En basit “bir ödül kazandınız” dolandırıcılığından en karmaşık casus kampanyalarına kadar, e-posta gelen kutularımızı hedef alan saldırılar hala başarılı.
Siber suçluların ve bilgisayar korsanlarının milyonlarca kimlik avı e-postası göndermeye devam etmesi boşuna değil.
Gerçekten de, ister evden çalışıyor olun, ister ofiste, e-posta her zaman iş hayatımızda önemli bir rol oynar. Elbette artık Slack, Zoom veya Microsoft Teams veya kullanmanız gereken diğer üretkenlik yazılımları için bir yer var.
E-postanın güçlü ve zayıf yönleri aynıdır
Ancak çoğu insan için iş yine de e-postaya bağlıdır.
-
E-posta güçlü yönleri: herkes size e-posta gönderebilir ve her türlü eki ekleyebilir. - E-postanın zayıf yönleri: herkes size e-posta gönderebilir ve her türlü eki ekleyebilir.
Bu, onu piyasadaki en güçlü üretkenlik araçlarından biri ve büyük bir risk kaynağı yapar.
E-postalarınızı okumak için ne kadar zaman harcıyorsunuz?
Çoğumuz hala aşırı e-posta yüklemesiyle uğraşıyoruz (buna artık tüm diğer iletişim araçları da eklendi). Bu, her gün iş arkadaşlarınızdan, müşterilerden veya iş yaptığınız diğer kişilerden gelen yüzlerce mesaja hâlâ potansiyel olarak baktığınız ve yanıt vermeye çalıştığınız anlamına gelir.
Ancak bu mesajları okumak için ne kadar zaman harcıyorsunuz? Gerçekten olduklarını iddia ettikleri kişiler mi?
Siber suçlular, zamanımızın sınırlı olduğunu ve gelen kutumuza gelen her iletiyi dikkatli bir şekilde analiz etme fırsatımızın olmayacağını biliyorlar – kimlik avının hala bu kadar popüler olmasının nedenlerinden biri de budur.
Mağduru suçlamak bir hatadır
Ve her türlü kötü amaçlı kampanya için kullanıyorlar; İster kullanıcı adımızı ve parolamızı girmemizi isteyen sahte ama ikna edici bağlantılara tıklamamız için bizi kandırıyor, ister bizi acil para transferleri yapmaya ikna ediyor, ister kötü amaçlı eklerden kötü amaçlı yazılım veya fidye yazılımı indirmemiz için kandırıyor olsun, kimlik avı siber ortamda etkili bir silah olmaya devam ediyor. bilgisayar korsanlarının cephaneliği.
Bazıları, kimlik avı e-postalarının hâlâ bu kadar etkili bir saldırı aracı olduğunu merak ediyor; bazen kurbanı doğrudan spam e-postayı açmakla ve talimatları uygulamakla suçlarlar – ancak kurbanı suçlamak bir hatadır.
Yeni başlayanlar için, virüsten koruma yazılımı ve istenmeyen e-posta filtreleri doğru bir şekilde kullanılmış ve uygulanmışsa, çoğu durumda kötü niyetli e-postaların kurumsal gelen kutularına düşme olasılığı çok daha düşük olacaktır – bu teknolojik bir sorundur, insani bir sorun değildir.
Spam’i işlemek ve ayırmak bizim için inanılmaz derecede zorlaştı
Ancak buna ek olarak, istenmeyen postaları işlemek ve gelen kutumuza gelen diğer her şeyden ayırmak bizim için inanılmaz derecede zor hale geldi, özellikle de çoğumuz için bu postaların çoğu ofis yönetimiyle ilgiliyse ve siber dolandırıcılar bunu biliyorsa.
Güvenlik ve kimlik avı eğitim sağlayıcısı KnowBe4’e göregeçen yıl boyunca kimlik avı e-postalarında kullanılan en yaygın konu satırları, bilgisayar yazılımı güncellemeleri, İK’dan gelen performans mesajları ve patronunuzun size bir toplantıya katılmanız için bir bağlantı gönderdiğini iddia eden mesajlardır.
Birçoğumuz, işimizin bir parçası oldukları için bu tür e-postaları her gün görmeye ve tıklamaya alışkınız. Patronunuzdan geldiğini ve beklenmedik bir toplantı olduğunu söyleyen bir e-posta alırsanız paniğe kapılabilir ve üzerine tıklayabilirsiniz.
Eğitim: yılda bir çoktan seçmeli anket yeterli değildir
Yazılım güncellemeleri ve güvenlik yamalarıyla ilgili olduğu iddia edilen mesajlar söz konusu olduğunda, kullanıcı sadece doğru olanı yapmaya çalışıyor. İronik bir şekilde, bu durumda, isteneni yaparak ve bilgisayarını siber saldırılara karşı korumaya yardım etmeyi düşünerek, yanlışlıkla birini teşvik ediyor.
Personeli kimlik avı konusunda eğitmek tamamen mümkün olsa da, bu eğitimin etkili olması gerekir – yılda bir çoktan seçmeli sınav yeterli değildir. Sahte kimlik avı e-postalarının, kurbanın her gün aldığı gerçek e-postalardan ayırt edilemeyecek şekilde tasarlandığı “yakaladım” türü kimlik avı testleri de değildir.
Kimlik avı saldırılarının – en azından yakın gelecekte – tamamen ortadan kaldırılması pek olası değildir, ancak kuruluşların ve bireylerin bu saldırılara karşı mümkün olduğunca korunmalarını sağlamak için atabilecekleri adımlar vardır.
Kimlik avı saldırıları insan doğasına bağlıdır
Yeni başlayanlar için, emin değilseniz hemen tıklamayın. E-postanın bir iş arkadaşınızdan geldiği iddia ediliyorsa, onun gönderip göndermediğini sormak için e-posta dışında bir kanal kullanın. Hesabınızla ilgili bir sorun nedeniyle acil eylem gerektiren bir e-postaysa, e-postadaki bağlantıya tıklamayın, bunun yerine resmi URL üzerinden hesaba giriş yapın; yanlış bir şey olursa size haber verilecektir.
Ek olarak, çok faktörlü kimlik doğrulamanın (MFA) kullanılması, saldırganlara karşı tamamen kusursuz olmasa da, kişisel ve kurumsal hesap kullanıcı adlarının ve parolalarının çalınmasını önlemeye yardımcı olabilir.
Kimlik avı saldırıları insan doğasına, umutlarımıza ve korkularımıza dayanır ve bu yüzden işe yararlar. Ve biz e-postayı değiştirmenin bir yolunu bulana kadar, ortadan kalkmaları pek olası değil.
Kaynak : “ZDNet.com”
