Sosyal Mühendislik Saldırıları ve Korunma Stratejileri
Sosyal mühendislik, sistemlere teknik açıklar aramak yerine insanların psikolojik zayıflıklarını hedef alan siber saldırı yöntemidir. Saldırganlar güven oluşturarak veya korku yaratarak, kurbanlarını hassas bilgileri paylaşmaya veya güvenlik protokollerini ihlal etmeye ikna eder. Küresel siber saldırıların %98'inde insan faktörü rol oynar ve bu saldırıların ortalama maliyeti işletme başına 130.000 dolar seviyesindedir.
Sosyal Mühendislik Saldırı Türleri
Phishing (Oltalama) Saldırıları
Phishing saldırıları, meşru kurumlar gibi görünen sahte e-postalar aracılığıyla gerçekleştirilir. Saldırgan banka, kargo firması veya teknoloji şirketi adına e-posta gönderir ve kullanıcıyı sahte bir web sitesine yönlendirir. Bu sitelerin domain adresleri orijinaline çok benzer: örneğin "microsoft.com" yerine "micros0ft.com" veya "paypal-security.com" gibi.
Spear phishing ise belirli bir kişiyi veya organizasyonu hedef alan özelleştirilmiş saldırılardır. Saldırgan LinkedIn, Facebook gibi platformlardan hedef hakkında detaylı bilgi toplar. İş unvanı, proje isimleri, çalışma arkadaşları gibi bilgiler kullanılarak inanılırlık arttırılır.
Vishing (Sesli Phishing)
Vishing saldırılarında telefon aramaları kullanılır. Saldırgan, banka güvenlik görevlisi, IT destek personeli veya devlet kurumu çalışanı rolüne girer. Aciliyet yaratılır: "Hesabınızda şüpheli işlem tespit ettik", "Sisteminiz virüs bulaştı, hemen uzaktan erişim sağlamamız gerek" gibi.
Caller ID spoofing teknolojisiyle arayan numara manipüle edilir. Ekranda görünen numara gerçek kuruma ait olabilir ancak arama farklı bir kaynaktan gelir. VoIP servisleri üzerinden bu tür manipülasyonlar kolayca yapılabilir.
Pretexting (Senaryo Oluşturma)
Pretexting'de saldırgan önceden hazırlanmış karmaşık bir senaryo ile yaklaşır. IT yöneticisi, dış denetçi, yeni çalışan veya tedarikçi gibi roller üstlenir. Senaryo detaylı şekilde kurgulanır ve birden fazla etkileşim içerir.
Örnek senaryo: Saldırgan önce resepsiyon arar, "CEO'nun asistanıyım, yarın önemli bir toplantı var" der. Daha sonra farklı bir departmanı arayıp "Resepsiyonla konuştum, onlar yönlendirdi" diyerek güven oluşturur. Her adımda bir önceki etkileşimi referans gösterir.
Baiting (Yem Bırakma)
Baiting saldırılarında fiziksel veya dijital "yem" kullanılır. En yaygın yöntem: kurumsal logosu olan USB bellekler şirket otoparkına, kafeteryasına veya tuvaletlerine bırakılır. "Yönetim Kurulu Maaş Listesi", "Gizli Proje Dosyaları" gibi etiketler merak uyandırır.
USB takıldığında Rubber Ducky gibi cihazlar klavye girişi simüle eder. Saniyeler içinde reverse shell açabilir, keylogger yükleyebilir veya credentials çalabilir. Dijital baiting'de ise sahte yazılım indirme linkleri, "premium hesap bedava" teklifi gibi cazibeler sunulur.
Tailgating ve Piggybacking
Fiziksel güvenlik ihlallerinde kullanılan yöntemlerdir. Tailgating'de saldırgan yetkili bir kişinin arkasından güvenli alana girer. Elinde dosya veya laptop varmış gibi yapar, mesafeli durup kapıyı tutmasını bekler.
Piggybacking'de ise yetkili kişiden açıkça yardım istenir: "Kartımı unuttum, içeri girebilir miyim?" Sigara molasından dönen çalışanlara yaklaşmak en etkili zamandır çünkü rutine dönüş refleksle hareket ettirir.
Saldırıların Teknik Anatomisi
Keşif Aşaması (OSINT)
Saldırganlar hedef hakkında açık kaynaklardan maksimum bilgi toplar. TheHarvester, Maltego, Recon-ng gibi araçlar kullanılır. LinkedIn'den organizasyon yapısı, kullanılan teknolojiler, çalışan e-posta formatı ([email protected]) öğrenilir.
WHOIS sorguları, DNS kayıtları (MX, TXT, SPF), SSL sertifika bilgileri analiz edilir. Shodan üzerinden internete açık cihazlar, açık portlar, kullanılan yazılım versiyonları tespit edilir. Wayback Machine ile şirketin eski web siteleri taranır, unutulmuş subdomainler, eski çalışan bilgileri bulunur.
İlişki Kurma ve Güven Oluşturma
Saldırgan toplanan bilgilerle kişiselleştirilmiş yaklaşım geliştirir. Hedefin sosyal medya paylaşımlarından hobiler, ilgi alanları öğrenilir. "Ben de aynı konferanstaydım", "Şu proje hakkında paylaşımınızı gördüm" gibi ortak noktalar vurgulanır.
E-posta iletişimi başlatılırken header manipulation yapılır. SPF, DKIM, DMARC kontrolleri atlatılmaya çalışılır. Return-Path ile From adresi farklılaştırılır. Homograph saldırıları için Cyrillic, Greek karakterler kullanılır: "a" yerine Cyrillic "а" (U+0430).
Sömürü Aşaması
Güven oluşturulduktan sonra asıl talep gelir. "Şifreyi sıfırlamanız lazım, bu linke tıklayın", "EK'teki formu doldur, üst yönetim istiyor", "Acil havale yapılacak, onay ver" şeklinde yönlendirmeler yapılır.
Teknik olarak: HTML e-postada JavaScript injection, macro içeren Office dökümanlar (.docm, .xlsm), LNK dosyaları içeren ZIP arşivler, ISO image dosyaları kullanılır. Windows Defender bypass için dosyalar şifrelenir, şifre e-posta metninde verilir. Antivirüs taramasını atlatmak için çok parçalı yükleme (staged payload) tercih edilir.
Korunma Yöntemleri ve Güvenlik Önlemleri
Teknik Kontroller ve Yapılandırmalar
E-posta güvenliği için SPF, DKIM ve DMARC kayıtları mutlaka yapılandırılmalı. DNS'e eklenecek örnek kayıtlar:
v=spf1 ip4:192.168.1.0/24 include:_spf.google.com ~all
v=DMARC1; p=reject; rua=mailto:[email protected]; pct=100
E-posta sunucusunda external sender warning banner aktifleştirilmeli. Exchange Server'da: Exchange Admin Center > Mail Flow > Rules > "External sender warning" kuralı oluştur. Kural tüm dışarıdan gelen e-postalara konu satırına "[EXTERNAL]" tag'i ekler.
Web filtreleme için DNS seviyesinde koruma yapılandır. OpenDNS veya Cloudflare Gateway kullanılabilir. Windows'ta DNS ayarları: Network and Sharing Center > Adapter Settings > sağ tık Properties > Internet Protocol Version 4 > Use the following DNS: 1.1.1.2 (Cloudflare Malware Blocking).
Endpoint Koruması
PowerShell execution policy kısıtlanmalı. Admin olarak PowerShell aç ve çalıştır:
Set-ExecutionPolicy Restricted -Scope LocalMachine
Set-ExecutionPolicy Restricted -Scope CurrentUser
Windows'ta macro güvenliği: File > Options > Trust Center > Trust Center Settings > Macro Settings > "Disable all macros except digitally signed macros" seç. Group Policy ile domain genelinde uygula: User Configuration > Administrative Templates > Microsoft Excel > Security > Trust Center.
USB koruma için Windows'ta: gpedit.msc aç > Computer Configuration > Administrative Templates > System > Removable Storage Access > "All Removable Storage classes: Deny all access" Enable et. Exceptions gerekirse belirli USB device ID'leri whitelist'e ekle.
Network Segmentasyonu
VLAN segmentasyonu ile kritik sistemler izole edilmeli. Örnek Cisco switch konfigürasyonu:
vlan 10
name MANAGEMENT
vlan 20
name USERS
vlan 99
name ISOLATED
interface GigabitEthernet0/1
switchport mode access
switchport access vlan 99
switchport port-security
switchport port-security maximum 1
Firewall kuralları en az yetki prensibiyle yapılandırılmalı. Outbound trafiği de kontrol et. Linux iptables örneği:
iptables -P OUTPUT DROP
iptables -A OUTPUT -p tcp --dport 80 -j ACCEPT
iptables -A OUTPUT -p tcp --dport 443 -j ACCEPT
iptables -A OUTPUT -p udp --dport 53 -j ACCEPT
iptables -A OUTPUT -m state --state ESTABLISHED,RELATED -j ACCEPT
Kullanıcı Eğitimi ve Farkındalık
Simüle phishing testleri düzenli olarak yapılmalı. GoPhish, King Phisher gibi açık kaynak araçlar kullanılabilir. Test sonuçları bireysel olarak değerlendirilmeli, tıklayan kullanıcılara ek eğitim verilmeli.
E-posta doğrulama prosedürü oluştur: Mali işlem talepleri için telefon doğrulama zorunlu olsun. Ancak e-postada yazılan numara değil, şirket rehberindeki numara aranmalı. Callback verification: "Seni şimdi arayacağım, numaranı söyle" yerine "Ben seni şirket hattından arayacağım" protokolü uygula.
Fiziksel Güvenlik Önlemleri
Kart erişim sistemlerinde anti-passback özelliği aktif olmalı. Aynı kart çıkış yapmadan tekrar giriş yapamamalı. Turnike sistemleri mantrap konfigürasyonunda kullanılmalı: İlk kapı kapanmadan ikinci kapı açılmamalı.
Ziyaretçi yönetimi: Tüm ziyaretçiler resepsiyonda kaydedilmeli, fotoğraflı geçici rozet verilmeli, escort zorunluluğu olmalı. Ziyaretçi ağı (guest WiFi) ana network'ten tamamen izole edilmeli, sadece internet erişimi olmalı.
Clean desk policy: Çalışanlar masalarında hassas bilgi bırakmamalı. Ekranlar kilitlenmeden ayrılmamalı. Windows'ta otomatik kilit: Settings > Accounts > Sign-in options > "Require sign-in" When PC wakes up from sleep. Group Policy ile: Computer Configuration > Windows Settings > Security Settings > Local Policies > Security Options > "Interactive logon: Machine inactivity limit" 300 saniye.
Olay Müdahalesi ve Raporlama
Şüpheli Durumların Tespiti
Phishing şüphesi olan e-postaları IT departmanına iletmek için Outlook'ta kural oluştur: Sağ tık > Rules > Create Rule. Veya daha iyi: PhishAlert button gibi add-in yükle, tek tık ile IT'ye bildir.
E-posta header analizi: View > Options (veya Ctrl+Alt+H) ile tam header'ı görüntüle. Kontrol edilecek alanlar: Received: satırları (gerçek kaynak IP), Return-Path (gönderen sunucu), Authentication-Results (SPF, DKIM, DMARC durumu), X-Originating-IP (asıl gönderen IP).
URL güvenlik kontrolü: Link'e tıklamadan fareyi üzerine getir, sol altta gerçek URL'i gör. Kısa URL'leri (bit.ly, tinyurl) açmadan kontrol et: URL sonuna + ekle (bit.ly/xyz+) veya checkshorturl.com kullan. VirusTotal'e şüpheli URL'i gönder: virustotal.com/gui/home/url.
Müdahale Adımları
Şifre ifşa olmuşsa: Tüm hesaplarda derhal değiştir. Sadece ifşa olanı değil, aynı veya benzer şifre kullanılan tüm hesaplar. Haveibeenpwned.com'da e-posta adresi kontrol et, hangi sızıntılarda yer aldığını gör.
Bilgisayar virüslenmişse: Hemen network bağlantısını kes (WiFi kapat, ethernet kablosunu çıkar). IT'yi bilgilendir, profesyonel analiz yaptır. Kendi başına antivirüs taraması yapmak yeterli değil, rootkit veya bootkit olabilir. USB live sistemden (Kali Linux, Tails) boot et ve disk analizi yap.
Mali işlem yapılmışsa: Anında bankayı ara, işlemi bloke ettir. Bilgisayardan yapmadan önce telefonda doğrula. Yerel kolluk kuvvetlerine ve siber suçlar birimine bildir. Log kayıtlarını, e-posta header'larını, ekran görüntülerini kaydet.
Gelişmiş Tespit ve İzleme
SIEM ve Log Analizi
Security Information and Event Management sistemi kur. Açık kaynak alternatif: Wazuh, OSSEC. Windows Event Log'larından şüpheli aktiviteleri izle: Event ID 4625 (failed logon), 4720 (user account created), 4732 (user added to security group).
PowerShell komut logları aktifleştir: gpedit.msc > Computer Configuration > Administrative Templates > Windows Components > Windows PowerShell > "Turn on PowerShell Script Block Logging" Enable. Event Viewer'da: Applications and Services Logs > Microsoft > Windows > PowerShell > Operational.
E-posta akışı monitör et. Exchange Server'da: Get-MessageTrackingLog -Start "01/15/2024 00:00:00" -End "01/15/2024 23:59:59" | Where-Object {$_.EventID -eq "RECEIVE"} | Group-Object Sender | Sort-Object Count -Descending. Anormal yüksek hacimli gönderenleri tespit et.
Threat Intelligence Entegrasyonu
IOC (Indicators of Compromise) feed'leri entegre et. AbuseIPDB, AlienVault OTX, MISP kullan. Otomatik blacklist güncellemesi için API entegrasyonu yap. Örnek Python scripti:
import requests
api_key = "YOUR_API_KEY"
response = requests.get("https://api.abuseipdb.com/api/v2/blacklist",
headers={"Key": api_key, "Accept": "application/json"})
malicious_ips = response.json()['data']
# Firewall'a ekle
Phishing domain veritabanları kontrol et: OpenPhish, PhishTank. DNS sinkhole kur: Pi-hole veya pfBlockerNG kullan. Bilinen kötü niyetli domainleri otomatik blokla. Güncellemeler için cron job:
0 /6 /usr/local/bin/pihole -g
Dikkat Edilmesi Gereken Kritik Noktalar
Çok faktörlü kimlik doğrulama (MFA) mutlaka kullanılmalı ancak SMS tabanlı OTP yeterli değildir. SIM swapping saldırılarına karşı savunmasızdır. TOTP (Time-based One-Time Password) uygulamaları tercih edilmeli: Google Authenticator, Microsoft Authenticator, Authy. Daha güvenli: FIDO2/WebAuthn uyumlu hardware token: YubiKey, Titan Security Key.
Şifre yöneticisi kullanımı zorunlu hale getirilmeli. LastPass, 1Password, Bitwarden gibi. Şifre tekrarı tespit eden araçlar çalıştır. Active Directory'de weak password audit yap: DSInternals PowerShell modülü kullan, Get-ADReplAccount ile hash'leri al, Test-PasswordQuality ile analiz et.
Backup stratejisi 3-2-1 kuralına uymalı: 3 kopya, 2 farklı ortam, 1 offsite. Ransomware senaryosunda backup'lar da şifrelenebilir. Air-gapped backup: Network bağlantısı olmayan harici disk veya tape. Immutable backup: Yazıldıktan sonra değiştirilemeyen, WORM (Write Once Read Many) teknolojisi.
Privileged Access Management (PAM): Admin şifreleri merkezi vault'ta saklanmalı, her kullanımda otomatik rotate edilmeli. CyberArk, BeyondTrust gibi enterprise çözümler veya açık kaynak: Hashicorp Vault. Session recording: Admin işlemleri kaydedilmeli, audit trail oluşturulmalı.
Vendor ve third-party risk değerlendirmesi: Tedarikçilerin güvenlik standartları kontrol edilmeli. NDA imzalatılmalı, veri işleme sözleşmesi (DPA) yapılmalı. Tedarikçi erişimleri sınırlı, geçici ve monitörlü olmalı. VPN değil, Zero Trust Network Access (ZTNA) tercih edilmeli.
Özet ve Öneriler
Sosyal mühendislik saldırıları teknik güvenlik önlemlerinin etrafından dolanarak doğrudan insan zayıflıklarını hedefler. En güncel firewall, en pahalı antivirüs bile tek bir kandırılmış çalışan nedeniyle devre dışı kalabilir. Koruma çok katmanlı olmalı: teknik kontroller, prosedürler, sürekli eğitim ve kültür değişimi birlikte uygulanmalıdır.
Güvenlik bir ürün değil süreçtir. Simüle saldırılar, penetrasyon testleri, red team çalışmaları düzenli yapılmalı. Fail fast prensibi: Küçük güvenlik açıkları hızlıca tespit edilip kapatılmalı, büyük ihlallere dönüşmeden önce. Incident response planı dokümante edilmeli, yılda en az iki kez tatbikat yapılmalı.
Son olarak: "Güvenlik herkesin işi" kültürü oluşturulmalı. IT departmanının sorumluluğu olarak görülmemeli. Her çalışan şüpheli durumları rahatça raporlayabilmeli, hata yapanlar cezalandırılmak yerine eğitim destekli yaklaşım uygulanmalıdır. Blame-free kültür oluşturmak, gizleme yerine paylaşmayı teşvik eder.
Sıkça Sorulan Sorular
E-postanın gerçek olup olmadığını nasıl anlarım?
Gönderen adresi dikkatli incele, domain kısmına bak (@sonrası). Fareyi linklerin üzerine getir, gerçek URL'i kontrol et. Aciliyet yaratıyorsa, resmi kanaldan (şirket web sitesindeki telefon) doğrula. Attachment'ları hemen açma, önce IT'ye gönder. Header analizi yap: SPF, DKIM, DMARC fail ediyorsa sahte demektir.
Telefonda banka güvenlik görevlisi olduğunu söyleyen birine ne yapmalıyım?
Hiçbir bilgi paylaşma. "Size geri arayacağım" de ve telefonu kapat. Bankanın resmi numarasını kredi kartının arkasından veya resmi web sitesinden bul ve ara. Caller ID güvenilir değil, manipüle edilebilir. Gerçek banka asla telefonda şifre, CVV, OTP kodu sormaz.
USB bellekte virüs olup olmadığını nasıl kontrol ederim?
Bulduğun USB'yi asla kendi bilgisayarına takma. Şirket IT departmanına teslim et. Mutlaka kontrol etmen gerekiyorsa: İzole edilmiş, air-gapped bir sistemde test et veya Linux live USB'den boot et. Windows'ta autorun.inf devre dışı olmalı: gpedit.msc > Computer Configuration > Administrative Templates > Windows Components > AutoPlay Policies > "Turn off Autoplay" All drives.
Aynı şifreyi farklı sitelerde kullanıyorum, ne yapmalıyım?
Derhal değiştir. Her hesap için benzersiz, güçlü şifre kullan. Şifre yöneticisi yükle: Bitwarden ücretsiz ve güvenli. Master password çok güçlü olmalı: 20+ karakter, diceware yöntemi kullan. 2FA'yı her yerde aktifleştir. haveibeenpwned.com'da e-postanı kontrol et, sızan hesapları öncelikli değiştir.
Zararlı yazılım bulaşmış olduğumu nasıl anlarım?
Anormal sistem yavaşlığı, beklenmeyen pop-up'lar, tanımadığın programlar, yüksek CPU/network kullanımı şüpheli işaretlerdir. Task Manager'da (Ctrl+Shift+Esc) garip process'ler, startup'a eklenen bilinmeyen programlar kontrol et. Process Explorer (Sysinternals) ile detaylı analiz yap. Network trafiğini Wireshark ile monitör et. Şüphe varsa: Network bağlantısını kes, IT'yi ara, profesyonel analiz yaptır.
0 Yorum
Yorum Yaz