Sosyal mühendislik saldırıları, kişisel banka hesaplarından, büyük şirketlerin altyapı ve veri sistemlerine kadar pek çok unsuru kapsamına alır. Bu sistemlere ilişkin alınan dijital güvenlik önlemleri ve siber saldırılara karşı savunma sistemleri sosyal mühendislik sayesinde elde edilen erişim verileri nedeniyle tamamen işlevsiz kalır. Sosyal mühendislik saldırıları pek çok farklı şekilde uygulanabilmektedir. Ağırlıklı olarak hedefte bulunan gerçek kişi, eylemleri gerçekleştirmeye ya da gizli bilgilerin ifşasını gerçekleştirmeye yönelik olarak psikolojik şekilde manipüle edilir. Sosyal mühendislik saldırılarında kişiler, insanların duyguları, güvenme eğilimleri, zafiyetleri gibi noktalara yönelik manipüle edici yaklaşımlar sergiler. Kimi zaman ikna ederek kimi zaman da tamamen güveni suistimal ederek istenen verilere/bilgilere erişilmektedir. Yaklaşım yöntemleri ve oluşturduğu riskler, sosyal mühendisliği günümüzde hem kişisel bilgi hem de kurumsal bilgi gizliliği ve güvenliği açısından önemli bir tehdit haline dönüştürür.

Sosyal mühendislik, günümüzde bir bilgi ve veriye erişim sağlamak maksadıyla en sık kullanılan saldırı tekniklerden birisidir. Sosyal mühendislik saldırıları, bilişim sistemleri adına bakıldığına dijital ortamda veya reelde bir sisteme veya bilgisayara yetkisiz biçimde erişim sağlayabilmek adına hassas bilgilerin açığa çıkartılması için kullanılan saldırı tekniklerinden birisidir. Sistem, altyapı ve uygulamalar için hem fiziksel hem de yazılım odaklı oluşturulan güvenlik önlemlerine karşı siber saldırılar gerçekleştirilir. Sosyal mühendislik ise bu sistemlere yetkisiz erişimi teknik uzmanlık veya donanım gerekliliği çok düşük seviyede bu saldırıları yapabilmeyi olanak sağlamaktadır. Sosyal mühendislik saldırılarında, insan açıklarının değerlendirilmesi, iyi niyetinin suistimal edilmesi gibi yöntemler ile sistemlere ve bilgilere erişim hedeflenmektedir.

Ana hedefte bulunan sisteme izinsiz şekilde erişimin gerçekleştirilebilmesi için bu sistemi kullanma yetkisine sahip olan kişiler sosyal mühendisler tarafından hedefe alınır. Hedefte bulunan gerçek kişiden çeşitli teknikleri kullanarak, sisteme erişim verilerinin alınması mümkündür. İnternet ortamında veya reelde insanların zafiyetlerinden yararlanarak farklı ikna, tuzak/kandırma yöntemleri ile hedefte bulunan sistem erişim bilgilerinin elde edilmeye çalışılmasıdır. Sosyal mühendislik saldırıları hedefte bulunan kişinin farkında dahi olmadan kendisinin siber saldırgana önemli ve hassas verileri vermesiyle sonuçlanmaktadır. Bu tip saldırılar günümüzde oldukça yaygın şekilde görülmektedir.

Sosyal Mühendislik Testi Nasıl Yapılır?

Sosyal mühendislikte, saldırgan tarafından bir kurgu oluşturulur. Bu kurgu doğrultusunda hedefinde bulunan kişinin ağına düşmesi için farklı yöntemleri devreye sokar. Saldırgan tarafından hedeflenen veri/bilgiye göre değişken yöntemleri kullanır. Özellikle hedefteki kişinin konumu/pozisyonu, yaşam görüşü, insan ilişkileri, hayat tarzı vb. gibi o kişinin benliğini oluşturan hususlara dair ön bilgi toplar. Daha sonra bu kişilerin zafiyetleri, korkuları, endişeleri, heyecanları gibi özel duygu durumları üzerinden açık verebileceği noktaları hedef alan kurgular düzenler. Bu kurgular üzerinden de hedefine yaklaşır. Dolayısıyla sosyal mühendislik saldırılarında sadece belirli yöntemlerin olması söz konusu değildir. Saldırının yapılış şekli ve kullanılan yöntemler, her saldırıda hedef olan kişiye göre önemli değişiklikler teşkil eder.

Sosyal mühendislik saldırılarında temel amaç hedefteki kişinin amaçlanan tuzağa çekilmesidir. Bu aşamada hedefin tuzağa nasıl düşeceği ise tamamıyla hedefle ilgili olarak belirlenmektedir. Örneğin bir şirkette muhasebe sistemlerine erişim yetkisi bulunan bir kişi için teknik destek yaklaşımı sergilenebilir. Bu kişiler için şirketin bilgi teknolojileri departmanından arandığı ve güvenlik riski ya da teknik sorun olduğu gibi olgular üzerinden şirketteki kişisel bilgilerini paylaşması sağlanabilir. Bunun dışında maillere yapılan oltalama atakları gibi kişinin sevineceği, endişe duyacağı veya merak edeceği nitelikte tamamen kişisel bilgilerini çalmaya yönelik olarak hazırlanmış e-posta gönderimleri de kullanılabilmektedir. Bu tip saldırılarda hedef olan kişiler, saldırganın ulaşmayı amaçladığı güvenlik bilgilerini veya kişisel bilgilerini kendi rızasıyla verir. Bu süreçte karşı taraftaki kişinin kendisini manipüle ettiğinin dahi farkında olmadığından, bu durumun bir saldırı olduğunu anlayamaz.

Yaygın olarak kullanılan oltalama saldırılarına aslında pek çok kişi defalarca maruz kalabiliyor. Hemen hemen hepsinde de bunun bir saldırı olduğunu dahi fark etmiyor.  Oltalama saldırıları genel olarak e-posta kanalı üzerinden hedefteki kişinin tuzağa çekilmesiyle gerçekleştirilir. Örneğin bir banka sayfasının birebir kopyası hazırlanarak, kişinin ilgisini çekecek bir e-posta ile bu adrese girişi sağlanır. Kişi burada kişisel banka bilgilerini girerek, doğrudan sosyal mühendislik saldırısı gerçekleştiren kişiye bu bilgilerini vermiş olur. Kişisel bazdaki bu örnek farklı şekillerde şirket verilerine erişim amacıyla da kullanılmaktadır.

Sosyal Mühendislik Sızma Testleri

Günümüzde sosyal mühendislik ile kişisel veya kurumsal bilgilerin ele geçirilmesi çok sık karşılaşılan bir durum haline geldi. Öyle ki global ölçekte alınan verilere göre şirketlere yönelik yapılan siber saldırıların yaklaşık 98% gibi bir oranını sosyal mühendislik oluşturuyor. Günümüzde siber korsanlar tarafından kodlama, yazılım ve donanım gibi sistemler kullanılmadan, fazla uzmanlık gerektirmeyen bu yöntem ile siber saldırılar gerçekleştiriliyor. Tabii ki iyi bir konuşma, insanları kendine güvendirme ve insan çıkarımları konusunda kabiliyet sahibi olması bir sosyal mühendisin en temel gereklilikleridir. Sosyal mühendislik sızma testi ise günümüzde şirketler ve hatta kişiler açısından ciddi bir risk haline gelen bu saldırılara karşı güvenlik açıklarını belirlemek ve gerekli olan önlemlerin alınmasını sağlamaktadır. Özellikle sosyal mühendislik saldırılarına dair insanların/çalışanların bilgilendirilmesi ve tecrübe edinmeleri sosyal mühendislik sızma testi hizmetleri ile sağlanmaktadır.

Sosyal mühendislik sızma testi ile şirketlerin tüm çalışanlarının bu tip saldırılara karşı hazırlıklı olmaları ve karşı karşıya kalabilecekleri risklere dair bilinçlendirilmesi sağlanmaktadır. Sosyal mühendislik sızma testleri, uzman kişilerin siber sosyal mühendislerin kimliğine bürünmesiyle gerçekleştirilmektedir. Şirketin çalışma alanı, potansiyeli ve hedefte bulunan çalışanın özelliklerine göre bir kurgu oluşturularak sosyal mühendislik saldırısı gerçekleştirilir. Böylelikle hem şirketin hem de çalışanın sosyal mühendislik saldırılarına maruz kalabilecek açık ve zafiyetlerinin tespiti sağlanabilmektedir.

Şirket çalışanları için siber saldırganların uyguladığı yöntemler ile sosyal mühendislik saldırıları gerçekleştirilir. Bu sosyal mühendislik saldırıları karşısında çalışanların reaksiyonları üzerinden risk faktörlerinin tespiti sağlanmaktadır. Çalışanlara yönelik gerçekleştirilen bu saldırıların yanı sıra diğer sosyal mühendislik yöntemleri ile de sınamalar gerçekleştirilir. Bu şekilde şirketin karşı karşıya kalabileceği tüm saldırı risklerinin belirlenmesi ve bu saldırı risklerine karşı alınabilecek önlemler hususunda net bir rapor hazırlanmaktadır. Özellikle sosyal mühendislik saldırıları konusunda çalışanların, iş sahiplerinin ve diğer paydaşların daha bilinçli ve daha tecrübeli olmalarını sağlayacak eğitim programları gerçekleştirilmelidir.

Sosyal mühendislik saldırılarından korunmak için kişilerin bilinçli olması en temel olguyu oluşturur. Güvenilir kaynaklar tarafından hassas bilgilerin talep edilmeyeceği, bilinmeyen e-posta gönderilerine karşı titiz yaklaşılması, link yönlendirmelerinde adres teyitlerinin yapılması gibi çeşitli alışkanlıkların standart hale getirilmesi çok önemlidir. Bu konuda sosyal mühendislik saldırısı gerçekleştiren kişilerin de yeni yöntemler geliştirmeye devam ettiği göz ardı edilmemelidir. Bu nedenle güncel sosyal mühendislik saldırılarına karşı bilgi ve eğitim alınması da hem kişisel bilgilerin gizliliği hem de kurumsal verilerin güvenliği açısından çok önemlidir. Sosyal mühendislik sızma testi ile bu konudaki güvenlik risklerinin belirlenebilmesi mümkün olduğundan, günümüzde hem gerçek kişiler hem de tüzel kişiler açısından büyük bir önem taşımaktadır.