Sosyal mühendislik, teknik açıklar yerine insan psikolojisini hedef alan bir manipulasyon yöntemidir. Dolandırıcılar güven, korku, aciliyet ve merak gibi temel duyguları kullanarak hedef kişiyi bilgi paylaşmaya veya belirli işlemler yapmaya yönlendirir.
Oltalama (Phishing) Saldırıları
En yaygın sosyal mühendislik yöntemi olan oltalama, genellikle banka, devlet kurumu veya bilinen bir şirket adına gönderilen sahte e-postalar aracılığıyla gerçekleştirilir. Bu e-postalarda yer alan bağlantılar, gerçek sitelerin bire bir kopyası olan sahte sayfalara yönlendirir.
Kullanıcı burada giriş bilgilerini, kimlik numarasını veya banka kartl bilgilerini girdiğinde, bu veriler doğrudan dolandırıcılara ulaşır. Modern oltalama saldırılarında SSL sertifikası, gerçekçi alan adları ve profesyonel tasarım kullanılması, ayırt etmeyi zorlaştırmaktadır.
Telefon Dolandırıcılığı (Vishing)
Telefon üzerinden gerçekleştirilen sosyal mühendislik saldırılarında arayan kişi genellikle kendini banka çalışanı, emniyet mensubu veya teknik destek elemanı olarak tanıtır. “Hesabınıza şüpheli giriş tespit edildi” gibi aciliyet yaratan senaryolarla kişi panik haline sürüklenir.
Bu durumda hedef kişiden şifre, doğrulama kodu veya uzaktan erişim yazılımı yüklemesi istenir. Arayan numara bile gerçek kurumun numarası gibi görünebilir; bu teknik “caller ID spoofing” olarak bilinir.
Hiçbir banka veya resmi kurum, telefonda şifre, doğrulama kodu veya kart bilgisi talep etmez. Böyle bir çağrı aldığınızda hemen kapatın ve kurumun resmi numarasını kendiniz arayın.
SMS ve Mesaj Tabanlı Dolandırıcılık (Smishing)
Kısa mesaj üzerinden gönderilen sahte bildirimler, oltalamanın mobil versiyonudur. Kargo teslimat bildirimi, banka uyarısı veya ödül kazandınız mesajları en sık kullanılan senaryolardandır.
Mesajdaki kısa bağlantılar (URL kısaltıcılarla gizlenmiş) sahte giriş sayfalarına veya zararlı yazılım indiren sayfalara yönlendirir. WhatsApp ve diğer mesajlaşma uygulamaları üzerinden yapılan saldırılar da bu kategoriye girer.
Kimlik Hırsızlığı
Toplanan kişisel veriler farklı amaçlarla kullanılabilir: sahte hesap açma, kredi başvurusu yapma, mevcut hesapları devralma veya başka dolandırıcılıklarda sahte kimlik olarak kullanma. Kişi genellikle zararla karşılaşana kadar kimliğinin çalındığından habersizdir.
Hedefli Saldırılar (Spear Phishing)
Toplu oltalamadan farklı olarak hedefli saldırılarda dolandırıcı, belirli bir kişi veya kurum hakkında önceden araştırma yapar. LinkedIn profili, sosyal medya paylaşımları ve kamuya açık bilgiler kullanılarak kişiye özel, son derece inandırıcı mesajlar hazırlanır.
Bu yöntem özellikle şirket yöneticilerini (“whaling”) ve finans departmanlarını hedef aldığında büyük maddi kayıplara neden olabilir.
Korunma Önerileri
- E-posta ve mesajlardaki bağlantılara tıklamadan önce gönderen adresi dikkatlice kontrol edin
- Aciliyet yaratan, tehdit eden veya çok cazip teklifler sunan mesajlara şüpheyle yaklaşın
- Kişisel bilgilerinizi telefonda, e-postayla veya mesajla asla paylaşmayın
- Tüm hesaplarınızda iki faktörlü kimlik doğrulama (2FA) etkinleştirin
- Farklı hesaplarda aynı şifreyi kullanmayın; bir şifre yöneticisi tercih edin
- Şüpheli bir durumla karşılaştığınızda ilgili kurumu doğrudan resmi kanallarından arayın
Mağduriyet Durumunda
Kişisel bilgilerinizin ele geçirildiğini düşünüyorsanız, ilk adım olarak ilgili hesapların şifrelerini değiştirin ve banka bildirim hattını arayın. Ardından tüm kanıtları (ekran görüntüleri, mesajlar, arama kayıtları) saklayarak uzman desteği almak için başvurun.
Erken müdahale, özellikle kimlik hırsızlığı vakalarında, olası zararların önlenmesinde belirleyici rol oynar.