Günümüzde siber tehdit aktörleri, ağlara sızmak için teknik saldırılara olduğu kadar ikna edici kimlik avı e-postaları şeklindeki psikolojik manipülasyona da güvenmeye devam ediyor.
Bu makalede, son dönemdeki kimlik avı saldırılarından alınan bazı dersler ele alınmakta ve şirketinizi etkileyen kimlik avı risklerini sınırlamak için uygulanabilir ipuçları vurgulanmaktadır.
Yakın Zamandaki Yüksek Profilli Kimlik Avı Saldırıları
Kimlik avı, tehdit aktörlerinin sistemlere ve ağlara ilk erişim elde etmesinin bir numaralı yoludur. IBM’in Tehdit İstihbaratı raporunun en son sürümü, analiz edilen siber olayların yüzde 41’inde kimlik avını ilk enfeksiyon vektörü olarak tanımladı.
Burada yakın zamanda gerçekleşen birkaç yüksek profilli kimlik avı saldırısına ve bunlardan alınan bazı derslere bir bakalım.
Kötü Amaçlı Microsoft Teams Sohbetleri
AT&T güvenlik araştırmacıları, DarkGate kötü amaçlı yazılım yüklerini kötü amaçlı Microsoft Teams sohbetleri yoluyla aktaran yeni bir kimlik avı saldırısı tespit etti. Güvenliği ihlal edilmiş Teams kullanıcıları gibi görünen tehdit aktörleri, 1.000’den fazla kötü niyetli sohbet daveti gönderdi.
Alıcılar gizlenmiş bir dosyayı kabul edip indirdikten sonra, kötü amaçlı yazılım bir komuta ve kontrol sunucusuna bağlanacaktı.
Bu olaydan çıkarılacak sonuçlar şunlardır:
- Tehdit aktörleri artık kimlik avı saldırılarına odaklanmayı e-postanın ötesine taşıyarak ekip işbirliği platformlarına doğrudan mesajlaşma ve grup sohbetlerini dahil ediyor. Bu araçlara olan bağımlılığın artması, COVID-19 salgınının hızlandırdığı uzaktan çalışmaya geçişten kaynaklanıyor.
- İşletmenizin harici Microsoft Teams kullanıcılarının çalışanlarınıza mesaj göndermesine kesinlikle izin vermesi gerekmediği sürece, Microsoft Teams’de harici erişimi devre dışı bırakmak çok önemlidir.
Indeed aracılığıyla Yönlendirme Kimlik Avını açın
2023’teki ilginç bir kimlik avı kampanyasında, EvilProxy korsan grubunun Microsoft 365 hesaplarını hedef almak için Indeed istihdam sitesinden gelen açık yönlendirmeleri kötüye kullandığı görüldü. Bu açık yönlendirmeler, site kodundaki kusurlardır ve yalnızca URL’leri değiştirerek rastgele konumlara yönlendirmelere izin verir. Yöneticiler ve üst düzey çalışanlar, kendilerini oturum açma oturumlarının ele geçirildiği Microsoft 365 hesaplarının taklit oturum açma sayfalarına bağlayan, görünüşte gerçek olan Indeed.com bağlantılarını içeren e-postalar aldı.
Bu kampanyadan çıkarılacak bazı sonuçlar şunlardır:
- Indeed gibi büyük platformlarda bile bilgisayar korsanlarının işlerini kolaylaştıran güvenlik açıkları bulunabilir.
- Kıdemli çalışanlar, kimlik avı kampanyaları için kazançlı hedeflerdir çünkü hesaplarına erişim genellikle hassas verilere veya iletişimlere kolay erişim sağlar.
NATO Zirvesine Katılanlar
2023 ortasında gerçekleştirilen bir kimlik avı kampanyasında, tehdit aktörlerinin Rusya’ya karşı devam eden savaşı sırasında Ukrayna’yı destekleyen NATO zirvesine katılanları hedef aldığı görüldü. RomCom olarak bilinen bilgisayar korsanlığı grubu, .info alan adını (gerçek site .org’u kullanıyor) kullanarak Ukrayna Dünya Kongresi web sitesinin bir kopyasını kurdu. Sahte web sitesinde, indirildikten sonra kurbanların sistemlerine kötü amaçlı yazılım yükleyen kötü amaçlı belgeler var.
Buradaki dersler:
- Tehdit aktörleri, mağdurları siteye çekmek için hâlâ düzenli olarak meşru web sitelerinin kopyalarını, gerçek sitenin yazımından yalnızca küçük sapmalar (yazım hatası) ile kullanıyor. URL’leri dikkatli bir şekilde analiz etmek, genel kimlik avı farkındalığı için tanıtım yapmaya değer.
- Kimlik avı saldırıları yalnızca kâr amaçlı değildir; hassas bilgileri toplamak ve hedef ülke veya kuruluşlardaki operasyonları aksatmak için casusluk ve jeopolitik siber suçlarda giderek daha fazla kullanılıyorlar.
Kuruluşlar Kimlik Avı Risklerini Sınırlandırmak İçin Ne Yapabilir?
Büyük ölçekli veri ihlallerine neden olabilecek yaygın kimlik avı saldırıları karşısında, kimlik avı risklerini sınırlamanın bazı yollarını burada bulabilirsiniz.
Çalışan Eğitimi ve Farkındalığı
Eğitimli ve bilinçli çalışanlar, kimlik avı ve diğer sosyal mühendislik biçimlerine karşı ilk savunma hattını oluşturur. Etkili eğitim, personeli kimlik avı girişimlerinin farkına varmak ve kurban olmaktan kaçınmak için gerekli teorik bilgi ve pratik becerilerle donatır.
Teorik eğitim, çalışanlarınızın saldırganlar tarafından kullanılan e-posta kimlik avı, hedef odaklı kimlik avı ve balina avcılığı gibi farklı kimlik avı taktiklerini anlamasına yardımcı olur. Bu eğitim aynı zamanda kiminle iletişime geçileceği ve kimlik avı saldırılarına nasıl yanıt verileceği de dahil olmak üzere şüpheli e-postalarla başa çıkmaya yönelik şirket politikalarını ve prosedürlerini de kapsamalıdır.
Pratik alıştırmalar, çalışanların şüpheli e-posta adresleri, dilbilgisi hataları ve acil veya tehditkar dil gibi kimlik avı belirtilerini tespit etmeyi öğrenmelerine yardımcı olur. Çalışanlarınızın hazır olup olmadığını test etmek için düzenli, beklenmedik kimlik avı simülasyon çalışmaları yapmak, bilgi ve farkındalığı güçlendirmek açısından faydalıdır.
Gelişmiş E-posta Filtreleme
Kullanıcıları eğitmek yatırıma değer olsa da, tüm kimlik avı saldırılarını durdurmak için etkili eğitime güvenmek çok risklidir. İnsanlar hata yapabilir ve yapacaktır. Gelişmiş e-posta filtreleme, kimlik avı saldırılarının başarılı olma olasılığını azaltan ve yalnızca kullanıcının dikkatine güvenmenizi en aza indiren teknolojik bir çözümdür.
Modern e-posta filtreleme çözümlerini daha iyi hale getiren unsurlar şunlardır:
- E-posta filtrelerinin, e-postalardaki metnin içeriğini ve amacını anlamasını sağlayan doğal dil işleme (NLP) teknikleri.
- Kuruluşunuzdaki normal iletişim kalıplarını tanıyan ve bu kalıplardan sapan e-postaları tespit eden makine öğrenimi algoritmaları.
- Bağlantıların güvenilirliğini değerlendirmek ve bilinen kimlik avı veya kötü amaçlı yazılım sitelerine bağlantılar içeren e-postaları engellemek için URL analizi ve itibar puanlama sistemleri. Bazı araçlar, e-postalarda URL ile bağlantı verilen web sayfasının içeriğini, kimlik bilgilerini veya kişisel verileri yakalamak için tasarlanmış kimlik avı formları da dahil olmak üzere şüpheli öğeler açısından inceler.
- Ek taraması, e-postalara eklenen veya bağlantılardan indirilen dosyaları inceler ve kötü amaçlı yazılım, fidye yazılımı veya diğer kötü amaçlı yüklerin, şüphelenmeyen kullanıcılarınızdan biri bunları açmadan önce tespit edilmesine yardımcı olur. Şüpheli ekleri otomatik olarak taramak ve bunlara yanıt vermek için bir güvenlik otomasyon platformu kullanabilirsiniz.
Çok Faktörlü Kimlik Doğrulama (MFA)
Çok faktörlü kimlik doğrulama, kullanıcıların bir hesaba, sisteme veya uygulamaya erişim sağlamak için iki veya daha fazla doğrulama faktörü sağlamasını gerektirir. Burada kimlik avı risklerini azaltmanın yolu, bir kimlik avı saldırısının bir kullanıcıyı parolasını açığa çıkaracak şekilde başarılı bir şekilde kandırması durumunda bile, ek kimlik doğrulama faktörlerinin yetkisiz erişime karşı ekstra bir engel oluşturmasıdır.
Kimlik avı yoluyla bir kullanıcının şifresinin ele geçirilmesi, hassas şirket veya müşteri verilerine erişilmesinden veya çalınmasından çok daha az ciddi bir sonuçtur.
Blink gibi bir güvenlik otomasyon yardımcı pilotu ile işverenlerin cihazlar arasında MFA’yı gerçekten etkinleştirip etkinleştirmediğini otomatik olarak kontrol edebilirsiniz. Örneğin, aşağıdaki otomatik iş akışı Okta’daki tüm MFA boşluklarını rapor ediyor.
Güvenlik Otomasyonu Nasıl Yardımcı Olabilir?
Otomatik güvenlik iş akışları oluşturmak, olaylara müdahaleyi kolaylaştırarak kimlik avı risklerini sınırlar. Etkili bir otomatik e-posta güvenliği iş akışı, otomatik taramayı, anında uyarıları ve şüpheli kimlik avı olaylarına yanıt vermeyi (örneğin, dahili ekiplere veya Slack kanallarına bildirimde bulunarak) kolaylaştırabilir.
Bu tür hızlı yanıt, olası kimlik avı hasarlarını azaltmak için manuel müdahaleye gerek kalmadan hızlı eylem yapılmasını sağlar.
Blink ile herkes, yalnızca bir istem yazarak otomatik bir güvenlik iş akışı oluşturabilir.
İster MFA açıklarını güvence altına alıyor ister Gmail kimlik avı saldırılarına yanıt veriyor olsun, Blink kod yazmaya gerek kalmadan otomatikleştirmeye başlamanıza olanak tanır. Bunu çalışırken görün ve bugün bir demo planlayın.
Blink tarafından desteklenmiş ve yazılmıştır.