Hedefli e-posta saldırıları yükselişe geçti

0

Doxing taarruzlarında en sık kullanılan tekniklerden biri Business Email Compromise (BEC) taarruzları olarak öne çıkıyor. BEC hücumları, hatalıların şirketten biriymiş suretiyle çalışanlar ortasında e-posta zincirleri başlatmış olduğu bir gayeli hücumlar olarak tanımlanıyor. Kaspersky, Şubat 2021’de bu çeşit 1.646 akın tespit etti ve kuruluşların bilgilerini kamuya açık hale getiren doxing hücumları mevzusunda kamuoyunu uyardı. Genel olarak bu çeşit hücumların maksadı, müşterilerden zımnî detayları aşırmak ya da para çalmak olarak öne çıkıyor. 

Araştırmacılar, hatalıların para toplamak için gerçek e-postalara oldukca örnek e-postalar kullandığı ve amaç kuruluşların çalışanlarının kimliğine büründüğü hadiseleri nizamlı olarak tahlil ediyor. Bununla beraber BEC taarruzları, kuruluşa ziyan vermek için kamuya açık detayları kullanan akın çeşitlerinden bir tek biri. Bunun yanı sıra kimlik avı ya da profil derleme suretiyle nispeten açık usullerin yanı sıra daha yaratıcı, teknoloji odaklı yaklaşımlara da sıkça rastlanıyor. Bu çeşit ataklar öncesinde hatalılar çalışanların adları ve pozisyonları, bulundukları bölgeler, dinlence vakitleri ve irtibatları suretiyle toplumsal medyada ve diğer yerlerde bulabildikleri kamuya açık detayları toplayıp tahlil ediyor. 

En beğenilen kurumsal doxing hücumlarından biri kimlik hırsızlığı. Genel olarak saldırganlar, muhakkak çalışanların profilini çıkarmak ve kimliklerini kullanmak için ellerindeki bilgilerden faydalanıyor. Deepfake suretiyle yeni teknolojiler, halka açık bilgiler eşliğinde bu çeşit teşebbüslerin yürütülmesini kolaylaştırıyor. Mesela görüntüdekinin kuruluşun bir çalışanı olduğuna inanılan gerçekçi bir deepfake görüntüsü firmanın prestijine büyük ziyan verebiliyor. Bunun için saldırganlara hedeflenen çalışanın toplumsal medyada bulabilecekleri net bir fotoğrafı ve birazcık şahsî data yetiyor.

Ayrıyeten sesler de berbata kullanılabiliyor. Radyoda ya da podcast’lerde sunum icra eden bir üst düzey yönetici, potansiyel olarak sesinin kaydedilmesine ve ondan sonra öykünmek edilmesine taban oluşturuyor. Bu sayede çalışanlara yapılacak bir davetle acil banka havalesi talebi ya da satın alan veritabanının istenen bir adrese gönderilmesi suretiyle senaryolar mümkün hale geliyor.

Firmanın Güvenlik Araştırmacısı Roman Dedenok, şunları söz ediyor: “Kurumsal doxing, kuruluşun bilinmeyen detayları açısından gerçek bir tehdit ortaya koyan, göz arkası edilmemesi ihtiyaç duyulan bir mevzu. Doxing tehdidi kurum içindeki kuvvetli güvenlik prosedürleriyle önlenebilir ve risk en aza indirilebilir. Lüzumlu önlem alınmadığında ise bu tıp hücumlar oldukca mühim mali ziyana ve prestij yitirilmesine niçin olabilir. Elde edilmiş bâtın bilgiler ne kadar kırılgan olursa, ziyan o denli yüksek olacaktır.” 

Doxing riskini önlemek ya da en aza indirmek için uzmanlar şunları öneriyor: 

İşle ilgili bahisleri, resmi kurumsal iletileşme uygulamaları haricinde asla tartışmamak için katı kurallar oluşturun ve çalışanlarınızı bu kurallara kesinlikle uymalarını sağlayın.

Çalışanların saldırı teknikleri hakkında daha bilgili olmalarına ve siber güvenlik problemlerinin farkına varmalarına destek olun. Siber hatalılar tarafınca agresif bir halde kullanılan toplumsal mühendislik tekniklerine tesirli bir şekilde karşı koymanın tek yolu budur. Bunu yapmak için bir çevrimiçi eğitim platformundan faydalanabilirsiniz.

Çalışanları temel siber tehditler mevzusunda eğitin. Siber güvenlik bahislerinde tecrübeli bir çalışan saldırıyı önleyebilir. Mesela meslektaşından data isteyen bir e-posta aldığında, bildirisi sahiden gönderdiklerini doğrulamak için evvel meslektaşlarını araması icap ettiğini bilecektir.

Anti-spam ve anti-phishing teknolojilerinden yararlanın.

Cevap bırakın

E-posta hesabınız yayımlanmayacak.

Bu web sitesi deneyiminizi geliştirmek için çerezleri kullanır. Bununla iyi olduğunuzu varsayacağız, ancak isterseniz vazgeçebilirsiniz. Kabul etmek Mesajları Oku