Pretexting, saldırganların uydurulmuş bir senaryo (“pretext”) oluşturarak kişileri hassas bilgileri paylaşmaya yönlendirdiği bir sosyal mühendislik türüdür.
İçindekiler
Pretexting dolandırıcılıklarını anlamak: Bir sosyal mühendislik taktiği
Hiç “teknik destekten” olduğunu söyleyen ve acil müdahale gerektiren bir sorun için sizi arayan birinden beklenmedik bir çağrı aldınız mı? Arayan kişi, sorunu hemen çözmek için sizden kişisel bilgiler veya hesap detayları istemeye başlayabilir. Bu senaryo, pretexting olarak bilinen sosyal mühendislik yöntemini özetler.
Genellikle telefon üzerinden gerçekleştirilen pretexting dolandırıcılıkları, hedefi kişisel veya değerli bilgileri paylaşmaya ikna edecek bir durum kurgulanmasına dayanır. Dolandırıcı, hedefin kendini rahat hissetmesini sağlamak için meşru veya tanıdık biri gibi davranır—örneğin internet servis sağlayıcısından bir müşteri temsilcisi, farklı bir şubeden bir iş arkadaşı veya şirketin teknik destek ekibinden biri. Dolandırıcılar, saldırıyı daha inandırıcı kılmak için hedef hakkında önceden bilgi toplayabilir.
Asıl zorluk, dolandırıcı ile gerçek bir arayanı ayırt edebilmektir. Genel olarak, beklenmedik bir çağrı alır ve arayan kişi sizden kişisel bilgiler (kimlik numarası, hesap güvenlik soruları vb.) isterse, arayanın gerçekten yetkili olup olmadığını doğrulamanız gerekir. Telefonu kapatıp doğrudan ilgili kurumu arayarak gerçekten bir sorun olup olmadığını teyit edin.
Pretexting saldırıları nasıl çalışır: Adım adım kırılım
- Hedef hakkında araştırma: Saldırganlar, açık kaynak istihbaratı (OSINT), sosyal medya veya önceki veri ihlalleri gibi kaynakları kullanarak kişisel veya kurumsal bilgileri toplamak için kapsamlı araştırma yapar.
- Kimliğe bürünme: Saldırganlar, BT personeli, bir CEO veya bir kolluk kuvveti görevlisi gibi güvenilir bir varlığın kimliğini üstlenir. Otoriteyi kullanarak meşruiyet algısı oluşturur ve kurbanların uyum gösterme olasılığını artırırlar.
- Spoofing: Güvenilirliği artırmak için saldırganlar e-posta sahteciliği (email spoofing), arayan kimliği sahteciliği (caller ID spoofing) veya sahte çevrim içi profiller kullanır. Deepfake teknolojisi ve yapay zekâ ile üretilen sesler, tespiti daha da zorlaştırır.
- Hedefin güvenini kazanma: Psikolojik manipülasyon yoluyla saldırganlar güven oluşturur ve şüpheyi azaltır.
- Hassas bilgilerin elde edilmesi: Kurban, meşru bir kurumla iletişim kurduğunu düşünerek farkında olmadan gizli bilgileri paylaşır.
- Elde edilen verilerin kötüye kullanılması: Çalınan bilgiler kimlik hırsızlığı, finansal dolandırıcılık, kurumsal casusluk veya diğer siber saldırılar için kullanılır.
Pretexting saldırılarına yaygın örnekler
Vishing
Sesli kimlik avı (vishing olarak da bilinir), saldırganların telefon aramaları veya ses tabanlı iletişim yoluyla kişileri kandırarak banka hesap bilgileri, giriş bilgileri veya kişisel tanımlayıcı bilgiler (PII) gibi hassas verileri elde ettiği bir sosyal mühendislik saldırısı türüdür.
Kimlik avı
Kimlik avı, siber suçluların sahte e-postalar veya mesajlar kullanarak bireyleri hassas bilgilerini paylaşmaya kandırdığı bir siber saldırı türüdür. Bu e-postalar veya mesajlar, kullanıcıların özel bilgilerini çalabilecek zararlı bağlantılar içerir. Kimlik avı saldırıları, kullanıcılar bunun farkında olmadığında en etkili hâle gelir.
Şekil 1. Heatstroke’un oltalama saldırısının bulaşma zinciri; bulaşma zincirinin kullanıcı/ davranış özelliklerine bağlı olarak değişebileceğine dikkat edin.
Tailgating
Tailgating saldırısı, yetkisiz bir kişinin, yetkili birini yakından takip ederek kısıtlı bir alana fiziksel erişim sağlamasıyla gerçekleşen bir fiziksel güvenlik ihlalidir. Saldırganlar, yetkili çalışanları kandırmak için kendilerini yeni çalışan, kurye veya bakım görevlisi gibi tanıtabilir.
Yemleme
Baiting, siber suçluların kurbanları ele geçirilmiş fiziksel cihazlar veya dijital varlıklarla etkileşime geçmeye teşvik etmesi anlamına gelir. Saldırganlar, kurban için yemi daha cazip hâle getirmek amacıyla pretexting kullanır; örneğin bir USB belleği “Çok Gizli” veya “Çalışan Maaşları” gibi yanıltıcı etiketlerle işaretleyerek kurbanın bunu takmasını teşvik eder.
Romantizm sahtekarlıkları
Romantizm Dolandırıcılığı, bir saldırganın şüphelenmeyen kurbanları aramak ve onlarla romantik bir ilişki kurmak için sahte sosyal medyayı veya flört profillerini kullanacağı bir sosyal mühendislik taktiğidir. Saldırganın kurbanın güvenini kazanması haftalar veya aylar sürebilir, ancak bu elde edildikten sonra sahte bir acil durum veya hediyeler için büyük miktarda para isteyeceklerdir.
Scareware sahtekarlıkları
Scareware, kurbanları yanlış alarmlar ve tehditlerle korkutmayı içeren bir sosyal mühendislik dolandırıcılığı türüdür. Kullanıcılar, sistemlerine kötü amaçlı yazılım bulaştığını düşünerek kandırılabilir. Daha sonra bir düzeltme indirmek için kötü amaçlı web sitelerini ziyaret etmeleri teşvik edilecektir, ancak bunun yerine kötü amaçlı yazılım indiriyorlar veya kart ayrıntıları gibi hassas bilgileri açıklıyorlar.
Pretexting ve phishing arasındaki fark: Aradaki fark nedir?
Her ikisi de sosyal mühendislik taktikleri olsa da, sahtekarlıklar doğrudan, kişiselleştirilmiş etkileşim ve aldatma içerirken, kimlik avı genellikle kötü amaçlı bağlantılar içeren toplu e-postalar kullanır. Ancak siber suçlular genellikle her iki yöntemi de çok katmanlı saldırılarda birleştirir.
Pretexting saldırıları nasıl önlenir
DMARC (Alan Tabanlı Mesaj Kimlik Doğrulama, Raporlama ve Uygunluk)
DMARC, e-posta göndericilerinin gerçekliğini doğrulayarak e-posta sahteciliğini önlemeye yardımcı olan bir e-posta kimlik doğrulama protokolüdür. DMARC, e-posta kimlik doğrulaması ve bütünlüğünü sağlamak için SPF (Gönderme Politikası Çerçevesi) ve DKIM (AlanAnahtarları Tanımlanan Posta) ile birlikte çalışır.
SPF (Gönderme Politikası Çerçevesi): Yalnızca yetkili e-posta sunucularının bir kuruluşun etki alanı adına mesaj gönderebilmesini sağlar.
DKIM (AlanAnahtarları Tanımlanan Posta): E-posta mesajlarının aktarım sırasında değiştirilmediğini doğrulamak için kriptografik imzaları kullanır.
- DMARC Politikasının Uygulanması: Kuruluşlar, kimlik doğrulamada başarısız olan e-postaların nasıl ele alınması gerektiğini dikte etmek için politikalar (yok, karantinaya alınamıyor veya reddedilmiyor) belirleyebilir. Sıkı bir DMARC politikası, saldırganların sahtekarlık yaparak sahtekarlık yapma olasılığını önemli ölçüde azaltabilir.
Güvenlik farkındalığı eğitimi ve doğrulama uygulamaları
Çalışanları sahtekarlıklara müdahale etmeleri ve kimliklerini belirlemeleri konusunda eğitmek için düzenli siber güvenlik eğitimi, işinizi korumaya yardımcı olabilir. Kuruluşlar şunları vurgulamalıdır:
Şüpheli talepleri belirlemek ve meşruiyetlerini doğrulamak.
Hassas verileri paylaşmadan veya finansal işlemlere izin vermeden önce talep sahibiyle resmi kanallar aracılığıyla iletişime geçmek.
Pretexting saldırılarında kullanılan psikolojik manipülasyon tekniklerini tanımak.
Çok Faktörlü Kimlik Doğrulama (MFA)
MFA, hesaplara erişmek için tek seferlik parola veya biyometrik doğrulama gibi birden fazla kimlik doğrulama faktörüne ihtiyaç duyarak ek bir güvenlik katmanı ekler. Bu, saldırganların çalınan kimlik bilgilerini kötüye kullanma riskini önemli ölçüde azaltır.
Şüpheli faaliyetlerin raporlanması
Kuruluşlar, çalışanları şüpheli aramaları, e-postaları veya mesajları daha fazla araştırma için BT güvenlik ekibine bildirmeye teşvik etmelidir. Proaktif bir raporlama mekanizmasına sahip olmak, kuruluşların potansiyel tehditleri bir üst seviyeye taşımadan önce tespit etmesine ve müdahale etmesine yardımcı olur.
Pretexting konusunda nereden yardım alabilirim?
TrendAI Vision One™, scareware tehditlerini operasyonları etkilemeden önce tespit etmeye, engellemeye ve azaltmaya yardımcı olur:
Phishing ve zararlı bağlantıları durdurmak için e-posta güvenliği
Uygulama kontrolü ve sandboxing ile uç nokta güvenliği
E-posta, uç noktalar, ağlar ve bulut sistemleri genelinde tehditleri ilişkilendirmek için XDR
Sosyal mühendislik ve scareware’e karşı gelişmiş savunmalarla işletmenizi koruyun
Sıkça Sorulan Sorular (SSS)
Pretexting nedir?
Pretexting, saldırganların kurbanları hassas bilgileri ifşa etmeleri veya erişim sağlamaları için kandırmak üzere inandırıcı bir hikaye icat ettikleri bir sosyal mühendislik taktiğidir.
Pretexting nasıl çalışır?
Pretexting; uydurulmuş bir senaryo oluşturma, güven kazanma, otoriteyi taklit etme ve kurbanları hassas bilgileri paylaşmaya veya zararlı eylemler gerçekleştirmeye ikna etme yoluyla çalışır
Pretexting saldırısına örnek ne verilebilir?
Yaygın bir örnek, doğrulama ayrıntılarını talep eden, çalışanları parolaları veya gizli sistem bilgilerini ifşa etmeleri için kandıran BT desteği gibi davranan bir saldırgandır.
Pretexting ve kimlik avı arasındaki fark nedir?
Kimlik avı, oturum açma kimlik bilgilerini veya hassas verileri çalmak için aldatıcı mesajlar veya e-postalar kullanırken, bahane oluşturma, uydurma senaryolara ve insan etkileşimine dayanır.
Pretexting nasıl önlenebilir?
Tüm iletişim kanallarında güçlü doğrulama prosedürleri, çalışan eğitimi, çok faktörlü kimlik doğrulama, katı veri işleme politikaları ve sıfır güven güvenlik uygulamalarıyla önleyin.