Sosyal mühendislik saldırıları, sürekli gelişen siber güvenlik tehditleri ortamında hem bireyler hem de kuruluşlar için en önemli endişe kaynağı olmaya devam ediyor. Siber güvenlik şirketi ESET’in hazırladığı ve antivirus.com.tr web sitesinden ücretsiz olarak yayımladığı kitapçık, kimlik avı saldırılarına yönelik farkındalık çalışmalarına destek olmayı hedefliyor.
Teknoloji dijital güvenlikte önemli bir rol oynasa da insan unsuru kritik bir faktör olmaya devam ediyor. Verizon 2023 Veri İhlali Araştırmaları Raporu’na göre, ihlallerin yüzde 74’ü sosyal mühendislik saldırıları, hatalar ve kötüye kullanımı içeren insan unsurunu içeriyor. Bu veriler, çalışanları çeşitli saldırı türleri ve koruma yöntemleri hakkında eğitmenin önemini vurguluyor.
ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban ESET Türkiye olarak artan kimlik avı saldırılarını göz önüne alarak hazırladıkları el kitapçığı ile farkındalık çalışmalarına katkı sunmayı ve sosyal bir fayda yaratmayı hedeflediklerini söyledi. Siber suçluların kullandıkları sosyal mühendislik teknikleri hakkında bilgi vererek dijital güvenlik altyapısının güçlendirilmesine yönelik ipuçlarını paylaştı.
Vishing: Telefonla sosyal mühendislik
“Sesli oltalama “nın kısaltması olan Vishing, dolandırıcıların telefon aramalarını veya sesli mesajları kullanarak bireyleri hassas bilgileri ifşa etmeleri veya hileli ödemeler yapmaları için kandırmalarını içerir. Bu saldırıların karmaşıklığı, insan taklidi yapanlardan otomatik robocall’lara kadar değişmektedir. Bazı dolandırıcılar, aldatmacalarını geliştirmek için yasal telefon numaralarını kullanarak çağrı sahteciliği bile yapmaktadır. Vishing’in en son versiyonu, daha da inandırıcı hale getirmek için yapay zekâ araçlarını kullanarak belirli bir kişinin sesini taklit edebilen deepfake aramaları içerir.
Smishing: SMS ile sosyal mühendislik
Smishing veya “SMS phishing”, kurbanları belirli eylemleri gerçekleştirmeye yönlendirmek için metin veya mesajlaşma uygulamaları aracılığıyla hileli mesajlar göndermek anlamına gelir. Mesajlar genellikle alıcıları kötü niyetli web sitelerine, giriş sayfalarına veya uygulamalara yönlendiren bağlantılar içerir. Bu kanallara erişildiğinde, ödeme kartı bilgileri de dahil olmak üzere kişisel bilgiler alınabilir veya kurbanın cihazına kötü amaçlı yazılım bulaştırılabilir.
Phishing: E-posta yoluyla sosyal mühendislik
Şirketlerde çalışanlar phishing, yani oltalama hakkında bir şeyler duymuştur, fakat kavramın bilinmesi tehlikesini azaltmıyor. Aksine, oltalama e-postaları, saldırganların güvenilir varlıklar gibi davranarak bireyleri; parolalar, kredi kartı bilgileri veya kişisel kimlik bilgileri gibi hassas bilgileri ifşa etmeleri için kandırmaya çalıştıkları en üretken siber suç teknikleri arasında yer almaya devam ediyor. Genellikle, meşru kuruluşları veya kişileri taklit eden web sitelerine bağlantılar içeren sahte e-postalar gibi aldatıcı taktikler kullanırlar.
Sosyal mühendislik türlerine karşı korumak için beş yöntem
Duraklayın, düşünün ve sonra harekete geçin: Dolandırıcılar kurbanları manipüle etmek için aceleye güvenirler. Talepleri değerlendirmek için zaman ayırın ve aceleci davranmaktan kaçının. Kısa mesajlardaki bağlantılara tıklamaktan kaçının ve iletişimin meşruiyetini doğrulamak için kuruluşun resmi web sitesini ziyaret edin.
Bilinmeyen numaralara karşı şüpheci olun: Tanıdık olmayan veya şüpheli numaralardan gelen aramaları veya kısa mesajları doğrulayın. Herhangi bir kişisel bilgiyi ifşa etmekten veya mesajlardaki bilinmeyen bağlantılara tıklamaktan kaçının. Bu, bu tür dolandırıcılıkların kurbanı olma olasılığınızı en aza indirmenize yardımcı olur.
Kişisel bilgilerinizi gizli tutun: Hesap numaraları, kimlik numaraları, parolalar veya Çok Faktörlü Kimlik Doğrulama (MFA) kodları gibi hassas bilgileri asla bilinmeyen kişilere telefonda veya bir mesajla açıklamayın. Meşru kuruluşlar bu tür bilgileri istenmeyen aramalar veya mesajlar yoluyla talep etmez.
Kimliği doğrulayın: Bir şirketi veya devlet kurumunu temsil ettiğini iddia eden birinden mesaj alırsanız, doğrudan etkileşime girmekten kaçının. Bunun yerine, web sitelerinde bulunan resmi iletişim bilgilerini kullanarak kuruluşla iletişime geçerek gerçekliğini bağımsız olarak doğrulayın.
Güçlü güvenlik önlemlerini etkinleştirin: Hesaplarınızı korumak için güçlü ve benzersiz parolalar kullanın. Uzun ve karmaşık parolalar veya parolalar oluşturmak ve bunları güvenli bir şekilde saklamak için parola oluşturucuları ve yöneticileri kullanmayı düşünün. Ekstra bir koruma katmanı eklemek için mümkün olduğunda Çok Faktörlü Kimlik Doğrulama (MFA) kullanın.
Bilgilendirme kitapçığına ulaşmak için;
https://antivirus.com.tr/wp-content/uploads/2023/10/ESET_DSG_Outsmarting-phishing-scams_handbook_TR.pdf
Konu ile ilgili makaleye ulaşmak için;
https://antivirus.com.tr/sosyal-muhendislik-saldirilari-vishing-smishing-ve-phishing-kendinizi-nasil-koruyabilirsiniz/