Sosyal Mühendislik ve Manipülasyon

Günlük Güvenlik Davranışları

👤 Güvenlik Uzmanı★ 2/3⏱ 12 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Verizon DBIR raporlarına göre veri ihlallerinin büyük bölümünde insan faktörü rol oynar ve sosyal mühendislik en yaygın saldırı vektörlerinden biridir. Saldırgan çoğu zaman güvenlik duvarınızı değil, GÜVENİNİZİ hackler.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste sosyal mühendisliği ve manipülasyon tekniklerini ele alıyoruz: telefonla dolandırıcılık (vishing), SMS oltalama (smishing), kimliğe bürünme ve aciliyet baskısı gibi yöntemler. Soldaki interaktif sahnede (social-engineering) farklı senaryolarda 'kırmızı bayrakları' tek tek inceleyip kimliği doğrulama adımlarını dene.

Anlatım

SOSYAL MÜHENDİSLİK NEDİR? Sosyal mühendislik; teknik bir zafiyetten değil, İNSAN psikolojisinden faydalanarak kişiyi gizli bilgi vermeye, bir bağlantıya tıklamaya veya yetkisiz bir işlem yapmaya ikna etme sanatıdır. Saldırgan sistemi değil, çalışanı hedef alır. NEDEN İŞE YARAR? (İkna ilkeleri — Cialdini) • Otorite: 'Ben Genel Müdür / IT yöneticisi' diyerek emir verme. • Aciliyet & Kıtlık: 'Hesabınız 1 saat içinde kapanacak!' baskısı düşünmeyi engeller. • Güven & Benzerlik: Tanıdık bir isim, logo, ortak bir tanıdık ile yakınlık kurma. • Karşılıklılık: Küçük bir 'yardım' sonrası karşı talep. • Sosyal kanıt: 'Tüm ekip bunu yaptı, sadece sen kaldın.' YAYGIN TÜRLER 1) Phishing (e-posta oltalama): Sahte e-posta ile kimlik/şifre çalma. 2) Spear phishing: Belirli bir kişiye özel, kişiselleştirilmiş hedefli saldırı. 3) Whaling / CEO dolandırıcılığı (BEC): Üst yöneticiyi taklit ederek acil para transferi/fatura ödemesi isteme. 4) Vishing (sesli/telefon): Banka, IT destek veya kurum görevlisi gibi arayarak bilgi/erişim isteme. 5) Smishing (SMS): 'Kargonuz beklemede', 'e-Devlet ceza' gibi sahte link içeren mesajlar. 6) Pretexting: İnandırıcı bir senaryo (bahane) kurarak bilgi toplama. 7) Baiting: Otoparka bırakılmış USB, 'bedava' indirme gibi merak tuzakları. 8) Tailgating / piggybacking: Yetkili birinin peşinden turnikeden/kapıdan içeri sızma. İŞ YERİ ÖRNEKLERİ • Muhasebeye 'CEO' imzalı acil havale talebi gelir — gerçekte sahte hesaba para transferi (BEC). • 'IT Destek' arar, 'sistem güncellemesi için' şifrenizi ister (vishing). • Kargo SMS'i sahte ödeme sayfasına yönlendirir (smishing). • Ziyaretçi 'kartımı unuttum' diyerek arkanızdan güvenli alana girer (tailgating). YAPILMASI GEREKENLER (DO) • DUR-DÜŞÜN-DOĞRULA: Acele ettiren her talebi ŞÜPHEYLE karşıla. • Kimliği BAĞIMSIZ kanaldan doğrula: Arayan numaraya geri dönme — kuruluşun resmî/bilinen numarasını sen ara (call-back). • Para/veri/erişim taleplerinde ikincil onay (dört göz / out-of-band) kullan. • Şüpheli e-posta/SMS'i kurum prosedürüne göre BİLDİR (phishing raporlama). • Hassas bilgileri yalnızca 'bilmesi gereken' (need-to-know) ilkesiyle paylaş. YAPILMAMASI GEREKENLER (DON'T) • Aciliyet/korku baskısıyla anında işlem YAPMA. • Şifre, OTP/SMS kodu, kart bilgisini ASLA telefonda/e-postada paylaşma — meşru hiçbir kurum bunları istemez. • Tanımadığın USB'yi cihaza TAKMA; beklenmeyen ek/linke tıklama. • Yabancıyı güvenli alana 'nezaketen' içeri ALMA; rozet/kayıt iste. ISO 27001:2022 & KVKK BAĞLANTISI • ISO 27001:2022 Annex A 6.3 — Bilgi güvenliği farkındalık, eğitim ve öğretim (sosyal mühendisliğe karşı temel kontrol). • Annex A 5.24/5.26 — Olay yönetimi ve raporlama (şüpheli girişimleri bildirme). • Annex A 8.7 — Kötü amaçlı yazılıma karşı koruma (oltalama eklerine karşı). • KVKK (6698): Kişisel veriler 'veri güvenliğine ilişkin yükümlülükler' (md.12) kapsamında korunur; sosyal mühendislikle yaşanan sızıntı bir VERİ İHLALİ'dir ve KVKK Kurulu'na 'en kısa sürede' (72 saat) bildirim gerektirir.

📌 Senaryolar

📌 Senaryo 1 (CEO dolandırıcılığı / BEC): Muhasebeden Ayşe'ye, Genel Müdür'ün adresine BENZER bir e-posta gelir: 'Acil! Yeni tedarikçiye 5 dk içinde 250.000 TL havale et, toplantıdayım arama.'
  Doğru davranış: Aciliyet + para transferi = kırmızı bayrak. İşlemi yapmadan ÖNCE Genel Müdür'ü bilinen telefonundan ara (e-postadaki numarayı/yanıtı kullanma) ve kurumun çift-onay prosedürünü uygula.
  Sonuç/Neden: BEC saldırılarında para sahte hesaba gidince çoğunlukla geri alınamaz. Bağımsız doğrulama (out-of-band) tek etkili savunmadır.

📌 Senaryo 2 (Vishing — sahte IT destek): Telefonda 'BT departmanından' biri arar: 'Sisteminizde virüs tespit ettik, hemen kullanıcı adı ve şifrenizi söyleyin, uzaktan temizleyelim.'
  Doğru davranış: Şifreyi ASLA söyleme. 'Sizi kurumsal destek hattından geri arayacağım' deyip telefonu kapat ve resmî IT numarasından doğrula; durumu güvenlik ekibine bildir.
  Sonuç/Neden: Meşru BT ekibi şifrenizi telefonda istemez. Geri-arama (call-back) ile arayanın gerçek olup olmadığı anlaşılır.

📌 Senaryo 3 (Smishing — kargo/ceza SMS'i): Telefona 'Kargonuz gümrükte bekliyor, 9,90 TL ödeyin: hxxp://kargo-tahsilat[.]xyz' SMS'i düşer.
  Doğru davranış: Linke TIKLAMA. Kargo/kurum durumunu resmî uygulama veya web sitesinden manuel kontrol et; SMS'i sil ve şüpheli mesaj olarak işaretle/bildir.
  Sonuç/Neden: Küçük tutar 'zararsız' hissettirir ama hedef kart bilgisi ve giriş bilgilerini çalmaktır. Resmî kanal tek güvenli yoldur.

📌 Senaryo 4 (Tailgating — fiziksel sızma): Elinde kahve ve kutular taşıyan, kartını 'unuttuğunu' söyleyen biri güvenli kata girerken kapıyı senin için açık tutmanı ister.
  Doğru davranış: Nazikçe reddet; herkesin kendi kartıyla geçmesini sağla ve kişiyi resepsiyona/ziyaretçi kaydına yönlendir. Tanımadığın kişiyi içeri alma.
  Sonuç/Neden: Yetkisiz fiziksel erişim cihaz takma, belge çalma veya ağa sızma fırsatı yaratır. İçeri alma sorumluluğu içeri alan kişidedir.

📌 Senaryo 5 (Baiting — bulunmuş USB): Otoparkta 'Maaş Bordroları 2026' etiketli bir USB bellek bulursun; içinde ne olduğunu merak edersin.
  Doğru davranış: USB'yi BİLGİSAYARA TAKMA. Olduğu gibi BT/güvenlik ekibine teslim et ve nerede bulduğunu bildir.
  Sonuç/Neden: Bu klasik bir tuzaktır; USB takılır takılmaz kötü amaçlı yazılım çalışabilir. Merak, saldırganın en güvendiği zafiyettir.

Özet

• Sosyal mühendislik teknolojiyi değil, insan güvenini ve duygularını (otorite, aciliyet, korku) hedefler. • Türler: phishing/spear/whaling-BEC, vishing (telefon), smishing (SMS), pretexting, baiting, tailgating. • Altın kural: DUR–DÜŞÜN–DOĞRULA; her acil/olağandışı talebi bağımsız (out-of-band) kanaldan teyit et. • Şifre, OTP/SMS kodu, kart bilgisi ASLA paylaşılmaz; meşru kurum bunları istemez. • Şüpheli e-posta/SMS/aramayı prosedüre göre BİLDİR; tanımadığın USB'yi takma, yabancıyı içeri alma. • ISO 27001:2022 A.6.3 farkındalık eğitimi temel kontroldür; sızıntı KVKK md.12 kapsamında veri ihlali sayılır.

✅ Mini-Test (5)

1.Sosyal mühendislik saldırıları temelde neyi hedef alır?

2.Telefonla, kendini banka/IT görevlisi gibi tanıtarak bilgi çalmaya çalışan saldırı türü hangisidir?

3.Meşru bir banka veya BT departmanı, hesabınızı korumak için telefonda şifrenizi veya SMS doğrulama kodunuzu (OTP) isteyebilir.

4.'CEO' adına gelen, 5 dakika içinde acil para transferi isteyen ve 'beni arama, toplantıdayım' diyen e-posta karşısında en doğru ilk adım nedir?

5.Aşağıdakilerden hangisi bir sosyal mühendislik 'kırmızı bayrağı' DEĞİLDİR?

🧩 Uygulama Soruları (5)

1.Tanımadığınız bir kişi, elleri dolu olduğu için güvenli ofis kapısını sizin için açık tutmanızı istiyor. Ne yaparsınız?

2.Telefona 'Kargonuz beklemede, 7,50 TL ödeme yapın: kargo-odeme[.]link' SMS'i geldi. Doğru davranış nedir?

3.Kendini 'IT destek' olarak tanıtan biri arayıp uzaktan bağlantı için kullanıcı adı ve şifrenizi istiyor. En güvenli tepki hangisidir?

4.Bir veri ihlaline yol açan başarılı sosyal mühendislik saldırısı, KVKK kapsamında veri sorumlusunun KVKK Kurulu'na bildirim yükümlülüğü doğurabilir.

5.Ofis otoparkında 'Gizli - Maaş Listesi' etiketli bir USB bellek buldunuz. Doğru davranış nedir?

← Oltalama (Phishing) Saldırılar E-posta ve Mesajlaşma Güvenliğ →

← Tüm modüllere dön · Güvenlik Sözlüğü