hacker'ların, hedef sistemi ele geçirebilmek için sistem açığı, kod vb. şeyleri kullanmak yerine, iletişim becerilerini kullanmasıdır sosyal mühendislik.

buradaki olay, dijital güvenlik duvarlarını değil, direkt insanların zihnini aşmaktır. yani sosyal mühendislik; şifrelerin, güvenlik yazılımlarının değil, hedef kişinin bizzat kendisinin zaaflarını kullanarak sızma işlemine denir.

hacker’lar, sosyal mühendislik becerilerini kullanarak hedef kişinin güvenini kazanmaya, ona bir nevi kardeş gibi yaklaşmaya çalışır. mesela hacker, bir bankada çalışan memuru hedef listesine almış olsun, ona telefon açıp “merhaba, şirketin teknik desteğinden arıyorum. hesabınıza bir müdahale yapmamız gerek, bir onay kodu gönderdik, bana iletebilir misiniz?” gibi taktikler denemesi, sosyal mühendislik kavramının içine giriyor.

hacker'lar, sosyal mühendislik becerilerini kullanırken genellikle belirli başlı yöntemler üzerinden ilerlemeyi tercih ederler. örneğin phishing yani yemleme yöntemi. bu yöntem sosyal mühendisliğin klasiklerindendir. genellikle mail veya mesaj yoluyla yapılıyor. mesela bir sabah kalkıyorsun, bankandan geldiğini sandığın bir mesaj: “hesabınıza olağan dışı bir giriş yapıldı. güvenliğinizi sağlamak için buraya tıklayın!” diyor. hedef, hemen telaşlanır, mesajdaki linke tıklar, hacker hedefe ulaşmıştır.

bir başka örnek: whatsapp’ta bir mesaj geliyor: “merhaba, bu bir anket çalışmasıdır; katıldığınız için size 500 tl hediye çeki tanımlandı!” aman ne güzel, değil mi? hedef kişi o linke tıklayınca, hacker'ın yüzünde vatan gülüşü oluşur. bir de tailgating yöntemi vardır. bu yöntem ise biraz eski usul, ama hâlâ iş yapar. hani bir yere giriş yaparken birinin kapıyı tutması, arkasından geçmesi durumu var ya, işte bu o. hack’lemek için illa bilgisayar ekranında değil, fiziksel dünyada da sızmalar olur. mesela hacker, bir ofise girip normal bir çalışan gibi davranır, güvenlikten geçer, bilgi toplar veya ortaya bir usb bırakır. sonra o usb’yi biri bulup bilgisayarına takınca, bingo! virüs ya da kötü amaçlı yazılım yayılır.

bir de klasik yöntemler vardır, mesela hacker, facebook ya da instagram hesabını herkese açık şekilde kullananların profilini inceleyip iyice bilgi toplar, en yakın arkadaşını çözer ve bu arkadaşının profil fotosu, ad soyad, kullanıcı adına çok benzer (1 harf değişikliği) yaparak sahte bir profil açar ve arkadaşına yine virüslü ya da phishing içeren bir bağlantı gönderir, "canım şuna tıkla mutlaka, kredi kartı bilgilerini yaz bana 1000 tl ödül geldi :))) " gibisinden. kulağa "buna kim inanır ?" gibi geliyor, fakat emin olun inanıyorlar.

hacker’ların gözü sadece bilgisayarlarda değildir, evde ya da ofiste attığınız eski faturalar, notlar, her şey aslında onlar için birer bilgi kaynağı. dikkatsizce çöpe atılan belgeler hacker’ın kucağına düşünce, olay bitmiştir. insanlar sosyal medya hesaplarında doğum gününden evcil hayvanına, en sevdiği yemeğe kadar her detayı paylaşıyor. hacker işini kolaylaştıracaksa sosyal medya hesaplarını didik didik eder, hatta bu paylaşımlardan öğrendiği bilgilerle güven kazanmaya çalışır. sonra, elde ettiği bilgilerle doğrudan kurbana ya da kurbanın çevresine ulaşıp hedefini gerçekleştirir.

yani sosyal mühendislik, bir tür zihin oyunu aslında. güvenlik yazılımını değil, insanın güven duygusunu hedef alıyor. bu yüzden internette karşınıza çıkan her mesaj, her mail, size “bu gerçek mi?” sorusunu sordurmalı. her gelen mesaja kanmayın, tanımadığınız kişilerden gelen aramaları, mesajları ve mailleri sorgulamadan bilgi paylaşmayın.