Sosyal Mühendislik ile Şirkete Sızma Hikayesi: Yetkili Bir Pentest Senaryosu

kullanici1

Nisan 12, 2026

Penetrasyon Testi,Phishing,Siber Güvenlik,Siber Savunma,Sosyal Mühendislik,Uncategorized

Siber güvenlik denilince akla genellikle teknik açıklar, yazılım zafiyetleri veya ağ sızma testleri gelir. Ancak gerçek dünyadaki saldırıların büyük çoğunluğu, en güçlü güvenlik duvarlarını bile aşmanın en kısa yolunun insan faktörü olduğunu hatırlatıyor. Sosyal mühendislik, teknik kontrolleri atlayarak doğrudan çalışanların güvenini, merakını veya yardımseverliğini hedef alan psikolojik manipülasyon sanatıdır. Bu yazıda, yetkili bir sızma testi kapsamında kurgulanmış gerçekçi bir sosyal mühendislik senaryosunu, kullanılan teknik yaklaşımları, elde edilen bulguları ve kurumların bu risklere karşı nasıl savunma katmanları inşa edebileceğini profesyonel bir perspektifle ele alacağız.

Sosyal Mühendislik Testi Nedir ve Neden Farklıdır?

Sosyal mühendislik testi, bir kurumun çalışanlarının güvenlik farkındalığını, prosedürlere uyumunu ve olası manipülasyon senaryolarına karşı tepkilerini yetkili ve kontrollü bir şekilde değerlendiren insan odaklı bir güvenlik sürecidir. Teknik pentestlerden ayrışmasının temel sebepleri şunlardır:

 

  • Hedefin İnsan Olması: Firewall, IDS veya WAF gibi teknik kontroller, bir çalışanın merakla tıkladığı e-posta ekini veya telefonla paylaştığı şifreyi engelleyemez. Savunma hattı, teknoloji değil davranış olur.

 

  • Psikolojik Tetikleyicilerin Kullanımı: Aciliyet hissi, otorite figürü taklidi, merak uyandırma veya yardım etme isteği gibi insani dürtüler, teknik zafiyetlerden çok daha etkili istismar vektörleri oluşturur.

 

  • Çok Kanallı Saldırı Yüzeyi: E-posta (phishing), telefon (vishing), SMS (smishing), sosyal medya veya fiziksel erişim denemeleri gibi farklı kanallar aynı senaryoda kombine edilebilir.

 

  • Ölçüm Zorluğu ve Etik Hassasiyet: Başarı oranları, çalışan mahremiyeti ve psikolojik etkiler dikkatle yönetilmelidir. Testler, “suçlu bulma” değil, “farkındalık geliştirme” odaklı kurgulanmalıdır.
SOSYAL MÜHENDİSLİK NEDİR

Gerçekçi Bir Senaryo: "Acil Finans Onayı" Operasyonu

Aşağıda, yetkili bir sızma testi kapsamında kurgulanmış, isim ve detaylar değiştirilmiş gerçekçi bir sosyal mühendislik senaryosu paylaşılmaktadır:

Hedef: 500+ çalışanı olan, finans ve insan kaynakları verileri işleyen orta ölçekli bir teknoloji şirketi.

Amaç: Çalışan farkındalığını ölçmek, prosedür uyumunu test etmek ve olası veri sızıntı yollarını tespit etmek.

Aşama 1: Keşif ve Bilgi Toplama (OSINT)

Test ekibi, şirketin LinkedIn sayfaları, basın bültenleri, teknik blogları ve çalışan profilleri üzerinden açık kaynak istihbaratı topladı. Finans departmanında çalışan belirli kişilerin isimleri, unvanları ve muhtemel e-posta formatları (`ad.soyad@sirket.com`) belirlendi. Şirketin kullandığı muhasebe yazılımı ve onay süreçleri hakkında genel bilgiler not edildi.

Aşama 2: Oltalama (Phishing) Kurgusu

Hedef olarak seçilen finans çalışanına, şirket içi iletişim diline uygun, aciliyet hissi uyandıran bir e-posta gönderildi:

– Gönderen: `it-destek@sirket-destek[.]com` (typosquatting ile benzer domain)

– Konu: “ACİL: Muhasebe Sistemi Güncellemesi – Onay Gerekiyor”

– İçerik: “Değerli Çalışanımız, muhasebe sistemimizde kritik bir güvenlik güncellemesi yapılmaktadır. Erişiminizin devam etmesi için 2 saat içinde ekteki formu doldurup şifrenizi doğrulamanız gerekmektedir. Aksi takdirde hesabınız geçici olarak askıya alınacaktır.”

E-posta, şirket logosu, imza bloğu ve dil bilgisi açısından iç yazışmalara benzer şekilde hazırlanmıştı. Link, test ekibinin kontrolündeki bir phishing simülasyon platformuna yönlendiriyordu.

Aşama 3: Fiziksel Erişim Denemesi (Tailgating)

E-posta kampanyası ile eş zamanlı olarak, test ekibinden bir üye, elinde sahte bir “teknik servis” kartı ve laptop çantasıyla şirket binasına giriş yaptı. Resepsiyonda “IT departmanından geldiğini, acil bir sunucu güncellemesi için içeri girmesi gerektiğini” belirterek, bir çalışanın kapıyı açık bırakmasını bekledi ve “tailgating” yöntemiyle içeri girdi.

Aşama 4: Vishing (Telefonla Manipülasyon)

Finans departmanından bir çalışan aranarak, “IT Güvenlik Ekibi”nden arandığı belirtildi. Arayan kişi, “sistemde şüpheli aktivite tespit edildiğini, hesabını korumak için geçici bir doğrulama kodunu paylaşması gerektiğini” söyledi. Bu kod, aslında test platformunda oluşturulmuş sahte bir MFA token’ıydı.

Aşama 5: Bulgular ve Tepki Analizi

72 saat süren test kapsamında:

– E-posta kampanyasına %34 oranında tıklama, %12 oranında kimlik bilgisi girişi gerçekleşti.

– Fiziksel erişim denemesi, resepsiyon prosedürlerindeki esneklik sayesinde başarılı oldu.

– Vishing denemesinde, aranan 5 kişiden 2’si doğrulama kodunu paylaşmaya meyilli davrandı.

– Ancak 3 çalışan, şüpheli durumu derhal güvenlik ekibine bildirdi ve prosedürlere uygun hareket etti.

Sosyal Mühendislik Testlerinin Kurumsal Katkıları

  • İnsan Faktörü Riskinin Somut Ölçümü: Teorik “güvenlik farkındalık eğitimleri” yerine, çalışanların gerçek senaryolardaki tepkileri ölçülerek eğitim ihtiyaçları veriye dayalı belirlenir.
  • Prosedür ve Politika Eksikliklerinin Görünür Kılınması: “Şifre asla paylaşılmaz” politikası kâğıt üzerinde kalsa bile, testler sahadaki uygulama boşluklarını ortaya çıkarır.
  • Olay Müdahale Süreçlerinin Test Edilmesi: Şüpheli durumların raporlanma hızı, güvenlik ekibinin yanıt süresi ve iletişim akışı bu testlerle doğrulanır.
  • Regülatör ve Denetim Uyumluluğunun Desteklenmesi: KVKK, ISO 27001 ve sektörel düzenlemeler, personel farkındalık eğitimlerinin etkinliğinin ölçülmesini talep eder. Test raporları bu gerekliliğin nesnel kanıtıdır.

Etkili Sosyal Mühendislik Testi İçin Uygulama Adımları

  • Yasal İzin ve Etik Çerçevenin Netleştirilmesi: Test öncesi üst yönetimden yazılı onay alınmalı, kapsam, hedef departmanlar, kullanılacak kanallar ve “dur” kriterleri belirlenmelidir. Çalışan mahremiyeti ve psikolojik etki minimize edilmelidir.
  • Hedef Profilleme ve Senaryo Kurgusu: OSINT ile toplanan bilgiler ışığında, şirket kültürüne, iletişim diline ve iş süreçlerine uygun senaryolar hazırlanmalıdır. “One-size-fits-all” yaklaşımı yerine, departman bazlı özelleştirme yapılmalıdır.
  • Kademeli ve Kontrollü Yürütme: Testler, önce küçük bir pilot grupla başlatılmalı, geri bildirimler alınarak senaryo iyileştirilmeli, ardından kademeli olarak genişletilmelidir. Acil durum durdurma (kill-switch) mekanizması hazır bulundurulmalıdır.
  • Veri Toplama ve Analiz: Tıklama oranları, bilgi paylaşma eğilimi, raporlama süresi ve yanlış pozitif/negatif oranları nicel ve nitel olarak analiz edilmelidir. Bulgular, suçlayıcı değil, geliştirici bir dilde raporlanmalıdır.

Sosyal Mühendislik Risklerini Azaltmak İçin Savunma Stratejileri

Test bulgularını kalıcı güvenlik iyileştirmelerine dönüştürmek için aşağıdaki stratejik önlemler benimsenmelidir:

  • Güvenlik Kültürü ve Sürekli Farkındalık: Yılda bir kez verilen eğitimler yerine, mikro-öğrenme modülleri, aylık phishing simülasyonları ve gamification yaklaşımları ile güvenlik bilinci sürekli canlı tutulmalıdır.
  • Net Prosedürler ve Kolay Raporlama Kanalları: “Şüpheli e-posta mı aldınız? Tek tıkla güvenlik ekibine iletin” gibi basit, erişilebilir ve ödüllendirici raporlama mekanizmaları kurulmalıdır.
  • Teknik Destekli İnsan Kontrolleri: E-posta gateway’lerinde DMARC/SPF/DKIM zorunluluğu, şüpheli linkler için otomatik uyarı banner’ları, MFA kullanımının yaygınlaştırılması gibi teknik kontroller, insan hatalarını telafi eden güvenlik ağları oluşturur.
Tags :
#İnsanFaktörü,#Phishing,#SiberSavunma,#SosyalMühendislik,#Tailgating,GüvenlikFarkındalığı,pentest,Vishing
Share This :

Diğer Yazılar

Bize Soru Sorun

Soru ve görüşleriniz için bizimle iletişime geçebilirsiniz.

Instagram Youtube

Telif Hakkı © 2021 SiberTim Tüm Hakları Saklıdır.