Sosyal Mühendislik Saldırıları Nelerdir ve Bunları Nasıl Önleyebilirsiniz?

Yayınlanan: 2019-11-14

Bağlantılarımız aracılığıyla bir şey satın alırsanız, bağlı ortaklarımızdan para kazanabiliriz. Daha fazla bilgi edin.

Sosyal mühendislik saldırısının ne olduğunu biliyor musunuz? Güçlü bir anti-virüs/kötü amaçlı yazılım çözümünüz olduğu için endişelenmediğinizi söylüyorsanız, bunun size hiçbir faydası olmayacaktır.

Bu video, sosyal mühendislik saldırılarının ne kadar kolay ve korkutucu olduğunu gösteriyor.

Bunun nedeni, sosyal mühendisliğin yazılımınızın veya donanımınızın güvenlik açıklarını değil, insan davranışını kullanmasıdır. İşte bu yüzden siber güvenlik stratejiniz, siber suçluların saldırı başlatmasının farklı yollarını ele almak için değişmeli ve uyum sağlamalıdır.

GetApp'in yeni bir raporuna göre, işletmelerin sadece %27'si çalışanlarına sosyal mühendislik eğitimi veriyor. Ekim ayının Ulusal Siber Güvenlik Ayı olduğu düşünüldüğünde, GetApp'ten alınan veriler zamanında ve bilgilendirici.

Raporun başlığı “Her İşletmenin Bilmesi Gereken 10 Siber Güvenlik İstatistikleri”dir. Ve rapora göre, BT güvenlik ortamının karmaşıklığı şunları gerektiriyor: “… birçok konuda bir dizi eğitim. Ne yazık ki, işletmeler genellikle bu endişelerin yalnızca bir kısmı hakkında güvenlik eğitimi verirken, diğerlerinde çalışanları karanlıkta bırakıyor.”

Sosyal Mühendislik Saldırısı Nedir?

FBI, sosyal mühendisliğin gardınızı düşürmenizi sağlamak için tasarlandığını söylüyor. Suçluların, düşmanların, rakiplerin ve casusların insanları ve bilgisayar ağlarını sömürmek için kullandıkları yaygın bir teknik olduğunu söylemeye devam ediyor. Neden, çünkü teknik beceri gerektirmez.

Sosyal mühendislik saldırıları, insanların davranışlarını manipüle etmek için aldatma kullanır. Amaç, kişiyi gizli, kişisel ve korunan bilgileri ifşa etmeye ikna etmektir. Dolandırıcılar bu bilgiyi aldıklarında nihai hedeflerinin peşinden gitmek için kullanırlar. Ve nihai hedef, hassas verilerden bir kişi, siyasi aday ve hatta bir marka hakkında aşağılayıcı açıklamalar yapmaya kadar her şey olabilir.

Geçmişte bu aynı suçlulara dolandırıcılar/dolandırıcılar denmiş olabilir, ancak öncül aynıdır, dolandırılan kişinin güvenini kazanın.

Sosyal Mühendislik Saldırılarının Türü

Sosyal mühendislik saldırıları hakkında bilmeniz gereken tek şey, her zaman gelişiyor olmalarıdır. Bu nedenle çalışanlarınıza düzenli olarak eğitim vermelisiniz. Çünkü bir sonraki saldırı biçiminin ne olacağını asla bilemezsiniz.

Suçluların kullandığı saldırı türlerinden bazıları şunlardır:

Bahane Gönderme – Saldırganlar, alıcının kimliğini doğrulamak için kişisel veya finansal bilgilere ihtiyaç duyuyormuş gibi davranır.

Water-holing – Saldırganlar, ağ erişimi elde etmek için o siteyi sık sık ziyaret eden kişilerin güvenliğini aşmak için bir web sitesine bulaşır.

Yönlendirme Hırsızlığı – Dolandırıcılar, teslimatı veya kurye şirketlerini, işlemi durdurarak bir paketi yanlış bir adrese bırakmaları için kandırır.

Quid Pro Quo - Adından da anlaşılacağı gibi, saldırganlar kurbana bilgi veya yardım karşılığında bir şey vaat ediyor.

Kimlik Avı ve SMishing – Kimlik avı saldırıları e-posta kullanır ve SMishing, son kullanıcının kötü amaçlı bir bağlantıya tıklamasını veya indirmesini sağlamak için metin mesajlarını kullanır. Başarılı saldırıların %91'inin bir oltalama e-postası olarak başladığı düşünülürse, bu tür saldırılara karşı farkındalığı artırmak özellikle önemlidir.

Bal Tuzağı – Saldırganlar çekici biri gibi davranır ve hassas bilgiler elde etmek için sahte bir çevrimiçi ilişkiye başlarlar.

Tuzaklama – Saldırganlar, flash sürücü gibi kötü amaçlı yazılım bulaşmış bir cihazı kolayca bulunabilecekleri bir yere bırakır. Sürücü bir bilgisayara bağlandığında, kötü amaçlı yazılımı yükler.

Bunlar, dolandırıcıların kullandığı sosyal mühendislik saldırılarından sadece birkaçı, ancak başkaları da var ve şüphesiz suçlular şu anda yenilerini yaratıyor.

Kendinizi Sosyal Mühendislik Saldırılarına Karşı Korumak

Farkındalık, işletmenizi ister fiziksel ister dijital dünyada her türlü saldırıya karşı korumanın anahtarıdır. Tersine, sosyal mühendislik saldırıları, hedefledikleri kişilerin gönül rahatlığına dayanır.

Bunu akılda tutarak, organizasyonunuzdaki herhangi bir rehavete neden olan davranışları ortadan kaldırmalısınız. Ve bu, güven ve başkalarına yardım etme isteği gibi insanların doğuştan sahip olduğu özelliklere karşı çıkmak anlamına gelir. Bu noktalar göz önüne alındığında, çalışanlarınızın doğrulaması, doğrulaması, doğrulaması konusunda ısrar etmelisiniz.

Kevin D. Mitnick'in talebini doğrulamak için kullanılan üç aşamalı sistem, gerçek hayattaki bir bilgisayar korsanından ve “Aldatma Sanatı: Güvenlik İnsan Öğesini Kontrol Etmek” adlı kitabından geliyor.

İlk bakışta, bu basit görünebilir. Ancak tanımadığınız biri sizden bazı bilgiler istiyorsa, adımları izlerseniz kim olduğunu öğrenebilirsiniz.

  1. Birisi bazı bilgiler istediğinde, çalışanlarınıza kişinin iddia ettikleri kişi olduğunu doğrulamasını söyleyin.
  2. Şu anda şirkette çalıştıklarından veya kuruluşla bilmesi gereken bir bağlantıya sahip olduklarından emin olun.
  3. Bilgileri vermeden önce, böyle bir talepte bulunmaya yetkili olduklarından emin olun.

Bu üç basit adımla verileriniz asla yanlış kişiye verilmeyecektir. Tekrar etmekte fayda var, çalışanlarınız bu adımları izlemekte veya bunlarda herhangi bir değişiklik yapmakta gevşek olamaz.

İşletmenizi Korumanın Ek Yolları

Sizin ve çalışanlarınızın kendinizi ve işletmeyi korumanın diğer yollarından bazıları şunlardır:

  • Verileriniz size karşı kullanılabilir, bu nedenle kişisel hayatınız ve işinizle ilgili gerçekleri yabancılara ifşa etmekten vazgeçin. Özellikle sosyal medya kanallarında dikkatli olun.
  • Gönderenin kim olduğundan emin olana kadar tüm e-posta isteklerini inceleyin. Unutmayın, arkadaşlarınızdan ve iş arkadaşlarınızdan aldığınız e-postalar bile sahte olabilir.
  • Bilgi almaya çalışan kişinin dolandırıcı olduğundan şüpheleniyorsanız, gerekirse sert veya kaba olmaktan çekinmeyin.
  • Sık siber güvenlik eğitim oturumları ve en son dolandırıcılık hakkında bilgi edinerek kuruluşunuzun farkındalığını artırın.
  • Önemli işlemler için süreçleri ve prosedürleri sürekli olarak gözden geçirin.
  • Parolalarınızı yeniden kullanmayın ve kuruluş genelinde bir parola değiştirme politikası uygulamayın.

Suçlular, bir adımı gözden kaçırmak için her şeyi çalışanlarınıza atacaklar ve bunu yaptıkları anda; verileriniz tehlikede.

Hesap verebilirliğe sahip güçlü ve katı bir yönetim bu işi gerçekleştirebilir. Hepsinden iyisi, size hiçbir maliyeti olmayacak.

Amazon'dan bir Business Prime hesabıyla indirimler, özel teklifler ve daha fazlasına hak kazanın. Bugün başlamak için ÜCRETSİZ bir hesap oluşturabilirsiniz.

Resim: Depositphotos.com