Sosyal mühendislik saldırıları, sürekli gelişen siber güvenlik tehditleri ortamında hem bireyler hem de kuruluşlar için en önemli endişe kaynağı olmaya devam ediyor. IT departmanları için farklı türdeki zorlukların farkında olmak ve çalışanların riskleri anlamasına ve önlemesine yardımcı olmak çok önemlidir. İşte dijital güvenlik altyapınızı nasıl güçlendirebilmeniz için bazı ipuçları.
İnsan unsuru
Teknoloji dijital güvenlikte önemli bir rol oynasa da insan unsuru kritik bir faktör olmaya devam etmektedir. Verizon 2023 Veri İhlali Araştırmaları Raporu’na göre, ihlallerin %74’ü sosyal mühendislik saldırıları, hatalar ve kötüye kullanımı içeren insan unsurunu içermektedir. Bu istatistik, çalışanları çeşitli saldırı türleri ve koruma yöntemleri hakkında eğitmenin önemini vurgulamaktadır.
Muhtemelen şirketinizdeki herkes phishing, yani oltalama hakkında bir şeyler duymuştur, fakat kavramın bilinmesi tehlikesini azaltmıyor. Aksine, oltalama e-postaları, saldırganların güvenilir varlıklar gibi davranarak bireyleri; parolalar, kredi kartı bilgileri veya kişisel kimlik bilgileri gibi hassas bilgileri ifşa etmeleri için kandırmaya çalıştıkları en üretken siber suç teknikleri arasında yer almaya devam etmektedir. Genellikle, meşru kuruluşları veya kişileri taklit eden web sitelerine bağlantılar içeren sahte e-postalar gibi aldatıcı taktikler kullanırlar. Birçok kişinin düşünebileceği gibi, e-posta dolandırıcılık için tek araç değildir ve son zamanlarda en etkili araç da olmamıştır. Şimdi diğer bazı kimlik avı biçimlerine bakalım.
Vishing: Telefonla sosyal mühendislik
“Sesli oltalama “nın kısaltması olan Vishing, dolandırıcıların telefon aramalarını veya sesli mesajları kullanarak bireyleri hassas bilgileri ifşa etmeleri veya hileli ödemeler yapmaları için kandırmalarını içerir. Bu saldırıların karmaşıklığı, insan taklidi yapanlardan otomatik robocall’lara kadar değişmektedir. Bazı dolandırıcılar, aldatmacalarını geliştirmek için yasal telefon numaralarını kullanarak çağrı sahteciliği bile yapmaktadır. Vishing’in en son versiyonu, daha da inandırıcı hale getirmek için yapay zekâ araçlarını kullanarak belirli bir kişinin sesini taklit edebilen deepfake aramaları içerir.
Smishing: SMS ile sosyal mühendislik
Smishing veya “SMS phishing”, kurbanları belirli eylemleri gerçekleştirmeye yönlendirmek için metin veya mesajlaşma uygulamaları aracılığıyla hileli mesajlar göndermek anlamına gelir. Mesajlar genellikle alıcıları kötü niyetli web sitelerine, giriş sayfalarına veya uygulamalara yönlendiren bağlantılar içerir. Bu kanallara erişildiğinde, ödeme kartı bilgileri de dahil olmak üzere kişisel bilgiler alınabilir veya kurbanın cihazına kötü amaçlı yazılım bulaştırılabilir.
Sosyal mühendislikle etkili bir şekilde mücadele etmek için yaygın dolandırıcılıkları ve hedeflerini aklınızda bulundurun:
Ödeme yapmanız gerekiyor: Dolandırıcılar örneğin devlet kurumu temsilcisi gibi davranarak ödeme yapılmaması halinde para cezası veya tutuklama tehdidinde bulunurlar. Diğer örnekler arasında saldırganın şirketin CEO’su gibi davranarak çalışanlardan birinden hızlı ödeme istemesi veya tedarikçilerin çalışanlarla iletişime geçerek paketler ve mallar için tazminat talep etmesi sayılabilir.
Hesabınızı doğrulayın: Dolandırıcılar, diğer finansal kurumların yanı sıra, Netflix gibi eğlence platformlarını veya kullanıcıların kişisel profillerinin bulunduğu dijital mağazaları taklit eder. Hesapta olağandışı faaliyetler olduğunu iddia ederler, kullanıcıları sahte web sitelerine yönlendirirler ve doğrulama amacıyla giriş bilgilerini talep ederler.
Programa kaydolun: Dolandırıcılar, devlet programı temsilcileri gibi davranarak, kişisel ve finansal verileri toplarken kayıt konusunda yardım teklif ederler. Bu, kullanıcıların bir parola ile hesap oluşturdukları web seminerlerine ve diğer etkinliklere davet içeren sahte e-postaları içerebilir. Bu, öncelikle kişinin farklı hesaplar için aynı şifreyi kullanması durumunda bir sorundur çünkü dolandırıcıya hesapları ele geçirmek için kolay bir geçiş izni verir.
Siparişinizi veya teslimatınızı onaylayın: Mağdurlar, var olmayan paketleri izlemek veya siparişleri onaylamak için sahte bağlantılar alır ve bu da oturum açma kimlik bilgilerinin alınmasına veya kötü amaçlı yazılım yüklenmesine yol açar. Bu daha sonra aynı oturum açma bilgileriyle diğer web sitelerine sızmak için kullanılabilir. Şüpheli bağlantılara tıklamamak ve gelen e-postalarda dolandırıcılık belirtisi olup olmadığını kontrol etmek çok önemlidir.
Bir ödül kazandınız: Dolandırıcılar bireyleri bir yarışmayı kazandıkları konusunda bilgilendirir ve ardından kişisel bilgilerini veya banka hesaplarına erişim talep eder. Daha sonra kişisel veriler hesaplardan çekilebilir ve potansiyel olarak önemli mali hasara neden olabilir. Herhangi bir yarışma sonucunu resmi organizatör aracılığıyla doğrulamak çok önemlidir.
Teknik destek: Dolandırıcılar kendilerini IT desteği olarak tanıtır ve bilgisayarlarındaki bir şeyi uzaktan düzeltmeleri veya güncellemeleri gerektiğini iddia ederek kullanıcılardan erişim kimlik bilgilerini vermelerini ister. Bu, dolandırıcıların kişisel verilere ve hassas bilgilere erişim sağlamasına olanak tanır. IT veya İK departmanlarının genellikle çalışanlardan telefon veya e-posta yoluyla özel bilgilerini paylaşmalarını istemediğini unutmamak önemlidir.
Çalışanlar için temel sosyal mühendislik kuralları
Çalışanların kendilerini çeşitli sosyal mühendislik türlerine karşı korumak için benimseyebilecekleri birkaç iyi yöntem vardır:
- Duraklayın, düşünün ve sonra harekete geçin: Dolandırıcılar kurbanları manipüle etmek için aceleye güvenirler. Talepleri değerlendirmek için zaman ayırın ve aceleci davranmaktan kaçının. Kısa mesajlardaki bağlantılara tıklamaktan kaçının ve iletişimin meşruiyetini doğrulamak için kuruluşun resmi web sitesini ziyaret edin.
- Bilinmeyen numaralara karşı şüpheci olun: Tanıdık olmayan veya şüpheli numaralardan gelen aramaları veya kısa mesajları doğrulayın. Herhangi bir kişisel bilgiyi ifşa etmekten veya mesajlardaki bilinmeyen bağlantılara tıklamaktan kaçının. Bu, bu tür dolandırıcılıkların kurbanı olma olasılığınızı en aza indirmenize yardımcı olur.
- Kişisel bilgilerinizi gizli tutun: Hesap numaraları, kimlik numaraları, parolalar veya Çok Faktörlü Kimlik Doğrulama (MFA) kodları gibi hassas bilgileri asla bilinmeyen kişilere telefonda veya bir mesajla açıklamayın. Meşru kuruluşlar bu tür bilgileri istenmeyen aramalar veya mesajlar yoluyla talep etmez.
- Kimliği doğrulayın: Bir şirketi veya devlet kurumunu temsil ettiğini iddia eden birinden mesaj alırsanız, doğrudan etkileşime girmekten kaçının. Bunun yerine, web sitelerinde bulunan resmi iletişim bilgilerini kullanarak kuruluşla iletişime geçerek gerçekliğini bağımsız olarak doğrulayın.
- Güçlü güvenlik önlemlerini etkinleştirin: Hesaplarınızı korumak için güçlü ve benzersiz parolalar kullanın. Uzun ve karmaşık parolalar veya parolalar oluşturmak ve bunları güvenli bir şekilde saklamak için parola oluşturucuları ve yöneticileri kullanmayı düşünün. Ekstra bir koruma katmanı eklemek için mümkün olduğunda Çok Faktörlü Kimlik Doğrulama (MFA) kullanın.
Dijital güvenlik farkındalık eğitimi, siber tehditlere karşı korumanızın hayati bir parçasıdır. Çalışanlar için ücretsiz Kimlik Avı Dolandırıcılığı El Kitabını indirin ve ekibinizle paylaşın.
