Sosyal mühendislik, teknik açık değil insan psikolojisini hedef alan saldırı türüdür.

Yöntemler

  • Vishing (sahte telefon araması)
  • Smishing (sahte SMS)
  • Pretexting (kimlik uydurma — örn: BT desteği)
  • Tailgating (yetkili kapısından girip beraberinde geçme)
  • Baiting (ücretsiz USB bellek bırakma)
  • Quid pro quo (hediye karşılığı bilgi)

Tipik Saldırı Senaryoları

  • "Banka müşteri hizmetleri" araması (sahte)
  • "BT departmanı" şifre talebi
  • "CEO" e-posta sahtekarlığı (CEO fraud)
  • "Acil yardım gereken yakın" senaryosu

Şirketlerde Etkisi

  • Çalışan eğitimi yetersizse büyük zarar
  • CEO Fraud milyonlarca dolar kayıp
  • Veri sızıntısı
  • İmaj zararı

İlgili Suçlar

  • TCK m.158/1-f bilişim sistemiyle dolandırıcılık
  • TCK m.135 kişisel verilerin kaydedilmesi
  • TCK m.157 dolandırıcılık

Önleme (Şirket)

  • Düzenli çalışan eğitimi
  • 2FA tüm hesaplarda
  • Çift onay sistemi (büyük transferler)
  • Güvenlik politikaları
  • Phishing simülasyonları

Önleme (Bireysel)

  • Şüpheli aramalara şifre vermeyin
  • Tıkladığınız link'leri inceleyin
  • SMS kodu paylaşmayın
  • "Acil para" mesajlarını telefonla teyit edin

Yargıtay 23. CD

23. CD, sosyal mühendislik dolandırıcılıklarında "organize ve sistematik" nitelikte olanların örgüt suçu da oluşturduğunu, ağır cezalara yol açacağını benimsemektedir.

Bilişim suçları avukatı önerilir.