Geniş anlamıyla, davranışsal psikolojiyle bağlantılı herhangi bir tür manipülasyon sosyal mühendislik olarak kabul edilebilir. Fakat, kavram her zaman suça ya da sahteciliğe yönelik eylemleri içermez. Aslında sosyal mühendislik; sosyal bilimler, psikoloji ya da pazarlama alanları gibi geniş bir alanda kullanılmakta ve çalışılmaktadır.
Konu siber güvenlik olunca, sosyal mühendislik art niyetle kullanılır ve kişileri daha sonra kendilerine ya da şirketlerine karşı kullanılabilecek kişisel ya da gizli bilgilerini vermek gibi yanlış hareketler yapmaya yönlendiren kötü niyetli eylemler olarak tanımlanır. Bu tip saldırıların sıkça görülen sonuçlarından biri kimlik hırsızlığıdır ve birçok durumda büyük finansal kayıpların oluşmasına neden olur. Sosyal mühendislik genellikle bir siber tehdit olarak tanıtılır fakat aslında bu kavram uzun süredir ortadadır. Gerçek hayattaki dolandırıcılık planlarında da kullanılabilir, özellikle de otorite figürlerinin ya da IT uzmanlarının yerine geçilerek. Fakat, internetin ortaya çıkması bilgisayar korsanlarının manipülatif saldırıları daha geniş ölçekte uygulayabilmesine olanak vermiştir. Ne yazık ki, bu kötü niyetli faaliyetlere kripto paralar bağlamında da rastlanmaktadır. Binance üzerinden işlem yapmak için buraya tıklayarak üyelik oluşturmanız gerekmektedir.
Nasıl çalışır?
Sosyal mühendislik tekniklerinin tamamı insan psikolojisinin zayıflığına dayanır. Dolandırıcılar, mağdurlarını manipüle etmek ve kandırmak için duygulardan faydalanırlar. İnsanların korkuları, aç gözlülükleri, merakları ve hatta başkalarına yardım etme istekleri çeşitli yöntemlerle kendilerine karşı kullanılır. Sosyal mühendisliğin birçok çeşidi arasından, oltalama şüphesiz en yaygın ve en iyi bilinen örneklerden biridir.
Oltalama
Oltalama e-postaları genellikle ulusal bir banka zinciri, tanınmış bir online mağaza ya da e-posta sağlayıcı gibi meşru şirketlerin temsilcileri kılığına girer. Bazı durumlarda bu klon e-postalar, kullanıcıları hesaplarında güncellenme gerektiği ya da olağandışı bir aktivite görüldüğü yönünde uyararak, kimliklerini doğrulamak ve hesaplarını düzeltebilmek için kişisel bilgilerini talep eder. Bazı kişiler korkudan hemen gönderilen bağlantılara tıklar ve gerekli bilgileri sunmak için sahte bir web sitesine girer. Bu noktada bilgiler bilgisayar korsanlarının eline geçmiş olur.
Korkutma Amaçlı Yazılımlar (Scareware)
Sosyal mühendislik teknikleri korkutma amaçlı yazılımları yaymak için de kullanılır. Scareware adından da anlaşılacağı gibi kullanıcıları korkutmak ve şoka uğratmak için tasarlanmış kötü niyetli yazılımlardır. Kullanıcıları genellikle, meşru gözüken ama aslında dolandırma amaçlı bir yazılım yüklemeye ya da sistemlerine virüs bulaştıracak bir web sitesine giriş yapmaya yönlendirecek sahte alarmlar yaratırlar. Böyle bir teknik çoğu zaman kullanıcıların sistemlerinin ele geçirileceği korkusundan beslenir ve onları bir pop-up ya da web banner’a tıklamaya ikna eder. Mesaj genellikle şunu söyler: “Sisteminize virüs bulaştı, temizlemek için buraya tıklayın” Binance üzerinden işlem yapmak için buraya tıklayarak üyelik oluşturmanız gerekmektedir.
Yemleme (baiting)
Yemleme, dikkatsiz kullanıcılar için sorun yaratan başka bir sosyal mühendislik yöntemidir. Mağdurları çekmek için yem atarak, kullanıcıların açgözlülüklerine ya da meraklarına hitap eder. Örneğin dolandırıcılar, müzik dosyası, video ya da kitap gibi birşeyi bedava sunduğunu iddia eden bir web sitesi yaratırlar. Fakat bu dosyalara ulaşmak için, kullanıcıların bir hesap oluşturması ve kişisel bilgilerini paylaşması gerekir. Bazı durumlarda, hesap açmaya gerek yoktur çünkü dosyalar doğrudan zarar yazılım içerdiği için mağdurun sistemine sızar ve hassas verilerinin ele geçirilmesine neden olur.
Yemleme dolandırıcılıkları gerçek hayatta da USB çubuğu ya da harici belleklerin kullanımıyla görülebilir. Dolandırıcılar enfekte olmuş cihazları özellikle halka açık bir yerde bırakarak, meraklı bir kişinin içeriğini kontrol etmek için bunu kullanmasıyla, bu kişinin kişisel bilgisayarını enfekte edebilirler.
Sosyal mühendislik ve kripto paralar
Açgözlü bir zihniyet, konu finansal piyasalar olduğunda, alım satım yapanları ya da yatırımcıları oltalama tekniklerine, ponzi ya da piramit dolandırıcılıklarına ve diğer sahtekarlıklara karşı özellikle açık hale getirerek oldukça tehlikeli olabilir. Blockchain endüstrisi içinde, kripto paraların yarattığı heyecan, bu dünyaya kısa sürede çok sayıda yeni katılımcıyı çeker (özellikle de boğa piyasasısüresince). Çoğu kişi, kripto paraların nasıl çalıştığını tam olarak anlamasa da, bu piyasaların potansiyelinin kar elde etmeyi sağladığını duyar ve gerekli araştırmaları yapmadan para yatırımı yapar. Sosyal mühendislik bu çaylaklar için özellikle tehlikelidir çünkü bu kişiler genellikle hırs ya da korkularının tuzağına düşerler. Bir yandan, hızla kar elde etme ve kolay para kazanma isteği bu yeni katılımcıların sahte hediye ve airdrop vaatlerine kanmasına neden olur. Diğer yandan, özel dosyalarının ele geçirildiği korkusu kişileri fidye ödemeye yönlendirebilir. Bazı durumlarda, gerçekte bir fidye yazılımı bulaşımı yokken, kullanıcılar korsanların yarattığı yanlış alarm ya da mesajlarla kandırılmış olurlar.
Sosyal mühendislik saldırıları nasıl engellenir.
Daha önce de belirttiğimiz gibi, sosyal mühendislik dolandırıcılıkları insan doğasına hitap ettikleri için etkili olur. Genellikle korkuyu motivasyon aracı olarak kullanarak, insanları kendilerini (ya da sistemlerini) gerçek olmayan bir tehditten korumak için hızla hareket etmeye yönlendirir. Saldırılar insanların aç gözlülüklerine de hitap ederek, mağdurları çeşitli sahte yatırımlara çeker. Bu yüzden, eğer bir vaad gerçek olamayacak iyi gözüküyorsa, gerçek olmadığını unutmamak gerekir. Binance üzerinden işlem yapmak için buraya tıklayarak üyelik oluşturmanız gerekmektedir.
Bazı dolandırıcılar sofistike olsa da diğerleri fark edilebilir hatalar yaparlar. Bazı oltalama e-postaları ve hatta scareware site başlıkları genellikle dilbilgisi hataları ya da yazım yanlışları içerir ve yalnızca gramer ya da yazım kurallarına yeteri kadar dikkat etmeyen kişiler üzerinde etkilidir. Bu yüzden gözünüzü açık tutmanız gerekir.
Sosyal mühendislik saldırılarının mağduru olmamak için, aşağıdaki güvenlik önlemlerini almanız gerekir:
- Kendinizi, arkadaşlarınızı ve arkadaşlarınızı eğitin. Onlara, yaygın görülen zararlı sosyal mühendislik vakalarını öğretin ve başlıca genel güvenlik kuralları hakkında bilgi verin.
- E-posta ekleri ve linkleri konusunda dikkatli olun. Reklamlara ve bilinmeyen kaynakların web sayfalarına tıklamaktan kaçının
- Güvenilir bir antivirüs programı yükleyin, yazılımı uygulamalarınızı ve işletim sisteminizi güncel tutun
- E-posta bilgilerinizi ve diğer kişisel bilgilerinizi korumak için mümkün olan her zaman çok faktörlü doğrulama çözümlerinden faydalanın. Binance hesabınıza iki-faktörlü doğrulama (2FA) kurun.
- İşletmeler için: çalışanlarınızı oltalama saldırıları ve sosyal mühendislik dolandırıcılıklarını belirleme ve engelleme konusunda hazırlayın.
Son Fikirler
Siber suçlular, fonlarını çalmak ve hassas bilgilerini ele geçirmek amacıyla kullanıcıları kandırmak için sürekli yeni yöntemler peşinde olduğu için kendinizi ve çevrenizdekileri eğitmek büyük önem teşkil ediyor. İnternet bu tip dolandırıcılıklar için büyük bir alan sunarken, özellikle kripto para dünyasında bunlara çok sık rastlanıyor. Dikkatli olun ve sosyal mühendislik tuzaklarına düşmemek için gözünüzü açık tutun. Dahası, kripto para alım satımı ya da yatırımı yapmaya karar veren herkes önce araştırma yapmalı ve hem piyasalar hem de blockchainteknolojisinin çalışma mekanizmaları hakkında yeterli bilgiye sahip olmalı.
Daha fazla içerik beklemede kalın ve Binance akademideki diğer makalelere ve videolara göz atmayı unutmayın. Binance üzerinden işlem yapmak için buraya tıklayarak üyelik oluşturmanız gerekmektedir.