Yazan: Brian Lonergan, Ürün Stratejisinden Sorumlu Başkan Yardımcısı, Identity Digital
Ekim ayında, kamu ve özel sektörlerin kabile topluluklarıyla birlikte bireyleri ve işletmeleri dijital ortamda güvenli bir şekilde gezinmek için ihtiyaç duydukları bilgilerle güçlendirmek üzere güçlerini birleştirdiği Ulusal Siber Güvenlik Farkındalık Ayı (NCSAM) kutlandı. NCSAM’in temel mesajı basit ama güçlendiricidir: farkındalık ve proaktif önlemler en iyi savunmamızdır.
Giderek dijitalleşen bir dünyada, küçük işletmenizi ve kişisel bilgilerinizi korumak en önemli öncelik olmalıdır. Bu makale siber güvenlik farkındalığını araştıracak ve dijital varlığınızı güvende tutmanıza yardımcı olacak temel stratejiler sağlayacaktır. Sonunda, çevrimiçi olarak nasıl bilinçli seçimler yapacağınızı daha iyi anlayacak ve kendinizi ve işinizi sürekli gelişen siber tehdit ortamından korumaya yönelik pratik bilgiler edineceksiniz.
Siber güvenliği keşfederek ve en yaygın tehditlerden biri olan kimlik avı saldırılarına daha yakından bakarak başlayacağız.
Kimlik Avı Saldırılarını Anlamak
Kimlik avı saldırıları, siber suçluların bireyleri şifreler, kredi kartı numaraları veya kişisel ayrıntılar gibi hassas bilgileri ifşa etmeleri için kandırmak amacıyla kurduğu dijital tuzaklara benzer. Bu saldırılar yaygındır ve birçok biçimde olabilir; çoğu zaman meşru görünen e-postalar, mesajlar veya web siteleri biçiminde gelir.
Kimlik Avı Taktikleri
Kimlik avının çeşitli biçimleri vardır ve güvende kalmak için bunları tanımak önemlidir. Yaygın bir tür, dolandırıcıların belirli kişileri hedef aldığı ve mesajlarının meşru görünmesini sağlamak için genellikle kişisel bilgileri kullanan Mızrak Kimlik Avıdır. Bir diğeri ise hassas bilgilerin ifşa edilmesi için sizi kandırmak amacıyla yapılan telefon görüşmelerini içeren Vishing’dir. Smishing de buna benzer, ancak kısa mesaj yoluyla gerçekleşir. Ayrıca, saldırganların verilerinizi çalmak için sizi sahte web sitelerine yönlendirdiği Pharming var. Son zamanlardaki bir trend, Qishing adı verilen bir teknik olan, kötü amaçlı URL’leri yaymak için QR kodlarının kullanılmasını içeriyor. Sahte Çok Faktörlü Kimlik Doğrulama (MFA) uyarılarıyla insanları kandırarak onları QR kodlarını taramaya ikna ediyor. (MFA en az iki doğrulama biçimi gerektirir). Ancak kurbanlar amaçlanan siteye ulaşmak yerine dolandırıcının kimlik avı sayfasına yönlendiriliyor.
Siber Güvenlik Risklerini ve Etkisini Anlamak
Dikkatli ve bilgili kalmak, değerli bilgilerinizin bireyler ve işletmeler üzerinde finansal ve itibar açısından olumsuz etkilere yol açabilecek potansiyel tehditlerden korunmasında büyük bir fark yaratabilir. Kurbanlar, bilmeden bilgisayarlarına giren zararlı yazılımlar nedeniyle kimlik hırsızlığı, mali kayıplar ve hatta kötü amaçlı yazılım bulaşmalarıyla karşı karşıya kalabilir. Bu saldırılar aynı zamanda kişisel veri güvenliğini ve mahremiyetini tehlikeye atarak bireyleri daha fazla zarara karşı daha duyarlı hale getirebilir.
Bir ihlal meydana geldiğinde müşteriler verilerinin güvenliği konusunda endişelenebilir ve işletmenin güvenilirliğini sorgulayabilir. Bir siber güvenlik olayı, ürün veya hizmetlerin kalitesi gibi diğer alanlardaki zayıflıkları da ortaya çıkarabilir. Bu nedenle tüketicilerin %59’unun geçtiğimiz yıl siber saldırıların kurbanı olan şirketlerden uzak duracaklarını söylemesi şaşırtıcı değil.
Küçük ve orta ölçekli işletme sahipleri büyüklükleri ve kaynakları nedeniyle siber saldırılara karşı güvende olduklarını düşünse de gerçek şu ki tüm işletmeler risk altındadır. Kötü amaçlı bir mesajın hafifletilmesi kuruluşlara ortalama 27 dakikaya (ve 31 ABD Doları iş gücüne) mal olur. Bazı büyük kuruluşlar, kimlik avı saldırılarını azaltmak için yılda 1,1 milyon dolar kadar harcama yapıyor.
Deneyimsiz siber suçlular genellikle daha büyük, daha yüksek profilli saldırıları hedeflemeden önce küçük işletmeler üzerinde pratik yapar. Bu model, 2020 ile 2021 yılları arasında küçük işletmelerin %23’ünün neden siber saldırılara maruz kaldığını açıklamaya yardımcı oluyor.
Alan Adlarıyla Kimlik Avını Azaltma
Çeşitli kimlik avı taktiklerini ve istatistiklerini inceledikten sonra çevrimiçi güvenliğin kritik bir yönüne odaklanalım: Doğru alan adını seçerek Kimlik Avı güvenlik açığını azaltmak.
Siber suçlular genellikle homografik kimlik avı gibi teknikleri kullanarak meşru ve aldatıcı web adresleri arasındaki benzerlikten yararlanır. Bu zararlı strateji, siber güvenlik anlayışımıza ve kendimizi nasıl koruyabileceğimize başka bir katman daha ekliyor.
Örneğin, “çevrimiçi.iş” ile “çevrimiçi.iş”i düşünün. Eski meşru alan adı İngilizce “i” harfini kullanırken, ikincisi Latin harfini kullanıyor. Ziyaretçiler sahte web sitesine tıkladıklarında, kötü amaçlı yazılım veya kimlik avı planıyla karşı karşıya kalırlar ve bu olaya marka adınızla bağlantılıdır.
Kimlik avı önleme teknolojisini kullanan bir alan adı kaydederek kendinizi koruyabilirsiniz. .bio, .social, .live ve .software gibi birçok yeni web adresi (geleneksel seçeneklerin ötesinde alan adları), işletmenizi ve müşterilerinizi koruyan ücretsiz kimlik avı önleme teknolojisini içerir. Mevcut seçenekleri keşfetmek için alan adı kayıt kuruluşunuza danışabilirsiniz.
Örneğin, bir alan adı kayıt sağlayıcısı olan Identity Digital, her alan adına kullanım ömrü boyunca “Homografik Engelleme” uygular. Bu özellik saldırıları önleyerek marka ve kimlik güvenliğinizi güvende tutar. Ayrıca, güvenli, çok adımlı bir süreç kullanarak etki alanlarını yetkisiz değişikliklere karşı koruyan Kayıt Defteri Kilidi’ni de uyguladılar. Ayrıca Güvenlik ve DNS Kötüye Kullanımını Azaltma Ekibi, güvenlik tehditlerini etkisiz hale getirmek için kolluk kuvvetleri ve sektör ortaklarıyla aktif olarak işbirliği yapıyor.
Kendinizi Kimlik Avına Karşı Korumak
Şüpheli URL’leri kontrol etmeniz, e-posta başlıklarını düzensizlikler açısından incelemeniz ve e-posta eklerine karşı dikkatli olmanız önerilir. Siber suçlular, gerçek gibi görünen ancak gizli tehditler içeren ikna edici mesajlar oluşturma konusunda ustadır. Her zaman gönderenin e-posta adresini doğrulayın ve meşruiyetlerinden şüpheniz varsa bağlantılara tıklamaktan veya ekleri indirmekten kaçının.
Güven yerine doğrulamayı vurgulayan “Sıfır Güven” güvenlik stratejisinin benimsenmesi ilgi görüyor. Günümüzün uzaktan çalışma kültüründe bu yaklaşım, proaktif siber güvenlik önlemleriyle birleştiğinde kişisel verilerinizin ve iş verilerinizin korunması açısından çok önemlidir.
Çevrimiçi güvenliğinizi artırmak için yapay zekalı akıllı e-posta korumasını kullanın. Bankanızdan geldiğini iddia eden ve acilen hesap ayrıntılarınızı vermenizi isteyen bir e-posta aldığınızı hayal edin. E-posta koruma sistemi yapay zeka kullanıyorsa e-postanın içeriğini, gönderenin geçmişini ve diğer faktörleri hızla analiz edebilir. Yapay zeka herhangi bir aldatma veya tutarsızlık belirtisi tespit ederse e-postayı şüpheli olarak işaretleyecek ve bunun bir kimlik avı girişimi olabileceği konusunda sizi uyaracaktır.
MFA ile giriş sürecinize ekstra bir adım ekleyin. Örneğin, şifrenizi girdikten sonra telefonunuza, girmeniz gereken benzersiz bir kod da gelebilir. Bu işlem, şifrenizi bilen birinin bile ikinci doğrulama adımı olmadan hesabınıza erişememesini sağlar. Ayrıca, arayan kişi ne kadar meşru görünürse görünsün, çalışanlara telefonda MFA kodlarını paylaşmamaları gerektiğini hatırlatın.
Kimlik ve erişim yönetimi (IAM) araçlarını kullanarak dijital kimliğinizi koruyun. IAM araçlarını kullanarak, hassas belgelerinize kimin erişme iznine sahip olduğuna ve bu kişilerin hangi işlemleri yapmasına izin verildiğine karar verebilirsiniz. Örneğin, belirli iş arkadaşlarınıza dosyaları görüntüleme olanağı verebilir, ancak herhangi bir değişiklik yapmalarını kısıtlayabilirsiniz.
Ayrıca çevrimiçi bağlantılarınızı güvenli ve gizli tutmak için SSL şifrelemesini kullanın. Bu güvenlik önlemi, verilerinizin sizinle güvenilir web sitesi arasında güvende kalmasını sağlar. E-postaların şifrelendiğinden ve çalışanların hassas tartışmalar için güvenli mesajlaşma kullandığından emin olun. Ayrıca, özellikle birinin yanlışlıkla bir kimlik avı bağlantısına veya ekine tıklaması durumunda güvenlik açıklarını önlemeye yardımcı olmak için çalışanlarınıza cihazları ve yazılımları güncellemelerini hatırlatın.
Çalışanlarınızın kimlik avı dolandırıcılığına işaret eden kırmızı bayraklar hakkında bilgi sahibi olmasını sağlamak için bir Güvenlik Farkındalığı Eğitim Programı uygulayın. Örneğin, onlara kişisel bilgi isteyen veya tanıdık olmayan bağlantılar içeren şüpheli e-postaları tanımayı öğretin.
Kuruluşunuzun homografik saldırılara karşı savunmasını güçlendirmek ve kötü niyetli aktörlerin “benzer” web sitesi adreslerine sahip müşterileri ve çalışanları hedeflemesini önlemek için daha önce bahsedilen Homografik Engelleme gibi kimlik avına karşı çözümler kullanın.
Kimlik Avı Dolandırıcılıklarına Yanıt
Küçük bir işletme sahibiyseniz veya kimlik avı dolandırıcılığına düşmüş bir bireyseniz endişelenmeyin. Etkilenen hesapların şifrelerini hemen değiştirerek başlayın. Daha sonra herhangi bir finansal bilginin açığa çıkması durumunda bankanızla veya kredi kartı şirketinizle iletişime geçin. Dolandırıcılığın Federal Ticaret Komisyonu (FTC) gibi uygun yetkililere bildirilmesi kritik öneme sahiptir. Olağandışı faaliyetlere karşı işletme hesaplarınızı yakından takip edin ve güvende kalmak için kredi izleme hizmetlerini kullanmayı düşünün. Bir iş ağının parçasıysanız BT ekibinizin yardımıyla cihazlarınızı yalıtın.
Ortak sorumluluk
Siber güvenlik herkesi ilgilendiriyor. Saldırılar, kritik sistemleri ve bunlara bağlı herkesi etkileyen dalgalanma etkilerine sahip olabilir. Dikkatli olmak ve proaktif bir yaklaşım bu riskleri azaltmanın anahtarıdır.
NCSAM bize siber güvenliğin kolektif bir çaba olduğunu hatırlatıyor. Küçük işletmeler ve bireyler, bilgili kalarak, tehditleri tanıyarak ve güçlü önleyici tedbirler alarak kimlik avı saldırılarına ve diğer siber tehditlere karşı savunmasızlıklarını önemli ölçüde azaltabilir. Dijital varlığınızı korumak yalnızca akıllıca bir hareket değil aynı zamanda günümüzün dijital ortamında gerekli bir harekettir.
yazar hakkında
Brian Lonergan, Ürün Stratejisi Başkan Yardımcısı, Identity Digital. Brian Lonergan, müşterilerin en uygun çevrimiçi kimliklerini bulmalarına yardımcı olan büyük veri arama algoritmalarından, dünyanın en büyük markaları tarafından kullanılan kimlik avı önleme ve marka koruma hizmetlerine kadar uzanan ürünler tasarlama ve oluşturma konusunda 10 yıldan fazla deneyime sahip, alan adı sektöründe deneyimli bir kişidir. Brian, işletmenin ilk halka arzına geçiş sürecinde hem Demand Media hem de Rightside’da üst düzey ürün rolleri üstlendikten sonra 2017 yılında Identity Digital’e katıldı.
Brian’a şu adresten çevrimiçi olarak ulaşılabilir:
LinkedIn: https://www.linkedin.com/in/bornengineer
E-posta: [email protected]
Şirket web sitesi: https://www.identity.digital/