Çalışanları kimlik avı saldırılarını nasıl tespit edebilecekleri konusunda eğitmek, ağ savunucuları için zor bir iş olabilir
Tasarım gereği güvenlik, siber güvenlik uzmanları için uzun zamandır önemli bir amaç olmuştur. Basit bir konsepte sahiptir: İleride ihlal olasılığını en aza indirmek için ürünlerin olabildiğince güvenli olacak şekilde tasarlandığından emin olmak. Konseptin kapsamı, DevOps geliştirme çalışmalarından çalışanlarının günlük çalışma uygulamalarına kadar, bir kuruluşun her bölümünde güvenliği yerleştirme çabasını göstermek için son yıllarda daha da genişletildi. Kuruluşlar bunun gibi güvenlik öncelikli bir kültür oluşturarak hem siber tehditlere karşı daha dirençli hem de bir ihlal durumunda, bunun etkilerini en aza indirgemelerini sağlayacak şekilde daha donanımlı olurlar.
Teknoloji kontrolleri, elbette, bu tür derinlemesine yerleşik bir güvenlik kültürünün yaratılmasına yardımcı olacak önemli bir araçtır. Günümüzde kurumsal güvenliğe yönelik en büyük tehditlerden birini hafifletmede son derece önemli bir rol oynayan ve genel siber güvenlik farkındalık eğitim programlarında başlıca öğelerden biri olması gereken kimlik avı farkındalığı eğitimi de öyle.
Kimlik avı neden bu kadar etkili?
ESET Tehdit Raporu T1 2022’ye göre, e-posta tehditlerinde, 2021'in son dört ayına kıyasla, 2022'nin ilk dört ayında yüzde 37'lik bir artış görüldü. Engellenen kimlik avı URL'lerinin sayısı neredeyse aynı oranda arttı ve birçok dolandırıcı Rusya-Ukrayna savaşına yönelik genel ilgiyi suistimal etmekte.
Kimlik avı dolandırıcılıkları saldırganların kötü amaçlı yazılım yüklemek, kimlik bilgilerini çalmak ve kullanıcıları kurumsal para transferleri yapmaları için kandırmak amacıyla kullandıkları en başarılı yollardan biri olmaya devam ediyor. Peki neden? Dolandırıcıların meşru göndericileri taklit etmelerine yardımcı olan sahte e-posta taktiklerinin bir birleşimi olmasından ve alıcıyı, söz konusu eylemin sonuçlarını düşünmeden harekete geçirmek için acele etmesini sağlayacak şekilde tasarlanmış sosyal mühendislik tekniklerinden dolayı.
Bu taktikler arasında şunlar yer alıyor:
Sahte gönderici kimlikleri / etki alanları / telefon numaraları ve bazen de yazım hataları ya da uluslararasılaştırılmış alan adları (IDN'ler) kullanma
Kimlik avı girişimleri olarak tespit edilmesi neredeyse imkânsız olan ele geçirilmiş gönderici hesapları
Hedefe yönelik kimlik avı girişimlerini daha inandırıcı hale getirmek için çevrimiçi araştırma (sosyal medya aracılığıyla)
Resmi logolar, üst bilgiler, alt bilgiler vb. kullanılması
Kullanıcıyı aceleyle karar vermeye iten bir aciliyet veya heyecan duygusu yaratmak
Gönderenin gerçek hedefini gizleyen kısaltılmış bağlantılar
Yasal görünümlü giriş portalları, web siteleri vb. oluşturma
Son yayımlanan Verizon DBIR raporuna göre, geçen yıl güvenlik olaylarının büyük kısmından dört vektör sorumluydu: kimlik bilgileri, kimlik avı, güvenlik açıklarından yararlanma ve botnet'ler. Bunlardan ilk ikisi insan hatası ile ilgilidir. Raporda incelenen toplam ihlallerin dörtte biri (%25), sosyal mühendislik saldırılarının sonucuydu. İnsan hataları ve ayrıcalığın kötüye kullanılmasıyla bir araya geldiğinde, insan unsuru tüm ihlallerin %82'sini oluşturuyordu. Bu da, herhangi bir Bilgi Güvenliği Başkanı (CISO) için bu zayıf halkayı güçlü bir güvenlik zincirine dönüştürmeyi öncelik haline getirmelidir.
Kimlik avı nelere yol açabilir?
Kimlik avı saldırıları son iki yılda daha da büyük bir tehdit haline geldi. Muhtemelen yamanmamış ve yetersiz korunan cihazlara sahip dikkati dağınık ve evden çalışan kişiler, tehdit aktörleri tarafından acımasızca hedef alındı. Nisan 2020'de Google, dünya çapında her gün 18 milyon kadar kötü amaçlı ve kimlik avı e-postasını engellediğini iddia etti.
Bu çalışanların çoğu ofise geri döndükçe, daha fazla sayıda SMS ile kimlik avı (smishing) ve sesli arama tabanlı kimlik avı (vishing) saldırısına maruz kalmaları riski de söz konusudur. Hareket halindeki kullanıcıların bağlantılara tıklamaları ve açmamaları gereken ek dosyaları açma olasılıkları daha yüksek olabilir. Bu durum ise şunlara yol açabilir:
Fidye yazılımı indirmeleri
Bankacılık Truva Atları
Veri hırsızlığı/ihlalleri
Kötü amaçlı kripto madenciliği yazılımları
Botnet dağıtımları
Takip eden saldırılarda kullanılmak üzere ele geçirilen hesaplar
Sahte faturalar/ödeme isteklerine bağlı olarak para kaybedilmesiyle sonuçlanan iş e-postalarının ele geçirilmesi (BEC)
Finansal ve itibari yansımaları çok büyüktür. Bir veri ihlalinin ortalama maliyeti bugün rekor bir seviye olan 4,2 milyon doların üzerindeyken, bazı fidye yazılımı ihlalleri bunun kat be kat üstüne mal olmaktadır.
Hangi eğitim taktikleri işe yarıyor?
Yakın dönemde yapılan küresel bir araştırma, çalışanlar için güvenlik eğitimi ve farkındalığın, önümüzdeki yıl kuruluşların en büyük harcama önceliği olduğunu ortaya koydu. Ancak buna karar verildikten sonra, en iyi yatırım getirisini hangi taktikler sağlayacak? Şunları sunan eğitim kurslarını ve araçları değerlendirin:
Tüm kimlik avı kanallarında (e-posta, telefon, sosyal medya vb.) geniş kapsam
Korkuya dayalı mesajlar yerine olumlu pekiştirme kullanan eğlenceli dersler
Gelişen kimlik avı saldırılarını yansıtacak şekilde BT personeli tarafından uyarlanabilen, gerçek dünya simülasyon alıştırmaları
15 dakikadan uzun olmayacak kısa dersler halinde, yıl boyunca devam edecek eğitim oturumları
Geçici çalışanlar, sözleşmeli çalışanlar ve üst düzey yöneticiler de dahil, tüm çalışanları kapsama. Ağ erişimi ve kurumsal hesabı olan herkes olası bir kimlik avı hedefidir
Bireyler hakkında daha sonra paylaşılabilecek ve ileriye dönük olarak, oturumları iyileştirmek için kullanılabilecek ayrıntılı geri bildirim sağlama amaçlı analizler
Belirli rollere göre uyarlanmış, kişiselleştirilmiş dersler. Örneğin, finans ekibi üyelerinin BEC saldırılarıyla nasıl başa çıkılacağı konusunda ek rehberliğe ihtiyaçları olabilir
Oyunlaştırma, atölye çalışmaları ve kısa testler. Bunlar BT uzmanları tarafından kendilerine “ders verildiğini” hissetmeleri yerine, kullanıcıları meslektaşlarıyla rekabet etmeleri için motive etmeye yardımcı olabilir. En popüler araçlardan bazıları, eğitimi "daha akılda kalıcı", daha kullanıcı dostu ve ilgi çekici hale getirmek için oyunlaştırma tekniklerini kullanır.
Kendi başına yapılabilen kimlik avı alıştırmaları Birleşik Krallık Ulusal Siber Güvenlik Merkezi'ne (NCSC) göre, bazı şirketler kendi kimlik avı e-postalarını oluşturmalarını sağlayarak kullanıcılara "kullanılan tekniklere dair çok daha kapsamlı bir bakış açısı" edinme fırsatı sağlıyor.
Raporlamayı unutmayın
Kuruluşunuza uygun eğitim programını bulmak, çalışanları kimlik avı saldırılarına karşı güçlü bir ilk savunma hattına dönüştürmek için atılan hayati bir adımdır. Ama olası kimlik avı girişimlerinin rapor edilmesinin teşvik edildiği, açık bir kültür oluşturmaya da odaklanılmalıdır. Kuruluşlar raporlama için kullanımı basit, net bir süreç oluşturmalı ve çalışanlara herhangi bir uyarının araştırılacağı konusunda garanti vermelidir. Kullanıcılar yalnızca BT değil, aynı zamanda İK ve üst düzey yöneticiler de dahil olmak üzere, tüm kuruluşun destek vermesini gerektirebilecek bu konuda desteklendiklerini hissetmelidir.
Sonuç olarak, kimlik avı farkındalığı eğitimi, sosyal mühendislik tehditleriyle mücadeleye yönelik çok katmanlı bir stratejinin yalnızca bir parçası olmalıdır. En eğitimli personel bile, bazen karmaşık dolandırıcılıkların kurbanı olabilir. Bu yüzden güvenlik kontrolleri de önemlidir: Siz de çok faktörlü kimlik doğrulamasını, düzenli olarak test edilen olay yanıt planlarını ve DMARC gibi sahteciliğe karşı koruma teknolojilerini göz önünde bulundurun.