Siber suçlu sosyal mühendisliği, kurbanın inandırıcılığından, açgözlülüğünden, merakından veya diğer insani özelliklerinden yararlanan yanlış bir anlatım oluşturarak özünde bir kullanıcıya yalan söyleyen bir taktiktir.
İçindekiler
Sonuç olarak kurban, ister kişisel (ör. ad, e-posta), ister finansal (ör. kredi kartı numarası, kripto cüzdan) olsun, ister yanlışlıkla kötü amaçlı yazılım veya arka kapıların kendi sistemine yüklenmesini içeren özel bilgileri saldırgana isteyerek verir.
Modern saldırıları hedefe göre iki çok geniş kategoride sınıflandırabiliriz: Ya makineye ya da kullanıcıya saldırırlar. “Makineye saldırı” kavramı, ilk olarak 1996 yılında, güvenlik açıklarından yararlanılarak gerçekleştirilen saldırılarla ve bu alandaki çığır açıcı “Smashing the Stack for Fun and Profit” makalesiyle ortaya çıkmıştır. Buna karşılık, sosyal mühendislik yoluyla “insana saldırmak” her zaman çok daha yaygın olmuştur ve halen de öyledir. Tüm bilinen güvenlik açığı tabanlı saldırılar, saldırganın kurbanı kendisine zarar verecek bir şey yapmaya ikna etmeye çalıştığı bir sosyal mühendislik unsuruna sahiptir.
Sosyal mühendislik tehditlerinin türleri
Kapsamlı bir liste olmasa da, bilinmesi gereken önemli sosyal mühendislik saldırıları şunlardır:
Kimlik avı
Kimlik avı, sosyal mühendislik saldırılarının en yaygın türlerinden biridir. Kurbanları kötü amaçlı eklere veya zararlı web sitelerine bağlantılara tıklamaya ikna etmek için e-posta ve metin mesajları kullanır.
Yemleme
Bu saldırı, bir kurbanı açgözlülük veya ilgiyle cezbetmek için sahte bir vaat kullanır. Kurbanlar, hassas bilgilerini tehlikeye atan veya cihazlarına bulaşan bir tuzağa kapılır. Buna bir örnek, kötü amaçlı yazılım bulaşmış bir flash sürücüyü herkese açık bir yerde bırakmak olabilir. Mağdur, içeriğiyle ilgilenebilir ve kötü amaçlı yazılımları farkında olmadan yükleyerek cihazına yerleştirebilir.
Pretexting
Bu saldırıda, bir aktör verilere erişim sağlamak için bir başkasına yalan söyler. Örneğin, bir saldırgan, alıcının kimliğini doğrulamak için finansal veya kişisel verilere ihtiyaç duyuyormuş gibi davranabilir.
Scareware
Scareware, kurbanların yanlış alarmlar ve tehditlerle korkmasını içerir. Kullanıcılar, sistemlerine kötü amaçlı yazılım bulaştığını düşünerek kandırılabilir. Ardından önerilen yazılım düzeltmesini kurarlar; ancak bu yazılımın kendisi de kötü amaçlı olabilir, örneğin bir virüs veya casus yazılım. Yaygın örnekler, tarayıcınızda görünen ve “Bilgisayarınıza virüs bulaşmış olabilir” gibi metinler görüntüleyen açılır başlıklardır. Düzeltmeyi yüklemeyi önerecek veya sizi kötü amaçlı bir web sitesine yönlendirecektir.
Hedef odaklı kimlik avı ve balina avı
Hedef odaklı kimlik avında saldırı, belirli bir kişi veya kuruma özel olarak hedeflenir. Benzer şekilde, whaling (balina avı) saldırıları ise CEO’lar ve yöneticiler gibi üst düzey çalışanları hedef alır.
Tailgating
Piggybacking olarak da bilinen tailgating, bir saldırganın erişim kartı olan birinin arkasından güvenli bir bina ya da ofis bölümüne girmesiyle gerçekleşir. Bu saldırı, diğerlerinin saldırganın orada bulunmaya yetkisi olduğunu varsaymasına dayanır.
Yapay zeka tabanlı dolandırıcılıklar
Yapay zekâ tabanlı dolandırıcılıklar, mağdurları kandırmak için yapay zekâ teknolojisinden yararlanır. Yaygın türler şunlardır:
Yapay Zeka Metni Dolandırıcılığı: Kimlik avı bilgileri veya kötü amaçlı yazılım yaymak için yapay zeka tarafından oluşturulan aldatıcı metin mesajları.
Yapay Zeka Görüntü Dolandırıcılığı: Bireyleri manipüle etmek ve aldatmak için yapay zeka kullanılarak oluşturulan sahte görüntüler.
Yapay Zeka Ses Dolandırıcılığı: Güvenilir kuruluşları taklit etmek ve kurbanları kandırmak için yapay zeka tarafından oluşturulan sahte sesli mesajlar.
Yapay Zeka Video Dolandırıcılığı: Deepfake olarak bilinen yapay zeka kullanılarak oluşturulan, yanlış bilgileri yaymak veya bireyleri hedeflemek için kullanılan manipüle edilmiş videolar.
Daha fazla bilgi edinmek istiyorsanız lütfen 12 tür sosyal mühendislik saldırısı sayfamızı ziyaret edin.
Sosyal mühendislik saldırıları nasıl fark edilir
Bu saldırılar pek çok farklı şekil ve boyutta olduğundan ve insanın düşebilirliğine dayandığından, sosyal mühendislik saldırılarını belirlemek çok zor olabilir. Bununla birlikte, aşağıdakilerden herhangi biriyle karşılaşırsanız, bunların büyük tehlike işaretleri olduğu konusunda uyarılmalı ve bir sosyal mühendislik saldırısının başladığını öne sürmelidir:
Tanımadığınız birinden gelen istenmeyen bir e-posta veya kısa mesaj.
Mesaj sözde çok acildir.
Mesaj, bir bağlantıya tıklamanızı veya bir eki açmanızı gerektirir.
Mesaj birçok yazım hatası ve dilbilgisi hatası içerir.
Alternatif olarak, tanımadığınız birinden bir çağrı alırsınız.
Arayan kişi sizden kişisel bilgi almaya çalışır.
Arayan kişi bir şey indirmenizi sağlamaya çalışıyor.
Arayan kişi benzer şekilde büyük bir aciliyet ve/veya saldırganlık duygusuyla konuşuyor.
Günümüzde çevrimiçi dolandırıcıların kullandığı sosyal mühendislik taktiklerine karşı kullanabileceği en büyük zırh, bir siber suçlunun sosyal medyadaki güvenlik açığınızdan yararlanabileceği birçok yöntem hakkında bilgi sahibi olmaktır. İstenmeyen posta, kimlik avı saldırıları ve kötü amaçlı yazılım bulaşmalarının olağan sonuçlarından daha fazlası olan siber suçluların karşılaştığı zorluk, verilerinizi gizli tutma konusunda sıkı bir kavrayışa ve anlayışa sahip olmaktır.
Yukarıdaki uyarı işaretlerine dikkat etmenin yanı sıra, aşağıdakiler izlenecek en iyi uygulamalardır:
İşletim sisteminizi ve siber güvenlik yazılımınızı güncel tutun.
Çok faktörlü kimlik doğrulama ve/veya bir Parola Yöneticisi kullanın.
Bilinmeyen kaynaklardan gelen e-postaları ve ekleri açmayın.
İstenmeyen posta filtrelerinizi çok yükseğe ayarlayın.
Finansal bilgi veya parola taleplerini silin ve göz ardı edin.
Bir etkileşim sırasında bir şeyden şüpheleniyorsanız sakin olun ve işleri yavaş tutun.
Web siteleri, şirketler ve bireyler söz konusu olduğunda araştırmanızı yapın.
Sosyal medyada ne paylaştığınıza dikkat edin — gizlilik ayarlarınızı kullanın.
Bir şirketin çalışanıysanız, güvenlik politikalarını bildiğinizden emin olun.
Sosyal mühendislik örnekleri
Siber suçlular, kârdan büyük ölçüde motive olarak, çevrimiçi kullanıcılardan parasal kazanç için hassas bilgiler alma yöntemlerini önemli ölçüde geliştirdi.
Ocak ayında çoğu ülke vergi sezonunu başlatıyor ve bu da onu para kazanmak için favori bir siber suçlu hedefi haline getiriyor. Sosyal mühendislik sayesinde, bir saldırının yaygın olarak kutlanan durumlarla, gözlemlenen tatillerle ve popüler haberlerle çakışacak şekilde uyarlandığı popüler bir taktik olan siber suçlular kurbanlarından çok şey kazanır. ABD vatandaşları, kendilerini ABD Milli Gelirler İdaresi'nden (IRS) bir mesaj olarak çıkarmaya çalışan spam örnekleri aldı.
Vergi sezonunu hedef alan bu kötü amaçlı yazılım saldırısı hakkında daha fazla bilgi edinmek için buraya tıklayın.
Robin Williams'ın 12 Ağustos 2014'te zamanında olmayan ölümü hakkındaki haberler, dünyanın dört bir yanındaki insanlar için bir şok haline geldi. Ölümüyle ilgili haberler netizenler, spamcılar ve siber suçlular arasında yabani ateş gibi yayılırken, e-posta konusunda aktörün adını belirten istenmeyen e-postalar dağıttı. İstenmeyen posta, alıcılardan William’ın ölümü hakkında bir “şok edici” video indirmelerini ister, ancak video bağlantısına tıklandığında bunun yerine WORM_GAMARUE.WSTQ olarak algılanan yürütülebilir bir dosya indirilir.
Bu ünlülerin kötü amaçlı yazılım saldırısı hakkında daha fazla bilgi edinmek için buraya tıklayın.
Ebola pandemisi hakkındaki haberler interneti sarstığında, siber suçlular, şüphelenmeyen kurbanları sahte e-postalar açmaya ikna etmek için yaygın raporları yem olarak kullanma fırsatını yakaladı. Bu e-postalar nihai olarak kurbanın bilgilerinin ve kimlik bilgilerinin çalındığı kimlik avı girişimlerine yol açar.
Bu sahte e-posta kötü amaçlı yazılım saldırısı hakkında daha fazla bilgi edinmek için buraya tıklayın.
2008, siber suçlular tarafından sabotaj ve kâr için oluşturulan sosyal saldırıların ortaya çıkmasıydı. Tanımlanan hedeflerle, platform tabanlı saldırılar, fikri mülkiyet hırsızlığını etkileyen ev kullanıcılarına, küçük işletmelere ve büyük ölçekli kuruluşlara yönelik büyük bir finansal kayıptı. Büyük ölçüde, çevrimiçi sahtekarlar, Facebook ve Twitter gibi sosyal ağ sitelerini kullanarak web kullanıcılarına saldırmak için yollar tasarladı.
2008 yılında, Facebook kullanıcıları KOOBFACE adlı solucan türü bir kötü amaçlı yazılım saldırısının hedefi oldu. Twitter daha sonra 2009 yılında siber suçlular için bir altın madeni haline geldi ve Trojan taşıdığı tespit edilen kötü amaçlı bağlantıları yaydı.
Sosyal mühendislik saldırılarının geleceği
Herhangi bir sosyal mühendislik etkileşimini sökebilir ve aşağıdaki unsurlara indirebiliriz:
- Kurbanla bağlantı kurmak için bir “orta”dır ve birkaçını saymak gerekirse telefon, e-posta, sosyal ağ veya doğrudan mesaj yoluyla yapılabilir.
- Saldırganın, mağduru belirli bir süre içinde harekete geçmeye ikna etmek için sahtecilik yaptığı bir “yalan”. Yalan genellikle zaman sınırlaması gibi yerleşik bir aciliyet duygusuna da sahiptir.
- Kurban tarafından yapılacak kimlik bilgileri verme, kötü amaçlı bir dosya yürütme, belirli bir kripto şemasına yatırım yapma veya para gönderme gibi bir “sorun”.
Muhtemelen aşina olduğunuz yaygın bir örneği ele alalım: klasik e-posta dolandırıcılığı.
Şekil 1. Bir sosyal mühendislik saldırısının ortamı, yalan söylemesi ve sorması
2024 itibarıyla suçlular kurbanlarına her türlü ağ oluşturma özelliğiyle ulaşıyor. Ayrıca sosyal mühendislik numaralarının bir parçası olarak uydurma hikayeler de kullanıyorlar. Hedefleri genellikle aynıdır, örneğin parolayı açıklamak, kötü amaçlı yazılım yüklemek veya kişisel bilgileri paylaşmak gibi.
Yıllar içinde, sosyal mühendislik alanında çok sayıda farklı plan gördük ve tüm fikirlerin zaten kullanılmış gibi göründüğünü düşündüğünüz için affediliyorsunuz. Ancak saldırganlar her yıl yeni sosyal mühendislik numaraları bulmaya devam ediyor. Bu bölümde, saldırganların gelecekte kullanıcıları etkilemek için kullanabilecekleri yeni sosyal mühendislik iyileştirmelerini keşfedeceğiz. Saldırganlar, ortamı, yalanı veya soruyu değiştirerek kurbanlarını kandırmak için kolayca yeni ve yenilikçi uygulamalar bulabilir.
Hangi yeni unsurları görmeyi bekleyebiliriz? Eski planda hangi yeni değişiklikleri öngörebiliriz? Yeni teknolojiler bunlardan herhangi birini nasıl etkileyecek?
Ortamdaki değişiklikler
Yeni teknolojiler ortaya çıktıkça, saldırganlar potansiyel kurbanlarına ulaşmak için daha fazla yol kazanır. Buna yapay zeka araçları, Apple Vision Pro gibi sanal gerçeklik cihazları, Humane pin, Ray-Ban gözlükleri veya kullanıcıların gelecekte kullanmaya başlayabileceği herhangi bir yeni cihaz da dahildir.
Giyilebilirleri orta boy olarak kullanma
Yeni cihazlar pazara her yıl giriyor ve bu da saldırı yüzeyini siber suçlulara genişletiyor. Giyilebilirler özellikle ilgi çekicidir, çünkü her zaman açıktırlar ve kullanıcıları tarafından tamamen güvenilmektedirler. Giyilebilir bir kişiyi içeren herhangi bir yerleştirmenin inanılma ve güvenilme şansı daha yüksektir. Saldırgan, giyilebilir cihaza erişim elde edebilir. Genellikle güvenlik araçlarını dağıtmak ve hatta düzenli olarak kimliklerini doğrulamak için tasarlanmazlar, bu da genellikle normal güvenlik kontrollerini atlar.
Şekil 2. Sosyal mühendislik saldırıları için orta düzeyde potansiyel bir giyilebilir cihaz senaryosu
Bir ortam olarak sohbet robotları
Yapay zeka sohbet robotları, kullanıcıya ulaşmak için bir araç olarak da kullanılabilir. Bu saldırının amacı, kullanıcıyı harekete geçmesi için manipüle etmek amacıyla sohbet robotuna yanlış bilgiler vermektir. Sohbet robotu verilerini zehirlemek, kötü bilgileri beslemek, eğitim verilerini ele geçirmek veya yeni komutlar enjekte etmek dahil olmak üzere çeşitli yollarla gerçekleştirilebilir.
Yeni e-posta tabanlı saldırılar
Klasik e-posta ve anlık ileti (IM) ortamını kullanmanın yeni bir yolu, bir BEC saldırısının etkinliğini artırmak için büyük bir dil modeli (LLM) tarafından desteklenen bir bot kullanmak olacaktır. Tehdit aktörü, kurban ve CEO arasındaki tüm önceki mesaj geçmişini derlemek için LLM botunu kullanabilir. Ardından, bot, sanki CEO'nun mağduru parayı havale etmeye ikna etmek için CEO'nun yazma tarzını kullanması gibi bu güvenilir kanalda bir iş parçacığına devam edebilirdi. Bu zaten manuel olarak gerçekleşiyor, ancak bu saldırının yapay zeka ile otomatikleştirilmesinin potansiyeli göz ardı edilemez.
Yalanları iyileştirmek
Sosyal olarak tasarlanmış yalanları yönlendiren temel inovasyon yapay zekadır. Bir sosyal mühendislik hikayesindeki asıl yalan, birkaçını saymak gerekirse sezona, ülkeye ve demografik gruba bağlı olarak değişecektir, ancak bu, yapay zekanın sağladığı ölçeklenebilirlik ve esneklik nedeniyle çok hızlı bir şekilde değişebilir. Üretken Yapay Zeka (GenAI), görüntü, ses ve video oluşturmada mükemmeldir. Metin için, hem inandırıcı içerik oluşturmada hem de büyük miktarda metni hızlı bir şekilde işlemede mükemmeldir. Bu yeni ölçeklendirilebilirlik, sosyal mühendisliğin “yalan” yönüne birçok yeni gelişmeyi açıyor.
Saldırganların yalan üretmek için kullanabilecekleri yeni bir tema, yapay zeka teknolojisidir. Örneğin, ChatGPT veya VR hakkında yalanlar üretmek, ürettikleri ilgi nedeniyle etkili olabilir. Ayrıca, saldırganlar gerçekte kötü amaçlı yazılım olan yapay zeka ile ilgili sahte araçlar oluşturabilir. Grafik tasarımcıları genellikle derin sahte görsel ve videoların oluşturulmasını merak ediyor. Saldırganın bunu kolaylaştırmak için sunabileceği bir araç muhtemelen indirilecek ve çalıştırılacaktır. Benzer şekilde, derin sahte görüntüler ve videoları mevcut başarılı dolandırıcılıklara dahil etmek, onlara daha fazla inandırıcılık katabilir. Bu strateji, mevcut tehdit ortamındaki yükselişte. Deepfake’lerin sosyal mühendislik dolandırıcılıklarında son derece yıkıcı olma potansiyeline sahip olduğuna ve saldırganların yakın gelecekte bunları yaygın şekilde kullanacaklarına inanıyoruz.
Şekil 3. Çağrı ve sesli dolandırıcılıklar derin taklitlerle nasıl geliştirilebilir
- Sosyal Mühendisliğin Geleceği hakkında daha fazla bilgi edinmek için buraya tıklayın.
Trend Micro Vision One™ platformu
Trend Vision One, güvenliği basitleştiren ve birden fazla güvenlik özelliğini birleştirerek, kuruluşun saldırı yüzeyinin daha fazla kontrolünü sağlayarak ve siber risk durumuna tam görünürlük sağlayarak işletmelerin tehditleri daha hızlı tespit etmesine ve durdurmasına yardımcı olan bir siber güvenlik platformudur.
Bulut tabanlı platform, tek bir çözümde kapsamlı risk içgörüleri, daha erken tehdit tespiti ve otomatik risk ve tehdit müdahale seçenekleri sağlamak için dünya genelinde 250 milyon sensörden ve 16 tehdit araştırma merkezinden yapay zeka ve tehdit istihbaratından yararlanıyor.
Sosyal mühendislik önleme