Sosyal Mühendislik Nedir?
Sosyal mühendislik, teknik açıkları istismar etmek yerine insan psikolojisini manipüle ederek hedefi kandırmayı hedefleyen saldırı metodolojisidir. Aciliyet yaratma, otorite taklidi, korku veya merak gibi duygusal tetikleyiciler kullanılır.
Verizon 2024 DBIR (Data Breach Investigations Report) verilerine göre doğrulanmış veri ihlallerinin %68'inde insan faktörü belirleyici rol oynamaktadır.
Phishing Türleri
- Email Phishing: Geniş kitleye gönderilen sahte e-postalar. Banka, kargo şirketi veya kurumsal servis taklidi. Zararlı bağlantı veya ek içerir.
- Spear Phishing: Belirli bir kişiye veya kuruma hedeflenmiş, kişiselleştirilmiş phishing. "Merhaba [Gerçek Ad], [Gerçek Şirket] muhasebe departmanından..." Çok daha yüksek başarı oranı.
- Whaling: CEO, CFO gibi üst yöneticileri hedef alan spear phishing. Yüksek değerli hedeflere yöneliktir.
- BEC (Business Email Compromise): Yönetici e-posta hesabı ele geçirilir veya taklit edilir; muhasebeden acil havale talep edilir. Global kayıp yılda milyarlarca dolar.
- Vishing (Voice Phishing): Telefon üzerinden sosyal mühendislik. IT desteği veya banka yetkilisi taklidi yaparak şifre veya OTP kodu alınması.
- Smishing (SMS Phishing): SMS ile sahte bağlantı gönderimi. Kargo bildirimi, ödül kazanma veya hesap uyarısı temalı.
- Quishing (QR Phishing): Sahte QR kod içeren fiziksel veya dijital materyal. Tarandığında zararlı siteye yönlendirir.
Saldırı Anatomisi — Phishing E-postası Nasıl Çalışır?
- Hazırlık: Saldırgan LinkedIn, şirket web sitesi ve sosyal medyadan hedef hakkında bilgi toplar (OSINT).
- Alan Adı Sahtekârlığı: İnce değişikliklerle gerçeğe benzeyen alan adı (lider-network.com.tr yerine lidernetwork-destek.com gibi) tescil edilir.
- E-posta Gönderimi: SPF/DKIM bypass veya ele geçirilmiş bir hesaptan gönderim. Aciliyet yaratan konu satırı: "Acil: Hesabınız 24 saat içinde kapanacak."
- Tıklama ve Kimlik Çalma: Sahte giriş sayfası gerçek site görünümünü taklit eder; girilen kimlik bilgileri saldırgana iletilir.
- Erişim ve Yayılma: Çalınan kimlik bilgileriyle sisteme giriş, lateral movement ve veri sızdırma.
Teknik Korunma Yöntemleri
- SPF, DKIM ve DMARC: E-posta kimlik doğrulama protokolleri. Alan adı taklidi yapan e-postaları reddeder veya karantinaya alır.
p=rejectpolitikası en güçlü korumadır. - E-posta Güvenlik Geçidi (SEG): Fortimail, Microsoft Defender for Office 365, Proofpoint, Mimecast. Gelen e-postaları sandbox'ta analiz eder; zararlı ekler ve bağlantılar engellenir.
- URL Rewriting ve Safe Links: Tüm bağlantılar tıklama anında güvenlik servisine sorgulanır; zararlıysa engellenir.
- MFA (Çok Faktörlü Kimlik Doğrulama): Kimlik bilgileri çalınsa bile hesaba erişim engellenir. Phishing'in etkisini dramatik biçimde kısıtlar.
- FIDO2 / Passkey: Phishing'e karşı tamamen bağışık kimlik doğrulama; şifre yoktur ve kimlik avı sayfası kullanıcı kimliğini çalamaz.
İnsan Faktörü — Farkındalık Eğitimi
- Simüle Phishing Kampanyası: KnowBe4, Proofpoint Security Awareness gibi platformlarla gerçek saldırı senaryoları simüle edilir; tıklayan çalışanlara anında eğitim verilir.
- Farkındalık eğitimi yılda bir değil, sürekli olmalıdır; tehdit manzarası değişir.
- Rapor etme kültürü: Şüpheli e-postaları raporlayan çalışanlar ödüllendirilmeli; korkan değil, güvenen ortam oluşturulmalı.
- Simüle saldırı sonuçları HR ile paylaşılmamalı; cezalandırıcı değil, eğitici amaçlı kullanılmalı.
BEC Özel Korumaları
- Havale taleplerine çift onay süreci zorunlu tutulmalı (telefon veya yüz yüze doğrulama).
- Muhasebe personeline CEO veya CFO'dan gelen acil havale taleplerinde doğrulama prosedürü öğretilmeli.
- E-posta sistemlerinde "Dış gönderici" etiketi etkinleştirilmeli; dışarıdan gelen e-postalar görsel uyarıyla işaretlenmeli.
Sonuç
Sosyal mühendislik ve phishing saldırılarına karşı en etkili savunma, teknik kontroller ile insan farkındalığının birlikte kullanılmasıdır. Lider Network, e-posta güvenliği çözümleri, simüle phishing kampanyaları ve güvenlik farkındalık eğitimi konularında destek sunmaktadır.