Netskope’un son “Yıl İncelemesi” Bulut ve Tehdit Raporu’na göre, sosyal mühendislik, siber saldırganların 2023’te kuruluşlara sızmak için kullandığı birincil yöntem oldu.
Belki de kamuoyunun siber saldırganlara yönelik algısının aksine, sosyal mühendislik, tehdit aktörlerinin gelişmiş kodlama becerilerine sahip sistemlere sızdığını görmüyor. Bunun yerine, bireysel insani zayıflıklardan faydalanmaya, insanları farkında olmadan hassas bilgilere erişim vermeleri için manipüle etmeye ve saldırganlara etkili bir şekilde kapıyı açmaya dayanıyor.
Yumuşak noktaların belirlenmesi
Birçok kişi bu tür saldırılara karşı bağışık oldukları inancına sahip olsa da gerçek şu ki hepimiz zaman içinde çeşitli noktalarda savunmasız hale gelebiliriz. Yoğun duygusal durumlar yaşayan bireyler, farkında olmadan dikkat dağınıklığı yaşayabilir, gizli verilere yetkisiz erişime izin verebilir ve hatta hassas bilgileri ifşa edebilir.
Örnek olarak Sevgililer Günü’nü düşünün. Dünyanın her yerindeki pazarlarda olduğu gibi, aşk dolandırıcılığı Hindistan’da da ciddi bir iştir. Yakın zamanda yapılan bir araştırmada, çevrimiçi flörtleşmeye katılan Hintlilerin yüzde 39’u, çevrimiçi ortamda potansiyel bir aşk ilgisi olan kişilerle yaptıkları konuşmaların bir dolandırıcıyla gerçekleştiğinin ortaya çıktığını söylüyor. Romantizm Sevgililer Günü ile sınırlı değildir ve bu özel gün bireyleri oldukça savunmasız hale getirse de aşk dolandırıcılıklarının da olmadığını kabul etmek önemlidir.
Tipik olarak, arkadaşlık arayışındaki biri dikkatli olabilir ve yıl boyunca sahte flört profillerinden gelen istenmeyen mesajları göz ardı edebilir. Ancak Sevgililer Günü coşkusunda yalnızlık duyguları yoğunlaşarak bireyleri kötü aktörlere karşı daha duyarlı hale getirebilir. Bağlı ilişkiler içinde olan bireyler bile kendilerini Sevgililer Günü’nü çevreleyen artan duyguların içinde bulabilirler. İster ilişkinin dönüm noktalarını anmanın heyecanı ister sürpriz beklentisi olsun, bireyler, meşruiyetlerini doğrulamadan, hediye çeki teklifleri gibi cazip bağlantılara yanlışlıkla tıklayabilirler.
Güçlü duygular, bireyin refahını etkileyen ve olağan davranışlarını değiştiren faktörlerdir. Son zamanlarda çok sayıda teknoloji şirketi geniş çaplı işten çıkarmalar duyurdukça, teknoloji sektöründeki çalışanlar iş güvencesizliği duygularıyla boğuşabilir. Bu artan belirsizlik duygusu, teknoloji çalışanlarını İK iletişimleri veya iş teklifleri olarak gizlenen kimlik avı bağlantılarının kurbanı olmaya daha yatkın hale getiriyor.
Riski kontrol etmek
Bu riskleri ele almak için kuruluşların ellerinde çeşitli stratejiler vardır. Risk, kurumsal cihazlarda iş dışı uygulamaların kullanılmasıyla doğası gereği artar. Sonuç olarak, bazıları iş cihazlarındaki flört uygulamaları gibi kişisel uygulamalara erişimi sınırlamayı veya yasaklamayı seçebilir. Son zamanlarda yapay zekanın benimsenmesindeki artış, birçok işletmenin sistemlerinde ChatGPT ve diğer üretken yapay zeka uygulamaları gibi engelleme araçlarını dikkate almasına neden oldu. Ancak iş dışı tüm uygulamalara genel bir yasak uygulamak, kısıtlayıcı bir kültürü teşvik edebilir, yenilikçiliği bastırabilir ve iş gücüne güven eksikliği yaratabilir.
Alternatif olarak kuruluşlar, akıllı araçlar kullanarak ve güvenlik ekipleri tarafından rutin HTTP/HTTPS trafik taramasını uygulayarak daha akıcı bir yaklaşımı tercih edebilir. Bulut teknolojisini benimseyen ve tek geçişli mimariyi kullanan bu yaklaşım, tehditlere daha çevik yanıt verilmesini sağlıyor. Korumayı geliştirmek için Bulut Erişimi Güvenlik Aracısı (CASB), Güvenli Web Ağ Geçidi (SWG) ve Tehdit ve Veri Kaybını Önleme (DLP) dahil olmak üzere çeşitli güvenlik önlemleri kullanılabilir.
Ayrıca, kullanıcıları bağlantılarla etkileşimde bulunurken veya yetkisiz uygulamalara erişirken dikkatli olmaya yönlendirerek eğitim ve farkındalık girişimlerine öncelik vermek önemlidir. Bireysel güvenlik açıklarının vurgulanması ve bu tür saldırıların kişisel yaşamları nasıl etkileyebileceğine dair gerçek hayattan örnekler gösterilmesi, kullanıcıların potansiyel tehditlere ilişkin kavrayışını önemli ölçüde artırabilir.
Ortaklığın teşvik edilmesi
Bir kuruluşun seçtiği yaklaşım ne olursa olsun, çalışanların kötü amaçlı bağlantılara tıklama olasılığını tamamen ortadan kaldırmak pratik değildir. En önemli risk genellikle kullanıcıların siber olayları, özellikle de sosyal mühendislik saldırılarından kaynaklanan olayları kişisel olarak sorumlu hissedebilecekleri şekilde gizlemeleri durumunda ortaya çıkar.
Bir uzlaşma durumunda, hızlı bir şekilde hafifletme çok önemlidir. Bu nedenle saldırı mağdurlarını suçlamak ters etki yapar. Bunun yerine, iş gücünün siber güvenlik çabalarına aktif olarak katıldığı bir işbirliği kültürünün teşvik edilmesi çok önemlidir. Bu yaklaşım korku kültürünü aşılamakla çelişmektedir. Çalışanları işbirliğine dayalı bir ortamda eğitmek, siber suçluların insanların savunmasızlığını istismar etmesi riskini önemli ölçüde azaltabilir, böylece yalnızca Sevgililer Günü’nde değil gelecekte de olası sıkıntıları önleyebilir.
