Sosyal Mühendislik Saldırıları: Tanıma ve Korunma
Yayın Tarihi
Sosyal Mühendislik Nedir?
Sosyal mühendislik saldırıları, teknik güvenlik açıklarından değil insan psikolojisinden yararlanan siber saldırı yöntemleridir. Burdur'daki birçok işletme güvenlik duvarı ve antivirüs yazılımıyla korunduğunu düşünür, ancak sosyal mühendislik saldırıları bu teknolojik bariyerleri tamamen atlayarak doğrudan insanı hedef alır. Şahin Ofis olarak yazılım ve güvenlik hizmetlerimiz kapsamında müşterilerimize bu tür saldırılar hakkında bilgi verirken, sosyal mühendislik kavramının çoğu kişi tarafından bilinmediğini görüyoruz. Siber Güvenlik Farkındalık Ayı olan Ekim'de bu konuyu detaylı ele almanın tam zamanı. Bu yazıda sosyal mühendislik saldırı türlerini, nasıl tanıyacağınızı ve kendinizi nasıl koruyacağınızı anlatacağız.
En Yaygın Sosyal Mühendislik Saldırı Türleri
Kimlik avı (phishing) e-postaları: En yaygın sosyal mühendislik yöntemidir. Bankanızdan, kargo firmasından veya devlet kurumundan gelmiş gibi görünen sahte e-postalarla kişisel bilgilerinizi çalmayı amaçlar. "Hesabınız askıya alınacak", "Kargonuz bekliyor" gibi aciliyet yaratan mesajlarla sizi sahte bir web sitesine yönlendirir. Türkiye'de özellikle e-Devlet, PTT Kargo ve banka isimleriyle gönderilen sahte e-postalar çok yaygındır.
Telefon dolandırıcılığı (vishing): Saldırganlar kendilerini banka çalışanı, teknik destek personeli veya kamu görevlisi olarak tanıtarak sizi arar. Güvenlik bilgilerinizi, SMS'le gelen doğrulama kodlarını veya kart bilgilerinizi isterler. Burdur'da bile bu tür aramalar giderek artıyor. Bankalar asla telefonla şifre veya doğrulama kodu istemez; bunu unutmayın.
SMS dolandırıcılığı (smishing): Kısa mesajla gönderilen sahte bağlantılar aracılığıyla gerçekleştirilen saldırılardır. "Kargonuz teslim edilemedi" veya "Hesabınıza şüpheli giriş yapıldı" gibi mesajlarla aciliyet yaratır ve sizi zararlı bir bağlantıya tıklamaya ikna etmeye çalışır.
Yemleme (baiting): Fiziksel ortamda da gerçekleşebilen bir saldırı türüdür. Örneğin, ofis kapısı önüne bırakılmış "Maaş Tablosu 2026" etiketli bir USB bellek, merak uyandırıp bilgisayara takmanızı sağlamayı amaçlar. USB bellek içinde zararlı yazılım bulunur ve bilgisayarınıza takıldığı anda sisteminize bulaşır.
Sosyal Mühendislik Saldırısını Nasıl Tanırsınız?
Sosyal mühendislik saldırılarının ortak özellikleri vardır. Bu özellikleri bilmek, saldırıyı erken aşamada tanımanıza yardımcı olur:
Aciliyet hissi yaratır: "Hemen işlem yapmazsanız hesabınız kapatılacak", "Son 24 saat" gibi ifadeler sizi düşünmeden harekete geçirmeyi amaçlar. Gerçek kurumlar size düşünme süresi tanır.
Kişisel bilgi ister: Parola, TC kimlik numarası, kredi kartı bilgisi veya doğrulama kodu isteyen herhangi bir iletişim şüphelidir. Meşru kurumlar bu bilgileri e-posta veya telefonla istemez.
Gönderici adresi şüphelidir: E-postanın geldiği adrese dikkat edin. "destek@bankam-turkiye.xyz" gibi garip alan adları sahtecilik göstergesidir. Gerçek banka adresleri .com.tr uzantılıdır.
Bağlantılar farklı yere yönlendirir: E-postadaki bağlantının üzerine fareyle geldiğinizde (tıklamadan) gerçek URL'yi görebilirsiniz. Eğer yazan metin ile bağlantı adresi farklıysa kesinlikle tıklamayın.
Yazım hataları ve garip formatlar: Profesyonel kurumlar yazım hatası barındıran e-postalar göndermez. Türkçe karakter sorunları, tuhaf cümle yapıları ve garip formatlar sahte e-postaların belirtisidir.
Bir e-posta veya mesaj sizi telaşlandırıyorsa, bu zaten bir uyarı işaretidir. Durun, düşünün ve doğrudan ilgili kurumun resmi web sitesinden veya resmi telefon numarasından iletişime geçin.
Kendinizi ve İşletmenizi Nasıl Korursunuz?
Sosyal mühendislik saldırılarından korunmak için teknik önlemler kadar bilinçli davranış da gerekir. İşte uygulamanız gereken adımlar:
Şüpheci olun ama paranoyak olmayın: Beklemediğiniz her e-posta, arama veya mesajı sorgulayın. Tanımadığınız kişilerden gelen ek dosyaları açmayın.
Doğrulama yapın: Bankanızdan geldiğini iddia eden bir e-posta aldığınızda, e-postadaki bağlantıya tıklamak yerine bankanın resmi web sitesine doğrudan gidin veya resmi müşteri hizmetlerini arayın.
İki faktörlü kimlik doğrulama kullanın: Parolanız ele geçirilse bile iki faktörlü doğrulama sayesinde hesabınız korunmaya devam eder. Bu konuyu sonraki yazımızda detaylı ele alacağız.
Çalışanlarınızı eğitin: İşletmedeki herkes sosyal mühendislik saldırılarını tanıyabilmeli. Düzenli farkındalık toplantıları yapın, gerçek saldırı örneklerini paylaşın.
Bilgi paylaşımını sınırlayın: Sosyal medyada işletme detaylarınızı gereğinden fazla paylaşmayın. Saldırganlar, hedefledikleri kişi ve kurum hakkında sosyal medyadan bilgi toplar.
Gerçek Hayattan Sosyal Mühendislik Örnekleri
Konunun ne kadar ciddi olduğunu somut örneklerle gösterelim. Bir müşterimiz, e-Devlet'ten gelmiş gibi görünen bir e-postadaki bağlantıya tıklayarak sahte bir giriş sayfasına e-Devlet şifresini girdi. Saldırganlar bu bilgiyle birçok resmi işlem yapabilir hale geldi. Bir başka müşterimiz ise kendisini banka güvenlik birimi olarak tanıtan bir kişiye telefonla SMS doğrulama kodunu paylaştı ve hesabından para çekildi.
Bu örnekler büyük şehirlerde değil, doğrudan Burdur'daki müşterilerimizin başına geldi. Sosyal mühendislik saldırıları coğrafi sınır tanımaz ve küçük şehirlerdeki kullanıcılar daha az bilinçli oldukları için daha kolay hedef olabilir.
Şüpheli bir e-posta veya mesaj aldığınızda panik yapmayın. E-postayı silmeyin, ancak içindeki bağlantılara tıklamayın. İlgili kurumla doğrudan iletişime geçerek durumu doğrulayın.
Şahin Ofis Güvenlik Desteği
Sosyal mühendislik saldırısına maruz kaldığınızı düşünüyorsanız veya işletmenizin güvenlik farkındalığını artırmak istiyorsanız Şahin Ofis olarak size yardımcı olabiliriz. Bilgisayar tamiri Burdur hizmetimizin yanı sıra virüs temizleme, güvenlik yazılımı kurulumu ve işletme güvenlik danışmanlığı hizmetlerimizle Burdur'daki işletmelerin dijital güvenliğini sağlıyoruz. Şüpheli bir durumla karşılaştığınızda bize ulaşmaktan çekinmeyin.
İşletmenizi siber saldırılardan koruyan temel güvenlik kontrol listesi: parola politikası, güncellemeler, yedekleme, ağ güvenliği. Burdur Şahin Ofis.
İki faktörlü kimlik doğrulama (2FA) nedir, nasıl kurulur? Google, Microsoft ve sosyal medya hesaplarında adım adım 2FA kurulum rehberi. Şahin Ofis.