Sosyal mühendislik saldırıları, sürekli gelişen siber güvenlik tehditleri ortamında hem bireyler hem de kuruluşlar için büyük bir endişe kaynağı olmaya devam ediyor. Siber güvenlik şirketi ESET tarafından hazırlanan ve antivirüs.com.tr internet sitesinde ücretsiz olarak yayınlanan kitapçık, phishing saldırılarına karşı bilinçlendirme faaliyetlerine temel oluşturmayı amaçlıyor.
Teknoloji dijital güvenlikte değerli bir rol oynasa da insan unsuru kritik bir faktör olmaya devam ediyor. Verizon 2023 Bilgi İhlali Araştırma Raporu’na göre ihlallerin yüzde 74’ü sosyal mühendislik saldırıları, hatalar ve kötüye kullanım da dahil olmak üzere insan unsurunu içeriyor. Bu veriler, çalışanları çeşitli sürü türleri ve koruma prosedürleri hakkında eğitmenin değerini vurgulamaktadır.
ESET Türkiye Ürün ve Pazarlama Müdürü Can Erginkurban, ESET Türkiye olarak artan phishing saldırılarını dikkate alarak hazırladıkları el kitabıyla farkındalık faaliyetlerine katkı sağlamayı ve toplumsal fayda yaratmayı hedeflediklerini söyledi. Siber suçluların kullandığı sosyal mühendislik teknikleri hakkında bilgiler verdi ve dijital güvenlik altyapısının güçlendirilmesine yönelik ipuçları paylaştı.
Vishing: Telefonla sosyal mühendislik
“Sesli kimlik avı”nın kısaltması olan vishing, bireyleri hassas bilgileri ifşa etmeleri veya hileli ödemeler yapmaları için kandırmak amacıyla telefon çağrıları veya sesli mesajlar kullanan dolandırıcıları içerir. Bu saldırıların karmaşıklığı insan kimliğine bürünenlerden otomatik otomatik aramalara kadar uzanır. Hatta bazı dolandırıcılar, dolandırıcılıklarını daha da ilerletmek için yasal telefon numaralarını kullanarak sahte davetiyeler bile hazırlıyor. Vishing’in en son sürümü, yapay zeka araçlarını kullanarak bir kişinin sesini daha da inandırıcı hale getirmek için taklit edebilen deepfake aramaları içeriyor.
Smishing: SMS ile sosyal mühendislik
Smishing veya “SMS kimlik avı”, kurbanları belirli eylemleri gerçekleştirmeleri için kandırmak amacıyla metin veya mesajlaşma uygulamaları aracılığıyla sahte bildirimler göndermeyi ifade eder. Mesajlar genellikle alıcıları kötü amaçlı web sitelerine, açılış sayfalarına veya uygulamalara yönlendiren bağlantılar içerir. Bu kanallara erişildiğinde ödeme kartı bilgileri de dahil olmak üzere kişisel bilgiler elde edilebiliyor veya mağdurun cihazına kötü amaçlı yazılım bulaşabiliyor.
Kimlik avı: E-posta yoluyla sosyal mühendislik
Şirketlerde çalışanlar kimlik avını duymuşlardır ancak kavramı bilmek tehlikesini azaltmaz. Aksine, kimlik avı e-postaları saldırganların soyut varlıklarmış gibi davranmasına ve bireyleri hedef almasına olanak tanır; İnsanları şifreler, kredi kartı bilgileri veya kişisel kimlik bilgileri gibi hassas bilgileri ifşa etmeleri için kandırmaya çalıştıkları en verimli siber suç teknikleri arasında yer almaya devam ediyor. Genellikle meşru kuruluşları veya bireyleri taklit eden web sitelerine bağlantılar içeren sahte e-postalar gibi aldatıcı taktikler kullanırlar.
Sosyal mühendisliğin zorlamalarına karşı korunmanın beş yolu
Durun, düşünün ve ardından harekete geçin: Dolandırıcılar kurbanları manipüle etmek için aceleci davranırlar. İstekleri değerlendirmek için zaman ayırın ve sabırsız olmaktan kaçının. Kısaltmalardaki bağlantılara tıklamaktan kaçının ve bağlantının meşruluğunu doğrulamak için kuruluşun resmi web sitesini ziyaret edin.
Bilinmeyen numaralara şüpheyle yaklaşın: Tanımadığınız veya şüpheli numaralardan gelen çağrıları veya mesajları doğrulayın. Bildirimlerde rastgele kişisel bilgileri ifşa etmekten veya bilinmeyen kişilere tıklamaktan kaçının. Bu, bu tür dolandırıcılıkların kurbanı olma olasılığınızı en aza indirmenize yardımcı olacaktır.
Kişisel bilgilerinizi gizli tutun: Hesap numaraları, kimlik numaraları, şifreler veya Çok Faktörlü Kimlik Doğrulama (MFA) kodları gibi hassas bilgileri, telefonda veya bir beyanda asla bilinmeyen kişilere ifşa etmeyin. Yasal kuruluşlar bu tür bilgileri istenmeyen aramalar veya bildirimler yoluyla talep etmez.
Kimliği doğrulayın: Bir şirketi veya devlet kurumunu temsil ettiğini iddia eden birinden iletişim alırsanız doğrudan etkileşimden kaçının. Bunun yerine, web sitesinde bulunan resmi iletişim bilgilerini kullanarak kuruluşla iletişime geçerek orijinalliğini bağımsız olarak doğrulayın.
Güçlü güvenlik önlemlerini etkinleştirin: Hesaplarınızı korumak için güçlü ve benzersiz şifreler kullanın. Uzun ve karmaşık parolalar veya parolalar oluşturmak ve bunları güvenli bir şekilde saklamak için parola oluşturucuları ve yöneticileri kullanmayı düşünün. Ekstra bir savunma katmanı eklemek için mümkün olduğunda Çok Faktörlü Kimlik Doğrulamayı (MFA) kullanın.
Kaynak: (BYZHA) Beyaz Haber Ajansı
