Sosyal mühendislik saldırıları sistemleri değil, insan zihnini hedef alır. Bir e-posta, bir telefon sesi ya da “acil” ibaresi; en güçlü güvenlik önlemlerini bile tek hamlede devre dışı bırakabilir.Bu bölümde sosyal mühendislik saldırılarının arka planını, psikolojik manipülasyon tekniklerini, kullanılan teknik yöntemleri ve bu saldırıların KVKK ile GDPR kapsamında doğurduğu ciddi hukuki sonuçları inceliyoruz. Gerçek vakalar, saldırgan bakış açısı ve savunma stratejileriyle, güvenliğin neden sadece teknik bir konu olmadığını burada göreceksiniz.
Siber güvenlik denildiğinde hâlâ ilk akla gelen şeyler firewall’lar, şifreleme algoritmaları ve zero-day açıklar. Oysa sahada yaşanan büyük ihlallerin önemli bir kısmı tek bir satır kod yüzünden değil, tek bir insanın verdiği karar yüzünden gerçekleşiyor.
Sosyal mühendislik, teknolojiyi by-pass eder. Çünkü hedefi sistemler değil, o sistemleri kullanan insanların zihinsel kestirme yollarıdır. Ve bu, modern siber güvenliğin en rahatsız edici gerçeğidir.
Sosyal mühendislik neden çalışır?
İnsan hatası değil, insan beyninin çalışma şekli
İnsanlar “saf” oldukları için kandırılmaz. İnsanlar verimli düşünmek zorunda oldukları için kandırılır. Beyin, her gelen bilgiyi derinlemesine analiz edemez; bunun yerine bilişsel kısayollar (heuristics) kullanır. Sosyal mühendislik tam olarak bu kısayollara saldırır.
Burada Robert Cialdini’nin ikna prensipleri devreye girer:
Kıtlık (Scarcity)
“Son uyarı”, “30 dakika içinde”, “hesabınız askıya alınacak.”
Zaman baskısı oluştuğunda beyin analiz modunu kapatır. Prefrontal korteks geri çekilir, refleksler konuşur.
Otorite (Authority)
CEO, avukat, denetçi, IT yöneticisi… Ünvan gördüğümüzde sorgulama eşiğimiz düşer. Çünkü evrimsel olarak hiyerarşiye uyumlu canlılarız.
Karşılıklılık (Reciprocity)
“Size yardımcı oluyorum, küçük bir doğrulama yapmamız gerekiyor.”
İyilik gördüğünü düşünen beyin, karşılığını vermek ister.
Sosyal kanıt (Social proof)
“Herkes yaptı”, “ekibinizden X de onayladı.”
İnsan sürüden ayrılmayı sevmez; özellikle belirsizlik anlarında.
Bunlara ek olarak normalcy bias (“şimdiye kadar bir şey olmadı”), confirmation bias (beklenen şeyi sorgulamamak) ve authority bias birleştiğinde, sosyal mühendislik neredeyse otomatik çalışan bir exploit haline gelir.
Teknik mutfak: Bu saldırılar nasıl gerçek gibi görünüyor?
Sosyal mühendislik “sadece psikoloji” değildir. Teknik detaylar, saldırının inandırıcılığını yükseltir.
E-posta spoofing, SPF, DKIM ve neden yetmezler
SMTP güvenli doğmamıştır. SPF, DKIM ve DMARC sonradan eklenmiştir:
- SPF: Bu domain adına kim mail atabilir?
- DKIM: Mail içeriği yolda değişmiş mi?
- DMARC: SPF/DKIM başarısızsa ne yapayım?
Sorun şu ki saldırganlar birebir spoofing yapmak zorunda değildir. Daha etkili yöntemler kullanırlar:
Typosquatting / domain benzetme
firma.com yerine fírma.com (Unicode), firma-secure.com, firma.co
İnsan gözü domain’i okumaz, şekil tanır.
Display name manipülasyonu
Mail istemcisi “Ahmet Yılmaz – CEO” yazar, gerçek adres gözden kaçar.
Teknik olarak sistemler çalışıyor olabilir; saldırı insan katmanından geçer.
Deepfake vishing: Ses artık kanıt değil
Artık “sesini tanıyorum” demek güvenli değil.
Yöneticilerin YouTube videoları, podcast’leri, Zoom kayıtları saldırganlar için hammadde.
30–60 saniyelik temiz ses, bugün bir deepfake modeli eğitmek için yeterli. Gerçek vakalarda finans ekipleri, birebir CEO sesiyle aranıp milyon dolarlık transferler yaptı. “Toplantıdayım, hızlı olmalıyız” cümlesi, sorgulamayı tamamen devre dışı bırakıyor.
Bir sosyal mühendislik kampanyasının anatomisi
Bu saldırılar rastgele yapılmaz. Oldukça disiplinlidir.
1. Reconnaissance (OSINT)
LinkedIn, şirket web sitesi, GitHub, PDF metadata’ları, iş ilanları.
Kim kime bağlı, hangi sistemler kullanılıyor, kim tatilde?
2. Pretexting
Bir hikâye yazılır: denetim, migration, hukuki süreç, acil ödeme.
Ne kadar sıradansa, o kadar ikna edicidir.
3. Delivery
Mail, telefon, SMS, WhatsApp, Slack.
Hangi kanal “normal” görünüyorsa o seçilir.
4. Exploitation
Bilgi alınır, link tıklatılır, işlem yaptırılır.
5. Lateral movement
Ele geçirilen hesapla iç yazışmalar okunur, ikinci dalga başlar.
En tehlikeli aşama burasıdır.
Sosyal mühendislik sonrası hukuk devreye girer
“Kandırıldık” savunması KVKK ve GDPR’da geçerli değildir
Burada kritik bir kırılma var:
Sosyal mühendislik teknik olarak “insan hatası” gibi görünse de hukuken öngörülebilir bir risktir.
KVKK perspektifi
KVKK’ya göre veri sorumlusu, kişisel verilerin hukuka aykırı erişimini önlemekle yükümlüdür.
Kurul şu sorulara bakar:
- Eğitimler var mıydı?
- Prosedürler tanımlı mıydı?
- Yetkiler sınırlandırılmış mıydı?
- Olay hızlı fark edilip bildirildi mi?
Çalışanın kandırılmış olması, veri sorumlusunun sorumluluğunu ortadan kaldırmaz. Çünkü çalışan, organizasyonun parçasıdır.
GDPR daha nettir
GDPR Madde 32, “uygun teknik ve organizasyonel önlemler” der.
Sosyal mühendislik bilinen bir risk olduğu için:
- Eğitim yoksa
- Simülasyon yoksa
- Olay müdahale planı yoksa
bu durum ihmal olarak değerlendirilir.
Ayrıca GDPR’da 72 saatlik bildirim süresi vardır. “Henüz analiz edemedik” bahanesi kabul edilmez. İlk bildirim yapılır, detaylar sonra tamamlanır.
En büyük hata: Gizlemek
Birçok kurum saldırıyı sessizce kapatmaya çalışır.
Bu refleks, teknik zarardan çok hukuki ve itibari zarara yol açar.
KVKK ve GDPR cezalarının önemli bir kısmı:
- geç bildirim,
- eksik bildirim,
- yanıltıcı açıklamalar nedeniyle kesilir.
Gerçek savunma: Klişelerin ötesi
“Dur ve düşün” tek başına yetmez.
Safe-to-fail kültürü şarttır.
Çalışan hata yaptığında cezalandırılıyorsa, bir sonraki sefer hatasını gizler. Gizlenen hata saldırganın en sevdiği şeydir.
Olgun kurumlar:
- Erken bildirimi ödüllendirir
- “Kim yaptı?” yerine “neden oldu?” diye sorar
- Sosyal mühendisliği insan hatası değil, sistem hatası olarak görür
Red team simülasyonları tiyatro olmamalıdır.
Departmana özel, zamanlaması gerçekçi, mail + telefon kombine senaryolarla yapılmalı ve sonunda suçlama değil post-mortem üretilmelidir.
Sonuç: Sosyal mühendislik bir güvenlik açığı değil, yönetişim sınavıdır
Sosyal mühendislik saldırıları bize şunu gösterir:
En zayıf halka insan değil; insanı hatasız varsayan sistemlerdir.
Bu saldırılar, bir kurumun sadece teknik gücünü değil;
psikolojik farkındalığını, kültürünü, hukuki olgunluğunu test eder.
Gerçek güvenlik; firewall’larda değil,
insanı anlayan, hatayı kabul eden ve öğrenen organizasyonlarda inşa edilir.
Ve evet:
Bazen en güçlü savunma, “Bu isteği ikinci bir kanaldan teyit edelim” diyebilen tek bir kişidir.
İlgili Yazılar
L7 DDoS: Normal Kullanıcı Gibi Davranan, Uygulamayı İçeriden Yıpratan Saldırılar
Layer 7 (Uygulama Katmanı) DDoS saldırıları, günümüzde en zor tespit edilen ve en maliyetli saldırı türleri arasında yer alıyor. Bu saldırılar, yüksek trafik üretmek yerine gerçek kullanıcı gibi davranarak uygulama kaynaklarını tüketmeyi hedefler.
Bu teknik makalede L7 DDoS saldırılarının çalışma prensipleri, adaptive rate limiting, query cost bazlı koruma, bot davranış analizi ve gerçek bir vaka üzerinden savunma stratejileri derinlemesine incelenmektedir.
2025 Siber Güvenlik Rehberi: VPN, Proxy ve DDoS Tehditleri
VPN, proxy ve DDoS tehditleri 2025’te nasıl değişti?
Gerçek saldırı senaryoları, modern güvenlik yaklaşımları ve artık neden eski yöntemlerin yeterli olmadığına dair kapsamlı siber güvenlik rehberi.
En Yaygın Siber Tehdit Türleri: Phishing, Malware, Ransomware ve Daha Fazlası
Dijital dünyada gezinmek her zamankinden daha kolay, fakat tehditler de aynı hızla çoğalıyor. İnternet kullanıcıları artık yalnızca virüslerle değil; kimlik avı, fidye yazılımları, sosyal mühendislik, veri sızıntıları ve hedefli saldırılar gibi gelişmiş tekniklerle de karşı karşıya. Bu rehber, en yaygın siber tehdit türlerini sade ve uygulanabilir örneklerle anlatır.
Siber Güvenlik Nedir? Temel Kavramlar ve Yeni Başlayanlar İçin Rehber
Siber güvenlik nedir, hangi tehditleri içerir ve kendinizi nasıl koruyabilirsiniz? Yeni başlayanlar için temel kavramlar ve pratik güvenlik önerileri.
Popüler Göneriler
