Kurumların yeni tehdidi: Sosyal mühendislik saldırıları

Dikkatsizlik veya ihmal gibi insan doğasına ait zafiyetleri istismar etme yöntemlerini kullanan sosyal mühendislik saldırılarında siber suçlular genellikle kurumların çalışanlarını hedef alıyorlar. Sistemlere giriş bilgilerini elde etmek veya zararlı yazılımı indirterek arka kapı oluşturmak için kuruma ya da çalışana özel hazırlanan tuzak e-postalar, mesajlar ve telefon görüşmeleriyle gerçekleştirilen bu tür saldırılar son yıllarda büyük artış göstermektedir. Sosyal mühendislik saldırı teknikleri siber saldırıların 98’inde kullanılıyor, bilgi güvenliği konusunda farkındalık yoksunluğunu yapılacak teknolojik yatırımlarla karşılamak mümkün değil. Geldiğimiz noktada farkındalık eğitimleri etkili savunma yöntemlerinin arasında kendine önemli bir yer buluyor. Bu tür saldırılara karşı teknoloji tabanlı tehdit algılama, güvenlik duvarı veya atak izleme çözümleri tek başına yeterli olmuyor. 

 

Sosyal mühendislik gibi bir saldırının henüz gerçekleşmeden tespit edilip önlenmesinde kullanıcı farkındalığı en etkili savunma şekli olarak karşımıza çıkıyor. Tehdit istihbaratı çalışmaları sosyal mühendislik saldırılarını önlemede büyük fayda sağlasa da özellikle kişi ya da birime özel saldırılardan etkinlenmemek ya da riskleri asgariye indirmek için konu yine çalışanların bu konudaki farkındalığına geliyor. Şüpheli bir epostada sosyal mühendislik saldırısının izlerini fark edip bunun tuzak bir eposta olduğunu algılayabilmek çok önemli. Şüpheli linkleri tıklamadan ya da herhangi bir dosya indirmeden önce mesajın kaynağını teyit edecek ve parola/OTP gibi giriş bilgilerinin kimseyle paylaşılmaması gerektiğinin bilincinde olacak düzeyde bir farkındalık edinilmesi, bu tür saldırıların henüz gerçekleşmeden önlenmesini kolaylaştırıyor. Bu farkındalığın edinilmesi için kurum içi eğitimlerinin tüm çalışanları kapsaması ve aynı zamanda sosyal mühendislik saldırılarının hem teknik hem fiziksel tüm türlerine karşı bilinç kazandıracak şekilde tasarlanması gerekiyor. Uygulanacak tedbirler, farkındalık eğitimi ve uyulması gereken kuralların kurumsal güvenlik politikasında yer alması da önem arz ediyor.

 

UBER SALDIRISI SOSYAL MÜHENDİSLİK ÖRNEĞİ

Sosyal mühendislik saldırıları kullanıcıları hedef almaya devam ediyor. En son örneği, 15 Eylül 2022 Perşembe günü Uber sistemlerini hedef alan sosyal mühendislik tabanlı saldırı çalışanların güvenlik farkındalığı kazanmasının önemini bir kez daha ortaya koyuyor. Uber’de yaşanan bu güvenlik ihlalinin, 18 yaşında bir saldırgan sosyal mühendislik yöntemiyle bir Uber çalışanından aldığı erişim bilgilerini kullanarak kurum iç VPN sistemine erişmesi şeklinde gerçekleştiği iddia ediliyor. İç ağda tespit edilen ve yönetici login bilgilerini içeren PowerShell betikleriyle Uber’in AWS ve G Suite hesaplarının da ele geçirildiği iddia ediliyor. Hackerın Uber’in kaynak kodlarını sızdırma tehdidinde bulunduğu da iddialar arasında.