Konu başlığı ile bilgilerden önce sizleri yol göstericim, çok değer verdiğim, tam yoruldum dediğimde yorulmak yok diyen, Gökay Düzay abim ile tanıştırmak istiyorum. Zamanı olsa bizleri daha çok bilgilendirecek fakat böyle güzel yazılarını yazdıkça bende sizlerle paylaşacağım. Şuan için aşağıda paylaştığım Medium bloğundan takip edebilirsiniz.
Hedef göz etmeksizin kişisel ve kurumsal e-posta kutularımıza yapılan oltalama saldırıları ile sık sık karşılaşıyoruz. Kişisel olarak alacağımız çok fazla önlem kalmıyor ancak kurumsal olarak tüm savunma mekanizmasını bilgi sistemleri departmanından beklemek büyük bir haksızlık olur.
Dünya’da e-postalara karşı verilen mücadele yöntemleri ürünlerde çok fazla farklılık göstermediği için kabiliyetleri dışına çıkabilen ürünler değil yapılan ayarlar oluyor. Ancak ne kadar önlem alırsak alalım, aldığımız önlemleri tahmin edip farklı kapıları zorlamaya çalışan profesyonellerle karşı karşıyayız.
Oltalama (phising) maillerinin yeni trendi yatay ortalama (lateral phishing) olarak karşımıza çıkıyor.
Oltalama mailleri son yıllarda kurumsal yapılarda inandırıcılığını kanıtlamış ve başarılı sonuçlar almıştır. Gerçeklik üzerine yoğun mesai harcayan profesyoneller, en zayıf halka olan son kullanıcıyı ikna edebilirlik seviyesini de yatay oltalama saldırıları ile iyice artırmış olduğunu görmüş bulunuyoruz.
2019 yılında da hem ülkemizde hem de dünyada birçok veri ihlalinin olduğunu gerek kulak kabarttığımız ortamlardan gerekse dark web sayesinde görmüş bulunuyoruz.
Saldırganların elinde olan kişisel bilgilerimiz iştahlarının biraz daha kabarmasına neden olup, zinciri daha da uzatmak için bir takım çalışmalar yaptıkları aşikar. İnandırıcılıkları arttıkça, başarılı olma ihtimalleri her geçen gün daha da yüksek oluyor. Bu kabaran iştahlarını kurumsal hayatın içine kaydırmaları iyice korkutucu bir hal almaya başladı.
Bilindik oltalama maillerini daha farketmekte zorlandığımız bir ortamda lateral psihing mailleri hepimizi daha paranoyak bir hale getirdi. Kurumsal bir maili ele geçirmiş ya da mail tarzını iyi analiz etmiş bir saldırganın kurum içerisine aynı adresi kullanarak zarar verme çabası oldukça başarılı sonuçlar almalarını sağladı. Yatay oltalama saldırılarında; finans departmanından aynı departmanda farklı kullanıcıya, stajyerden grup başkanına ve hatta C level yöneticilerin arasında dahi oldukça sık görmeye başladık. Otokontrolün biraz düşük, onaylama mekanizmalarının yerini insiyatiflerin aldığı yapılarda felaket kaçınılmaza yakın olur.
Başarılı olmalarının sebeplerinden en önemlisi birbirini tanıyan, aynı kurum, aynı departman içerisinden olan kişileri hedef alarak alıcının şüphelenmemesini sağlayıp, dikkatsizliklerinin faturasını istemiş oldukları bilgileri alarak gerçekleştirmiş olur.
Oltalama saldırılarından kurtulmak için kurumsal olarak muhakkak alınan önlemler vardır ancak kişisel olarak uzun bir liste yazmak yerine sadece gelen her e-postaya bir öncekinden daha fazla dikkat etmemiz gerektiği gerçeğini atlamamız yeterli olacaktır.
Dikkatsizliğiniz sonucu oluşan sonuçlardan başkalarını sorumlu tutmadan önce, kendinize tekrar bir dönüp bakmak zorunda olduğunuzu unutmayın.
Dikkat; yalnızca trafikte hayat kurtarmaz, teknoloji furyasının her alanında da dikkatli olmak zorundayız.
Hem kişisel, hem kurumsal hemde bizim üzerimizden yakınlarımızın bilgilerini ifşa etmemek adına farkındalığımızın hep yüksek, dikkatimizin hep açık olması gerektiğini unutmayalım.
Gökay Düzay
Diğer Başlıca Yazıları;
Bir cevap yazın