Modül 2: Sosyal Mühendislik dijital dayanıklılığın kapsamını, fiziksel ve dijital dünyalar arasındaki çizgiyi bulanıklaştıran bir tehdide odaklanarak genişletir. Modül 1 e-posta aldatmacasına odaklanırken, bu modül saldırganların güvenli sistemleri ihlal etmek için günlük alışkanlıklardan, insan güveninden ve fiziksel ihmalden nasıl yararlandığını gösterir. “Koç Anna”, başarılı ve çok sevilen bir voleybol antrenörünün senaryosu üzerinden, katılımcılar bir siber saldırının çoğu zaman bir hacker klavyeye dokunmadan çok önce başladığını keşfeder—başlangıç noktası, dünyayla isteyerek paylaştıklarımızdır.
Modül, saldırıyı ihmal ve istismar temelli üç ayrı aşamaya ayırır:
1. Zafiyet: Aşırı Paylaşım ve Düzensizlik
Hikâye, Anna’yı tanıtarak saldırganlar için istemeden bir yol haritası oluşturan iki yaygın hatayı gösterir:
- Dijital Aşırı Paylaşım: Anna, sosyal medyada doğum günü kutlamaları, çocuklarının okul etkinlikleri ve tatil planları dahil olmak üzere sık sık kişisel ayrıntılar paylaşır. Takipçilerine masum görünen bu bilgiler, yaygın güvenlik sorularının ve parola ipuçlarının yanıtlarını sağlar.
- Fiziksel İhmal: Ofisinde Anna, bilgisayar ekranını kilitlemeden bırakır ve parolalar ile hassas hatırlatmalar içeren notları doğrudan monitörüne ve masasına yapıştırır.
2. Sızma: “Görünmez” Saldırgan
Bu modül, sosyal mühendislikte kritik bir kavramı tanıtır: fiziksel keşif. Saldırgan bir güvenlik duvarını aşarak içeri girmez; temizlik personeli kılığına girerek ön kapıdan içeri yürür.
- İstihbarat Toplama: Temizlik görevlileri yoğun personel için çoğu zaman “görünmez” olduğundan, saldırgan şüphe çekmeden Anna’nın masasını gözlemler; yapışkan notlarının ve kilitsiz ekranının fotoğraflarını çeker.
- Parçaları Birleştirme: Saldırgan fiziksel ipuçlarını (notlardaki parolalar) dijital ipuçlarıyla (sosyal medyadaki tarihler ve isimler) birleştirerek giriş bilgilerini kolayca tahmin eder.
3. Kriz: İfşa ve Sonuç
Saldırı, büyük çaplı bir veri ihlaliyle sonuçlanır. Çalınan kimlik bilgilerini kullanan saldırgan, VPN üzerinden uzaktan giriş yapar ve oyuncu sağlık kayıtları, antrenman programları ve kurum içi strateji belgeleri dahil hassas varlıkları çalar.
- Etki: İhlal, kulübün itibarına zarar verir ve sponsorlar ile oyuncuların güvenini sarsar.
- Gerçeklik Kontrolü: Anna, “zararsız” sosyal medya paylaşımlarının ve “pratik” yapışkan notlarının aslında suçlulara açık bir davetiye olduğunu fark eder.
Eğitsel Analiz: Tehditlerin Kesişimi
Modül 2 hayati bir ders verir: Güvenlik bütüncüdür. Çevrimdışı güvende değilseniz çevrim içi güvende olamazsınız. Saldırganın Anna’nın parolasını kırmak için gelişmiş bir yazılıma ihtiyacı yoktu; Facebook sayfasına ve masasındaki sarı yapışkan nota bakması yeterliydi. Modül, meşru görünen personelin (tamirciler veya temizlik görevlileri gibi) üniformalara duyulan doğal insan güvenini istismar ederek kılık değiştirmiş tehdit aktörleri olabileceğini vurgular
“Temiz Masa & Güvenli Sosyaller” Kontrol Listesi
Koç Anna’yı tuzağa düşüren hatalardan kaçınmak için katılımcılar şu günlük güvenlik kontrol listesini uygulamalıdır:
Adım 1: Sosyal Medyanızı Arındırın
- [ ] Paylaşımlarınızı Denetleyin: Profilinizi gözden geçirin. Doğum tarihinizi, çocuklarınızın isimlerini veya evcil hayvanınızın adını açığa çıkaran herkese açık fotoğraflarınız var mı? Bunlar yaygın parola bileşenleridir—kaldırın.
- [ ] Hassas Arka Planları Bulanıklaştırın: İş yerinde bir selfie paylaşmadan önce arka planı kontrol edin. Taktiklerin yazılı olduğu bir beyaz tahta veya bir bilgisayar ekranı görünüyor mu?.
Adım 2: Fiziksel Çalışma Alanınızı Güvenceye Alın
- [ ] “Win+L” Alışkanlığı: Sadece kahve almaya gidiyor olsanız bile, bilgisayar ekranınızı kilitlemeden masanızdan asla ayrılmayın. Kilitsiz bir ekran ardına kadar açık bir kapıdır.
- [ ] Yapışkan Notları Yok Edin: Parolaları asla kâğıda yazmayın. Dijital bir parola yöneticisi kullanın. Not yazmanız gerekiyorsa, kullandıktan hemen sonra parçalayın.
Adım 3: Çevrenizin Farkında Olun
- [ ] Tanımadıklarınızı Sorgulayın: Hassas bir alanda tanımadığınız birini görürseniz (temizlikçi veya teknisyen gibi bir üniforma giyiyor olsa bile), nazikçe kim olduğunu sorun veya yönetimle doğrulayın.
- [ ] Temiz Masa Politikası: Gün sonunda masanızdaki tüm hassas belgeleri kaldırın. Oyuncu dosyalarını veya sözleşmeleri gece boyunca ortada bırakmayın.
Adım 4: Kimlik Bilgilerinizi Güçlendirin
- [ ] “Kolay” Matematiği Bırakın: Instagram’ınızda bulunabilecek bilgilere dayalı parolalar kullanmayın (örn. AnnaVolley1985 veya Champion2024). Saldırganlar önce bunları dener.
Bu alışkanlıkları benimseyerek antrenörler, fiziksel ofislerinin dijital hesapları kadar güvenli olmasını sağlar ve sosyal mühendislerin bulmak için çok çalıştığı boşlukları kapatır.
