CTI_Arastirmalarim

Sosyal Mühendislik 102 - Gaslighting ve Bal Tuzağı ile Phising | Siber Güvenlik Eğitimi



Sosyal Mühendislik 102 - Gaslighting ve Bal Tuzağı ile Phising Başlık Görseli

Ali Can Gönüllü | Siber Güvenlik Uzmanı | alicangonullu@yahoo.com
LinkedIn: linkedin.com/in/alicangonullu

Disclaimer | Yasal Uyarı

Bu blog yazısında sağlanan bilgiler yalnızca eğitim ve bilgilendirme amaçlıdır. Bilgisayar korsanlığı, siber saldırılar veya bilgisayar sistemlerine, ağlara veya verilere herhangi bir şekilde yetkisiz erişim de dahil olmak üzere herhangi bir yasa dışı veya etik olmayan faaliyeti teşvik etme veya reklam etme amacı taşımaz.

Disclaimer: The information provided in this blog post is intended for educational and informational purposes only. It is not intended to encourage or promote any illegal or unethical activities, including hacking, cyberattacks, or any form of unauthorized access to computer systems, networks or data.

Giriş

İnternet ve genel anlamıyla siber dünyanın gelişmesiyle insanlık olarak büyük bir gelişim sağlamış ve bu gelişimle beraber hayatımıza pek çok yeni kavram girmiştir. Bu kavramlar genel olarak faydalı olarak görülmüş olsa da her fayda gibi hayatımıza yeni giren bu kavramlar da zamanla kendi antisini oluşturarak kötücül olarak kullanılmaya başlanmıştır.

Phishing yani oltalama kavramı da siber dünyada iletişim kavramının antisi olarak tanımlanabilir. Siber dünyada insanlar birbirleriyle iletişim kurarken kötü niyetli kişiler bu konuşmalarla insanları manipüle etmenin yolunu bularak "Phishing" adlı kavramın ortaya çıkmasına ön ayak olmuştur.

Ancak günümüzde phishing saldırıları sadece basit kandırma teknikleriyle sınırlı kalmamış, psikolojik manipülasyonun en gelişmiş formlarını kullanarak kurbanların zihinsel savunma mekanizmalarını hedef almaya başlamıştır. Gaslighting ve Bal Tuzağı (Honeypot) teknikleri, bu gelişmiş manipülasyon yöntemlerinin en tehlikeli örnekleridir.

Gaslighting tekniği, kurbanın kendi gerçekliğini ve hafızasını sorgulamasına neden olarak, saldırganın istediği bilgileri kolayca elde etmesini sağlar. Bal Tuzağı ise insanların doğal merak, açgözlülük ve fırsatçılık duygularını kullanarak onları çekici "ödüller" ile tuzağa düşürür.

Bu yazımda sizlere bu gelişmiş phishing tekniklerinin nasıl çalıştığını, gerçek dünyadan örneklerle nasıl uygulandığını ve bu tehlikeli saldırılara karşı nasıl korunabileceğinizi detaylıca açıklamaya çalışacağım.

Gaslighting ve Bal Tuzağı Saldırılarının Önemi

Gaslighting ve Bal Tuzağı (Honeypot) teknikleri, modern phishing saldırılarının en tehlikeli ve etkili formlarıdır. Bu teknikler, kurbanların psikolojik savunma mekanizmalarını hedef alarak, geleneksel güvenlik önlemlerini aşmayı başarır.

Gaslighting, kurbanın kendi gerçekliğini ve hafızasını sorgulamasına neden olan sistematik bir manipülasyon yöntemidir. Bu teknik, 1938 yılında yazılan "Gas Light" adlı oyundan gelmekte ve siber güvenlik dünyasında phishing saldırılarında kritik bir rol oynamaktadır. Gaslighting, sosyal mühendislik saldırılarında kurbanların kendi algılarını ve hafızalarını sorgulamasına neden olarak, saldırganların istediği bilgileri kolayca elde etmesini sağlar.

Bal Tuzağı (Honeypot) ise kurbanları çekici "ödüller" veya "fırsatlar" ile tuzağa düşürme yöntemidir. Bu teknik, insanların doğal merak, açgözlülük ve fırsatçılık duygularını kullanarak onları manipüle eder.

Her iki teknik de kurbanların mantıklı düşünme yetisini zayıflatır ve saldırganların istediği bilgileri kolayca elde etmesini sağlar. Bu durum, modern phishing saldırılarının en etkili yöntemlerinden biri haline gelmiştir.

Gaslighting'in Siber Güvenlikteki Rolü: Gaslighting, siber güvenlik bağlamında sosyal mühendislik saldırılarının etkinliğini artıran kritik bir faktördür. Saldırganlar, kurbanların gerçeklik algısını bozarak, onları kendi hafızalarını ve gözlemlerini sorgulamaya iter. Bu durum, kurbanların savunma mekanizmalarını zayıflatır ve saldırganların istediği bilgileri kolayca elde etmesini sağlar.

Gaslighting ve Bal Tuzağı Saldırılarının Çeşitleri

Bu gelişmiş manipülasyon tekniklerinin genel çeşitlerini saymamız gerekirse,

olarak sayabiliriz. Şimdi bu çeşitleri örnekler üzerinden açıklamaya çalışalım.

E-posta ile Gaslighting Saldırıları

E-posta ile gaslighting saldırıları, kurbanların kendi hafızalarını ve algılarını sorgulamasına neden olan en yaygın phishing yöntemlerinden biridir. Bu saldırılarda saldırgan, kurbanın kendi güvenlik duygusunu sorgulamasına neden olarak istediği bilgileri kolayca elde eder.

Örnek Senaryo: Kurban, bankasından geldiğini iddia eden bir e-posta alır. E-posta şu mesajı içerir:

"Sayın Müşterimiz, hesabınızda 15:30'da 50.000 TL tutarında bir işlem gerçekleştirildi. Bu işlemi siz yapmadıysanız, hemen aşağıdaki linke tıklayarak hesabınızı güvence altına alın. Aksi takdirde hesabınız dondurulacaktır."

Gaslighting Tekniği: Kurban bu işlemi yapmadığını biliyor ancak e-posta o kadar ikna edici ki, kendi hafızasını sorgulamaya başlar. "Belki de yaptım ama unuttum?" düşüncesi oluşur. Bu durum, gaslighting'in temel prensiplerinden biri olan "gerçeklik çarpıtması"nın mükemmel bir örneğidir.

Psikolojik Etki: Kurban, kendi hafızasını sorguladığı için kendisini "hatalı" olarak görmeye başlar. Bu durum, gaslighting'in en tehlikeli yanıdır çünkü kurban kendi gerçekliğini sorgular ve saldırganın istediği bilgileri paylaşır.

Sonuç: Kurban, "kendi hatası" olduğunu düşünerek linke tıklar ve kimlik bilgilerini girer.

Bu tür saldırılar özellikle bankacılık, e-ticaret ve sosyal medya hesaplarında yaygın olarak kullanılmaktadır.

Sosyal Medya ile Honeypot Saldırıları

Sosyal medya platformları, honeypot saldırıları için ideal ortamlar sağlar. Bu saldırılarda saldırgan, kurbanların dikkatini çekecek çekici ödüller sunarak onları tuzağa düşürür.

Örnek Senaryo: Kurban, sosyal medyada şu mesajı görür:

"TEBRİKLER! Apple'ın 100.000.000. kullanıcısı sizsiniz! Ücretsiz iPhone 15 Pro Max kazanmak için aşağıdaki linke tıklayın. Sadece 24 saat geçerli!"

Honeypot Tekniği: Kurban ücretsiz iPhone fırsatını kaçırmak istemez. "Belki de gerçektir" düşüncesi oluşur.

Sonuç: Kurban linke tıklar, kişisel bilgilerini girer ve zararlı yazılım indirir.

Bu tür saldırılar Facebook, Instagram, Twitter ve TikTok gibi platformlarda yaygın olarak görülmektedir.

Telefon ile Hibrit Saldırılar

Telefon ile hibrit saldırılar, gaslighting ve honeypot tekniklerinin birlikte kullanıldığı en tehlikeli saldırı türlerinden biridir. Bu saldırılarda saldırgan, kurbanın hem kendi hafızasını sorgulamasına hem de çekici fırsatlar sunarak onları manipüle eder.

Örnek Senaryo: Kurban, telefon ile arayan bir kişiden şu mesajı alır:

"Merhaba, bankanızdan arıyorum. Hesabınızda 1 milyon TL tutarında bir hata tespit ettik. Bu hata sizin hatanız değil, sistem hatası. Ancak bu parayı geri almak için hemen aşağıdaki linke tıklayın. Aksi takdirde para kaybolacak!"

Hibrit Teknik: Bu mesajda hem gaslighting (kurbanın kendi hatasını sorgulaması) hem de honeypot (büyük para fırsatı) teknikleri birlikte kullanılmıştır.

Güç Dengesizliği ve Korku: Saldırgan, kurbanın kendisini otorite olarak görmesini sağlar. Bu durum, kurbanın korku ve stres yaşamasına neden olur. Korku, beynimizin eleştirel düşünme kısmını kapatır ve korku merkezinin devreye girmesine neden olur. Bu durumda kurban mantıklı düşünemez ve korku duygusuyla hareket eder.

Sonuç: Kurban, kendi hatası olduğunu düşünerek ve büyük para fırsatını kaçırmak istemeyerek saldırganın istediği bilgileri paylaşır.

Bu tür saldırılar özellikle yaşlı bireyler, yaslı kişiler ve güvenlik konusunda deneyimsiz kişiler üzerinde çok etkilidir. Ayrıca finansal olarak zor durumda olan kişiler de bu tür saldırılara daha açıktır.

Mesajlaşma Uygulamaları ile Manipülasyon

WhatsApp, Telegram ve Signal gibi mesajlaşma uygulamaları, gaslighting ve honeypot saldırıları için yeni bir alan oluşturmuştur. Bu platformlarda saldırganlar, kurbanları daha kişisel bir şekilde manipüle edebilir.

Örnek Senaryo: Kurban, Telegram'da şu mesajı alır:

"🚀 BÜYÜK HABER! Yeni kripto para projemizde erken yatırımcılar %1000 kar elde ediyor! Sadece ilk 100 kişi kabul ediliyor. Hemen aşağıdaki linke tıklayın!"

Honeypot Tekniği: Kurban büyük kar fırsatını kaçırmak istemez. "Belki de gerçek bir fırsattır" düşüncesi oluşur.

Sonuç: Kurban linke tıklar, cüzdan bilgilerini girer ve tüm kripto parasını kaybeder.

Bu tür saldırılar özellikle kripto para yatırımcıları ve yüksek gelirli bireyler üzerinde hedeflenmektedir.

Korunma Yöntemleri

Açıkçası en büyük korunma yöntemi personellerin eğitimi ve konuya hakim olmasıdır. Personelleriniz ne kadar bu konuda bilinçliyse o kadar güvendesiniz demektir. Bunların dışında, IP ve URL engelleme, Mail filtreleme, antivirüs sistemlerinin politikalarını sıkılaştırma, açık kaynak veri politikalarını sıkılaştırma, sinyalleri engelleyici ofis tasarımları gibi önlemleri de alabilirsiniz. Ne kadar az açık veri o kadar büyük bir güvenlik demektir.

Gaslighting ve Honeypot saldırılarına karşı özel korunma yöntemleri:



Gaslighting'e Karşı Korunma: Gaslighting'e karşı korunmanın en iyi yolu, bunun var olduğunu ve nasıl çalıştığını bilmek ve bildiklerinize ve inandıklarınıza sıkı sıkıya bağlı kalmaktır. Siber suçlulara ve dolandırıcılara karşı korunmak için de aynı şey geçerlidir.

Her zaman dediğimiz gibi "kırılamaz şifre ve aşılamaz güvenlik sistemi yoktur" fakat önlemimizi alarak bu tip saldırılardan çok büyük bir oranda korunabiliriz.

Kaynaklar

📚 Kaynaklar

📞 İletişim ve Sosyal Medya

Ali Can Gönüllü | Siber Güvenlik Uzmanı

🏷️ Etiketler ve Hashtag’ler

#Gaslighting #Honeypot #Phishing #SosyalMühendislik #SiberGüvenlik #CyberSecurity #PhishingKorunma #BalTuzağı #SosyalMedyaGüvenliği #EPostaGüvenliği #SiberGüvenlikEğitimi #CTI #ThreatIntelligence #SocialEngineering #CybersecurityAwareness

⚠️ Yasal Uyarı

Bu içerik yalnızca eğitim ve bilgilendirme amaçlıdır. Siber güvenlik farkındalığını artırmak için hazırlanmıştır. Herhangi bir yasa dışı faaliyeti teşvik etmez.

*Son güncelleme: 2024 Tüm hakları saklıdır.*
This site is open source. Improve this page.