Kötü Amaçlı Yazılım & Saldırılar

Sosyal Mühendislik

👤 Güvenlik Uzmanı1/35 dk
İnteraktif sahne yükleniyor…
🎯 Neden önemli?

En güçlü güvenlik duvarı bile, bir çalışanı telefonda "BT departmanından arıyorum, şifrenizi doğrulayalım" diyerek kandıran bir saldırgan karşısında işe yaramaz — çünkü sosyal mühendislikte hedef sistem değil, insandır.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu kartta kurumsal güvenliğin en zayıf halkasını hedef alan tehdidi inceliyoruz: Sosyal Mühendislik. Teknik açıklardan değil, insan psikolojisinden faydalanan bu yöntemi tanır ve buna karşı nasıl korunacağımızı öğreniriz.

Anlatım

NEDİR? Sosyal mühendislik (social engineering), bir saldırganın teknik açıkları sömürmek yerine İNSANI manipüle ederek gizli bilgi (parola, kimlik, banka bilgisi), erişim yetkisi veya istenmeyen bir eylem (kötü amaçlı eki açma, para transferi yapma) elde etmesidir. Yani "sistemi değil, sistemi kullanan kişiyi hacklemek" olarak özetlenebilir. Saldırının özünde güven, korku, merak, otorite ve aciliyet gibi insani duygu ve davranışların kötüye kullanılması vardır. NASIL ÇALIŞIR? Tipik bir sosyal mühendislik saldırısı genellikle şu adımları izler: 1) Bilgi Toplama (Keşif): Saldırgan hedef kişi/kurum hakkında sosyal medya, kurumsal web sitesi, sızdırılmış veriler vb. açık kaynaklardan bilgi toplar (OSINT). 2) İlişki/Güven Kurma: Kendini güvenilir biri gibi gösterir — BT desteği, banka görevlisi, üst yönetici, kargo firması veya bir iş ortağı kılığına girer (bahane uydurma / pretexting). 3) İstismar (Manipülasyon): Aciliyet ("hesabınız 1 saat içinde kapanacak"), otorite ("genel müdür acil onay istiyor"), korku veya yardımseverlik duygusunu tetikleyerek kurbanı düşünmeden hareket etmeye zorlar. 4) Eylem ve İz Silme: Kurban parolasını verir, sahte siteye giriş yapar, kötü amaçlı dosyayı açar veya parayı transfer eder; saldırgan elde ettiği erişimle hedefine ulaşır. YAYGIN TÜRLERİ • Phishing (oltalama): Toplu sahte e-postalarla geniş kitleyi avlama. • Spear phishing / whaling: Belirli bir kişiye ya da üst düzey yöneticiye özel hazırlanmış hedefli saldırı. • Vishing (sesli) ve smishing (SMS): Telefon araması veya kısa mesaj yoluyla manipülasyon. • Pretexting: İnandırıcı bir senaryo/bahane uydurarak bilgi koparma. • Baiting (yemleme): Merak uyandıran bir tuzak — örneğin otoparka bırakılmış "Maaş Bordrosu" etiketli USB bellek. • Tailgating / piggybacking: Yetkili birinin arkasından fiziksel güvenlik kapısından izinsiz geçme. NEDEN ÖNEMLİ / İŞ YERİNDE Sosyal mühendislik, günümüzde veri ihlallerinin çok büyük bir bölümünün başlangıç noktasıdır; çünkü en gelişmiş teknik savunmaları bile atlatmanın en kolay yolu insandır. İş yerinde sahte CEO e-postasıyla yapılan dolandırıcılık (CEO fraud / BEC), tedarikçi taklidiyle yapılan sahte ödeme talepleri ve BT desteği taklidiyle parola çalma vakaları çok yaygındır. Tek bir çalışanın hatası, tüm kurumun ağına sızılmasına yol açabilir. DİKKAT / İYİ UYGULAMA • ŞÜPHE DUY: Beklenmedik aciliyet, gizlilik ve baskı içeren talepleri sorgula. • DOĞRULA: Hassas bir talep geldiğinde, gelen mesajdaki bilgiyi değil, BİLİNEN resmî kanalı (kurumsal rehberdeki numara) kullanarak kişiyi geri ara. • ASLA PAYLAŞMA: Parola, OTP/doğrulama kodu ve hassas bilgileri telefonda veya e-postada kimseyle paylaşma; meşru kurumlar bunları istemez. • BİLDİR: Şüpheli bir durumla karşılaşınca güvenlik ekibine/BT'ye hemen haber ver — utanma, raporlama hayat kurtarır. • EĞİTİM: Düzenli farkındalık eğitimi ve oltalama simülasyonları en etkili savunmadır.

📌 Senaryolar
📌 Örnek 1 (CEO Dolandırıcılığı / BEC): Muhasebe çalışanı, genel müdürün e-posta adresine çok benzeyen bir adresten ("[email protected]" yerine "[email protected]") "Acil ve gizli bir satın alma için bu hesaba hemen 250.000 TL gönder" mesajı alır. Açıklama: Bu klasik bir CEO fraud (Business Email Compromise) saldırısıdır. Otorite (genel müdür), aciliyet ("hemen") ve gizlilik ("kimseye sorma") birlikte kullanılır. Doğru davranış: ödemeyi yapmadan önce genel müdürü bilinen telefonundan arayarak talebi sözlü doğrulamaktır; alan adındaki küçük yazım farkı saldırının kanıtıdır.
📌 Örnek 2 (Vishing — Sahte BT Desteği): Bir çalışanı telefonla arayan kişi kendini "bilgi işlem departmanından" tanıtır ve "sisteminizde bir virüs tespit ettik, hesabınızı korumak için kullanıcı adı ve parolanızı doğrulamam gerekiyor" der. Açıklama: Sesli oltalama (vishing) yöntemiyle güven ve korku istismar edilir. Gerçek BT ekipleri ASLA telefonda parola istemez. Doğru davranış: bilgiyi vermeden görüşmeyi sonlandırmak ve durumu kurumun resmî BT hattını arayarak teyit etmektir.
📌 Örnek 3 (Baiting — Yemleme USB'si): Bir çalışan, şirketin otoparkında üzerinde "2026 Maaş Zammı Listesi - GİZLİ" yazan bir USB bellek bulur ve merakla kendi iş bilgisayarına takar. Açıklama: Bu bir baiting (yemleme) saldırısıdır; merak duygusu istismar edilir. USB takılır takılmaz çalışan kötü amaçlı yazılım (örneğin bir arka kapı veya tuş kaydedici) kurmuş olur. Doğru davranış: kaynağı bilinmeyen hiçbir donanımı bilgisayara takmamak ve buluntuyu güvenlik ekibine teslim etmektir.
Özet

• Sosyal mühendislik, teknik açığı değil İNSANI manipüle ederek bilgi/erişim elde etme yöntemidir. • Saldırgan otorite, aciliyet, korku, merak ve güven duygularını silah olarak kullanır. • En yaygın türleri: phishing/spear phishing, vishing (telefon), smishing (SMS), pretexting, baiting ve tailgating. • Korunmanın temeli: şüphe duymak, hassas talepleri bilinen resmî kanaldan DOĞRULAMAK ve parola/OTP'yi asla paylaşmamak.

✅ Mini-Test (3)
1.Sosyal mühendislik saldırılarının temel hedefi nedir?
2.Bir kişi telefonla arayıp kendini BT desteği olarak tanıtarak parolanızı istiyor. Bu durum hangi sosyal mühendislik türüne en iyi örnektir?
3.Genel müdürden geldiği görünen, acil ve gizli bir para transferi isteyen e-posta gelince, ödeme yapmadan önce talebi bilinen resmî bir kanaldan (örneğin doğrudan arayarak) doğrulamak doğru davranıştır.
← Tüm sözlük terimleri · Farkındalık eğitimi