi yapan işletme ve kişileri hedef alan dolandırıcılık yöntemleridir.
Kimlik avı saldırıları, sosyal mühendisliğin en çok kullanılan türlerinden birisidir. Kimlik avı saldırılarında saldırganlar, kurbandan hassas bilgiler talep eden güvenilir bir kişiymiş gibi davranır. Ancak burada dikkat edilmesi gereken çok fazla şey bulunur. Sosyal mühendislik dünyası bir hayli çeşitlidir. Gelin bu saldırıların diğer türlerine bir göz atalım.
Hedefe yönelik kimlik avı saldırıları
Belirli bir kişiyi, kuruluşu ya da işletmeyi hedef alan bir kimlik avı saldırısıdır. Tipik kimlik avı mesajları, tek tek kurbanları hedef almaz. Bu mesajlar yüz binlerce alıcıya gönderilir.
Sesli arama ve SMS ile kimlik avı saldırıları
Kimlik avı saldırılarına benzeyen ama e-posta haricinde platformlar kullanan sosyal mühendislik teknikleridir. Sesli arama ile kimlik avı saldırılarında hassas bilgiler sahte telefon görüşmeleri üzerinden ele geçirilirken SMS ile kimlik avı saldırıları ise SMS mesajlarını kullanır. Genellikle bu tür sosyal mühendislik yöntemleri, kurbanları verinin ele geçirildiği bir internet sitesine veya bazı siber suç kaynaklarına tekrar yönlendirmeye çalışır. SMS mesajlarının kendisi, verilerin kapsamlı bir şekilde toplanması için pek uygun değildir. Ancak yine de kurbanların bir SMS mesajına doğrudan yanıt vererek hassas verileri göndermeleri istendiği saldırılar da olabilir.
Korkutma amaçlı yazılımlar
Korkutma amaçlı yazılımlar, kurbanları cihazlarına daha fazla kötü amaçlı kod kurmaya zorlayan ve çeşitli endişe yaratan tekniklerin kullanıldığı yazılımlardır. Örneğin, sahte antivirüs ürünleri sorunu çözmek için kullanıcıları özel bir yazılım kurmaları için kandırır. Ancak bu programlar genellikle tehlikelidir.
Birini taklit etme
Birini taklit etme tekniği, fiziksel dünyadaki ile aynıdır. Siber suçlular genellikle CEO kimliğine bürünerek çalışanlarla iletişime geçer ve sahte işlemleri başlatmalarını istemek gibi kurbanları harekete geçmeleri için manipüle etmeye çalışır.
Teknik Destek Dolandırıcılıkları
Teknik destek dolandırıcılıkları, telefon görüşmesi veya internet üzerinden sunulan sahte teknik destek hizmetleridir. Saldırganlar, sahte hizmet satmaya ve aslında var olmayan sorunları çözmeye ya da kurbanların cihazlarına uzaktan erişimli bir çözüm kurup verilerine yetkisiz erişim sağlamaya çalışır. Pandemi başladığından bugüne bu yöntem çok yaygın bir şekilde kullanılmaya başlanmıştır.
Siber Dolandırıcılıklar
Siber dolandırıcılıklar, az önce bahsedilen çeşitli tekniklerin bir arada kullanıldığı yöntemlerdir.
Şantaj
Bu yöntem, asılsız iddia ve suçlamalar ile kurbanlara şantaj yapmaya çalışan ve uzun süredir devam eden e-postalardan oluşan bir dolandırıcılıktır. Daha fazlasını okuyarak bu yöntemin nasıl çalıştığını ve bundan nasıl korunabileceğinizi öğrenin.
İşletmenizi sosyal mühendisliğe karşı nasıl koruyabileceğinizi öğrenin
Artık sosyal mühendislik tekniklerini öğrendiğinize göre bunları nasıl fark edebilirsiniz? Size yardımcı olabilecek birkaç nokta var. Mesajda hata ve yanlış dil bilgisi kullanımı var mı? Bir acil durum hissi uyandırıyor mu? Gönderen kişinin adresi ile ilgili garip bir durum var mı? Tanımadığınız birisi sizden kişisel bilgilerinizi ya da şifrenizi mi istiyor? Mesajın sizi sorgusuz sualsiz bir şey yapmaya ittiğini hissediyor musunuz? E-postada yer alan teklif gerçek olamayacak kadar cazip mi? Çünkü muhtemelen gerçek değildir. Hassas verilerin herhangi bir şekilde talep edilmesinin şüphe uyandırdığını aklınızdan çıkarmayın.
Yine de işletmenizi sosyal mühendisliğe karşı korumak için birçok şey yapabilirsiniz. İşte saldırganlardan bir adım önde olmanız için birkaç öneri.
1. Çalışanlarınıza eğitim verin
Sosyal mühendislik teknikleri, hedeflerindeki kişilerin düşük seviyedeki siber güvenlik farkındalığı üzerinden çalıştığı için üst yönetim, BT ve diğer departmanlar da dahil tüm şirket için düzenli aralıklarla siber güvenlik eğitimleri düzenlenmesi önemlidir. Eğitimler sırasında gerçek hayattan senaryolara yer vermeye çalışın. Ancak bunu yaptığınız zaman çalışanlarınız belli başlı durumları anlayabilecek ve bunlardan ders çıkarabilecektir. Çalışanlarınız, anlaşılabilir bir güvenlik politikasının bilincinde olmalı ve sosyal mühendislik tekniği ile karşı karşıya kaldıklarında hangi adımları atmaları gerektiğini bilmelidir.
2. Şifreleriniz kontrol altında olsun
Güçlü bir şifre politikası olmazsa olmaz bir önlemdir. Saldırganlar tarafından muhtemelen kötü amaçlar için kullanılabilecek zayıf şifreleri tespit edin. Aynı zamanda çok faktörlü kimlik doğrulamasından faydalanarak fazladan bir güvenlik katmanı eklemeyi de göz önünde bulundurun.
3. Uygun güvenlik çözümleri kullanın
Dolandırıcılık iletişim yöntemleriyle mücadele etmek için teknik çözümler kullanmak, güvenliğinizi arttırmanın bir diğer yolu olabilir. Böylece istenmeyen mesajlar veya kimlik avı mesajları algılanabilir, karantina altına alınabilir, saf dışı bırakılabilir ve silinebilir. Ağlarda bulunan muhtemel tehditleri algılayıp ortadan kaldırmaları için BT yöneticilerine tam görünürlük ve beceri sağlayacak araçlar kullanarak korumanızı geliştirin.
Siber riskler hakkında ne kadar çok bilginiz olursa alınması gereken önlemler konusunda da o kadar çok bilginiz olacağını unutmayın. Bu sayede hem verileriniz hem de işletmeniz korunmuş olur.
CEO’nuzu VPN yatırımı yapmaya nasıl ikna edersiniz?
