EasyDMARC CEO’su ve kurucu ortağı Gerasim Hovhannisyan tarafından
Hayır kurumları, toplumdaki en savunmasız insanlar için cankurtaran halatlarıdır. Covid-19, yaşam maliyeti krizi ve bu yılın başlarında Türkiye ve Suriye’deki depremler gibi doğal afetler sırasında gerekli olduklarını kanıtladılar. Yurtiçi ve uluslararası çabaları, zor zamanlarda çok önemli olmuştur ve olmaya devam etmektedir.
Tüm kuruluşlar gibi, hayır kurumları da dijitalleşiyor. Çevrimiçi hizmetler ve bağış toplama fırsatları sunuyorlar, bu da güvenilir ve güvenilir dijital altyapının giderek daha önemli hale geldiği anlamına geliyor. Ancak dijital ayak izleri arttıkça güvenlik açıkları da artıyor.
Örneğin, Türkiye-Suriye depremlerinin ardından siber aktörler, insanların ve depremden etkilenenlere gerçekten yardım etmeye çalışanların duygularından yararlanarak kimlik avı girişimleri yapmak için hayır kurumu kılığına girmeye başladı.
Benzer şekilde, hayır kurumlarının e-posta gelen kutuları kimlik avı e-postalarına karşı savunmasızdır ve bu durum onlara itibar ve mali açıdan zarar verebilecek potansiyel olarak yıkıcı fidye yazılımı saldırılarına veya veri ihlallerine yol açar. Ama en önemlisi, hayır kurumlarının onların yardımına güvenenleri desteklemesini engelleyebilir.
Şüpheli e-postalar ve kimlik avı saldırıları birçok sorun için bir geçit olduğundan, kar amacı gütmeyen sektörün istenmeyen e-postalarla etkili bir şekilde başa çıkmak için teknik araçlar kullanması gerekiyor.
E-posta kimlik doğrulaması gibi teknolojiler neden bu kadar değerli?
Ne tür e-posta kimlik doğrulama teknolojileri mevcuttur ve kar amacı gütmeyen kuruluşlar e-posta kimlik doğrulama araçlarını nasıl uygulayabilir?
SPF, DKIM, DMARC ve eksiksiz kimlik doğrulama
Hayır kurumlarının kendilerini tamamen korumak için e-posta kimlik doğrulama teknolojisi trifecta – SPF, DKIM ve DMARC’yi uygulamaları gerekir. Bu üç teknolojinin, birlikte e-posta gelen kutuları için savunma bariyeri sağlayan farklı işlevleri vardır.
Bir kuruluşun etki alanlarında Etki Alanı Tabanlı İleti Kimlik Doğrulaması, Raporlama ve Uyumluluk (DMARC) kullanması, gönderenin korumalı alanlardan gelenleri doğrulayarak meşru e-postaları tanımlayabileceği anlamına gelir.
Alıcıların gelen kutusuna bir DMARC e-postası geldiğinde, yasal olmayan e-postaları raporlama, karantinaya alma veya reddetme otomasyonuna olanak tanır.
DMARC’nin çalışması için Gönderen Politikası Çerçevesi (SPF) ve DomainKeys Identified Mail (DKIM) etkinleştirilmelidir.
Bir etki alanından e-posta göndermesine izin verilen tüm sunucuları günlüğe kaydettiği için SPF çok önemlidir. Aynı zamanda, DKIM tüm meşru giden e-postaları bir kriptografik anahtarla imzalar.
SPF, DKIM ve DMARC’nin birlikte kullanılması, kimlik avı girişimleri için alan adı kimliğine bürünmenin çoğuna karşı neredeyse kusursuz bir çözüm sunar.
Kimlik avını durdurmak için e-posta kimlik doğrulaması neden çok önemlidir?
Kimlik avı e-postaları, fidye yazılımı saldırıları, finansal dolandırıcılıklar ve veri ihlalleri için yaygın bir ağ geçididir. Bu, proaktif olmanın ve potansiyel olarak yıkıcı olabilecek kimlik avı e-postalarını bir kullanıcının gelen kutusuna girmeden önce durdurmanın çok önemli olduğu anlamına gelir.
2022’de şirketlerin %97’si e-posta yoluyla en az bir kimlik avı girişimi aldı. Bunu akılda tutarak, e-posta güvenliği liderleri, kimlik avı e-postalarının dağıtımını engellemeye giderek daha fazla odaklanıyor.
Aynı şekilde, kötü niyetli e-postaların gelen kutularına düşmesini engellemek için hayır kurumları, e-dolandırıcılık e-postaları bir kullanıcının gelen kutusuna ulaşmadan çok önce yönlendirmeye yönelmelidir.
E-posta kimlik doğrulaması, şeffaf bir e-posta ekosistemi oluşturan ve sonuç olarak kimlik avı e-postaları için daha hızlı bir reddetme süreci sağlayan bir self servis uygulamasına izin verir.
Siber güvenlik alanında endişelere yol açan üretken yapay zeka gibi yeni araçların ortaya çıkmasıyla, e-postaların kimlik doğrulaması hayır kurumları için daha da önemli hale gelecek. AI teknolojisi, siber aktörleri toplu olarak hedeflenmiş ve iyi oluşturulmuş e-postalar oluşturma konusunda güçlendirdi.
Kâr amacı gütmeyen sektör geride kalıyor
Kâr amacı gütmeyen kuruluşlar, siber aktörler için çekici hedeflerdir. Hayır kurumlarının sınırlı finansmana sahip olduğu ve bu fonları siber tehditlere karşı korunmaya yardımcı olan kaynaklara, eğitime ve teknolojilere harcamak yerine cephedeki hayır işlerine harcamayı tercih ettikleri iyi bilinmektedir.
Hepsi bu değil. Hayır kurumları genellikle merkezi olarak verilen BT ekipmanına güvenmek yerine kendi cihazlarını getiren gönüllülere güvenir.
Sonuç olarak, BT ekipmanı genelinde birleşik bir siber savunma standardı yoktur, bu da siber aktörlerin erişim noktalarını kolayca tehlikeye atabileceği anlamına gelir.
Sektörün güvenlik açığına rağmen, son araştırmalar, incelenen 9,9 milyon .org e-posta alanından yaklaşık 10 milyon .org alanından yalnızca %1,2’sinin kimlik avı saldırıları riskini azaltmak için DMARC uyguladığını ortaya koydu.
DMARC, sahte olduğuna inanılan tüm gelen e-postaları otomatik olarak işaretleyerek ve engelleyerek kimlik avını önlemek için tasarlanmıştır.
Ancak etkili olabilmesi için kuruluşların sistemlerini, şüpheli e-postaları bir alıcının gelen kutusuna ulaşmadan otomatik olarak engelleyen bir “reddetme” ilkesine göre yapılandırması gerekir.
Bir “karantina” politikasıyla, mesajlara izin verilir ancak spam klasörüne yönlendirilirken, “p=none” tüm şüpheli e-postaların geçmesine izin verir.
Ne yazık ki araştırma, DMARC’ye sahip küresel .org alanlarının %3,8’inin %45,6’sının (171.486) yanlış yapılandırıldığını ve bunun sonucunda kuruluşların alınan veya engellenen e-postalardan habersiz olduğunu buldu.
Siber suçlular, gelen kutularını hileli e-postalara karşı korumasız bırakmaya devam ederek, kar amacı gütmeyen kuruluşları yüksek ödülleri olan düşük asılı meyveler olarak görmekten vazgeçmeyecekler.
E-posta kimlik doğrulaması neden en üstte çıkıyor?
Siber güvenlik söz konusu olduğunda, insanlar, süreç ve teknoloji olmak üzere üç dal vardır. Bu nedenle, e-posta kimlik doğrulama teknolojisi neden zirveye çıkıyor?
E-posta kimlik doğrulaması, kimlik avı saldırılarını önlemede siber güvenlik eğitiminden daha etkili olabilir. Kimlik avı kampanyalarının çoğu, kimlik avı e-posta göndericisinin meşru bir etki alanı kimliğine büründüğü etki alanı kimliğine bürünmeyi içerir.
Bu nedenle, e-posta kimlik doğrulaması, alanlardan gelen e-postaların doğrulanmasını ve doğrulanmamış tüm e-postaların reddedilmesini veya istenmeyen e-posta klasörüne yönlendirilmesini sağlayarak, insanların yalnızca şüpheli e-postaları belirlemesi için güvenilmesi durumunda meydana gelebilecek insan hatası veya farkındalık eksikliğini önler.
Daha fazla güvenlik eğitimi ve farkındalığına ihtiyaç duyan gönüllüler de dahil olmak üzere, genellikle büyük oranda yarı zamanlı personeli olan hayır kurumlarında insan hatası daha da artabilir.
DMARC, SPF ve DKIM gibi kimlik doğrulama yöntemleri, kimlik avı e-postalarına bağlı riskleri önlemek için çok önemlidir. Bu, e-posta kimlik doğrulamasını herhangi bir kar amacı gütmeyen kuruluşun siber güvenlik stratejisinin önemli bir parçası haline getirir.
E-posta kimlik doğrulamasının faydaları
E-posta kimlik doğrulama araçlarını uygulamak, kar amacı gütmeyen kuruluşların istikrarlı bir şekilde çalışması için hayati önem taşır ve dolayısıyla hayır kurumlarıyla çalışan veya hayır kurumlarından yararlanan tüm insanlara fayda sağlar.
Kâr amacı gütmeyen kuruluşlar için itibarlarının sağlam kalması önemlidir. Sahte bir alandan gelen ve bilgisayar korsanlığı olayına yol açan e-postalar, toplulukları içindeki konumlarına ciddi şekilde zarar verebilir.
Bir e-posta kimlik doğrulama politikası, etki alanı itibarını, sahte etki alanlarını kullanarak kimlik avı saldırıları başlatan kötü niyetli aktörlerden olumsuz etkilenmekten koruyabilir.
Ayrıca, DMARC’nin dağıtılması, meşru e-postaların doğrudan hedeflenen alıcının gelen kutusuna gönderilmesini sağlayarak, kuruluşların e-posta kimlik doğrulamasını geliştirmesine yardımcı olabilir.
Bu, bir amacı desteklemek için geliştirilen e-posta kampanyaları için özellikle önemli olabilir, çünkü maksimum görünürlük elde etmelerini ve spam klasörüne düşmemelerini sağlar.
E-posta kimlik doğrulamasının faydaları, kar amacı gütmeyen kuruluşları desteklemenin ötesine geçer. Kâr amacı gütmeyen kuruluşlara genellikle hassas kişisel ve finansal bağışçı bilgileri emanet edildiğinden, bağışçılar da e-posta kimlik doğrulamasından yararlanır ve bu bilgilerin korunması için yeterli güvenlik önlemleri gerekir.
E-posta kimlik doğrulaması, ekstra bir güvenlik katmanı ekleyerek hassas verileri kimlik avı, kimlik sahtekarlığı veya diğer e-posta tabanlı saldırılar sonucunda tehlikeye atılmaktan korur.
E-posta kimlik doğrulaması, kar amacı gütmeyen kuruluşlar için kritik öneme sahiptir ve isteğe bağlı olarak değil, gerekli bir güvenlik katmanı olarak görülmelidir. Ancak doğru bir şekilde uygulanmalıdır.
E-posta kimlik doğrulama araçlarının ve politikalarının doğru şekilde uygulanması, hem kar amacı gütmeyen kuruluşların hem de bağışçıların hassas kişisel bilgilerinin ele geçirilmesine ve fon kaybına yol açabilecek maliyetli siber saldırılar ve kimlik avı girişimleri riskini azaltabilir.