Sosyal mühendislik, siber saldırganların kullanıcıların güvenini kazanarak ve psikolojik manipülasyon yöntemleriyle, hassas bilgilere erişmeyi hedeflediği bir saldırı taktiğidir. Bu tür saldırılar genellikle teknik güvenlik önlemleriyle kolayca algılanamayan, insan merkezli zayıf noktalardan yararlanır. Siber suçlular, genellikle sahte kimlikler altında hareket ederek, güvenilirliklerini ve meşruiyetlerini kanıtlamak için sosyal mühendislik taktiklerini kullanırlar.
Sosyal Mühendislik Saldırılarının Türleri
- Baiting (Yemleme): Kullanıcıları zararlı dosyaları indirmeye veya zararlı bağlantıları tıklamaya yönlendirir.
- Pretexting (Bahane Bulma): Saldırganlar, sahte bir kimlik veya hikaye kullanarak kurbanları manipüle eder ve bilgi edinmeye çalışır.
- Tailgating (Kuyruktan Sürükleme): Fiziksel güvenlik önlemlerini aşmak için bir başkasının ardından girmeyi veya yetkisiz erişim elde etmeyi amaçlar.
- Quid Pro Quo: Saldırganlar, kullanıcılara hediye veya karşılıksız teklifler sunarak karşılığında bilgi almayı hedefler.
- Water Holing: Saldırganlar, hedef organizasyonun sık kullandığı veya güvendiği web sitelerine zararlı içerik yerleştirerek ziyaretçilerin bilgisayarlarına zarar verir.
- Vishing (Sesli Phishing): Telefonda sahte kimlik kullanarak kullanıcıların kişisel veya mali bilgilerini çalmayı amaçlar.
- Reverse Social Engineering: Saldırganlar, önceden elde edilen bilgileri kullanarak, meşru bir kullanıcı veya yetkili gibi davranarak sistemlere erişim sağlamayı hedefler.
- Q&A Sites Attack: Kullanıcıların güvenini kazanmak için sahte hesaplarla popüler soru-cevap sitelerinde manipülatif sorular veya cevaplar yayımlar.
- USB Drop Attack: Zararlı içerik yüklü USB bellekleri yerleştirerek, kullanıcıların bu bellekleri bilgisayarlarına takmalarını sağlayarak sisteme erişmeye çalışır.
- Bait and Switch: Kullanıcıları bir ürün veya hizmet için çekici bir teklifle cezbederek, sonradan farklı ve zararlı bir şey sunarak bilgi çalmayı amaçlar.
- Impersonation: Kurum çalışanı gibi davranarak, sahte taleplerle veya iletişim yoluyla kullanıcıları yanıltarak bilgi veya erişim elde etmeye çalışır.
- Friendship Exploitation: Sosyal medya veya diğer platformlarda kurulan sahte dostluk ilişkileri üzerinden güven kazanarak bilgi hırsızlığı yapmayı amaçlar.
- Job Offer Scams: Sahte iş teklifleri kullanarak, iş arayan kişilerden kişisel veya mali bilgileri çalarak dolandırıcılık yapmayı hedefler.
- Survey Scams: Sahte anketler veya anket teklifleriyle kullanıcıları cezbederek, kişisel bilgilerini veya kimlik bilgilerini çalmayı amaçlar.
- CEO Fraud: Üst düzey yönetici gibi davranarak, çalışanlardan mali işlemler veya hassas bilgileri içeren bilgileri talep ederek dolandırıcılık yapmayı amaçlar.
- Invoice Fraud: Sahte fatura veya ödeme talepleri göndererek, kurumların mali kaynaklarını ele geçirmeyi hedefler.
- Fake Software Updates: Zararlı yazılım içeren sahte yazılım güncellemeleri aracılığıyla kullanıcıların sistemlerine erişim sağlamayı amaçlar.
- Tech Support Scams: Sahte teknik destek sağlayıcı gibi davranarak, kullanıcıları kendi bilgisayarlarına zararlı yazılımlar indirmeye veya kişisel bilgilerini paylaşmaya ikna etmeyi hedefler.
- Physical Access Exploitation: Fiziksel erişim yoluyla, güvenlik kontrollerini atlatarak bilgisayarlara veya diğer sistemlere erişim sağlamayı amaçlar.
Bu örnekler, sosyal mühendislik saldırılarının çeşitliliğini ve karmaşıklığını göstermektedir. Her bir saldırı türü, kullanıcıların güvenliğini tehlikeye sokacak farklı yöntemler kullanır ve bu nedenle güvenlik farkındalığının ve eğitimin önemi büyüktür.
Bu serinin diğer yazıları
- Sosyal Mühendislik Saldırıları: Tehditler ve Kişisel Veri Güvenliği Stratejileri
- Sosyal Mühendislik Saldırıları: Tanımı ve Önemi
- Sosyal Mühendislik Saldırılarının İşleyişi
- Sosyal Mühendislik Saldırılarının Potansiyel Etkileri
- Kişisel Veri Güvenliği Stratejileri
- Sosyal Mühendislik Saldırılarından Korunma İpuçları
- Sosyal Mühendislik Saldırılarında Farkındalık