Sosyal mühendislik
Sosyal mühendislik, insanları gizli bilgileri vermeye yönlendirme sanatıdır. Her siber suç, bir sosyal mühendislik saldırısıyla başlar. Bunun nasıl çalıştığını ve kendinizi bundan nasıl koruyabileceğinizi inceleyelim.
Developer
Giriş
Siber güvenlik söz konusu olduğunda, çoğu insan SQL enjeksiyonu, çapraz site betimleme, ortadaki adam saldırıları veya kötü amaçlı yazılım gibi teknik saldırıları düşünür. Ancak, en yaygın ve etkili saldırılar genellikle hiç teknik değildir. Sosyal mühendislik, insanları gizli bilgileri vermeye yönlendirme sanatıdır. Her siber suç, bir sosyal mühendislik saldırısıyla başlar.
İşte Wikipedia'dan tanımı:
Bilgi güvenliği bağlamında, sosyal mühendislik, insanları eyleme geçmeye veya gizli bilgileri ifşa etmeye yönlendiren psikolojik bir manipülasyondur. Bilgi toplama, dolandırıcılık veya sistem erişimi amacıyla kullanılan bir tür güven hilesidir ve geleneksel bir "dolandırıcılık"tan farklıdır çünkü genellikle daha karmaşık bir dolandırıcılık planının birçok adımından biri olabilir.[1] Ayrıca, "kişiyi kendisinin çıkarına olup olmadığı belirsiz bir eyleme yönlendiren her türlü eylem" olarak tanımlanmıştır.
Bu suçluların aradığı bilginin türleri değişebilir, ancak bireyler hedef alındığında, suçlular genellikle sizden parolalarınızı, kişisel bilgilerinizi vermenizi veya bilgisayarınıza gizlice kötü amaçlı yazılım yüklemelerini sağlayarak parolalarınıza ve banka bilgilerinize erişim elde etmeye çalışır.
Sosyal mühendislik nasıl çalışır?
Sosyal mühendislik saldırıları bir veya birden fazla adımda gerçekleşir. Çoğu sosyal mühendislik saldırısı, saldırganlar ve kurbanlar arasındaki gerçek iletişime dayanır. Genellikle kurbanlar, geniş bir zaman dilimi boyunca birden fazla saldırgan tarafından hedef alınır ve saldırılar dikkatlice planlanır. Başarılı bir saldırı aşağıdaki adımları içerir:
%3btext-align:center%3b%7d%23mermaid-0 .edgeLabel p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .edgeLabel rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 .labelBkg%7bbackground-color:rgba(232%2c 232%2c 232%2c 0.5)%3b%7d%23mermaid-0 .cluster rect%7bfill:%23ffffde%3bstroke:%23aaaa33%3bstroke-width:1px%3b%7d%23mermaid-0 .cluster text%7bfill:%23333%3b%7d%23mermaid-0 .cluster span%7bcolor:%23333%3b%7d%23mermaid-0 div.mermaidTooltip%7bposition:absolute%3btext-align:center%3bmax-width:200px%3bpadding:2px%3bfont-family:arial%2csans-serif%3bfont-size:12px%3bbackground:hsl(80%2c 100%25%2c 96.2745098039%25)%3bborder:1px solid %23aaaa33%3bborder-radius:2px%3bpointer-events:none%3bz-index:100%3b%7d%23mermaid-0 .flowchartTitleText%7btext-anchor:middle%3bfont-size:18px%3bfill:%23333%3b%7d%23mermaid-0 rect.text%7bfill:none%3bstroke-width:0%3b%7d%23mermaid-0 .icon-shape%2c%23mermaid-0 .image-shape%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3btext-align:center%3b%7d%23mermaid-0 .icon-shape p%2c%23mermaid-0 .image-shape p%7bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bpadding:2px%3b%7d%23mermaid-0 .icon-shape rect%2c%23mermaid-0 .image-shape rect%7bopacity:0.5%3bbackground-color:rgba(232%2c232%2c232%2c 0.8)%3bfill:rgba(232%2c232%2c232%2c 0.8)%3b%7d%23mermaid-0 :root%7b--mermaid-font-family:arial%2csans-serif%3b%7d%3c/style%3e%3cg%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointEnd'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 0 L 10 5 L 0 10 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='8' markerWidth='8' markerUnits='userSpaceOnUse' refY='5' refX='4.5' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-pointStart'%3e%3cpath style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 0 5 L 10 10 L 10 0 z'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='11' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleEnd'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5' refX='-1' viewBox='0 0 10 10' class='marker flowchart-v2' id='mermaid-0_flowchart-v2-circleStart'%3e%3ccircle style='stroke-width: 1%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' r='5' cy='5' cx='5'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='12' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossEnd'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cmarker orient='auto' markerHeight='11' markerWidth='11' markerUnits='userSpaceOnUse' refY='5.2' refX='-1' viewBox='0 0 11 11' class='marker cross flowchart-v2' id='mermaid-0_flowchart-v2-crossStart'%3e%3cpath style='stroke-width: 2%3b stroke-dasharray: 1%2c 0%3b' class='arrowMarkerPath' d='M 1%2c1 l 9%2c9 M 10%2c1 l -9%2c9'/%3e%3c/marker%3e%3cg class='root'%3e%3cg class='clusters'/%3e%3cg class='edgePaths'%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_A_B_0' d='M139.124%2c62L133.759%2c66.167C128.393%2c70.333%2c117.661%2c78.667%2c112.295%2c86.333C106.93%2c94%2c106.93%2c101%2c106.93%2c104.5L106.93%2c108'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_B_C_1' d='M106.93%2c166L106.93%2c170.167C106.93%2c174.333%2c106.93%2c182.667%2c106.93%2c190.333C106.93%2c198%2c106.93%2c205%2c106.93%2c208.5L106.93%2c212'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_C_D_2' d='M106.93%2c270L106.93%2c274.167C106.93%2c278.333%2c106.93%2c286.667%2c111.769%2c294.591C116.608%2c302.516%2c126.287%2c310.031%2c131.126%2c313.789L135.965%2c317.547'/%3e%3cpath marker-end='url(%23mermaid-0_flowchart-v2-pointEnd)' style='' class='edge-thickness-normal edge-pattern-solid edge-thickness-normal edge-pattern-solid flowchart-link' id='L_D_A_3' d='M208.665%2c320L214.031%2c315.833C219.396%2c311.667%2c230.128%2c303.333%2c235.494%2c290.5C240.859%2c277.667%2c240.859%2c260.333%2c240.859%2c243C240.859%2c225.667%2c240.859%2c208.333%2c240.859%2c191C240.859%2c173.667%2c240.859%2c156.333%2c240.859%2c139C240.859%2c121.667%2c240.859%2c104.333%2c236.02%2c91.909C231.181%2c79.484%2c221.502%2c71.969%2c216.663%2c68.211L211.824%2c64.453'/%3e%3c/g%3e%3cg class='edgeLabels'%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg class='edgeLabel'%3e%3cg transform='translate(0%2c 0)' class='label'%3e%3cforeignObject height='0' width='0'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' class='labelBkg' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='edgeLabel'%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3cg class='nodes'%3e%3cg transform='translate(173.89453125%2c 35)' id='flowchart-A-0' class='node default'%3e%3crect height='54' width='129.34375' y='-27' x='-64.671875' style='' class='basic label-container'/%3e%3cg transform='translate(-34.671875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='69.34375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eAra%c5%9ft%c4%b1rma%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(106.9296875%2c 139)' id='flowchart-B-1' class='node default'%3e%3crect height='54' width='126.109375' y='-27' x='-63.0546875' style='' class='basic label-container'/%3e%3cg transform='translate(-33.0546875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='66.109375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eYemleme%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(106.9296875%2c 243)' id='flowchart-C-3' class='node default'%3e%3crect height='54' width='197.859375' y='-27' x='-98.9296875' style='' class='basic label-container'/%3e%3cg transform='translate(-68.9296875%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='137.859375'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eDuygularla oynama%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3cg transform='translate(173.89453125%2c 347)' id='flowchart-D-5' class='node default'%3e%3crect height='54' width='132.03125' y='-27' x='-66.015625' style='' class='basic label-container'/%3e%3cg transform='translate(-36.015625%2c -12)' style='' class='label'%3e%3crect/%3e%3cforeignObject height='24' width='72.03125'%3e%3cdiv style='display: table-cell%3b white-space: nowrap%3b line-height: 1.5%3b max-width: 200px%3b text-align: center%3b' xmlns='http://www.w3.org/1999/xhtml'%3e%3cspan class='nodeLabel'%3e%3cp%3eUygulama%3c/p%3e%3c/span%3e%3c/div%3e%3c/foreignObject%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/g%3e%3c/svg%3e)
-
Araştırma: Saldırgan, hedef hakkında, saldırıyı gerçekleştirmek için gerekli olan olası giriş noktaları ve zayıf güvenlik protokolleri gibi bilgileri toplar. Günümüzde bir kişi hakkında çevrimiçi bilgi bulmak çok kolaydır. Örneğin, bir kişinin e-posta adresini, telefon numarasını ve hatta sosyal medya profilinde ev adresini bulabilirsiniz. Ayrıca, nerede çalıştığını, ne yaptığını ve kiminle çalıştığını öğrenebilirsiniz. Bu bilgiler, bir sonraki adımda çok inandırıcı bir oltalama e-posta veya telefon görüşmesi oluşturmak için kullanılabilir.
-
Yemleme: Saldırgan, kurbanı istediği şeyi yapmaya yönlendirmek için bu bilgileri kullanarak inandırıcı bir senaryo oluşturur. Örneğin, saldırgan kurbanı arayıp bankasından bir müşteri hizmetleri temsilcisi gibi davranarak hesap bilgilerini doğrulamalarını isteyebilir. Ya da bir şirketteki bir çalışanı arayıp, BT destek ekibinden olduğunu söyleyerek şifrelerini sıfırlamalarını isteyebilir.
-
Duygularla oynama: Saldırgan, kurbanın düşünmeden hemen harekete geçmesini sağlamak için duygular üzerinden oynar. Örneğin, saldırgan, kurbanı taleplere hemen uymazlarsa para cezaları, yaptırımlar veya kovuşturma ile tehdit edebilir. Ya da kurbanın açgözlülüğüne hitap ederek, onlara yardım ettikleri için büyük bir miktar para veya ödül vaat edebilir.
-
Uygulama: Saldırgan, çeşitli biçimlerde olabilecek saldırısını gerçekleştirir. Örneğin:
- Kurbanı bilgisayarlarına kötü amaçlı yazılım yüklemeye kandırabilir.
- Kurbanı bir e-posta veya telefon görüşmesinde hassas bilgileri açıklamaya kandırabilir.
- Kurbanı saldırgana para göndermeye kandırabilir.
- Kurbanı bir e-posta veya kısa mesajda kötü amaçlı bir bağlantıya tıklamaya kandırabilir.
Yukarıdaki adımlar çok kısa bir süre içinde gerçekleşebilir veya haftalar ya da aylar boyunca devam edebilir. Saldırgan bir kişiyi hedef alabilir veya bir grup insanı hedef alabilir. Bağlantı bir telefon görüşmesi, e-posta, kısa mesaj veya sosyal medya sohbetleri yoluyla kurulabilir. Ancak, nihayetinde bir harekete geçmenizi sağlar, örneğin bilgilerinizi paylaşmanız veya kendinizi kötü amaçlı yazılımlara maruz bırakmanız gibi.
Sosyal mühendislik saldırı türleri
Birçok türde sosyal mühendislik saldırısı vardır ve her birinin kendine özgü bir amacı ve hedefi vardır. İşte en yaygın sosyal mühendislik saldırı türlerinden bazıları:
Spam Phishing
Spam phishing, en yaygın sosyal mühendislik saldırı türüdür. Bu tür bir phishing saldırısında saldırgan, rastgele insanlara milyonlarca e-posta göndererek bazılarının oltaya gelmesini umar. E-postalar genellikle sahte bir e-posta adresinden gönderilir ve çoğunlukla kötü amaçlı bir web sitesine veya kötü amaçlı bir eki içeren bir bağlantı içerir. Saldırının amacı, kurbanı bağlantıya tıklamaya veya eki açmaya kandırmaktır; bu, bilgisayarlarına kötü amaçlı yazılım yükleyecektir.
Örnek
Gelen kutunuza, büyük bir nakit ödülü kazandığınızı iddia eden cazip bir konu satırıyla istenmeyen bir e-posta aldığınızı hayal edin. E-postanın başlığı, 1.000.000 $ kazandığınızı ve ödülünüzü hemen talep etmeniz gerektiğini belirtmektedir.
E-postayı açtığınızda, sizi sözde kazandığınız piyango ödülü hakkında tebrik eden bir mesaj bulursunuz. E-posta, yaşamınızı değiştirebileceğini iddia eden vaatler içerebilir. E-posta genellikle ödülünüzü talep etmeniz için bir bağlantı veya iletişim bilgileri içerir.
Bu e-posta klasik bir spam phishing saldırısının belirtilerini gösterir:
-
İstenmeyen: Hiçbir piyango ya da yarışmaya katılmadınız, bu yüzden bir ödül kazanmış olmamalısınız.
-
Gerçek Olmayacak Kadar İyi: Hiçbir neden olmadan büyük bir miktar paranın vaat edilmesi, kurbanları cezbetmek için kullanılan yaygın bir taktiktir.
-
Acil Eylem: E-posta, ödülü talep etmek için hızlı davranmanız gerektiğini belirtebilir ve bir aciliyet hissi yaratır.
-
Kişisel Bilgi veya Para Talebi: Ödülünüzü "talep" etmek için sizden kişisel bilgi vermeniz, ücret ödemmeniz veya sözde işlem maliyetlerini karşılamak için para aktarmanız istenebilir.
Spear Phishing
Spear phishing, saldırganın belirli bir kişiyi veya grup insanı hedef aldığı bir phishing türüdür. Saldırgan, hedef hakkında araştırma yapar ve ardından güvenilir bir kaynaktan gelmiş gibi görünen özelleştirilmiş bir e-posta gönderir. E-posta genellikle kötü amaçlı bir web sitesine veya kötü amaçlı bir eki içeren bir bağlantı içerir. Saldırının amacı, kurbanı bağlantıya tıklamaya veya eki açmaya kandırmaktır; bu, bilgisayarlarına kötü amaçlı yazılım yükleyecektir. Spam phishing'in aksine, spear phishing saldırıları son derece hedefe yöneliktir ve kişiselleştirilmiştir ve başarılı olma olasılıkları çok daha yüksektir.
Örnek
Bu spear phishing senaryosunda, bir meslektaşınızdan veya tanıdığınız bir kişiden gelmiş gibi görünen bir e-posta alırsınız. E-posta, önemli bir güvenlik bildirimi olduğunu belirten bir konu satırı içerir. Spear phishing'i sıradan phishing'den ayıran şey, saldırganın belirli bir bireyi hedef alması ve genellikle hedef hakkında bazı bilgilere sahip olmasıdır.
E-postayı açtığınızda, kendini BT danışmanınız Charles olarak tanıtan bir mesaj bulursunuz. E-posta, sizi tam adınızla hitap eder ve iş hesabınızda iddia edilen bir güvenlik ihlali olduğunu belirtir. E-posta, hesabınızı güvenceye almak için bir bağlantıya tıklamanızı veya bir ek indirmenizi ister. Bağlantıya tıkladığınızda, sizi şirketinizin giriş sayfasına benzeyen bir web sitesine yönlendirir. Kullanıcı adınızı ve şifrenizi girdiğinizde, saldırgan artık hesabınıza erişim sağlar.
Bu e-posta klasik bir spear phishing saldırısının belirtilerini gösterir:
-
Kişiselleştirme: E-posta, tam adınızı kullanarak size hitap eder ve bu şekilde meşruiyet kazanır.
-
Aciliyet: Mesaj, bir güvenlik sorununu çözmek için hemen harekete geçmeniz gerektiğini belirterek bir aciliyet hissi yaratır.
-
Eylem Talebi: E-posta, bağlantıya tıklamanızı veya bir eki indirmenizi ister. Bu bağlantılar veya ekler genellikle kötü amaçlı yazılım veya phishing siteleri içerir.
Yemleme
Yemleme, saldırganın kurbandan kişisel bilgilerini alabilmek için ona cazip bir teklif sunduğu bir sosyal mühendislik saldırısıdır. Örneğin, saldırgan, kurbanın e-posta adresi karşılığında ücretsiz bir hediye kartı veya ücretsiz bir film indirimi sunabilir. Saldırının amacı, kurbanı kişisel bilgilerini vermeye kandırmak ve ardından bu bilgileri kimliğini çalmak veya dolandırıcılık yapmak için kullanmaktır. Kurbanın merakı veya açgözlülüğünden faydalanılır.
Örnek
Bu yemleme senaryosunda, saldırganlar, bir kahve dükkanı veya park alanı gibi halka açık bir yerde bir USB belleği bırakır. USB belgesi "Gizli" veya "Özel" olarak etiketlenmiştir ve kurbanın bilgisayarına takıldığında kötü amaçlı bir program yükleyecektir. Saldırının amacı, kurbanı USB belgesini bilgisayarlarına takmaya kandırmak ve bu şekilde bilgisayarlarına kötü amaçlı yazılım yüklemektir.
USB belgesini bilgisayarınıza takarsınız, umutla değerli bilgiler bulmayı umut edersiniz. "Gizli_Proje_Verileri.csv" adlı bir dosya içeren bir klasör açılır. Dosyayı açmaya çalıştığınızda gizli bir komut çalışır ve bilgisayarınıza kötü amaçlı yazılım bulaştırır.
Bu yemleme saldırısında:
- Yem: USB belgesi, "Gizli" veya "Özel" olarak etiketlenmiştir ve bu da onu özellikle iş yerinde veya profesyonel ortamlarda karşılaşan kişilere çekici hale getirir.
- Merak Faktörü: İnsan merakı, kişilerin normalde kaçınacakları eylemleri yapmasını sağlamak için bir zafiyet olarak kullanılır.
Water holing
Water holing, saldırganın belirli bir grup insanı hedef aldığı ve bu kişilerin muhtemelen ziyaret edeceği bir web sitesini enfekte ettiği bir sosyal mühendislik saldırı türüdür. Örneğin, saldırgan popüler bir haber sitesi veya popüler bir sosyal medya sitesini enfekte edebilir. Saldırının amacı, kurbanı enfekte olmuş web sitesini ziyaret etmeye kandırmak ve bu şekilde bilgisayarlarına kötü amaçlı yazılım yüklemektir.
Örnek
Bir grup saldırgan, bir siber güvenlik uzmanları topluluğunu temsil eden belirli bir endüstri derneğinin güvenliğini aşmayı hedefler. Saldırganlar, hassas verileri çalmak ve siber güvenlik uzmanlarının sistemlerine sızmak için bu saldırıyı planlar.
Saldırganlar, bu topluluk tarafından kullanılan iyi bilinen ve saygı duyulan bir web sitesini belirlerler. Bu durumda, siber güvenlik endüstrisi derneğinin resmi web sitesini seçerler. Saldırganlar, endüstri derneğinin web sitesindeki bir zafiyeti tespit edip bunu kullanırlar. SQL enjeksiyonu veya çapraz site betimleme (XSS) gibi teknik yöntemlerle sitenin içerik yönetim sistemine yetkisiz erişim sağlarlar. Erişim sağladıklarında, web sitesinin sayfalarına kötü amaçlı kod enjekte ederler. Bu kod, enfekte edilmiş sayfaları ziyaret eden kullanıcılara kötü amaçlı yazılım dağıtacak şekilde tasarlanmıştır.
Saldırganlar daha sonra siber güvenlik uzmanlarının web sitesini ziyaret etmesini beklerler. Birçok siber güvenlik uzmanının bu siteyi düzenli olarak güncellemeleri, haberleri ve kaynakları kontrol etmek için ziyaret ettiğini bilirler.
Siber güvenlik uzmanları, makaleleri okumak, web seminerlerine katılmak veya kaynakları indirmek için dernek web sitesini ziyaret ettiklerinde, cihazlarını bilmeden enjekte edilen kötü amaçlı yazılıma maruz bırakırlar. Bu kötü amaçlı yazılım, oturum açma kimlik bilgileri veya kişisel veriler gibi hassas bilgileri çalabilir. Ayrıca saldırganlara daha fazla saldırı başlatmak için bir dayanak sağlayabilir, bu saldırılar arasında spear phishing veya kurbanların sistemlerinde bilinen zafiyetleri istismar etmek de olabilir.
Bu Water holing saldırısında:
- Watering hole: Siber güvenlik uzmanlarının sıkça ziyaret ettiği endüstri derneği web sitesidir.
- Hedef Kitle: Saldırganlar, bu durumda siber güvenlik uzmanlarını hedef alan belirli bir grup insanı hedef alırlar.
- Güveni Sömürmek: Saldırganlar, siber güvenlik uzmanlarının endüstri derneği web sitesine olan güvenini sömürürler.
- Zafiyetleri Kullanmak: Saldırganlar, web sitesinin içerik yönetim sistemindeki zafiyetleri kullanarak kötü amaçlı yazılım enjekte ederler.
Sosyal mühendislik saldırılarından nasıl korunulur
Sosyal mühendislik saldırılarından korunmak, farkındalığın, şüpheciliğin ve en iyi uygulamaların bir kombinasyonunu gerektirir. İşte sosyal mühendislik saldırılarına karşı kendinizi korumak için alabileceğiniz bazı temel adımlar:
-
Kendinizi Eğitin: Phishing, pretexting, yemleme ve tailgating gibi yaygın sosyal mühendislik taktikleri hakkında bilgi edinin. En son sosyal mühendislik teknikleri ve trendleri hakkında haberdar olun.
-
Kimliği Doğrulayın: Kişisel veya hassas bilgilerinizi talep eden kişi veya kuruluşların kimliğini her zaman doğrulayın. Sizi arayan kişinin sağladığı telefon numaralarına, e-postalara veya web sitelerine güvenmek yerine, güvenilir kaynaklardan bağımsız olarak elde edilen resmi iletişim bilgilerini kullanın.
-
Talepleri Sorgulayın: Kişisel, finansal veya gizli bilgiler için istenmeyen taleplere şüpheyle yaklaşın. Meşru kuruluşlar tipik olarak bu tür bilgileri e-posta veya telefon yoluyla talep etmez. Birisi hassas bilgi isterse, neden ihtiyaç duyulduğunu ve nasıl kullanılacağını sorun.
-
Acil Durum ve Baskıya Dikkat Edin: Sosyal mühendisler genellikle düşünmeden kararlar almanız için size aciliyet hissi yaşatır. Talepleri veya teklifleri değerlendirmek için zaman ayırın. Durumun meşruiyetini doğrulayın.
-
Fiziksel Erişimi Güvence Altına Alın: Bilgisayar ve cihazlarınızı kullanmadığınızda kilitleyin. Güvenli alanlara yabancı kişilerin girmelerine karşı dikkatli olun.
-
Çalışan Eğitimi: Eğer bir organizasyonun parçasıysanız, çalışanlara sosyal mühendislik farkındalığı eğitimi verin. Çalışanları şüpheli faaliyetleri tanımaya ve rapor etmeye teşvik edin.
-
Güvenilir Kaynakları Kullanın: Bilgileri güvenilir ve doğrulanmış kaynaklardan alın. Resmi olmayan web sitelerine veya doğrulanmamış haberlere güvenmekten kaçının.
-
Veri Şifreleme: Hassas verileri hem dinlenirken hem de iletim sırasında yetkisiz erişimlerden korumak için şifreleyin.
Güvenli Çevrimiçi Davranışlar Pratik Edin
Geliştiriciler ve iş sahipleri için. Bir web uygulaması geliştiriyorsanız, kullanıcılarınızı sosyal mühendislik saldırılarından korumak için en iyi uygulamaları izlemelisiniz. Uygulamanız için ekstra güvenlik sağlamak için birçok yol vardır:
- Güçlü parolalar kullanın. Çoğu kişi, kişisel bilgilerine dayanarak tahmin edilmesi kolay şifreler kullanır. Güvenli ve güvenilir bir kullanıcı kimlik yönetim sistemi uygulamak için güçlü parola politikalarını etkinleştirmeniz gerekir. Bu, kullanıcıların doğru güvenlik önlemleri olmadan zayıf şifrelerini kullanmalarını engelleyecektir.
- Çok faktörlü kimlik doğrulama etkinleştirin. Çok faktörlü kimlik doğrulama (MFA), kullanıcının hesabına ekstra bir güvenlik katmanı ekleyerek kullanıcıdan şifrenin yanı sıra telefon veya başka bir cihazdan bir kod girmesini ister. Bu, saldırganların kullanıcı hesaplarına erişim sağlama ihtimalini çok daha zorlaştırır. Kullanıcının şifresi ele geçirilse bile, saldırgan ikinci faktör olmadan hesaba erişemez.
- Kullanıcı verilerini şifreleyin. Kullanıcı verilerini şifrelemek, onları yetkisiz erişimden korumanın iyi bir yoludur. Bir saldırgan veritabanınıza erişim sağlarsa, şifreleme anahtarı olmadan verileri okuyamaz. Bu, müşterilerinizin kişisel bilgilerini çalmalarını engeller.
- Erişim anahtarlarını sık sık değiştirin. Erişim anahtarları, uygulamanızın kaynaklarına erişmek için kullanılır. Bir saldırgan erişim anahtarlarınıza erişim sağlarsa, kaynaklarınıza izniniz olmadan erişebilirler. Bunu engellemek için erişim anahtarlarını sık sık değiştirmelisiniz.
- Modern kimlik doğrulama sistemleri kullanın. OAuth 2.0 ve OpenID Connect gibi modern kimlik doğrulama protokolleri, SAML ve WS-Federation gibi eski protokollere göre çok daha güvenlidir. Modern şifreleme algoritmaları kullanırlar ve saldırıya uğramaları çok daha zordur.
- Oturum açma yönlendirme URL'lerini ve cihazları önceden kaydedin. Kimlik doğrulama için OAuth 2.0 veya OpenID Connect kullanıyorsanız, oturum açma yönlendirme URL'lerini ve cihazları önceden kaydetmelisiniz. Bu, saldırganların kullanıcı hesaplarını kullanarak kendi cihazlarından uygulamanıza oturum açmalarını engeller.