İK’dan önemli bir belge aldığınızı mı düşünüyorsunuz? Dikkat olmak.
KnowBe4’ün üç aylık kimlik avı testi raporu, ikinci çeyrekteki tehdit aktörlerinin İK departmanlarını aldatan e-postalarla sıklıkla başarı elde ettiğini ortaya çıkardı. Talihsiz bir tıklama meydana geldikten sonra, e-postaların ve PDF belgelerinin gövdesindeki bağlantılar, saldırılar için yaygın vektörler haline geldi.
TechRepublic, KnowBe4 Güvenlik Farkındalığı Avukatı Erich Kron ile kimlik avı testlerinin sonuçları ve işletmelerin sürekli gelişen, üretken yapay zeka destekli kimlik avı saldırılarına karşı nasıl korunacağı hakkında konuştu.
İK’dan gelen sahte e-postalar sosyal mühendislik dolandırıcılıkları listesinin başında yer alıyor
Bazı saldırganlar, çalışanları bir bağlantıya tıklamanın veya bir belgeyi görüntülemenin acil olduğuna inandırmak için İK’dan gelen sahte mesajları kullanıyor. Rapora göre:
- İncelenen işle ilgili e-posta konu satırlarının %42’si İK ile ilgiliydi.
- Diğer %30’luk kısım ise BT ile ilgiliydi.
- Bu konu satırlarının çoğu, çalışanların iş yerindeki duygularıyla oynuyordu; örneğin, “İzin Talebinize Yorum Yapıldı” veya “Olası Yazım Hatası”.
Kron, “Bir kısa mesaja, bir telefon görüşmesine veya bir e-postaya güçlü bir duygusal tepki veriyorsanız, derin bir nefes almalı, bir adım geri çekilip olaya çok eleştirel bir gözle bakmalıyız” dedi. “Çünkü bunlar sosyal mühendislik saldırıları ve bunlar sizi hata yapabileceğiniz duygusal bir duruma sokmak için gerçekten işe yarıyor.”
Yakın zamanda gerçekleşen diğer saldırılar, Microsoft veya Amazon’dan gelen mesajların sahtesini yapan e-postalardan geldi.
QR kodlu kimlik avı e-postaları da çalışanları kandırdı. Kötü amaçlı bağlantılar gibi, bu QR kodları da genellikle tanınmış şirketlerden, İK’dan veya BT’den geldiği iddia edilen e-postalarda bulunur.
KnowBe4 CEO’su Stu Sjouwerman, 7 Ağustos’ta yaptığı basın açıklamasında şunları söyledi: “İK ile ilgili kimlik avı e-postalarındaki sürekli artış, özellikle kurumsal güvenin temellerini hedef aldıkları için özellikle rahatsız edici.” Kimlik avı girişimleri bu tehditlere başka bir karmaşıklık katmanı daha ekliyor.”
KnowBe4, kimlik avı saldırılarına en duyarlı sektörlerin sağlık ve ilaç sektörleri olduğunu, bunu konaklama, eğitim ve sigorta sektörlerinin takip ettiğini, ancak farklı boyutlardaki kuruluşlara göre bazı farklılıklar gösterdiğini tespit etti.
KnowBe4’ün kimlik avı raporu nasıl çalışır?
KnowBe4, üç aylık Endüstri Karşılaştırma Raporu için bilgileri müşterilerinden ve herhangi bir işletmenin kullanabileceği kimlik avı raporu portalından toplar.
Simüle edilmiş bir kimlik avı platformu satan KnowBe4, işletmelerin dayanıklılığını test etmek için sahte kimlik avı saldırıları başlatıyor. KnowBe4 özellikle insanların aldandığı saldırı türlerini ve onlarınki gibi eğitimlerin işletmeleri siber saldırılara karşı nasıl daha güvende tuttuğunu değerlendirdi.
Veriler, dünya çapında 55.675 kuruluştan 11,9 milyondan fazla kullanıcıyı etkileyen 54 milyon simüle edilmiş kimlik avı testinden geldi.
“Çoğu zaman aslında gerçek olanları alıyoruz [phishing attacks] bunlar orada ve onları simüle edilmiş olanlara dönüştürüyorlar” dedi Kron. “Bu yüzden onları etkisiz hale getirmek dediğimiz şeyi yapıyoruz, çünkü orada gerçekten olup bitenin bu olduğunu biliyoruz.”
Rapor, “sosyal mühendislik veya kimlik avı dolandırıcılıklarına kanması muhtemel çalışanların” yüzdesine ilişkin özel bir değerlendirme olan “Kimlik Avı Yüzdesi”ni ölçtü. Ortalama PPP, bir yıl boyunca devam eden eğitim ve kimlik avı testlerinin ardından %34,3’ten yalnızca %4,6’ya düştü.
BAKIN: Kimlik avı ile hedef odaklı kimlik avı arasındaki fark, saldırının yaygın mı yoksa belirli bir kişiye yönelik mi olduğudur.
İşletmeler kimlik avı saldırılarına karşı güvenlik açığını nasıl azaltabilir?
Kuruluşlar, kimlik avı e-postalarının eskisi kadar yazım hataları veya bariz para talepleriyle dolu olmayabileceğini çalışanlarına açıkça belirtmelidir.
Kron, “Üretken yapay zeka çevirilere ve işleri temizlemeye gerçekten yardımcı oldu ve bunların yapılmasına olanak sağladı” dedi. [attackers] normalde göreceğimiz hatalar olmadan çok daha fazla ölçeklendirme yapmak.”
Çalışanlar URL’lere ve e-posta adreslerine yakından bakmayı unutmamalıdır. Konu satırında “acil” kelimesini içeren bir e-postanın gerçekten göründüğü gibi olup olmadığını düşünmelidirler.
Örneğin, “Gerçekten patronumdan mı geldi, yoksa sadece onun adını mı söylüyor?” dedi Kron.
Anti-spam veya anti-virüs filtreleri bazı sosyal mühendislik ve kimlik avı saldırılarını yakalayabilir; çok faktörlü kimlik doğrulama ise kurban bir bağlantıya tıklasa veya bir QR kodunu tarasa bile saldırganların erişimini sınırlayabilir. KnowBe4’ün yanı sıra Sophos, Proofpoint, Ninjio Hoxhunt, Cofense ve diğerleri gibi şirketler, simüle edilmiş saldırılar aracılığıyla güvenlik eğitimi sunuyor.
Genel olarak, düzenli bir kimlik avı testiyle test edilip edilmemesine bakılmaksızın, çalışanların dikkatli olduğundan emin olun.
Kron, “Bu konuda biraz gergin olun” dedi.
Kaynak: https://www.techrepublic.com/article/knowbe4-q2-phishing-report/