Güvenlik alanında 20 yıldan fazla deneyime sahip olarak, karmaşık kimlik avı düzenlerinin nüanslarına çoğu insandan daha fazla uyum sağlıyorum. Ancak siber suçlular, insanların verilerini çalmak için daha gelişmiş taktikler benimsedikçe, en deneyimli güvenlik uzmanları bile kurban olabilir.
2021’de birden fazla vardı 4.145 kamuya açıklanan ihlal bu, 22 milyar kayıttaki bilgileri açığa çıkardı. 2022’de kimlik avı arttıkça, İhlallerin %82’si bir “insan unsuru” içeriyordu, bu da bireylerin kendilerinin veya şirketlerinin sırlarını ifşa etmede rol oynadıkları anlamına geliyor.
Neyse ki, geçen bir sabah teknoloji imdadıma yetişti (kahve öncesi, ekleyebilirim), neredeyse tuzağa düşürülürken. Kredi kartı şirketimden geliyormuş gibi görünen bir e-postadaki bağlantıya tıkladığımda şifrem otomatik olarak otomatik doldurma — URL’nin oturum açma bilgilerini girdiğim bir web sitesiyle eşleşmediğini gösteren bir işaret. Daha yakından baktım: Elbette, URL biraz yanlıştı.
Ekibimde hedef alınan tek kişi ben değilim. İşte güvenlik profesyonellerinin neredeyse kanacağı dolandırıcılıklara, tehdit aktörlerinin yararlandığı insan psikolojisinin yönlerine ve sizin (ve bizim) gelecekte kurban olmamanızı sağlayacak stratejilere birkaç örnek.
“Onay Önyargısı”ndan Yararlanma
Söz konusu sabah American Express’ten bir e-posta bekliyordum. E-posta doğru görünüyordu: Dilbilgisi ve imla mükemmeldi, gösterilen kredi kartı kendi kartıma benziyordu ve kart numarasının içerdiği dört haneyi hemen tanıdım.
Tıkladım. Bunun bir aldatmaca olduğunu anladığımda (şifremi otomatik olarak doldurmadığınız için teşekkürler teknoloji), diğer tutarsızlıkları hemen fark ettim. Kredi kartı numaramın rakamları şunlardı:Birincidört basamak, yakından korunan son dördü değil. Ve kredi kartımın rengi ve tasarımı tam olarak tasvir edilmişken, binlerce müşteride hiç şüphesiz aynı kart vardır.
Onay yanlılığı — olarak tanımlanmış “kişinin mevcut inançlarıyla tutarlı bilgileri arayarak veya yorumlayarak bilgiyi işleme eğilimi” – bilgiyi verimli bir şekilde işlememize yardımcı olabilir. Ancak, varsayımlarımızla çelişen kritik bilgileri işleme yeteneğimizi engellemek gibi dezavantajları da vardır.
Doğrulama yanlılığına yönelik eğilimimizin farkında olmak çok önemlidir. Yasal olduğundan %100 emin olmadığınız bir e-posta, arama veya kısa mesaj alırsanız, bir an durup doğrulama yapın.
Otoriteye Saygımızdan Yağmalamak
Güvenlik ekibimizin birkaç üyesi yakın zamanda 1Password’ün CEO’su Jeff Shiner’dan geldiği iddia edilen bir metin aldı. Metinde, “Shiner” bir toplantıya gittiğini ve telefonla ulaşılamayacağını, ancak bu kişinin “ilerleme için şimdi hızlı bir görev yürütmesi” gerektiğini açıkladı.
Bunun gibi “patron uyarıları” giderek yaygınlaşıyor. Suçluların hedeflerini özel bilgileri paylaşmaları için manipüle ederek bir hikaye (veya bahane) oluşturdukları bir tür “bahane” – bir tür sosyal mühendislik saldırısıdır.
Patronunuzdan veya başka bir yöneticiden bir e-posta veya kısa mesaj (SMS kullandıkları için “smishing” saldırıları olarak bilinir) alırsanız, derin bir nefes alın ve yanıt vermeden önce kendinize birkaç soru sorun. Telefon numarasını onaylayabilir misiniz? Sizden ne istiyor (veya talep ediyor)? İsteği doğrulamak için Slack gibi başka bir kanal veya daha önce kullandığınız bir e-posta adresi aracılığıyla yanıt vermeyi düşünün.
Aciliyet Üretmek
Dolandırıcıların bizi hazırlıksız yakalayabilmelerinin bir başka yolu da yanlış bir aciliyet duygusu yaratmaktır. Bunaldığımızda, normal iş yükümüze dönebilmek için yangını çabucak söndürmek isteyebiliriz.
Mağdurlar, bir faturayı hemen ödemezlerse hesaplarının kapatılacağı veya gecikme ücretine tabi tutulacakları konusunda uyarılabilir. Onaylamak için bir bağlantıya tıklamazlarsa paketin teslim edilmeyeceği söylenebilir.
Bir iş arkadaşım, neredeyse yasal görünen bir PayPal faturasına, Norton Antivirus abonelikleri için büyük miktarda borcu olduğunu söyleyerek yanıt veriyordu. Bu bir hataysa, suçlanmadan önce yanıt vermeleri gerektiği söylendi. İstek PayPal aracılığıyla gönderilirken iş arkadaşım yanıt vermeleri talimatı verilen e-posta adresinin bir Gmail hesabı olduğunu fark etti.
“PayPal Norton faturası”nı Google’da arattıklarında ve bu dolandırıcılığa ilişkin çok sayıda referans gördüklerinde şüpheleri doğrulandı. Diğer kurbanları kurtarmak için PayPal’ı uyardılar.
Teknoloji Günü Kurtarabilir
Kimlik avı eğitimi ve testleri farkındalığı artırsa da sorunun temel nedenini çözemez. Güvenlik uzmanları, iki faktörlü veya çok faktörlü kimlik doğrulamayı (2FA/MFA) etkinleştirme ve yazılımları düzenli olarak güncelleme gibi uygulamaların değerini anlasa da birçok tüketici anlamıyor.
Günün sonunda, yaşamak için güvenlik tehditlerini izleyenler bile insanız ve öyle kalacağız. Teknoloji, insan hatasına karşı önemli bir dayanak noktasıdır, bu nedenle konu siber güvenlik olduğunda nihai çözüm teknolojidir.
Dolandırıcılara engeller koyarak, tüketicilere ulaşan kimlik avı girişimlerinin sayısını sınırlayarak veya dolandırıcılıkları açıkça şüpheli olarak işaretleyerek kimlik avından kaynaklanan riskleri azaltan teknolojilere ihtiyacımız var. Hem son derece güvenli hem de kullanımı son derece kolay olan geçiş anahtarları en umut verici çözümlerden biridir. Birçok önde gelen teknoloji ve güvenlik şirketi, geçiş anahtarlarının birden çok sistem ve cihazda kullanılmasını kolaylaştırmak için artık işbirliği yapıyor. İnsan hatasını hesaba katan buna benzer teknolojiler geliştirmek için bir endüstri olarak birlikte çalışmamız gerekiyor. İçeriden biri bilerek veya bilmeyerek, kimlik avı, smishing veya yarının getireceği strateji ne olursa olsun tehlikeye girdiğinde güvenli kalan sistemler oluşturmak bizim sorumluluğumuzdadır.