Sosyal mühendislik saldırıları, sürekli gelişen siber güvenlik tehditleri ortamında hem bireyler hem de kuruluşlar için en önemli endişe kaynağı olmaya devam ediyor. Siber güvenlik şirketi ESET’in hazırladığı ve antivirus.com.tr web sitesinden ücretsiz olarak yayımladığı kitapçık, kimlik avı saldırılarına yönelik farkındalık çalışmalarına destek olmayı hedefliyor.
Teknoloji dijital güvenlikte önemli bir rol oynasa da insan unsuru kritik bir faktör olmaya devam ediyor. Verizon 2023 Veri İhlali Araştırmaları Raporu’na göre, ihlallerin yüzde 74’ü sosyal mühendislik saldırıları, hatalar ve kötüye kullanımı içeren insan unsurunu içeriyor. Bu veriler, çalışanları çeşitli saldırı türleri ve koruma yöntemleri hakkında eğitmenin önemini vurguluyor.
ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban ESET Türkiye olarak artan kimlik avı saldırılarını göz önüne alarak hazırladıkları el kitapçığı ile farkındalık çalışmalarına katkı sunmayı ve sosyal bir fayda yaratmayı hedeflediklerini söyledi. Siber suçluların kullandıkları sosyal mühendislik teknikleri hakkında bilgi vererek dijital güvenlik altyapısının güçlendirilmesine yönelik ipuçlarını paylaştı.
Vishing: Telefonla sosyal mühendislik
“Sesli oltalama “nın kısaltması olan Vishing, dolandırıcıların telefon aramalarını veya sesli mesajları kullanarak bireyleri hassas bilgileri ifşa etmeleri veya hileli ödemeler yapmaları için kandırmalarını içerir. Bu saldırıların karmaşıklığı, insan taklidi yapanlardan otomatik robocall’lara kadar değişmektedir. Bazı dolandırıcılar, aldatmacalarını geliştirmek için yasal telefon numaralarını kullanarak çağrı sahteciliği bile yapmaktadır. Vishing’in en son versiyonu, daha da inandırıcı hale getirmek için yapay zekâ araçlarını kullanarak belirli bir kişinin sesini taklit edebilen deepfake aramaları içerir.
Smishing: SMS ile sosyal mühendislik
Smishing veya “SMS phishing”, kurbanları belirli eylemleri gerçekleştirmeye yönlendirmek için metin veya mesajlaşma uygulamaları aracılığıyla hileli mesajlar göndermek anlamına gelir. Mesajlar genellikle alıcıları kötü niyetli web sitelerine, giriş sayfalarına veya uygulamalara yönlendiren bağlantılar içerir. Bu kanallara erişildiğinde, ödeme kartı bilgileri de dahil olmak üzere kişisel bilgiler alınabilir veya kurbanın cihazına kötü amaçlı yazılım bulaştırılabilir.
Phishing: E-posta yoluyla sosyal mühendislik
Şirketlerde çalışanlar phishing, yani oltalama hakkında bir şeyler duymuştur, fakat kavramın bilinmesi tehlikesini azaltmıyor. Aksine, oltalama e-postaları, saldırganların güvenilir varlıklar gibi davranarak bireyleri; parolalar, kredi kartı bilgileri veya kişisel kimlik bilgileri gibi hassas bilgileri ifşa etmeleri için kandırmaya çalıştıkları en üretken siber suç teknikleri arasında yer almaya devam ediyor. Genellikle, meşru kuruluşları veya kişileri taklit eden web sitelerine bağlantılar içeren sahte e-postalar gibi aldatıcı taktikler kullanırlar.