Sosyal Mühendislik ile Şirkete Sızma Hikayesi: Yetkili Bir Pentest Senaryosu
Sosyal mühendislik sızma testi, teknik güvenlik duvarlarının ötesine geçerek çalışanların güven, merak veya aciliyet gibi insani dürtülerini manipüle eden, kurumun “insan odaklı” savunma hattını ölçen stratejik bir denetim sürecidir; bu süreçte Phishing (Oltalama), Vishing (Telefonla dolandırıcılık) ve Tailgating (Fiziksel takip) gibi tekniklerle gerçek bir saldırganın izleyebileceği psikolojik yollar simüle edilir. Testin temel amacı çalışanları suçlamak değil, elde edilen bulgularla kurumun güvenlik kültürünü güçlendirmek, KVKK ve ISO 27001 uyumluluğu çerçevesinde “makul farkındalık” seviyesini teknik ve idari tedbirlerle yükseltmektir.
Ters Proxy Saldırıları (Reverse Proxy Phishing): Gerçek Zamanlı Oturum Çerezlerini Ele Geçiren Ortadaki Adam Saldırıları
Siber saldırganlar, geleneksel kimlik avı yöntemlerinin MFA (Çok Faktörlü Doğrulama) duvarına çarpmasıyla birlikte, Ters Proxy Phishing adı verilen çok daha sofistike bir yönteme yönelmişlerdir. Bu saldırıda, saldırgan hedef sitenin statik bir kopyasını oluşturmak yerine, kullanıcı ile meşru site arasında canlı bir “proxy” sunucusu olarak konumlanır. Kullanıcı şifresini ve MFA kodunu girdiğinde, bu veriler saldırganın üzerinden gerçek siteye iletilir; ancak bu esnada saldırgan, oturumun devamlılığını sağlayan Oturum Çerezlerini (Session Cookies) ele geçirir.
Bu saldırı türünün en tehlikeli yanı, şifre ve MFA kodu tek kullanımlık olsa bile, çalınan çerez sayesinde saldırganın kurbanın hesabına “doğrulanmış bir oturum” ile doğrudan sızabilmesidir. Geleneksel SMS veya uygulama tabanlı (TOTP) kodlar bu saldırıya karşı savunmasız kalırken, yalnızca FIDO2/WebAuthn tabanlı donanım anahtarları (YubiKey vb.) bu süreci durdurabilir. Çünkü bu cihazlar, kimlik doğrulama işlemini doğrudan alan adı (domain) ile ilişkilendirerek proxy sunucularının araya girmesini engeller.
[Image comparing standard phishing versus reverse proxy phishing with real-time session hijacking]
Kurumsal savunma için sadece kullanıcı eğitimi yeterli değildir; HttpOnly ve SameSite gibi çerez güvenlik politikalarının sıkılaştırılması, davranışsal anomali tespit sistemlerinin devreye alınması ve mümkünse tamamen donanımsal kimlik doğrulamaya geçilmesi hayati önem taşır. Ters proxy saldırıları, siber güvenliğin statik bir savunma değil, sürekli değişen saldırgan taktiklerine karşı dinamik bir “karşı hamle” sanatı olduğunu bir kez daha kanıtlamıştır.
Subdomain Takeover Saldırıları: Terk Edilmiş Alt Alan Adlarının Ele Geçirilmesiyle Form Verisi Toplama ve KVKK Boyutu
Kurumsal genişleme süreçlerinde oluşturulan ancak işlevi bittiğinde DNS kayıtları temizlenmeyen alt alan adları, Subdomain Takeover saldırılarının bir numaralı hedefidir. Bu saldırı, bir DNS kaydının artık var olmayan bir bulut hizmetine (AWS, Azure, GitHub vb.) işaret etmesiyle oluşan “Dangling DNS” (Sarkan DNS) hatasını istismar eder. Saldırgan, boşa çıkan bu kaynağı kendi bulut hesabına tanımlayarak, kurumun resmi alt alan adını (örneğin test.kurum.com) tamamen kontrolü altına alır.
Saldırganın ele geçirdiği bu meşru adres üzerinden yayınladığı sahte formlar, kullanıcılarda hiçbir güvenlik şüphesi uyandırmaz. URL’deki marka güveni ve mevcutsa Wildcard SSL sertifikası sayesinde, kullanıcılar T.C. kimlik numarası veya şifre gibi hassas verilerini doğrudan saldırgana teslim ederler. Bu yöntem ayrıca Cookie Hijacking (Çerez Hırsızlığı) saldırıları için de kurumsal bir sıçrama tahtası görevi görür.
KVKK Madde 12 uyarınca, kurumun “unuttuğu” bir kayıt üzerinden veri sızdırılması, veri sorumlusunun “makul teknik tedbirleri” alma yükümlülüğünü yerine getiremediğinin somut bir kanıtıdır. Bu riskten korunmanın yolu; bulut servisleri kapatılmadan ÖNCE CNAME kayıtlarının silinmesi, periyodik DNS taramaları yapılması ve Certificate Transparency (CT) loglarının takip edilmesidir. Dijital dünyada temizlenmeyen her iz, saldırganlar için keşfedilmeyi bekleyen bir hazine haritasıdır.
SMTP Relay Zafiyetleri: Açık E-Posta Sunucularının Toplu Kişisel Veri Sızdırma Aracına Dönüşmesi ve KVKK Boyutu
Kurumsal iletişim altyapılarının temel taşı olan SMTP protokolü, doğru yapılandırılmadığında saldırganlar için birer sızıntı tüneline dönüşebilir. SMTP Relay, bir sunucunun e-postaları alıp iletme yeteneğidir; ancak bu yeteneğin kimlik doğrulaması olmaksızın herkese açılması durumuna “Open Relay” (Açık Aktarım) denir. Bu zafiyet, saldırganların kurumun resmi IP adresini ve domain itibarını kullanarak, kurum dışına toplu veri sızdırmasına veya çalışanlara karşı “kurum içinden geliyormuş gibi görünen” yüksek başarılı oltalama saldırıları düzenlemesine imkan tanır.
Teknik olarak bu açık, genellikle SMTP AUTH (Kimlik Doğrulama) mekanizmasının devre dışı bırakılması veya IP tabanlı güven ilişkilerinin (Trust) tüm internete açık şekilde yanlış yapılandırılmasıyla oluşur. Saldırgan, basit komutlarla sunucuya bağlanarak herhangi bir şifre girmeden veri transferi yapabilir. Bu durum, kurumun e-posta sunucusunun küresel “Kara Liste” (Blacklist) kayıtlarına girmesine ve yasal iş süreçlerinin tamamen durmasına yol açar.
KVKK Madde 12 uyarınca, bir sunucunun bu şekilde istismara açık bırakılması, veri sorumlusunun “teknik tedbir” alma yükümlülüğünü ihlal ettiğinin somut bir kanıtıdır. Bu riskten korunmanın yolu; tüm gönderimler için MFA destekli kimlik doğrulaması zorunluluğu getirmek, Rate Limiting (Hız Sınırı) ile toplu veri çıkışını engellemek ve SPF/DKIM/DMARC kayıtlarını en sıkı modda yapılandırmaktır. E-posta sunucusu güvenliği, sadece bir IT ayarı değil, kurumun dijital kimliğinin ve veri mahremiyetinin yasal zırhıdır.
Phishing (Oltalama) Saldırıları: Tehditler, Yöntemler ve Korunma Yolları
Dijital dünyada en sık karşılaşılan siber dolandırıcılık yöntemi olan Phishing (Oltalama), saldırganların güvenilir bir kurum veya kişi gibi davranarak kullanıcıların şifre, kredi kartı ve kimlik bilgilerini ele geçirmesini hedefler. Sosyal mühendislik tekniklerine dayanan bu saldırılar; genel kitleleri hedef alan e-posta oltalama yönteminden, üst düzey yöneticileri hedefleyen sofistike Whaling (Balina Avı) saldırılarına kadar geniş bir yelpazede çeşitlenmektedir. Sahte web siteleri, zararlı ekler ve manipülatif mesajlarla kurgulanan bu tuzaklar, tarihte Facebook, Google ve Sony gibi dev şirketlerin milyonlarca dolar kaybetmesine yol açmıştır. Çok faktörlü kimlik doğrulama (MFA), düzenli çalışan eğitimleri ve dikkatli kaynak kontrolü gibi proaktif önlemler, insan faktörünün en zayıf halka olduğu bu siber savaşta en güçlü savunma hattını oluşturmaktadır.
Siber Saldırı Nedir?
Dijitalleşen dünyada siber saldırılar, bireylerden devasa kuruluşlara kadar herkesi hedef alan küresel bir tehdit haline gelmiştir. Siber saldırı, yetkisiz üçüncü tarafların sistemlere veya ağlara erişerek veri çalma, manipüle etme veya sistemleri devre dışı bırakma eylemleridir. Günümüzde en sık karşılaşılan saldırılar arasında; sistemlere sızan Kötü Amaçlı Yazılımlar (Malware), sosyal mühendislik yoluyla kimlik çalan Phishing, veri tabanlarını hedef alan SQL Enjeksiyonu ve hizmetleri durduran DDoS yer almaktadır. Güçlü şifreleme, düzenli güncellemeler, VPN kullanımı ve çalışan farkındalığı gibi proaktif önlemler, bu tehditlere karşı sarsılmaz bir savunma hattı oluşturmanın temelidir. Siber güvenlik, artık sadece teknik bir birimin görevi değil, dijital varlıkların korunması için bir yaşam biçimi olarak benimsenmelidir.