Kimlik avı saldırıları artık e-posta gelen kutusuyla sınırlı değil; 3 kimlik avı saldırısından 1’i artık sosyal medya, arama motorları ve mesajlaşma uygulamaları gibi e-posta dışı kanallar üzerinden gerçekleşiyor.
Özellikle LinkedIn kimlik avı saldırılarının yuvası haline geldi ve bunun da iyi bir nedeni var. Saldırganlar, şirket yöneticilerine karşı karmaşık hedef odaklı kimlik avı saldırıları gerçekleştiriyor; son dönemdeki kampanyaların finansal hizmetler ve teknoloji sektöründeki işletmeleri hedef aldığı görülüyor.
Ancak e-posta dışındaki kimlik avı eylemleri hâlâ oldukça az rapor ediliyor; sektördeki kimlik avı ölçümlerinin çoğunun e-posta güvenlik araçlarından geldiğini düşünürsek pek de şaşırtıcı değil.
İlk düşünceniz şu olabilir: “Çalışanların LinkedIn’de kimlik avına maruz kalması neden umurumda?” LinkedIn kişisel bir uygulama olsa da rutin olarak iş amacıyla kullanılıyor, kurumsal cihazlardan erişiliyor ve saldırganlar özellikle Microsoft Entra ve Google Workspace gibi işletme hesaplarını hedefliyor.
Dolayısıyla LinkedIn kimlik avı, işletmelerin bugüne hazırlıklı olması gereken önemli bir tehdittir. Saldırganların neden LinkedIn’de kimlik avı yaptığı ve bunun neden bu kadar etkili olduğu hakkında bilmeniz gereken 5 şey:
1: Geleneksel güvenlik araçlarını atlar
LinkedIn DM’leri, çoğu kuruluşun kimlik avına karşı koruma için güvendiği e-posta güvenlik araçlarından tamamen kaçınır. Uygulamada çalışanlar LinkedIn’e iş yerindeki dizüstü bilgisayarlar ve telefonlardan erişiyor ancak güvenlik ekipleri bu iletişimleri göremiyor. Bu, çalışanların herhangi bir e-posta müdahalesi riski olmaksızın iş cihazları üzerinden dışarıdaki kişiler tarafından mesaj alabileceği anlamına gelir.
Daha da kötüsü, modern kimlik avı kitleri, bir web sayfasının incelenmesine (web tarama güvenlik botları gibi) veya web trafiğinin analizine (web proxy gibi) dayalı kimlik avı önleme kontrollerini aşmak için bir dizi gizleme, anti-analiz ve tespitten kaçınma teknikleri kullanır. Bu, çoğu kuruluşun ana savunma hattı olarak kullanıcı eğitimine ve raporlamaya bağımlı kalmasına neden oluyor; bu pek de iyi bir durum değil.
Ancak bir kullanıcı tarafından tespit edilip rapor edilse bile, LinkedIn kimlik avına karşı gerçekten ne yapabilirsiniz? Kullanıcı tabanınızda başka hangi hesapların hedeflendiğini veya vurulduğunu göremezsiniz. E-postanın aksine, birden fazla kullanıcıya ulaşan aynı mesajı geri çağırmanın veya karantinaya almanın bir yolu yoktur. Değiştirebileceğiniz bir kural veya engelleyebileceğiniz gönderenler yoktur. Hesabı bildirebilirsiniz ve belki de kötü amaçlı hesap dondurulur; ancak saldırgan muhtemelen o zamana kadar ihtiyaç duyduğu şeyi almış ve yoluna devam etmiştir.
Çoğu kuruluş ilgili URL’leri engeller. Ancak saldırganlar kimlik avı alanlarını hızla değiştirdiğinde bu pek işe yaramaz; siz bir siteyi engellediğinizde, onun yerini birkaç site daha almış olur. Bu bir köstebek vurma oyunu ve sana karşı hileli.
2: Saldırganlar için ucuz, kolay ve ölçeklenebilir
LinkedIn üzerinden kimlik avını, e-posta tabanlı kimlik avı saldırılarından daha erişilebilir kılan birkaç şey vardır.
E-posta söz konusu olduğunda, saldırganların önceden e-posta alanları oluşturması, alan adı itibarını oluşturmak ve posta filtrelerini geçmek için bir ısınma döneminden geçmesi yaygındır. LinkedIn gibi sosyal medya uygulamalarıyla karşılaştırma, hesap oluşturmak, bağlantı kurmak, gönderi ve içerik eklemek ve bunları meşru görünecek şekilde süslemek olacaktır.
Ancak meşru hesapları ele geçirmek inanılmaz derecede kolaydır. Bilgi hırsızlığı günlüklerindeki kimlik bilgilerinin %60’ı, çoğu MFA’dan yoksun olan sosyal medya hesaplarıyla bağlantılıdır (çünkü MFA’nın benimsenmesi, kullanıcıların işverenleri tarafından MFA eklemeye teşvik edilmediği sözde “kişisel” uygulamalarda çok daha düşüktür). Bu, saldırganlara kampanyaları için güvenilir bir başlangıç noktası sağlar, bir hesabın mevcut ağına girip bu güvenden yararlanır.
Meşru hesapların ele geçirilmesini yapay zeka destekli doğrudan mesajların sağladığı fırsatla birleştirmek, saldırganların LinkedIn erişimlerini kolayca ölçeklendirebileceği anlamına geliyor.
3: Yüksek değerli hedeflere kolay erişim
Tüm satış profesyonellerinin bildiği gibi LinkedIn’de keşif yapmak önemsizdir. Bir kuruluşun LinkedIn profillerinin haritasını çıkarmak ve yaklaşılacak uygun hedefleri seçmek kolaydır. Aslında LinkedIn, potansiyel sosyal mühendislik hedeflerini belirlerken (örneğin, başarılı bir saldırı başlatmak için ihtiyaç duyduğunuz erişim ve ayrıcalık düzeylerine hangi hesapların sahip olduğunu tahmin etmek için iş rollerini ve tanımlarını gözden geçirmek gibi) hem kırmızı ekip üyeleri hem de saldırganlar için halihazırda en iyi araçtır.
LinkedIn mesajlarının taranması veya filtrelenmesi, spam koruması veya gelen kutunuzu sizin için izleyen bir asistan da yoktur. Muhtemelen hedeflenen kişiye ulaşmanın en doğrudan yoludur ve bu nedenle yüksek hedefli hedef odaklı kimlik avı saldırıları başlatmak için en iyi yerlerden biridir.
4: Kullanıcıların buna kanma olasılığı daha yüksektir
LinkedIn gibi profesyonel ağ oluşturma uygulamalarının doğası gereği, kuruluşunuzun dışındaki kişilerle bağlantı kurmayı ve etkileşimde bulunmayı beklersiniz. Aslında, yüksek yetkiye sahip bir yöneticinin bir LinkedIn DM’sini açma ve yanıtlama olasılığı başka bir spam e-postadan çok daha yüksektir.
Özellikle hesap ele geçirmeyle birleştiğinde, bilinen kişilerden gelen mesajların yanıt alma olasılığı daha da artıyor. Bu, geçmişte birçok veri ihlalinin kaynağı olan mevcut bir iş bağlantısının e-posta hesabını devralmaya eşdeğerdir.
Aslında, son zamanlarda yaşanan bazı durumlarda, bu kişiler iş arkadaşlarınızdı; yani bu daha çok bir saldırganın şirketinizin e-posta hesaplarından birini ele geçirmesi ve bunu C-Suite yöneticilerinize hedef odaklı kimlik avı yapmak için kullanmasına benziyor. Doğru bahaneyle (örneğin acil onay istemek veya bir belgeyi incelemek) birleştirildiğinde başarı şansı önemli ölçüde artar.
5: Potansiyel ödüller çok büyük
Bu saldırıların “kişisel” bir uygulama üzerinden gerçekleşmesi, etkinin sınırlı olduğu anlamına gelmiyor. Büyük resmi düşünmek önemlidir.
Kimlik avı saldırılarının çoğu, Microsoft ve Google gibi temel kurumsal bulut platformlarına veya Okta gibi uzman Kimlik Sağlayıcılara odaklanır. Bu hesaplardan birini ele geçirmek, yalnızca ilgili uygulama içindeki temel uygulamalara ve verilere erişim sağlamakla kalmaz, aynı zamanda saldırganın, çalışanın oturum açtığı herhangi bir bağlı uygulamada oturum açmak için SSO’dan yararlanmasına da olanak tanır.
Bu, saldırganın kuruluşunuzdaki hemen hemen her temel iş işlevine ve veri kümesine erişmesine olanak tanır. Ve bu noktadan itibaren, Slack veya Teams gibi iş mesajlaşma uygulamalarını veya bir uygulamayı oturum açmaya çalışan diğer kullanıcılar için bir sulama deliğine dönüştürmek üzere SAMLjacking gibi teknikleri kullanarak bu dahili uygulamaların diğer kullanıcılarını hedeflemek de çok daha kolaydır.
Hedef odaklı kimlik avı yapan yönetici çalışanlarla birleştiğinde elde edilen kazanç oldukça önemlidir. Tek bir hesabın ele geçirilmesi, hızla çığ gibi büyüyerek iş çapında milyonlarca dolarlık bir ihlale dönüşebilir.
Saldırgan çalışanınıza yalnızca kişisel cihazından ulaşmayı başarsa bile, bu yine de kurumsal hesapların ele geçirilmesine yol açabilir. Bir saldırganın, bir Okta çalışanının iş cihazında kişisel bir Google profilinde oturum açtığı gerçeğinden yararlandığı 2023 Okta ihlaline bir bakın. Bu, 134 müşteri kiracısının kimlik bilgileri de dahil olmak üzere, tarayıcılarına kaydedilen tüm kimlik bilgilerinin kişisel cihazlarıyla senkronize edildiği anlamına geliyordu. Kişisel cihazları hacklendiğinde iş hesapları da hacklendi.
Bu yalnızca LinkedIn sorunu değil
Merkezi olmayan internet uygulamalarından oluşan bir ağ ve e-posta dışında daha çeşitli iletişim kanalları üzerinden gerçekleşen modern çalışmalarla, kullanıcıların kötü amaçlı içerikle etkileşime girmesini engellemek her zamankinden daha zor.
Saldırganlar, e-posta tabanlı kontrolleri atlamak için anlık mesajlaşma uygulamaları, sosyal medya, SMS, kötü amaçlı reklamlar ve uygulama içi mesajlaşma işlevinin yanı sıra doğrudan SaaS hizmetlerinden e-postalar göndererek bağlantılar sunabilir. Benzer şekilde, artık kuruluş başına hedeflenecek, farklı düzeylerde hesap güvenliği yapılandırmasına sahip yüzlerce uygulama var.
Kimlik avının 2025’te nasıl geliştiği hakkında daha fazla bilgi edinmek ister misiniz? Sizi 2025’in önemli kimlik avı istatistikleri, trendleri ve vaka çalışmaları konusunda yönlendireceğimiz Push Security’nin yaklaşan web seminerine kaydolun.
 |
| Kimlik avı artık yalnızca e-posta değil birden fazla kanal üzerinden gerçekleştiriliyor ve çok çeşitli bulut ve SaaS uygulamalarını hedefliyor. |
Kimlik avını gerçekleştiği yerde durdurun: tarayıcıda
Kimlik avı posta kutusunun dışına çıktı; güvenliğin de bunu yapması hayati önem taşıyor.
Modern kimlik avı saldırılarıyla mücadele etmek için kuruluşların, tüm uygulamalarda ve dağıtım vektörlerinde kimlik avını algılayan ve engelleyen bir çözüme ihtiyacı var.
Push Security, kullanıcılarınızın gördüklerini görür. Hangi dağıtım kanalının veya algılamadan kaçınma yöntemlerinin kullanıldığı önemli değil; Push, sayfa kodunu, davranışını ve kullanıcı etkileşimini gerçek zamanlı olarak analiz ederek kullanıcı kötü amaçlı sayfayı web tarayıcısına yükledikçe saldırıyı gerçek zamanlı olarak durdurur.
Yaptığımız tek şey bu değil: Push, AiTM kimlik avı, kimlik bilgisi doldurma, kötü amaçlı tarayıcı uzantıları, kötü amaçlı OAuth izinleri, ClickFix ve oturum ele geçirme gibi tarayıcı tabanlı saldırıları engeller. Ayrıca, çalışanlarınızın kullandığı uygulamalardaki hayalet oturum açma bilgileri, SSO kapsamındaki boşluklar, MFA açıkları ve savunmasız parolalar gibi güvenlik açıklarını proaktif bir şekilde bulmak ve düzeltmek için Push’u kullanabilirsiniz. Çalışanların kişisel hesaplarına nerede giriş yaptığını bile iş tarayıcılarında görebilirsiniz (daha önce bahsedilen 2023 Okta ihlali gibi durumları önlemek için).
Push hakkında daha fazla bilgi edinmek için en son ürün genel bakışımıza göz atın veya ekibimizden biriyle canlı bir demo için zaman ayırın.