Vishing olarak da bilinen sesli kimlik avı, dünya çapındaki kuruluşlar için giderek büyüyen bir tehdit oluşturuyor. Keepnet’in 2024 Vishing Response Raporu, özellikle İmalat ve Mühendislik sektörlerinde şirketlerin %70’inin sesli kimlik avı olaylarına eğilimli olduğu yönündeki endişe verici istatistiği aydınlatıyor.
Bu sektörler sıklıkla önemli mali etkilerle karşılaşıyor; kuruluşlar, saldırgan saldırılar nedeniyle yıllık ortalama 14 milyon dolarlık potansiyel zararla karşı karşıya kalıyor. Keepnet’in raporu, çalışanların bu ses odaklı dolandırıcılıklara karşı farkındalığını ve hazırlıklılığını artırmak için tasarlanmış hedefli eğitim ve simülasyon çalışmaları ile şirketlerin savunmalarını acilen güçlendirmeleri gerektiğinin altını çiziyor.
Vishing’in Etkisine İlişkin Anlayışın Derinleştirilmesi
Sesli kimlik avı, güven ve iletişimin temel olduğu iş operasyonlarında insan unsurundan yararlanır. Saldırganlar genellikle meşru varlıkları taklit etmek için karmaşık yapay zeka teknolojilerini kullanır ve bu da sahte iletişimlerin daha gerçekçi görünmesini sağlar.
Bu manipülasyon, güvenilir otoriteler olarak algılananlardan gelen acil taleplere yanıt verme yönündeki doğal insan eğiliminden faydalanıyor. Bu tür ihlallerin sonuçları, anlık mali kayıpların ötesine geçerek uzun süreli itibar kaybına yol açma potansiyeline sahiptir.
Bu risklere karşı koymak için kuruluşların kapsamlı ve sürekli eğitim programları uygulaması gerekir. Bu programlar, çalışanları görsel tehditlerin doğası konusunda eğitmeli ve onlara şüpheli çağrılara etkili bir şekilde yanıt vermelerini sağlayacak araç ve bilgileri sağlamalıdır.
Sesli Kimlik Avı Neden Kritiktir?
Sesli kimlik avı taktikleri çeşitlidir ve şunları amaçlar:
- Kurumsal sistemler için oturum açma kimlik bilgilerini yakalayın.
- Yetkisiz şifre sıfırlama işlemlerini başlatın.
- Hileli mali transferleri kolaylaştırın.
Sahte Arayan Kimliği ve derin sahte ses gibi gelişmiş teknikler, bu saldırıların gerçekliğini artırarak tespit edilmelerini zorlaştırıyor.
Keepnet’in Vishing Araştırmasından İçgörüler
Keepnet’in Vishing platformu aracılığıyla yapılan 3.000’den fazla çağrıyı içeren kapsamlı çalışması, çeşitli sektörler ve kuruluşlar içindeki roller genelinde önemli güvenlik açıklarını ortaya çıkardı.
Üretim ve Mühendislik ile Eğlence ve Medya sektörleri, genellikle daha az sıkı siber güvenlik eğitim protokolleri ve kaynak tahsisi nedeniyle özellikle duyarlı sektörler olarak ortaya çıktı.
Şekil 1: Vishing Saldırılarına Karşı Sektörün Savunmasızlığı
Ek olarak, Müşteri Desteği gibi rollerin, sık sık dış iletişim kurmaları nedeniyle yüksek riskli olduğu belirlendi.
Şekil 2: Vishing Saldırılarına Karşı Departmanın Güvenlik Açığı
Müşteri Desteği gibi departmanlar, dış taraflarla sık etkileşimde bulunmaları nedeniyle, saldırılara karşı özellikle savunmasızdır.
Üstelik, hiçbir vishing vakası göstermeyen departmanlar ya sağlam güvenlik önlemlerine sahip olabilir ya da bu risklere daha az maruz kalabilir. Bununla birlikte, bu departmanlardaki kayda değer yanıtsızlık oranları, güvenlik farkındalığında potansiyel bir boşluk olduğunu göstermektedir.
Vishing Savunması ile İlerliyoruz
Siber tehditlerdeki artan rolü göz önüne alındığında, vishing’in ele alınması zorunludur. Kuruluşların benimseyebileceği çeşitli stratejiler şunlardır:
- Eğitimi, müşteri desteği ve satış gibi en fazla risk altındaki rollere göre uyarlayın.
- Sektöre özgü riskleri ele almak için eğitim modüllerini özelleştirin.
- Çalışanlar arasında sürekli öğrenmeyi ve uyanıklığı teşvik edin.
- Basitleştirilmiş bir süreç aracılığıyla şüpheli çağrıların raporlanmasını teşvik edin.
Avlanma güçlü bir tehdit olmaya devam ederken, stratejik önlemlerin benimsenmesi ve etkili araçların kullanılması riskleri önemli ölçüde azaltabilir. Kapsamlı bilgiler ve stratejiler için Keepnet’in 2024 Sesli Kimlik Avı Yanıtı Raporuna bakın.
Keepnet Hakkında
Keepnet, çalışanları çeşitli sosyal mühendislik saldırılarına karşı eğitmek ve hazırlamak için tasarlanmış bir kimlik avı simülasyonu ve güvenlik farkındalığı ürünleri paketi içeren birleşik bir insan risk yönetimi platformudur:
- E-posta Kimlik Avı Simülasyonu: Çalışanları, siber saldırıların yaygın bir vektörü olan kimlik avı e-postalarını tanımaları ve bunlara uygun şekilde yanıt vermeleri konusunda eğitir.
- Smishing Simülasyonu: SMS dolandırıcılıkları arttıkça Keepnet’in smishing simülatörü, çalışanların SMS kimlik avı girişimlerini tanımlamasına ve bunlardan kaçınmasına yardımcı olur.
- Vishing Simülasyonu: Son teknoloji vishing (sesli kimlik avı) simülatörü, personele aldatıcı telefon çağrılarına karşı dikkatli olmayı öğretir.
- Quishing (QR Code Phishing) Simülasyonu: QR kod kullanımının artmasıyla birlikte, QR kod tabanlı phishing riski de artıyor. Keepnet’in Quishing Simülatörü, ortaya çıkan bu tehdit hakkında eğitim veriyor.
- MFA Kimlik Avı Simülasyonu: Çok faktörlü kimlik doğrulama güvenlik açısından hayati önem taşır ancak MFA protokollerini hedef alan kimlik avı saldırıları karmaşıktır. Bu simülatör, çalışanları bu tür saldırılara hazırlıyor.
- Geri Arama Kimlik Avı Simülatörü: Bu yenilikçi araç, çalışanları, saldırganların kurbanları kötü niyetli bir numara veya bağlantı üzerinden geri aramaları için yönlendirdiği geri arama kimlik avını tanıma ve buna uygun şekilde yanıt verme konusunda eğitir.
Davranış Tabanlı Güvenlik Farkındalığı Eğitimi
Keepnet, bu kimlik avı simülasyonlarının yanı sıra davranış tabanlı güvenlik farkındalığı eğitiminin önemini vurguluyor. Bu yaklaşım, çalışanların çeşitli siber tehdit türlerini bilmesini ve etkili bir şekilde yanıt vermek için gerekli bilgi ve alışkanlıklarla donatılmasını sağlar.
Gartner’ın Müşterinin Sesi’nin Tanınması
Keepnet’in siber güvenlik mükemmelliğine olan bağlılığı, Gartner’ın “Müşterinin Sesi Raporu”nda tanınmasıyla daha da doğrulanıyor. Bu onay, sosyal mühendislikle mücadele etmek ve kurumsal güvenliği artırmak için yenilikçi, kullanıcı odaklı çözümler geliştirmeye kararlı olan Keepnet’in güvenlik farkındalığı sektöründe lider rolünü vurgulamaktadır.
Yazar Hakkında
Ozan Uçar, Keepnet’in kurucusu ve CEO’sudur. Her büyüklükteki işletmeyi sürekli olarak siber tehditlerden koruyan en son teknolojiye sahip siber güvenlik ürünlerini yaratma ve sunma konusunda tutkuludur.
Ozan, siber güvenlik alanında 16 yılı aşkın süredir iki başarılı girişim kurdu ve bu girişimlerden kurtuldu. 2008 yılında ilk girişimim için yeni nesil bir güvenlik duvarı geliştirdi. 2010 yılında, başta AB ve ABD olmak üzere dünya çapındaki müşterilere hizmet veren bir siber güvenlik danışmanlık ve eğitim firmasının kurucu ortağı oldu.
Ozan’ın temel yetkinlikleri arasında bilgi güvenliği, ağ güvenliği, sızma testi, adli tıp, olaylara müdahale ve siber güvenlik farkındalığı ve eğitimi yer almaktadır. Uluslararası etik hacker sertifikalarına ve akreditasyonlarına sahiptir. Aynı zamanda çeşitli siber güvenlik konularında ulusal ve uluslararası konferanslara, yayınlara ve medya kuruluşlarına sık sık konuşmacı olarak katkıda bulunmaktadır.
Keepnet ile her büyüklükteki işletmeyi insan unsurunu hedef alan tehditlerden sürekli olarak koruyan, genişletilmiş bir insan risk yönetimi platformu sağlamayı hedefliyor! Ozan ile LinkedIn üzerinden iletişime geçin ve şirketimizin web sitesini ziyaret edin http://www.keepnetlabs.com/