LinkedIn’den X’e, GitHub’dan Instagram’a kadar çalışanlar, şirket bilgileri içeren paylaşımlar yapıyorlar. Bu, şirketinizi zor durumda bırakabilir.
Çalışan savunuculuğu, on yıldan fazla bir süredir var olan bir kavramdır. Ancak kurumsal profili, düşünce liderliğini ve pazarlamayı geliştirmek için iyi niyetle başlayan bu uygulama, bazı istenmeyen sonuçlara da yol açmaktadır. Profesyoneller işleri, şirketleri ve rollerini paylaşırken benzer düşünen profesyonellerin yanı sıra potansiyel müşteriler ve ortaklara da ulaşmayı umarlar. Ancak tehdit aktörleri de bu paylaşımlara dikkat etmektedir.
Bu bilgiler kamuya açık hâle geldiğinde genellikle ikna edici spearphishing veya iş e-postası dolandırıcılığı (BEC) tarzı saldırılar düzenlemek için kullanılır. Bilgi ne kadar fazla olursa kuruluşunuza ciddi zarar verebilecek kötü niyetli faaliyetler için o kadar fazla fırsat doğar.
Şirket bilgileri nerede paylaşılıyor?
Genellikle bu tür bilgilerin paylaşıldığı Linkedin, tahmin edilebileceği gibi belki de en bariz örnektir. LinkedIn, dünyadaki en büyük açık kurumsal bilgi veri tabanı olarak tanımlanabilir: İş unvanları, roller, sorumluluklar ve iç ilişkiler konusunda gerçek bir hazine. Ayrıca işe alım uzmanlarının iş ilanlarını paylaştıkları yer de burasıdır ve bu ilanlarda, daha sonra spearphishing saldırılarında kullanılabilecek teknik ayrıntılar aşırı derecede paylaşılabilir.
GitHub, siber güvenlik bağlamında, dikkatsiz geliştiricilerin sabit kodlanmış sırları, IP ve müşteri bilgilerini paylaştıkları bir yer olarak daha iyi bilinir. Ancak proje adları, CI/CD pipeline adları ve kullandıkları teknoloji yığınları ve açık kaynak kütüphaneleri hakkında daha zararsız bilgiler de paylaşabilirler. Git commit yapılandırmalarında kurumsal e-posta adreslerini de paylaşabilirler.
Ayrıca Instagram ve X gibi klasik tüketici odaklı sosyal platformlar da vardır. Çalışanlar bu platformlarda konferanslara ve diğer etkinliklere ilişkin seyahat planlarının ayrıntılarını paylaşabilirler ve bu bilgiler kendilerine ve kuruluşlarına karşı silah olarak kullanılabilir. Şirketinizin web sitesindeki bilgiler bile dolandırıcılar veya hackerlar için yararlı olabilir. Teknik platformlar, satıcılar ve ortaklar hakkındaki ayrıntılar veya birleşme ve satın alma faaliyetleri gibi önemli kurumsal duyurular gibi bilgileri düşünün. Bunların tümü, sofistike phishing saldırıları için bir bahane oluşturabilir.
Şirket bilgileri silah olarak kullanılır mı?
Tipik bir sosyal mühendislik saldırısının ilk aşaması istihbarat toplamaktır. Bir sonraki aşama ise alıcıyı cihazına farkında olmadan kötü amaçlı yazılım yüklemeye ikna etmek için tasarlanmış bir spearphishing saldırısında bu istihbaratı silah olarak kullanmaktır. Ya da potansiyel olarak, ilk erişim için kurumsal kimlik bilgilerini paylaşmaya ikna etmektir. Bu, e-posta, kısa mesaj veya telefon görüşmesi yoluyla gerçekleştirilebilir. Ayrıca bu bilgileri kullanarak e-posta, telefon veya video görüşmesinde C düzeyinde bir yönetici veya tedarikçi kimliğine bürünerek acil bir havale talebinde de bulunabilirler.
Bu çabalar genellikle kimlik taklidi, aciliyet ve alaka düzeyinin bir karışımını gerektirir. İşte bazı varsayımsal örnekler:
- Bir saldırgan, A şirketinde BT pozisyonunda yeni başlayan bir çalışanın LinkedIn bilgilerini, temel görev ve sorumlulukları da dâhil olmak üzere bulur. Hedefin adını, iletişim bilgilerini ve görevini referans göstererek acil bir güvenlik güncellemesi gerektiğini iddia eden önemli bir teknoloji tedarikçisi gibi davranır. Güncelleme bağlantısı kötü amaçlıdır.
- Bir tehdit aktörü, GitHub’da iki iş arkadaşı hakkında, üzerinde çalıştıkları proje dâhil olmak üzere bilgi bulur. Birinin kimliğine bürünerek diğerine ekli bir belgeyi incelemesini isteyen bir e-posta gönderir. Bu belge, kötü amaçlı yazılım içeren bir tuzaktır.
- Bir dolandırıcı, LinkedIn’de veya bir şirketin web sitesinde bir yöneticinin videosunu bulur. Hedefin Instagram/X feed’inde, bir konferansta sunum yapacağı ve ofisten uzak olacağı bilgisini görür. Yöneticinin ulaşılması zor olabileceğini bilen dolandırıcı, video veya ses kullanarak derin sahte BEC saldırısı başlatır ve finans ekibinden bir üyesini, acil bir ödemeyi yeni bir tedarikçiye havale etmesi için kandırır.
Şirket bilgileri sızıntısından doğan ibretlik hikâyeler
Yukarıdakiler sadece varsayımlardır. Ancak saldırıların ilk aşamalarında “açık kaynak istihbaratı” (OSINT) tekniklerini kullanan tehdit aktörlerinin birçok gerçek örneği vardır. Bunlar arasında şunlar yer alır:
- Atlanta Çocuk Sağlığı Merkezi’ne (CHOA) 3,6 milyon dolar zarara yol açan bir BEC saldırısı: Saldırganlar, hastanenin inşaat ortağı da dâhil olmak üzere daha fazla ayrıntı öğrenmek için yeni duyurulan kampüsle ilgili basın bültenlerini taramış olmalıdır. Ardından LinkedIn ve/veya kurumsal web sitesini kullanarak ilgili inşaat firmasının (JE Dunn) kilit yöneticilerini ve finans ekibi üyelerini tespit etmişlerdi. Sonrasında da CHOA finans ekibine JE Dunn için ödeme bilgilerini güncellemeleri talebinde bulunan bir e-postada CFO’nun kimliğine büründüler.
- Rusya merkezli SEABORGIUM ve İran destekli TA453 grupları, önceden seçilmiş hedeflere yönelik spearphishing saldırıları öncesinde keşif için OSINT kullanıyor. İngiltere NCSC’ye göre, sosyal medya ve profesyonel ağ platformlarını “hedeflerinin ilgi alanlarını araştırmak ve gerçek dünyadaki sosyal veya profesyonel bağlantılarını belirlemek” için kullanıyorlar. E-posta yoluyla güven ve ilişki kurulduktan sonra kurbanların kimlik bilgilerini toplamak için bir bağlantı gönderiyorlar.
Paylaşımı durdurmak mı? Spearphishing riskini nasıl azaltabilirsiniz?
Aşırı paylaşımın riskleri gerçektir ancak neyse ki çözümleri basittir. Elinizdeki en güçlü silah eğitimdir. Yöneticilerden tüm çalışanlara kadar herkesin sosyal medyada aşırı paylaşım yapmamanın önemini anlamasını sağlamak için güvenlik farkındalık programlarını güncelleyin. Bazı durumlarda bu, her ne pahasına olursa olsun çalışanların savunuculuğundan uzaklaşarak önceliklerin dikkatli bir şekilde yeniden dengelenmesini gerektirecektir. Çalışanları, kullanıcıyı tanıdıkları hâlde (hesapları ele geçirilmiş olabilir) istenmeyen DM’ler yoluyla paylaşım yapmamaları konusunda uyarın. Ayrıca phishing, BEC ve deepfake girişimlerini tespit edebilmelerini sağlayın.
Bunu, sosyal medya kullanımıyla ilgili katı bir politika ile destekleyin, paylaşılabilecek ve paylaşılamayacak şeyler konusunda kırmızı çizgiler belirleyin ve kişisel ve profesyonel/resmî hesaplar arasında net sınırlar uygulayın. Kurumsal web siteleri ve hesaplar da silah olarak kullanılabilecek bilgileri kaldırmak için gözden geçirilip güncellenmesi gerekebilir.
Profesyonel hesapların ele geçirilerek iş arkadaşlarını hedef alması ihtimaline karşı, çok faktörlü kimlik doğrulama (MFA) ve güçlü parolalar (parola yöneticisinde saklanan) tüm sosyal medya hesaplarında zorunlu hâle getirilmelidir.
Son olarak, mümkün olduğunda spearphishing ve BEC için kullanılabilecek herhangi bir bilgi için halka açık hesapları izleyin. Çalışanların farkındalıklarını test etmek için takım egzersizleri yapın.
Ne yazık ki yapay zekâ, tehdit aktörlerinin hedefleri profillemesini, OSINT toplamalarını ve ardından mükemmel doğal dilde ikna edici e-postalar/mesajlar oluşturmalarını her zamankinden daha hızlı ve kolay hâle getiriyor. Yapay zekâ destekli deepfake’ler, seçeneklerini daha da artırıyor. Sonuç olarak, kamuya açık bir bilgi varsa siber suçluların da bunu bildiğini ve kapınızı çalma ihtimalini bilmelisiniz.
