Sosyal mühendislik nasıl çalışır?
Çoğu sosyal mühendislik tekniği, saldırganın herhangi bir teknik becerisine ihtiyaç duymaz, bu da küçük hırsızlardan en sofistike saldırganlara kadar herkesin bu alanda çalışabileceği anlamına gelir.
Siber güvenlikte sosyal mühendislik şemsiyesi altına giren birçok teknik var. En iyi bilinenler arasında spam ve kimlik avı vardır:
Spam toplu olarak gönderilen herhangi bir istenmeyen iletişim şeklidir. Çoğu zaman, spam mümkün olduğunca çok kullanıcıya gönderilen bir e-postadır, ancak anlık mesajlar, SMS ve sosyal medya aracılığıyla da iletilebilir. Spam kendi başına sosyal mühendislik değildir, ancak kampanyalarından bazıları kimlik avı, spearphishing, vishing, smishing veya kötü amaçlı ekleri ya da bağlantıları yayma gibi sosyal mühendislik tekniklerini kullanır.
Oltalama bir suçlunun kurbandan hassas bilgiler istemek için güvenilir bir varlık gibi davrandığı bir siber saldırı şeklidir. Bu tür sahtekarlıklar genellikle aciliyet duygusu yaratmaya çalışır veya kurbanı saldırganın isteklerine uymaya zorlamak için korkutma taktikleri kullanır. Kimlik avı saldırıları çok sayıda anonim kullanıcıyı veya belirli bir kurbanı veya belirli kurbanları hedefleyebilir.
Fakat sadece bu teknikler yoktur. Bunlara da dikkat edin:
Spearfishing saldırganın verilerini toplamak veya zararlı eylemleri gerçekleştirmesi için manipüle etmek amacıyla sınırlı bir grup insana, hatta yalnızca bir bireye, yüksek düzeyde özelleştirilmiş iletiler gönderen, hedeflenmiş bir kimlik avı biçimidir.
Vishing ve Smishing kimlik avına benzer ancak e-posta dışındaki yollarla yürütülen sosyal mühendislik teknikleridir. Vishing (sesli kimlik avı) sahte telefon görüşmeleri kullanırken, smishing (SMS kimlik avı) kötü amaçlı bağlantılar veya içerikler içeren SMS metin mesajları kullanır.
Kişileştirme siber güvenlikte, fiziksel dünyadaki karşılığına benzer bir anlamı vardır. Siber suçlular güvenilir bir şahsiyet kimliği altında hareket ederler ve mağdurları, kendilerine veya şirketlerine zarar verecek eylemlerde bulunmaları için kandırırlar. Tipik bir örnek, bir şirketin CEO'sunu taklit eden bir saldırganın, CEO ofis dışındayken sahte para transfer emirleri vermesi ve onaylamasıdır.
Teknik Destek Dolandırıcılığı bunlar genellikle saldırganların kurbanlara istenmeyen teknik destek hizmetleri sunduğu sahte telefon görüşmeleri veya web reklamlarıdır. Gerçekte, siber suçlular sahte hizmetler satarak ve var olmayan sorunları ortadan kaldırarak para kazanmaya çalışırlar.
Scareware kurbanları cihazlarına daha fazla kötü amaçlı kod yüklemeye yönlendirmek için çeşitli kaygılar uyandıran teknikler kullanan ve genellikle işlevsel olmayan veya doğrudan kötü amaçlı yazılımlar için ödemeler alan bir yazılımdır. Tipik bir örnek, kullanıcıları cihazlarının tehdit altında olduğuna ve sorunu gidermek için belirli bir (genellikle zararlı) yazılım yüklemeleri gerektiğine inandırarmak üzere tasarlanmış sahte bir virüsten koruma ürünüdür.
(Siber) Dolandırıcılıklar genellikle bu bölümde açıklanan sosyal mühendislik tekniklerinden birini veya birkaçını kullanan hileli planlardır.
KOBİ'ler neden sosyal mühendislikle ilgilenmeli?
ABD Ulusal Siber Güvenlik İttifakı adına Zogby Analytics tarafından yürütülen 2019 araştırması'na göre KOBİ'ler, siber suçluların hedefinde oldukları konusunda giderek bilinçleniyor. 251-500 çalışanı olan şirketlerin neredeyse yarısı (%44) son 12 ay içinde resmi bir veri ihlali yaşadıklarını söyledi. Anket, küçük işletmelerin neredeyse yarısının (%46) "büyük ihtimalle" siber saldırganların hedefinde olabileceklerine inandığını ve toplamda yüzde 88'inin "bir ihtimalle" hedef olabileceklerine inandıklarını ortaya koydu.
FBI'ın İnternet Suç Merkezi (IC3) yıllık raporu'nda açıkça görüldüğü gibi hasar gerçek ve kapsamlıdır. FBI, yalnızca 2018'de, ABD şirketlerinin yetkisiz fon transferlerine izin veren kurumsal e-postaların kötüye kullanımı (BEC)/e-posta hesabı kötüye kullanımı (EAC) neticesinde ödenen 1,2 milyar dolar dahil olmak üzere siber saldırılara 2,7 milyar dolardan fazla para kaybettiğini tahmin ediyor.
Bir sosyal mühendislik saldırısı nasıl tanınır?
Bir sosyal mühendislik saldırısına işaret edebilecek birkaç kırmızı bayrak var. Kötü dil bilgisi ve yazım büyük bir ipucudur. Alıcıyı sorgulamadan hareket etmeye teşvik etmeye çalışan aciliyet duygusu da aynı şekilde bir ipucudur. Hassas verilere yönelik herhangi bir talep derhal alarm zillerini çalmalıdır: saygın şirketler normalde e-posta veya kısa mesaj yoluyla parola veya kişisel veri talep etmezler.
Sosyal mühendisliğe işaret eden kırmızı bayraklardan bazıları:
1. Zayıf dil bilgisi ve genel hitap
Genellikle, saldırganlar yazım hataları, eksik kelimeler ve zayıf dil bilgisi ile dolu mesajlar göndererek ayrıntılara çok fazla dikkat etmezler. Bir saldırı girişimini işaret edebilecek bir başka dilsel unsur da genel selamlar ve formülasyonlardır. Yani bir e-posta “Sayın alıcı” veya “Sayın kullanıcı" ile başlıyorsa, dikkatli olun.
2. Garip gönderen adresi
Çoğu spam gönderen, güvenilir görünmesi için gönderenin adını veya etki alanını taklit etmek için zaman ayırmaz. Bu nedenle, rastgele sayı ve karakterlerin karışımından oluşan veya alıcı tarafından bilinmeyen bir adresten bir e-posta geliyorsa, doğrudan spam klasörüne gitmeli ve IT departmanına bildirilmelidir.
3. Aciliyet duygusu
Sosyal mühendislik saldırılarının arkasındaki suçlular genellikle “bilgilerinizi hemen bize gönderin, yoksa kargonuz atılır” veya “profilinizi şimdi güncellemezseniz hesabınızı kapatırız” gibi kaygı uyandıran ifadeler kullanarak mağdurları korkutmaya çalışırlar. Bankalar, kargo firmaları, kamu kurumları ve hatta iç departmanlar genellikle tarafsız ve olgusal bir şekilde iletişim kurar. Bu nedenle, mesaj alıcıyı hızlı hareket etmeye zorlamaya çalışıyorsa, muhtemelen kötü niyetli ve potansiyel olarak tehlikeli bir aldatmacadır.
4. Hassas bilgi talebi
Kurumlar ve hatta kendi şirketinizdeki diğer departmanlar, normal şartlarda e-posta veya telefon yoluyla hassas bilgiler talep etmezler. Tabii bu bilgileri çalışanlardan birisi talep etmezse.
5. Bir şey gerçek olamayacak kadar iyi geliyorsa, muhtemelen öyledir
Bu, sosyal medyadaki istenmeyen hediyeler için olduğu kadar, gelen kutunuza düşen “mükemmel ancak zaman sınırlı iş fırsatı” için de geçerlidir.
İşletmenizi sosyal mühendislik saldırılarından korumanın 5 yolu
1. Üst yönetim ve IT personeli de dahil TÜM çalışanlar için düzenli siber güvenlik eğitimi düzenleyin. Bu tür bir eğitimin gerçek hayat senaryolarını göstermesi veya simüle etmesi gerektiğini unutmayın. Öğrenme noktaları eyleme geçirilebilir olmalı ve en önemlisi eğitim odasının dışında aktif olarak test edilmelidir: sosyal mühendislik teknikleri, hedeflerinin siber güvenlik bilincinin düşük olmasına dayanır.
2. Zayıf parolalar için tarama yapın: Şirket ağınızda, saldırganlar için potansiyel olarak açık bir kapı haline gelebilecek. Ayrıca, çok faktörlü kimlik doğrulaması uygulayarak parolaları başka bir güvenlik katmanıyla daha korumuş olursunuz.
3. Aldatmaca iletişimiyle mücadele etmek için teknik çözümler uygulayın: Böylece spam ve kimlik avı iletileri algılanır, karantinaya alınır, etkisizleştirilir ve silinir. ESET'in sağladığı birçok çözüm de dahil olmak üzere, bu özelliklerin bir kısmına veya hepsine sahip olan güvenlik çözümleri vardır.
4. Çalışanların kullanabileceği ve sosyal mühendislikle karşılaştıklarında hangi adımları atmaları gerektiğini belirlemelerine yardımcı olacak anlaşılabilir güvenlik ilkeleri oluşturun.
5. ESET PROTECT Cloud gibi bir güvenlik çözümü ve yönetim araçları kullanarak, kuruluşunuzun uç noktalarını ve ağlarını korumak için yöneticilere tam görünürlük ve ağdaki potansiyel tehditleri tespit etme ve azaltma yeteneği sağlayabilirsiniz.
Şimdi sosyal mühendislik ile mücadele edin
ESET PROTECT
Advanced
Bulutta LiveGrid® koruması, ağ saldırısı koruması ve bulut tabanlı ESET PROTECT konsolu içeren ESET çok katmanlı uç nokta güvenlik çözümlerini kullanarak, yöneticilerinize 7/24 tam, ayrıntılı ağ görünürlüğü sağlayarak kurumunuzu sosyal mühendisliğe karşı koruyun.