1. GİRİŞ

Sosyal mühendislik, insanların güvenini, alışkanlıklarını veya prosedürleri kullanarak bilgi, erişim veya eylem elde etme sanatıdır. Teknik zafiyetlerden ziyade insan zafiyetlerini hedefleyen bu yöntemler, modern saldırıların en etkili başlangıç vektörlerinden biridir. Uzak çalışma modelleri, sosyal medya verilerinin yaygın kullanımı, ve otomasyonlu saldırı altyapısı saldırganların daha hassas, maliyet‑etkin ve ölçeklenebilir sosyal mühendislik kampanyaları yürütmesine olanak verdi.

Bu konu neden bugün önemli?

• Siber saldırıların büyük kısmı insan faktöründen başlar: credential theft, phishing, business email compromise (BEC) gibi saldırılar doğrudan sosyal mühendislik tekniklerine dayanır.
• Organizasyonel süreçler ve insan davranışları değişmedikçe teknolojiye yapılan yatırımlar tek başına riski ortadan kaldırmaz.
• Regülasyonlar, veri ihlallerine karşı organizasyonların sosyal mühendislik kaynaklı riskleri de yönetmesini zorunlu kılıyor.

Kimler için önemli?

• Güvenlik yöneticileri ve CISO'lar — politika ve bütçe belirleyenler
• SOC/IR ekipleri — oltalama kampanyalarını tespit ve müdahale edenler
• BT ve İnsan Kaynakları — eğitim ve süreçleri uygulayanlar
• Tüm çalışanlar — sosyal mühendislik doğrudan kullanıcı davranışına bağlıdır

Hangi problemleri çözüyor?

• İnsan kaynaklı güvenlik açığı yönetimi
• Phishing/BEC ve benzeri kampanyaların erken tespiti ve sınırlanması
• Kurum içinde güven kültürü oluşturarak uzun vadeli risk azaltımı

2. KAVRAMSAL TEMELLER

2.1 Sosyal mühendisliğin tanımı

Sosyal mühendislik; doğrudan bir sistem zafiyeti yerine, insan zafiyetlerini manipüle ederek hedefe ulaşmayı amaçlayan teknikler bütünüdür. Psikoloji, dil, güven ilişkilendirme ve kurumsal süreçlerin suistimali bu disiplinin çekirdeğini oluşturur.

2.2 Ortak terminoloji

• Pretexting: Özel bir rol veya senaryo (ör. teknik destek, denetçi) icat ederek bilgi elde etme.
• Phishing: E‑posta veya mesaj aracılığıyla kullanıcıları kandırma.
• Spear‑phishing: Hedefe özel, özelleştirilmiş phishing.
• Vishing / Smishing: Sesli (telephone) veya SMS tabanlı oltalama.
• BEC (Business Email Compromise): Muhasebe/fatura ya da yöneticiyi taklit ederek finansal dolandırıcılık.
• Quid pro quo: Karşılık vaadiyle bilgi toplama (ör. ücretsiz lisans / teknik yardım).

2.3 Sosyal mühendislik bileşenleri

• Hedef keşfi (OSINT): sosyal medya, LinkedIn, kamu veri tabanları
• Mesaj tasarımı: ikna edici metin, urgency, authority öğeleri
• Delivery kanalları: e‑posta, telefon, sosyal medya, fiziksel erişim
• Post‑compromise yanal hareketler: credential reuse, lateral movement

3. NASIL ÇALIŞIR?

3.1 Sistem mimarisi ve süreçlerin suistimali

Sosyal mühendislik saldırıları genellikle organizasyonun insan‑proses‑teknoloji üçgenindeki zayıf noktaları hedefler. Örneğin, yetersiz kimlik doğrulama prosedürleri, otomatikleştirilmiş finansal onay süreçleri, yetersiz veri sınıflandırma ve e‑posta doğrulama eksiklikleri saldırgan tarafından suistimal edilir. Başarılı bir saldırı için veri akışı ve işlem kaleidoskopu şu şekilde çalışır: reconnaissance → weaponization (mesaj/altyapı oluşturma) → delivery → exploitation (bilgi/erişim alma) → post‑compromise (yatay yayılma, exfiltration).

3.2 Bileşenler

• OSINT araçları: Harvester, Shodan, domain/kaynak araştırması
• Phishing kit / landing page: Meşru görünüm kopyaları, credential harvest formları
• Temporay infrastructure: fast‑flux domain, bulletproof hosting, URL shorteners
• Automation: kampanya yönetimi, gönderim zamanlaması ve response tracking

3.3 Veri akışı — örnek senaryo

1. Hedef çalışanların LinkedIn profilleri toplanır ve rol/ilgi alanlarına göre listelenir.
2. Kampanya için uygun bir sahte e‑posta şablonu oluşturulur; mail merge ile hedefler personalize edilir.
3. E‑posta gönderimi başlar; click‑through ve open oranları takip edilir.
4. Kullanıcı credential girerse, saldırgan bu bilgiyi test eder ve access elde eder; ayrıca MFA bypass denemeleri yapılırsa alternate teknikler devreye girer.
5. Access elde edildikten sonra lateral movement ve finansal talimatlar için BEC senaryoları devreye alınır.

4. GERÇEK DÜNYA KULLANIMLARI

4.1 Sektör örnekleri

• Finans: CFO'ları hedef alan fatura talebi dolandırıcılıkları
• Sağlık: hasta kayıtlarına erişim veya hasta kimlik hırsızlığı
• Teknoloji: geliştirici hesaplarına erişip tedarik zincirine zararlı kod enjekte etme
• Kamu: kimlik avı ile veri sızıntısı veya politika manipülasyonu

4.2 Ünlü vakalar ve dersler

Birçok yüksek profilli ihlal sosyal mühendislikle başlamıştır: yöneticinin taklit edildiği e‑posta ile milyarlarca dolarlık transfer talepleri, ya da tedarikçi hesabının ele geçirilip yazılım güncellemesine kötü amaçlı kod enjekte edilmesi. Bu vakalar, süreç kontrollerinin ve üçüncü parti risk yönetiminin önemini vurgular.

5. AVANTAJLAR VE SINIRLAMALAR

5.1 Savunmacı bakışı — avantajlar

• İyi yapılandırılmış insan eğitim programı ve teknik kontroller kısa vadede saldırı yüzeyini önemli ölçüde azaltır.
• OSINT'i sınırlama, sosyal medya politikaları ve bilgi sınıflandırma organizasyonun bilgi sızmasına karşı direncini güçlendirir.
• Incident response ve hızlı revoke süreçleri etkin olduğunda zarar çabuk sınırlanır.

5.2 Sınırlamalar

• İnsan faktörünü tamamen ortadan kaldırmak imkânsızdır; sürekli eğitim ve test gerektirir.
• Yüksek kalite spear‑phishing kampanyaları geleneksel filtreleri atlatabilir.
• Çalışanların özgür iletişim ihtiyaçları ile güvenlik önlemleri arasında denge kurmak zor olabilir.

6. ALTERNATİFLER VE KARŞILAŞTIRMA

7. EN İYİ PRATİKLER

7.1 Eğitim ve farkındalık

• Düzenli, ölçülebilir phishing simulation programları uygulayın; click rate ve report rate KPI'ları belirleyin.
• Eğitimleri role‑based ve bağlamsal yapın: finans, HR, IT gibi kritik roller için özel senaryolar hazırlayın.
• Pozitif geribildirim kültürü oluşturun: şüpheli link bildiren çalışana ödüllendirici dönüş sağlayın; cezalandırıcı yaklaşımdan kaçının.

7.2 Teknik ve süreç kontrolleri

• SPF/DKIM/DMARC, secure email gateway, click‑time protection ve attachment detonation kullanın.
• MFA ve conditional access uygulayın; özellikle finansal işlemler ve yönetici rolleri için strenghten policy.
• Least privilege ve Just‑In‑Time (JIT) erişim modelleri ile yetki ömrünü kısaltın.
• Third‑party access governance: vendor account review, signed artifacts, ve CI/CD pipeline kontrolleri uygulayın.

7.3 Organizasyonel ve operasyonel

• Phishing incident playbook'ları oluşturun: hızlı credential reset, session revoke, forensic capture adımları kesin olsun.
• Integrate reporting with SIEM/SOAR: kullanıcı raporları otomatik ticket/analysis akışına bağlansın.
• Run tabletop exercises: gerçekçi senaryolarla hem teknik hem iletişim süreçlerini test edin.

8. SIK YAPILAN HATALAR

• Tek seferlik eğitim yapmak ve sonrasında takip etmemek — etkinlik düşük olur.
• Phishing simülasyonlarını gerçek saldırılar gibi yürütüp kullanıcıları cezalandırmak; bu yaklaşım güveni zedeler.
• OAuth consent ekranlarını ve üçüncü taraf uygulama izinlerini izlememek.
• Report‑phish kanallarını veya kolay raporlama araçlarını sağlamamak.

9. GELECEK TRENDLER

9.1 AI destekli sosyal mühendislik

Dil modelleri ve deepfake teknolojileri saldırganlara daha inandırıcı metin, ses ve video üretme yeteneği veriyor. Bu, spear‑phishing ve vishing kampanyalarının kalitesini yükseltecek ve insan doğrulama sinyallerini zayıflatacaktır.

9.2 Otomasyonlu savunma

SOAR, click‑time URL analizi, behavioral analytics ve UEBA kombinasyonu sosyal mühendislik kaynaklı saldırıları daha hızlı tespit edip otomatik containment adımları uygulayacaktır. Ayrıca brand monitoring ve taklit domain detection otomatikleştikçe müdahale süreleri kısalacaktır.

9.3 Privacy ve etik konuları

Hem savunma hem de test süreçlerinde kişisel veri kullanımı ve etik sınırlar önemli hale gelecek. Phishing simulation verilerinin anonimleştirilmesi ve çalışan gizliliğinin korunması gerekecek.

EK BÖLÜMLER

Sık Sorulan Sorular (FAQ)

1. 1. Sosyal mühendisliği tamamen engellemek mümkün mü?

   Hayır. İnsan faktörünü tamamen ortadan kaldırmak mümkün değil; ancak eğitim, süreç sertleştirme ve teknik kontrollerle riski önemli ölçüde azaltabilirsiniz.

2. 2. Phishing simulation'ları ne sıklıkta yapmalıyım?

   Kurum büyüklüğüne bağlı olarak çeyreklik veya aylık küçük kampanyalar ile sürekli test etmek ve yıllık kapsamlı tatbikatlar yapmak etkilidir.

3. 3. Çalışanlar simülasyona tıkladığında ne yapmalıyım?

   Hemen eğitim ve anında geribildirim sağlayacak kısa bir e‑öğrenme sunun; gerektiğinde yöneticilerle bireysel coaching planı uygulayın.

4. 4. Vishing saldırılarını nasıl tespit ederiz?

   Call center süreçleri, callerID doğrulama, ve çalışanlar için doğrulama şifreleri/phrases kullanımı ile vishing riskini azaltabilirsiniz. Ayrıca suspicious call reporting kanalı oluşturun.

5. 5. OSINT neden tehlikeli?

   Çalışanların sosyal medya profillerinde paylaştığı bilgiler saldırganların hedefli mesajlarını kişiselleştirmesine yardımcı olur; bu yüzden bilgi paylaşım politikaları gereklidir.

6. 6. OAuth consent phishing'e karşı hangi adımlar alınmalı?

   Third‑party application audit'leri, least privilege izin politikaları ve yönetici onayı gerektiren uygulamalarla risk azaltılabilir.

7. 7. Küçük ekipler için ilk üç önlem nedir?

   MFA uygulamak, report‑phish butonu eklemek ve temel phishing simülasyonu başlatmak en hızlı etkili adımlardır.

8. 8. Sosyal mühendislik vakasını nasıl raporlarım?

   SIEM'e indicator ekleyin, user report flow ile otomatik ticket oluşturun ve IR playbook'u tetikleyin. Ayrıca threat intel paylaşımı için IoC'leri ilgili kurumlarla paylaşın.

Anahtar Kavramlar

• OSINT: Açık kaynak istihbaratı — hedef hakkında toplanan halka açık bilgiler.
• Pretexting: Sahte kimlik veya senaryo yaratma tekniği.
• BEC: Business Email Compromise — iş süreçlerini taklit eden oltalama.
• Quid pro quo: Karşılıklılık vaadi ile bilgi toplama yöntemi.
• Report‑phish: Çalışanın şüpheli iletileri kolayca bildirebildiği araç veya buton.

Öğrenme Yol Haritası

1. 0–1 ay: Sosyal mühendisliğin temel prensipleri, insan psikolojisi ve temel OSINT tekniklerini öğrenin.
2. 1–3 ay: Phishing simulation araçları, e‑posta başlık analizi, DMARC temel konfigürasyonu ve reporting süreçleri üzerinde pratik yapın.
3. 3–6 ay: Advanced spear‑phishing detection, vishing senaryoları, and incident response playbook uygulayın.
4. 6–12 ay: AI destekli sosyal mühendislik analizleri, brand monitoring ve otomatik mitigation ile programınızı olgunlaştırın.