Sosyal mühendislik bu yıl Cybermonth’un kalbinde yer aldı. İnsanların zayıf noktalarından ve güvenlerinden faydalanarak onları dolandırıcılık amacıyla manipüle eden bu taktik, şirketlerin yeni çalışanlarını özellikle savunmasız hale getiriyor.
Yöneticilerimiz, meslektaşlarımız ve hatta tedarikçilerimiz gibi davranan SMS, e-posta veya Whatsapp mesajları almak giderek yaygınlaşıyor. Bazıları açıkça yanlış gibi görünse de, diğerleri daha zararlı ve gerçekçidir. Bu nedenle gerçeği kurgudan ayırmak artık eskisi kadar açık değil ve bir sorun olması durumunda, ilgili şirket için finansal ve itibarla ilgili sonuçlar önemli olabilir.
Her zamankinden daha hedefe yönelik teknikler
2024 yılı, sosyal mühendislik kullanan çeşitli kimlik avı türlerinin yaygınlaşmasıyla damgasını vuracak. Kamu kuruluşlarının e-posta veya SMS yoluyla kişisel bilgi talep etmesi gibi davranan ‘klasik’ kimlik avına ek olarak, giderek daha fazla teknik insanları profesyonel bağlamlarında hedef alıyor.
Reklamcılık
Bir bilgisayar korsanının iş lideri gibi davrandığı ‘başkan dolandırıcılığı’ yaygındır. Oldukça benzer şekilde, ‘İş E-postasının Uzlaşması’ (BEC) da özellikle tehlikelidir. Profesyonel e-postaların bu şekilde ele geçirilmesi, alıcının (bir tedarikçi veya müşteri) gerçekçi ve meşru bir taleple (iletişim bilgilerinin değiştirilmesi, fatura gönderme, elektronik imza talebi…) düzenli olarak iletişim kurduğu bilinen bir kaynak gibi davranan bir bilgisayar korsanını içerir. . Bilgisayar korsanları “sahtekarlık” yöntemini kullanabilir, yani bir e-posta adresini ilk bakışta orijinal gibi görünen küçük değişikliklerle taklit edebilir; veya çok yüksek derecede içerik kişiselleştirmeye sahip mesajları içeren hedef odaklı kimlik avı. Tüm bu çalışma yöntemleri, alıcıların otoritesine duyulan güven, acele ve bazen de “korku” ile oynuyor.
Yeni çalışanlar için artan güvenlik açığı
Bu saldırıların gelişimindeki en dikkat çekici gerçek, giderek hedef odaklı ve gerçekçi olmalarıdır. Örneğin daha önceleri, bir şirketin tüm iş gücünün bir dizi ‘CEO dolandırıcılığı’ spam e-postasıyla hedef alınması, CEO gibi davranan, gizli bilgi talep eden veya çağrı talep eden e-postaların hedef alınması yaygın bir durumdu. Artık sadece belirli adreslerle, belirli bir temayla iletişime geçiliyor.
Bu nedenle bilgisayar korsanları son derece iyi bilgi sahibidir (özellikle LinkedIn gibi sosyal ağlara nüfuz etmeleri sayesinde) ve çalıştıkları yöntemleri özellikle etkili bir şekilde uygulamak için sosyal mühendisliği önceden kullanırlar. Bu tür dolandırıcılık durumunda, özellikle yeni çalışanlar söz konusu olduğunda en iyi sonuç veren yöntem, otoriteyi dinlemektir. İkincisi özellikle savunmasızdır çünkü çoğu zaman şirketin süreçlerine henüz aşina değillerdir. Bu durum, üstlerinden belirli bir taleple mesaj almanın ne kadar gerçekçi olduğunu değerlendirmelerini zorlaştırıyor.
Eğitim, öngörü, birleşik çözümler: en iyi uygulamalar
Çok yönlü ve büyüyen bir tehlike karşısında ne yapmalı? Şirketler çalışanlarını daha iyi korumak ve desteklemek için çeşitli stratejiler benimseyebilir.
Eğitim hala vazgeçilmezdir. Yeni çalışanlar için, güvenlik politikalarının sunumunu ve işe alım sırasındaki riskli davranış örneklerini entegre etmek verimli olabilir. Buna göre CLUSIF için yakın zamanda gerçekleştirilen bir Ipsos çalışmasıFransız çalışanlar siber saldırılarla bağlantılı risklerin büyük ölçüde farkında olsalar bile, sürekli eğitime yönelik güçlü bir ihtiyacın devam ettiği gerçeği devam ediyor. Bu nedenle düzenli simülasyonlar ve etkileşimli senaryolar gereklidir.
Tekniklerin gelişimine paralel olarak çalışma dünyasını oluşturan farklı kuşakların siber tehditlere yönelik tutumlarının da dikkate alınması gerekmektedir. Birçok son çalışmalar gerçekten de Z kuşağı, ‘y kuşağı’ ve ‘boomer’lar arasındaki gerçek davranış farklılıklarını gösteriyor. Bu nedenle şirketlerin, genç kuşakları (ve yöneticileri) riskli davranışların somut sonuçları konusunda eğitmeye odaklanması ve aynı zamanda onların teknoloji konusundaki rahatlığını da dikkate alması gerekiyor. Daha yaşlı nesiller için kendilerini değişen dijital ortama hazır hissetmelerini sağlamak çok önemli.
Aynı derecede önemli olan, ister şifreleme, gelişmiş gönderen kimlik doğrulaması, kimlik avı önleme yazılımı, korumalı alan oluşturma teknolojileri veya örneğin ‘başkan sahtekarlığına’ özel olarak uyarlanmış çözümler olsun, mevcut iş akışlarıyla entegre olan açık, sezgisel e-posta güvenlik araçlarının kullanılmasıdır. Amaç? Gelen ve giden her mesaj üzerinde maksimum kontrol sağlayın. Tüm çalışanların spam’ı tanımlamasını sağlayın, bunu bildirmeyi kolaylaştırın ve spam riskini en aza indirin.
Sosyal mühendislikle mücadele etmek, özellikle de yeni çalışanları korumak için ortak eylemde bulunmak çok önemlidir. Sıfır risk muhtemelen hiçbir zaman var olamayacak, ancak çalışanların güvenliğini sağlamak için reaktif olmaktan ziyade proaktif bir duruş benimsemek çok önemli.
