Yazan Dr. Yvonne Bernard, CTO, Hornetsecurity
Suçlular, kurbanlarını mali kazanç elde etmek için giderek artan bir şekilde sahte e-postalar kullanıyor ve hedef odaklı kimlik avını kullanıyorlar, iyi bilinen sosyal mühendislik dolandırıcılığını yeni bir boyuta taşıyor. Çalışan eğitiminin, bu siber saldırıyla mücadele etmek için hem hızlı hem de yavaş düşünme sistemlerini kapsaması gerekir.
Sosyal mühendislik yüzyıllardır olmasa da onlarca yıldır uygulanmaktadır! Özünde, her zaman aynı şeydir. Dolandırıcılar, para veya diğer varlıkları teslim etmelerini sağlamak için kurbanlarının güvenini kazanmaya çalışırlar. Öne çıkan bir örnek, hikayesi 2002 suç komedisi “Catch Me If You Can”a uyarlanan dolandırıcı Frank Abagnale’dir. Nakit elde etmek için güvenlik görevlisi kılığına girer ve havaalanında bilet gişesinden paranın yatırıldığı bir kilitleme sisteminin yanına yerleşir. Abagnale, “Kural dışı – lütfen güvenlik görevlisiyle birlikte gidin” notunu iğneye astığında, üniforması o kadar güven verici görünüyor ki, insanlar düzinelerce faturayı eline sıkıştırıyor.
Birincisi: Birçok alıcıya gelişigüzel gönderim
İnternetin gelişiyle birlikte, dolandırıcıların sahte e-postalar yoluyla iletişim kurmasıyla yeni sosyal mühendislik yöntemleri oluşturuldu. Klasik kimlik avında, büyük hacimli elektronik iletiler ayrım gözetmeksizin sayısız alıcıya gönderilir. Gönderenlerin amacı, muhatapları kandırarak gizli bilgileri ifşa etmeleri, zararlı bağlantılar ve ekler açmaları veya üçüncü şahıs hesaplarına ödeme yapmalarıdır. Bir örnek, sahte bir web sitesine bağlantı içeren ve alıcılardan giriş bilgilerini orada doğrulamalarını veya güncellemelerini isteyen, aldatıcı bir şekilde orijinal görünen PayPal e-postalarını içerir. Bu talebi yerine getirirlerse, verileri doğrudan dolandırıcıların eline geçer. Kimlik avı e-postaları çok kolay ve fazla çaba sarf edilmeden üretilebilir. Sadece birkaç alıcı ısırsa bile, saldırganların çabaları karşılığını verir.
Şimdi: Hedeflenen kurbana özel olarak uyarlanmış tehditler
Siber suçlular, özellikle belirli kullanıcıları hedefleyen bir kimlik avı türü olan hedef odaklı kimlik avı söz konusu olduğunda daha karmaşıktır. Ana hedef kitlesi şirket çalışanlarıdır, çünkü paranın çoğu buradan kazanılır.
İlk olarak, dolandırıcılar potansiyel kurbanları hakkında bilgi almak için sosyal medyayı ve diğer İnternet kaynaklarını taramak için çok zaman harcarlar. Bu veriler daha sonra tam olarak alıcıya göre uyarlanmış e-postalar oluşturmak için kullanılabilir. Üstleri, meslektaşları veya iş ortakları kılığına giren saldırganlar, kurbanlarını görünüşte makul istemler veya zekice tasarlanmış yemlerle kandırmaya çalışıyor.
Bilgisayar korsanları, içeriden öğrenilmiş gibi davranmanın yanı sıra, kurbanlarını kandırmak için psikolojik numaralara da güvenir. Alıcıların duygularını, kendilerinden isteneni düşünmeden yapmalarını sağlamak için ustaca hedeflerler. İşte en önemli psikolojik etkileyen faktörlerin küçük bir seçimi:
- Otoriteye hürmet: Örneğin, dolandırıcılar bir yönetim kurulu üyesi adına sahte bir e-posta hazırlıyor. İçinde, çalışandan bir tedarikçiye acil bir ödeme yapması istenir. Büyük meblağlar bu şekilde yabancı hesaplarda sona erebilir. Bu meblağları geri alma şansı genellikle zayıftır.
- Yardım etme isteği: Bir meslektaşın tanıdığı olduğu iddia edilen kişi, bir sorun hakkında çalışanla iletişime geçer. E-posta, çalışanın hemen açtığı bir dosya eki içerir – belki çalışan gerekli bilgiye sahipti ve yardımcı olabilir. Dosya, fark edilmeden bilgisayara ve sisteme bulaşan kötü amaçlı yazılım içerir.
- Zaman basıncı: Teslim tarihi açısından kritik bir projede, dolandırıcılar departman başkanı gibi davranırlar. Çalışanın güvenlikle ilgili bilgileri göndermesini talep ediyorlar ve çalışanı acele etmeye teşvik ediyorlar. Daha detaylı bir kontrol için zaman olmadığından, alıcı istenen bilgileri iyi niyetle ifşa eder.
- Merak: Yönetim adına, bilgisayar korsanları, alıcıyı yönetimdeki önemli yapısal ve personel değişiklikleri hakkında bilgilendirir. Posta, yeni sorumluluk dağılımıyla güncellenmiş bir organizasyon şemasına götürdüğü varsayılan bir bağlantı içerir. Çalışan bağlantıya tıklarsa, dolandırıcıların işine gelir.
- Korku: İddia edilen amir, sipariş edilmeyen bir hizmet için fatura istiyor. Çalışan, zimmete para geçirdiğinden şüphelenilmekten korkar ve bu nedenle aceleyle fatura bağlantısını tıklar ve böylece bilgisayar korsanlarına kapı açar. Kaçak deliğin tüm şirket ağına sızmak için bir fırsat olarak kullanılması da seyrek değildir.
Milyonları toplayan dünya çapında dolandırıcılık çeteleri
Spear phishing, günümüzün en tehlikeli ve en yaygın siber saldırı yöntemlerinden biridir. Bu saldırılar, uluslararası dolandırıcılık çeteleri tarafından giderek daha fazla gerçekleştiriliyor ve şirketlere bir servete mal olabiliyor. En iyi bilinen örnekler arasında, 2016 yılında CEO dolandırıcılığı nedeniyle yaklaşık 40 milyon avro kaybeden Alman otomotiv tedarikçisi Leoni, Avusturya-Çin havacılık tedarikçisi FACC ise bu şekilde 50 milyon avro kaybetti.
Medyada tekrarlanan bu tür öykülerden endişe duyan birçok şirket, doğal olarak çalışanlarını hedef odaklı kimlik avının tehlikeleri konusunda bilinçlendirmek istiyor. Başvurdukları yaygın yöntemlerden biri, sınıf eğitimi, e-öğrenme ve web seminerlerine odaklanan güvenlik farkındalığı eğitimidir. Bunlar, katılımcılara spear phishing saldırılarının nasıl çalıştığı, sahte postaların nasıl tanınacağı ve bir saldırı durumunda nasıl davranılacağı konusunda teorik bilgi sağlar. Bunu bilmek kesinlikle önemlidir, ancak kullanıcıları saldırganların psikolojik hilelerine karşı etkili bir şekilde silahlandırmak için yeterli değildir.
Birbirinden oldukça farklı iki düşünce sistemi
Bunun nedeni, psikolog ve Nobel Ödüllü Daniel Kahnemann’ın çok satan kitabı “Düşünmek, Hızlı ve Yavaş”ta tanımladığı gibi, iki farklı insan düşünce sisteminde yatmaktadır. Buna göre, 1. sistem – hızlı düşünme – öznel duygular ve ampirik değerler tarafından yönlendirilir ve “içgüdüye dayalı” dürtüsel kararlar verme eğilimindedir. Sistem 2 ise – yavaş düşünme – nesnel verileri hesaba katar ve kararlar alırken sistematik, rasyonel ve mantıklı bir şekilde ilerler.
Spear phishing yöntemleri hakkında nesnel bilgi vererek, geleneksel güvenlik eğitimleri ikinci yavaş düşünen sistemi hedefler. Bunu yaparken, gelen e-postalara kendiliğinden yapılan tıklamalardan sorumlu olan ilk düşünme sistemini ihmal ederler. Bu nedenle, eğitimin, çalışanların hızlı düşünmesini ve sezgisel karar vermesini destekleyen öğrenme içeriğiyle acilen desteklenmesi gerekiyor.
Simüle edilmiş saldırılar farkındalığı güçlendirir
Bu hedef odaklı kimlik avı simülasyonları ile elde edilebilir. Bunlar, sahte saldırılar için gerçek şirket ve çalışan bilgilerini kullanır. Bir çalışan sahte bir e-posta ile yakalanırsa, hemen bir açıklama sayfasına yönlendirilir. Burada, daha yakından incelendiklerinde postayı sahte olarak tanımalarını sağlayacak özellikler hakkında bilgi alırlar: gönderen adresindeki yanlış yazımlardan alt alan adlarının kullanımına ve şüpheli görünen bağlantılara kadar.
Kimlik avı simülasyonları, çalışanların güvenlik farkındalığını sürdürülebilir bir şekilde artırmak için kanıtlanmış bir yöntemdir. Bunun nedeni, kullanıcının yeni derslere en açık olduğu “öğretilebilir an”dan yararlanmalarıdır. Çalışanın hatası kendisine hemen açıklandığı için gelecekte gelen e-postalara karşı daha dikkatli olacaktır. Çalışanı tetikte tutmak için hedef odaklı kimlik avı simülasyonlarının düzenli olarak tekrarlanması ve saldırganların sürekli değişen yöntemlerine uyarlanması önerilir. Buradaki amaç çalışanları izlemek veya kandırmak olmamalı – bunun yerine eğitime odaklanılmalıdır. Bunun başarılı olması için güvenlik farkındalığı eğitiminin kullanımının doğru bir şekilde iletilmesi gerekir.
İnsanlar en zayıf halka olmaya devam ediyor
Etkili güvenlik farkındalığı eğitimi, e-öğrenmeyi gerçekçi kimlik avı simülasyonlarıyla birleştirmelidir. Eğitimin, her bir çalışanın kişisel öğrenme ihtiyaçlarına göre uyarlanmış olması önemlidir. Ayrıca, öğrenme ilerlemelerinin metrik tabanlı ölçümüne de izin vermelidir.
BT departmanları, doğru e-posta güvenlik çözümlerini kullanarak birçok hedef odaklı kimlik avı e-postasını şimdiden yakalayabilse de, insanlar hala en büyük güvenlik açığı olmaya devam ediyor. Şirketler, bunu çalışanlarına küçük düşürücü bir şey olarak değil, onları güvenlik bilinci eğitimine katılmaya motive etmek için açıkça belirtmelidir. Kullanıcılar, işverenleri tarafından kullanılan BT güvenlik teknolojisine güvenmenin yanı sıra, oynayacakları önemli bir rolleri olduğunu da anlamalıdır: Kendi öz-yeterlilikleriyle başarılı bir savunma için en önemli kaldıraçtırlar. Yalnızca çalışanlarını buna ikna edebilen kuruluşlar, gelecekte hedef odaklı kimlik avı saldırganlarından bir adım önde olacaktır.
yazar hakkında
Dr Yvonne Bernard, Almanya’nın Hannover kentinde kurulan küresel Bulut Güvenliği, Uyum ve Yedekleme Öncüsü Hornetsecurity’de CTO’dur. Doktora ile Bilgisayar Bilimi alanında teknik bir geçmişe sahiptir ve Ürün Yönetimi, Yazılım Geliştirme, İnovasyon ve Araştırma, Güvenlik Laboratuvarı ve Bulut Altyapısı alanlarında stratejik ve teknik gelişimden sorumludur. Yvonne’a çevrimiçi olarak https://www.linkedin.com/in/dr-yvonne-bernard-b3388a25/ adresinden ve şirketimizin http://www.hornetsecurity.com/ web sitesinden ulaşılabilir.