Interpol kısa süre önce “vishing” dolandırıcılığında bir artış olduğunu ortaya çıkardı. Bu kampanyalar sırasında, bilgisayar korsanları kurbanları kandırarak giriş bilgilerini sağlamaları için kurum gibi davrandı. Bu bulgu, kısmen, bu yıl iki ay içinde sosyal mühendislik haraççılığına yönelik bir baskıda 2.000 tutuklamadan kaynaklanıyor. İster şirket ister kullanıcı düzeyinde olsun, kişisel bilgilerini herhangi bir tavizden korumak için doğru önlemleri almak zorunlu hale gelir.
Vishing, telefon görüşmesi ve özellikle düşük maliyeti nedeniyle VoIP (İnternet Protokolü Üzerinden Ses) kullanan bir saldırı vektörüdür. Bu senaryoda, siber suçlular, örneğin finansal veya kişisel bilgileri, parolaları veya hesap numaralarını çıkarmak veya bir kullanıcıyı kötü amaçlı yazılım indirmeye ikna etmek için kendilerini güvenilir ve bazen bir CEO gibi üst düzey kişiler olarak sunar. Aslında, bir vishing saldırısının amacı, bir phishing saldırısının amacı ile aynıdır. Bununla birlikte, bilgisayar korsanlarının sahte bir bağlantı yerine bir bireyin güvenini kazanmasına izin veren psikolojik bir ikna gücü kullanır ve bu da onu daha da zorlu hale getirir.
Bir önleme ilkesi dağıtın
Bu tür bir uzlaşmaya karşı korunmanın ilk adımı, farkındalığın merkezinde yer aldığı bir avlanma karşıtı stratejiyi proaktif olarak geliştirmektir. Çalışanlar ve ortaklar, aramaların doğası gereği güvensiz olduğunu ve dikkatle ele alınması gerektiğini anlamalıdır. Bir ön savunma katmanı sağlamak için bir şirket birkaç güvenlik cihazı uygulayabilir. Çağrının doğruluğunu fark eden bir uygulama özellikle faydalıdır. Gerçekten de, bilgisayar korsanları VoIP seçenekleri aracılığıyla kolayca yanlış numaralar oluşturabilir. Bunları algılayabilen ve standart bir telefona bağlı olup olmadıklarını kontrol edebilen bir araç indirmek, kuruluşun herhangi bir dolandırıcılığı önlemesi için iyi bir yoldur.
İzlenecek iyi uygulamalar konusunda eğitim de bir öncelik haline gelmelidir. Çalışan düzeyinde bu farkındalık faydalıdır, çünkü saldırı girişimlerini tespit etmelerine, tepki vermelerine ve zamanında raporlamalarına yardımcı olur. Bireyler için, özellikle muhatabın kimliği doğrulanmadığında, herhangi bir kişisel bilgiyi SMS veya sesli arama yoluyla paylaşmaktan kaçınmak önemlidir. Kendilerini korumak için telefonu kapatabilir, ardından başka bir telefonla resmi bir numarayı arayanın talebinin meşru olduğunu onaylamak için arayabilirler. Gerçekten de, ulaşılan kişi aramayı sonlandırsa bile, hat açık kaldığı için dolandırıcı bir sonrakini yönlendirebilir. Özellikle siber suçlu, hassas verileri çalmak için banka veya devlet kuruluşu gibi güvenilir bir varlığın kimliğine bürünebilir.
Şirketler ayrıca arayan kimliklerinin nasıl doğrulanacağını ve ne tür bilgilerin ne zaman, kim tarafından ve kime açıklanabileceğini yöneten politikalar belirlemelidir. Ayrıca, çalışanların her talebi kime ileteceklerini ve şüpheli bir saldırı veya olağandışı bir olay durumunda izlenecek prosedürün ne olduğunu bilmeleri önemlidir. Bir finansal işlem gibi en kritik talepler için, aktarımdan önce birkaç doğrulama gerektiren bir stratejinin uygulanması ve ilgili tüm kişiler için sistemlere güvenli bir kimlik doğrulaması yapılması esastır. Ayrıca, ek bir güvenlik düzeyini garanti etmek için, bir kuruluşun sıfır güven yaklaşımı uygulama konusunda her türlü çıkarı vardır. Bu, kurumsal kaynaklara erişim sağlamak için, ağ çevresi içinde olsunlar veya olmasınlar, her cihazın ve her kullanıcının kimliğinin kesinlikle doğrulanmasını gerektirir. Bu siber tehditler karşısındaki zorluğun üstesinden gelmek için kuruluşlar, bu sıfır güven stratejisinin temel direklerinden birini temsil ettiğinden, güçlü kimlik doğrulamanın geniş ölçekli dağıtımını göz önünde bulundurmalıdır.
Etkili siber savunmanın temel taşı olan güçlü kimlik doğrulama
Vishing’in ne olduğunu anlamaya ve bu konuda uyanık kalmaya yardımcı olur, ancak eğitim yeterli değildir. Vishing gibi sosyal mühendislik saldırıları giderek daha karmaşık hale geliyor ve güvenlik açıkları, hedef alınabilecek çalışanlar için bir sorun olmaya devam ediyor.
Bu nedenle, farklı kritik cihazlar ve uygulamalar arasında güçlü çok faktörlü kimlik doğrulamanın (MFA) dağıtımı, artan güvenlik için faydalıdır. MFA ayrıca, yalnızca bir kategoriyi koruyan karmaşık nokta çözümlerinin aksine, kurumsal düzeyde benimsenmesini kolaylaştıran daha iyi bir kullanıcı deneyimi sunar.
“Güçlü” olarak nitelendirilmek için, kimlik doğrulama, yalnızca parolalar gibi paylaşılan sırlara değil, birden çok kimlik doğrulama aşamasına dayanmalıdır. Bir kez geçtikten sonra istenen erişimi sağlayan bu bağlantı aşamaları, örneğin uzaktan hacklenmesi imkansız olan bir biyometrik parmak izi, yüz ve hatta donanım güvenlik anahtarlarına dayalı olabilir. Savunma ağları ne kadar fazla katmana sahipse, siber suçlular için ek bir engel oluşturduğundan, vishing’e karşı o kadar sağlam bir güvenlikleri olacaktır.
Saldırı araçları ve özellikle avlanma girişimleri çoğaldıkça, veri koruma bir öncelik haline gelmelidir. Bunu yapmak için, güvenlik cihazlarının konuşlandırılması ve en iyi uygulamaların kullanıcı farkındalığı en uygun çözümlerdir. Her şeyden önce, siber suçlunun herhangi bir yaklaşımını bildirmeyi ve engellemeyi mümkün kılacaklar. Bir kuruluş ne kadar erken bilgilendirilirse, o kadar erken yanıt verebilir, iş sürekliliğini sağlayabilir ve sistemlerini koruyabilir.
