İçereği Atla

Sosyal Mühendislik Saldırıları Çalışanlarınız CEO Sahtekarlığına Düşebilir mi?

Günümüzde siber saldırıların çoğu artık sadece teknik zafiyetleri hedef almıyor. En büyük açık, insan faktörü. Sosyal mühendislik saldırıları, çalışanları kandırarak kritik bilgileri ele geçirmeye odaklanır. Bunlardan en yaygın ve tehlikelisi ise CEO sahtekarlığı (CEO Fraud)’tur.
1 Aralık 2025 yazan
Sosyal Mühendislik Saldırıları Çalışanlarınız CEO Sahtekarlığına Düşebilir mi?
Amina KAPTAN
 

Sosyal Mühendislik Saldırıları Nedir?

Sosyal mühendislik saldırıları; insan psikolojisini manipüle ederek, kişileri gizli bilgi vermeye, zararlı bir işlemi gerçekleştirmeye veya bir sisteme erişim sağlamaya ikna etmeye yönelik dolandırıcılık türleridir. Bu saldırılarda amaç, teknolojik savunmaları aşmak yerine insan güvenliğindeki zayıflıkların hedef alınmasıdır.

Saldırganlar genelde:

    1. Zorlama ve aldatıcı ilişkiler kurma
    2. Güven kazanmaya dayalı yöntemler
    3. Etik değerlerin ve duyguların manipülasyonu
    4. Yardım teklifleri veya tehditler
      gibi tekniklerle kurbanı yönlendirmeye çalışır.

Bu nedenle sosyal mühendislik, siber güvenliğin teknik değil insan faktörü boyutuna odaklanır ve doğru eğitim almayan kişiler için ciddi risk oluşturur.

Sosyal Mühendislik Türleri

Sosyal mühendislik yalnızca sohbet veya ikna ile sınırlı değildir; farklı yöntemlerle karşımıza çıkabilir:

  1. Phishing (Oltalama)
    E-posta veya mesaj yoluyla banka hesabı, şirket hesabı gibi mecralara benzetilmiş sahte linkler gönderilir. Kurban bağlantıya tıklayıp bilgilerini girerse, saldırgan tarafından çalınır.

  2. Spear Phishing (Hedefli Oltalama)
    Genel kitleye değil, belirli bir kişi veya gruba yönelik kişiselleştirilmiş saldırıdır. Gerçek isimler, pozisyonlar veya şirket içi bilgiler kullanılır. Genellikle profesyonel çalışanları hedefler. 

  3. Vishing (Telefon ile Dolandırma)
    Genel kitleye değil, belirli bir kişi veya gruba yönelik kişiselleştirilmiş saldırıdır. Gerçek isimler, pozisyonlar veya şirket içi bilgiler kullanılır. Genellikle profesyonel çalışanları hedefler. 

  4. Smishing (SMS Dolandırıcılığı)
    SMS üzerinden gelen link veya kodlarla banka hesapları, doğrulama bilgileri veya kart numaraları elde edilir. 

  5. Pretexting (Önce Senaryo Kurma)
    Saldırgan, kendisini IT uzmanı, kargo görevlisi, müşteri gibi gösterir ve ikna edici bir hikâye ile bilgi ister. “Sistemde hata var”, “Kartınızı doğrulayalım” gibi söylemlerle güven kazanılmaya çalışılır. 

  6. Baiting (Yemleme) 

Ücretsiz indirilebilir programlar, USB bellekler veya promosyon linkleri kurbanı cezbetmek için “yem” olarak kullanılır. Kurban için cazip görünen şey zararlı yazılım içerir.


CEO Sahtekarlığı Nedir?

CEO sahtekarlığı, saldırganın bir şirketin CEO’su veya üst düzey yöneticisi gibi davranarak çalışanları kandırmasıdır. Amaç, genellikle acil bir talep ile finansal veya gizli bilgileri elde etmektir. Örnekler:

    1. “Acil bir işlem yapın, hesap numarası ekli” gibi e-posta talepleri
    2. Kredi kartı veya banka transferi yönlendirmeleri
    3. Gizli proje veya müşteri bilgilerinin paylaşılması

Saldırgan, kurbanın güvenini ve korkusunu kullanır. Çalışan genellikle “üst yönetici talimatı” olduğu için sorgulamadan hareket eder.

Saldırganlar Neyi Hedefliyor?

Bireysel Hedefler

Bireysel saldırılarda amaç genellikle doğrudan maddi kazançtır:

    1. Kredi kartı bilgileri
    2. Banka hesap detayları
    3. E-devlet ve kimlik bilgileri
    4. Sosyal medya şifreleri
    5. Kripto cüzdanları

Bu tür saldırılar kişilerin günlük dijital alışkanlıklarını, duygularını ve meraklarını kullanarak yapılır.

Kurumsal Hedefler

Kurumsal saldırılar çok daha stratejiktir:

    1. Şirketin gizli verileri
    2. Proje detayları
    3. Çalışan bilgileri
    4. Müşteri verileri
    5. İtibarı zedeleyecek iç yazışmalar

Saldırganlar genelde hedef şirketle bağlantılı bir personelle iletişime geçer. Sahte sosyal medya profilleri, LinkedIn bağlantıları veya iç iletişim mesajları üzerinden kurbanla dostluk geliştirir, güven kazanır ve adım adım bilgi toplamaya başlar. Özellikle IT, muhasebe veya insan kaynakları gibi kritik rollerdeki çalışanlar öncelikli hedeflerdir.

Sosyal Mühendisleri Ayırt Eden Özellikler

Saldırganlar genelde şu davranış kalıplarına sahiptir:

    1. Yardımsever görünürler: “Size yardımcı olmak istiyorum”, “Bu işlemi sizin için kolaylaştırayım” gibi cümleler kurarlar.
    2. Telefon ve interneti etkin kullanırlar: Teknoloji okuryazarlıkları yüksektir.
    3. Dış görünüm ve hitabeti güçlüdür: İyi giyimli, iyi konuşan, profesyonel profil çizen bir kullanıcı rolündedirler.
    4. Güven kazanmayı hedeflerler: Karşınızdaki kişinin “iyi niyetine” oynarlar.
    5. Psikolojiyi manipüle ederler: Korku, suçluluk, merhamet, açgözlülük ve şehvet gibi insan duygularını tetiklerler.
    6. İkna kabiliyeti yüksektir: Gerektiğinde sabırlı, gerektiğinde baskıcıdırlar.
    7. Nazik ve sempatik görünebilirler: Yumuşak iletişim kurarlar ve dostça yaklaşırlar.
    8. Kilit soruları araya sıkıştırırlar: Basit konuşmaların içine asıl hedefledikleri bilgiyi gizlerler.
    9. Acındırma ve suçluluk hissettirme taktiği: “Yardım etmezsen işimi kaybederim”, “Beni zor durumda bırakma” gibi duygusal baskılar uygularlar.

Sosyal Mühendislikten Nasıl Korunur?

    1. Kimlik doğrulaması yapmadan bilgi paylaşmayın.
    2. Kurumsal e-postalar ve linkleri mutlaka doğrulayın.
    3. USB, drive veya bilinmeyen depolama cihazlarını asla takmayın.
    4. Sorumlu olduklarınız dışında bilgiler paylaşmayın.
    5. Sık sık şifre değiştirin ve iki faktörlü doğrulama kullanın.
    6. Kurum içinde sosyal mühendislik eğitimleri alın.

Unutmayın:

Sosyal mühendislikte saldırganın en güçlü silahı teknik değil, insandır.

Sizi kandırmaya çalışan biri, muhtemelen zaten ihtiyaç duyduğu bilgiyi başka hiçbir yoldan elde edemiyordur.

Sosyal Mühendislik Saldırıları Çalışanlarınız CEO Sahtekarlığına Düşebilir mi?
Amina KAPTAN 1 Aralık 2025
Bu gönderiyi paylaş
Etiketler
Arşivle
Giriş to leave a comment