Sosyal Mühendislik (Kimlik Avı ve Aldatıcı Siteler)

Sosyal mühendislik, ziyaretçileri gizli bilgileri açıklamak ve yazılım indirmek gibi tehlikeli bir şey yapmaları için kandıran içeriktir. Google, web sitenizin sosyal mühendislik içeriği barındırdığını algılarsa, ziyaretçiler sitenizi görüntülediklerinde Chrome tarayıcısı tarafından "Yanıltıcı bir siteye girmek üzeresiniz" uyarısı gösterilebilir. Sitenizde sosyal mühendislik saldırıları içerdiğinden şüphelenilen sayfaların olup olmadığını kontrol etmek için Güvenlik Sorunları raporunu inceleyebilirsiniz.

Güvenlik Sorunları Raporu'nu aç

Genel Bakış

Sosyal mühendislik nedir?

Sosyal mühendislik saldırısı, bir web kullanıcısının web üzerinde tehlikeli bir şey yapması için kandırıldığı durumdur.

Farklı türlerde sosyal mühendislik saldırıları vardır:

  • Kimlik avı: Site, kullanıcıları kişisel bilgilerini (örneğin, şifrelerini, telefon numaralarını veya kredi kartı bilgilerini) vermeleri için kandırır. Bu durumda içerik, güvenilen bir varlığa (örneğin, tarayıcı, işletim sistemi, banka veya devlet kurumu) benzer şekilde hareket eder veya görünür.
  • Aldatıcı içerik: İçerik, yalnızca güvenilen bir varlık için yapacağınız bir şeyi (şifre paylaşma, teknik desteği arama, yazılım indirme veya içeriğin yanlış bir şekilde cihaz yazılımının eski olduğunu iddia eden bir reklam içermesi, kullanıcıları istenmeyen yazılımları yüklemelerini isteme) yapmanız yönünde sizi kandırmaya çalışır.
  • Yeterince etiketlenmemiş üçüncü taraf hizmetleri: Üçüncü taraf hizmeti, başka bir tüzel kişilik adına bir siteyi veya hizmeti işletenlere verilen addır. Siz (üçüncü taraf) bir siteyi, ilişkinizi açıkça belirtmeden başka bir (birinci) taraf adına işletiyorsanız, bu durum sosyal mühendislik olarak işaretlenebilir. Örneğin, siz (birinci taraf), siteniz için bağış toplama işlemlerini yürütmek üzere bir bağış yönetimi web sitesi (üçüncü taraf) kullanan bir hayır kurumu web sitesine sahip olabilirsiniz. Bağış sitesinin, söz konusu hayır kurumu sitesi adına hareket eden bir üçüncü taraf platformu olduğunu açıkça belirtmesi gerekir; aksi halde, durumu sosyal mühendislik olarak değerlendirilebilir.

Google Güvenli Tarama, sürekli olarak sosyal mühendislik eylemlerinde bulunan sayfaları ziyaret etmeden önce web kullanıcılarını uyararak korur.

Web sayfaları aşağıdaki durumlarda sosyal mühendislik sayfası olarak değerlendirilir:

  • Kendi cihazınız veya tarayıcınız ya da web sitesinin kendisi gibi güvenilen bir varlığa benzer şekilde hareket etmesi veya görünmesi ya da
  • Şifre paylaşma, teknik destek numarasını arama ya da yazılım indirme gibi sadece güvenilir bir varlıkta yapacağınız işlemler gerçekleştirmeni için sizi kandırmaya çalışması.

Yerleşik içeriklerde sosyal mühendislik

Sosyal mühendislik ayrıca normalde yararlı olan web sitelerinde yerleşik olan içeriklerde, genellikle reklamlarda da karşınıza çıkabilir. Yerleşik sosyal mühendislik içeriği ana makine sayfası için bir politika ihlalidir.

Aşağıdaki örneklerde de gösterildiği gibi kullanıcılar yerleşik sosyal mühendislik içeriklerini kimi zaman ana makine sayfasında da görebilir. Diğer durumlarda ana makine sitesinde görünür reklam bulunmaz. Ancak site kullanıcıları pop-up'lar, arkada açılan sayfalar ya da diğer tür yönlendirmeler aracılığı ile sosyal mühendislik sayfalarına yönlendirir. Her iki durumda da bu tür yerleşik sosyal mühendislik içerikleri ana makine sayfası açısından bir politika ihlaline neden olur.

Ama benim sosyal mühendislikle bir ilgim yok!

Aldatıcı sosyal mühendisliğe yönelik içerik, sayfaya yerleştirilen resimler, diğer üçüncü taraf bileşenleri veya reklamlar gibi kaynaklar aracılığıyla eklenmiş olabilir. Bu tür aldatıcı içerik, site ziyaretçilerini istenmeyen yazılım indirme gibi şeyler için kandırabilir. 

Buna ek olarak, bilgisayar korsanları masum sitelerin kontrolünü ele geçirebilir ve bunları, sosyal mühendislik içeriğini barındırmak veya dağıtmak için kullanabilir. Bilgisayar korsanı, genellikle ziyaretçileri kredi kartı numaraları gibi kişisel bilgilerini paylaşmaları için kandırma amacıyla sitenin içeriğini değiştirebilir veya siteye ilave sayfalar ekleyebilir. Sitenizin sosyal mühendislik içeriği barındıran veya dağıtan bir site olarak tanımlanıp tanımlanmadığını öğrenmek için Search Console'daki Güvenlik Sorunları raporuna bakabilirsiniz.

Sitenizin saldırıya uğradığına inanıyorsanız Saldırıya Uğramış Siteler için Yardımımıza bakın.

Sosyal mühendislik ihlali örnekleri

Aldatıcı içerik örnekleri

Aşağıda sosyal mühendislik uygulamalarına dahil olan sayfalara bazı örnekler verilmiştir:

Social engineering popup that tries to make the user install an unwanted application.
Kullanıcıları kötü amaçlı yazılım yüklemek üzere kandırmaya çalışan aldatıcı pop-up
Example of social engineering attempt claiming a browser update is required
Kullanıcıya tarayıcılarını güncellemede yardımcı olacağını iddia eden aldatıcı pop-up
Sahte Google giriş sayfası. Aldatıcı URL’ye dikkat edin. Buna benzer diğer kimlik avı siteleri, kredi kartı bilgileri gibi diğer kişisel bilgileri vermeniz için sizi kandırabilir. Kimlik avı siteleri, gerçek siteye tıpatıp benzeyebilir. Bu nedenle, URL'nin doğru olduğundan emin olmak için adres çubuğuna bakmayı unutmayın ve web sitesinin https:// ile başlayıp başlamadığını da kontrol edin.

Aldatıcı reklam örnekleri

Aşağıda yerleşik reklamların içindeki aldatıcı içeriklere ilişkin bazı örnekler verilmiştir. Bu reklamlar, reklamdan ziyade sayfa arayüzünün bir parçası olarak görünür.

Deceptive ad claiming to be a media player update on the page.
Kullanıcının yazılımının eski olduğunu iddia eden aldatıcı pup-up.
Deceptive ad claiming to be an installer for a required component.
FLV geliştiricisinden olduğunu iddia eden aldatıcı pop-up.
Deceptive ads claiming to be playback controller buttons on the host page.
Sayfanın eylem düğmesi gibi görünen gizli reklamlar.

Sorunu çözme

Siteniz sosyal mühendislik (aldatıcı içerik) bulunduğu için işaretlendiyse sayfanızda açıklanan uygulamalardan hiçbirinin bulunmadığından emin olun ve ardından aşağıdaki adımları uygulayın:

  1. Search Console'da kontrol edin
    • Search Console'da sitenin sahibinin siz olduğunuzu ve yeni, şüphe uyandıran sahiplerin eklenmediğini doğrulayın.
    • Sitenizin aldatıcı içerik içeriyor (sosyal mühendisliği bildirme terimi) olarak listelenip listelenmediğini öğrenmek için Güvenlik Sorunları raporunu kontrol edin. Raporda listelenen, örnek olarak verilmiş işaretli URL'lerden bazılarını ziyaret edin. Ancak bunu yaparken, web sitenizin sunulduğu ağın içinde yer almayan bir bilgisayar kullanın (akıllı bilgisayar korsanları, ziyaretçinin bir site web yöneticisi olduğunu düşünürlerse saldırılarını devre dışı bırakabilirler).
  2. Aldatıcı içeriği kaldırın. Sitenizin hiçbir sayfasında aldatıcı içerik bulunmadığından emin olun. Güvenli Tarama'nın bir web sayfasını hatalı sınıflandırdığını düşünüyorsanız lütfen buradan bildirin.
  3. Sitenizde yer alan üçüncü taraf kaynaklarını kontrol edin. Sitenizdeki sayfalarda bulunan reklamların, resimlerin veya diğer yerleşik üçüncü taraf kaynaklarının aldatıcı olmadığından emin olun.
    • Reklam ağlarının sitenizin sayfalarında gösterilen reklamları dönüşümlü yayınlayabileceğini unutmayın. Dolayısıyla, sosyal mühendislik reklamlarını görebilmeniz için bir sayfayı birkaç kez yenilemeniz gerekebilir.
    • Bazı reklamlar mobil cihazlarda ve masaüstü bilgisayarlarda farklı görünebilir. Sitenizi hem mobil hem de masaüstü görünümlerinde incelemek için URL Denetleme aracını kullanabilirsiniz.
    • Sitenizde kullandığınız ödeme hizmetleri gibi üçüncü taraf hizmetleri için aşağıda açıklanan üçüncü taraf hizmeti yönergelerine uyun.
  4. İnceleme isteğinde bulunun. Sitenizdeki tüm sosyal mühendislik içeriğini kaldırdıktan sonra, Güvenlik Sorunları raporunda bir güvenlik incelemesi isteyebilirsiniz. İncelemenin tamamlanması birkaç gün sürebilir.

Üçüncü taraf hizmeti yönergeleri

Sitenize bir üçüncü taraf hizmeti eklerseniz sosyal mühendislik olarak etiketlenmemek için aşağıdaki koşulları sağlamalısınız:

  • Her sayfada, üçüncü taraf sitesi, kullanıcıların siteyi kimin işlettiğini anlamasını sağlayacak şekilde üçüncü taraf markasını açıkça içermelidir. Örneğin, üçüncü taraf markasını sayfanın üst kısmına ekleyerek.
  • Birinci taraf markasını içeren her sayfada, birinci ve üçüncü taraf arasındaki ilişkiyi açık bir şekilde belirtin ve daha fazla bilgi için bağlantı sağlayın.  Örneğin, şöyle bir ifade:

      Bu hizmet, Example.charities.com adına Example.com tarafından barındırılmaktadır. Daha fazla bilgi

İzole halde sayfayı görüntüleyen bir kullanıcının hangi sitede olduğunu ve birinci ve üçüncü taraflar arasındaki ilişkiyi her zaman anlayabilmesi bir iyi kullanılabilirlik kuralıdır.

En iyi uygulama: Sitenizle ilgili bir temel destek hizmeti vermek üzere bir üçüncü tarafa ihtiyacınız varsa en iyi yöntem, söz konusu hizmet için endüstri standardı bir üçüncü tarafın kullanılmasıdır. Örneğin, sitenizde kullanıcı kimlik doğrulamasını yönetmek için kimlik doğrulamasını kendiniz yönetmek yerine OAuth hizmetini kullanmanız gerekir.
Bu makale faydalı mıydı?
Bunu nasıl iyileştirebiliriz?