Sosyal Mühendislik Saldırıları ve Phishing
KüreselleÅŸen Dünya’da artık insanlar birbirlerin her zamankinden daha yakın. Her gün geliÅŸen iletiÅŸim teknikleri ile insanlar bilgiye ve birbirlerine daha çabuk eriÅŸebiliyorlar. Hızla küçülen Dünya’da yeni tehlikeler de söz konusu. Ä°ÅŸte size ileteÅŸim çağımızın getirdiÄŸi baÅŸlıca sorunlardan bir ikisi.
Sosyal Mühendislik
Sosyal Mühendislik bir alışa gelinmiş bir mühendislik dalı değildir. Peki o zaman nedir?
Sosyal Mühendislik, insan etkileşimini (sosyal yetenekleri) kullanarak insanlara çeşitli şeyler yaptırmak ve/veya insanları bir organizasyon (veya kişisel) hakkında gizli bilgileri açığa çıkartmak üzere manipüle etmeye yarayan tekniklerin toplamına verilen isimdir. Çoğu zaman basit dolandırıcılığa çok benzese bile bu terim genelde bilgi sızdırmak veya bir bilgisayar sistemine sızmak üzere yapılan numaralar için kullanılır. Bu durumların büyük çoğunluğunda saldırgan kurban ile yüz yüze gelmez.
Genelde saldırgan, saygın bir kurumun elemanı olarak gösterir hatta zaman zaman bunu destekleyecek belgeler bile sunabilir. Sorduğu sorular yardımı ile sisteme sızmasına yetecek kadar bilgiyi elde edebilir. Eğer bu bilgi yeterli değilse başka kurbanlardan aldığı bilgileri birleştirerek sisteme sızmaya çalışır.
Phishing
Bir sosyal mühendislik türü olan Phishing, Ä°ngilizce “Password” (Åžifre) ve “Fishing” (Balık avlamak) kelimelerinin birleÅŸiminden oluÅŸmaktadır. Genelde e-postalar ve/veya sahte web siteleri aracılığı ile kurbanın finansal bilgilerine eriÅŸmeyi hedefler. ÇoÄŸunlukla saygın bir finans kuruluÅŸundan, hesap detayları kredi kartları veya bir deÄŸiÅŸiklikle ilgili e-postalar yollayarak, kullanıcıyı ÅŸifresini açığa çıkartabileceÄŸi bir ortama çekmeye çalışır. Kurban bu sahte isteklere cevap verdiÄŸi zaman saldırgan bu bilgileri kurbanın hesabına ulaÅŸmak için kullanır.
Bir kurban olmamak için neler yapabilirsiniz?
- Organizasyonun yapısı hakkında bilgi isteyen ve sizin tarafınızdan talep edilmemiş telefon konuşmalarına, e-postalara şüpheyle yaklaşın. Eğer birey yasal bir kuruluştan olduğunu iddia ediyorsa bunu doğrudan o kuruluş ile teyit edin.
- Kişisel ve/veya organizasyonunuza ait bilgileri, eğer bilgilere ulaşma hakkı olduğuna yüzde yüz emin değilseniz yabancılara kesinlikle vermeyin.
- E-postalarda kişisel ve finansal bilgileri açığa çıkarmayın, eğer bu konuda talep edilmemiş bir mesaj alırsanız cevaplamayın. Buna o mesaj veya e-postadaki bağlantılar da dahildir.
- Sizden bilgi isteyen bir sitenin adresinin (URL) doğruluğundan emin olur. Çoğu sahte site bire bir orijinallerinin kopyasıdır ve adresteki küçük değişiklikler dışında aslının aynısıdır. (Ör: .com yerine sahte site .net ile bitebilir veya isimde tipografik hatalar olabilir.) Eğer yüzde yüz emin değilseniz sadece IP numarası içeren sitelerin sahte olma olasılığı yüksektir.
EÄŸer bir e-psota isteÄŸinin meÅŸru olup omadığından emin deÄŸilseniz. Üçüncü bir kaynaktan doÄŸrulamaya çalışın. O e-postadaki iletiÅŸim bilgilerine güvenmeyin. Bilinen phishing saldırıları ile internet üzerinde kaynaklar vardır. ÖrneÄŸin Anti-Phishing Çalışma Grubu’nun sitesinde konu ile ilgili bilgiler bulabilirsiniz. - Bugün baÅŸlıca web tarayıcıları, baÅŸta Mozilla Firefox olmak üzere birer dolandırıcı filtresi içerirler ve girdiÄŸiniz sitelerin hile amaçlı olmadığını söyleyebilirler. Bunlara dikkat edin ve devre dışı bırakmayın.
- Sisteminize anti-virüs programları kurun ve bunları güncel tutun. E-posta filtreleri ile bu sahte e-posta trafiÄŸini önemli ölçüde azalatabilirsiniz. Mozilla Thunderbird ve Outlook son derece geliÅŸmiÅŸ spam filtrelerine sahipler. Ayrıca Google’ın Gmail’i de oldukça baÅŸarılı bir filtrelemeye sahip. (Online virüs taramaları bilgisayarınıza güncel bir koruma saÄŸlayabilir)
- Güvenmediğiniz ve şifrelenmemiş ağlarda suyarlı bilgiler içeren işlemler yapmayın. Buradaki şlemleriniz üçüncü partiler tarafından gözetleniyor olabilir.
- Tüm hesaplarınız için aynı şifreleri kullanmayın. Şifrelerinizi kolay tahmin edilebilir seçmemeye çalışın.
Saldırıya maruz kalındığında yapılabilecekler:
- Eğer organisazyonunuz hakkında bir bilgiyi açığa çıkarttığınızı düşünüyorsanız. Ağ yetkiliniz başta olma üzere gerekli yerleri haberdar edin.
- Eğer finansal bir bilginin açığa çıktığından süpheleniyorsanız derhal finans kuruluşunu arayın ve ilgili hesapları iptal ettirin. Ekstrelerinizi herhangi bir sıradışılık için gözden geçirin.
- Saldırıyı gerekli mercilere şikayet edin.
