ESET ile Ayın Siber Güvenlik Tavsiyeleri – 14: Whaling Attack

Siber güvenlik Türkiye açısından 2020 yılına kadar uzanan ‘büyüme hedefleri’ doğrultusunda ele alınan en önemli konu başlıklarından biri. Bunun birçok nedeni var, ancak yadsınamaz bir netlikte şunun ilk sıralarda olduğunu belirtmek gerekli; büyümenin ana aktörlerinden şirketlerin çeşitli ölçütlerde ‘bloke’ edilmesine yönelik, dolayısıyla maddi kayba uğramasını hedefleyen siber saldırı metotları/ gayeleri her zaman var oldu ve bu devam edecek...

En nihayetinde ise sadece bilgisayar başındaki son kullanıcının değil, ister KOBİ ister büyük bir grup olsun tüm şirketlerin siber güvenlik prensiplerini belirleyerek uygulama safhasına geçmeleri önem taşıyor. Bu makalede derinlemesine bir güvenlik çözümleri yapısından ziyade belli bir konuya odaklanılacak; bir sosyal mühendislik alanı olan ve aynı zamanda kandırmaya yönelik siber hareketler olarak tanımlanan ‘Whaling Attack’ adı verilen (‘CEO Fraud’ olarak da kullanılır) özelinde çeşitli önleyici/ önlem aldırmaya dönük tavsiyelerde bulunacağız.

Her siber saldırıda olduğu gibi kişisel zaafların (dikkatsizlik, acele, aşırı güven, vb) kullanıldığı, üstelik bu ‘kandırmaca’nın şirket çalışanlarının ağlarına girilmesi yönünde gerçekleştirildiği bir yapı hüviyetinde Whaling Attack’lerde; yazışmalar, dikkatsizce tıklanan web siteleri sayesinde sistemlere entegre olmayı başaran kötü niyetli siber saldırganlar (ya da hacker’lar), daha sonra yazışmaları izleyerek tarafların görev ve sorumluluklarını çözümlemeye çalışıyorlar. Ardından da hedeflenen kimselere gönderilen e-mail’ler aracılığıyla tehdit ediyor (para talebinde bulunuyor örneğin), ödeme işlemlerinde sahte mail’lerle farklı hesaplara işlem sağlanmasına çalışıyor ve en temel sonuç olarak da maddi zarar açıyorlar.

Peki ne yapılmalı?

• Öncelikle sisteminize birçok yönden sızılabilir. Üstelik siz bu konuda her türlü güvenlik önlemini almış bile olabilirsiniz, yine de sızabilir. Çünkü iletişim ve karşı tarafın dahil olduğu bir süreç söz konusudur. Bu nedenle sadece kendinizi baz almadan, her iki tarafında siber güvenlik açısından tedbir aldığını teyit edici şartlar öne sürebilirsiniz.
• Sözleşme bedellerinin ödenmesi hususunda akreditif ödemeyi tercih edin.
• Sözleşme bedelleri ödemesinde ‘Mail Order’ veya ‘SWIFT’ transfer yapılması gerekliyse işlemin en az iki yetkili nezdinde gerçekleştiği süreç faydalı olacaktır.

• Ödeme konusunda en ufak bir değişiklik e-mail’i dahi sizin için özenle açılmış bir tuzak olabilir, mutlaka geleneksel yöntemlerle kontrolünü sağlayın ve mümkün olan en uç seviyede ‘tedbirli’ olun.
• Her güvenlik tavsiyemizde dile getirdiğimiz gibi 'aceleci' olmayın. İnternette herhangi bir şeye tıklamadan önce kısa bir analiz süresi alışkanlığı edinin, eğer bir şirkette görev alıyor ve bilgisayar sistemini kullanıyorsanız yapacağınız -merak kaynaklı- ya da -dikkatsizliğe bağlı- bir tıklamanın yüz binlerce, hatta milyonlarca TL zarar doğurabileceğini unutmayın.

Teknolojik kurumsal siber güvenlik çözümlerini mutlaka tercih edin. Dünyanın en önemli siber güvenlik şirketlerinden ESET’in 5-500’den fazla çalışana sahip her yapıdaki şirket için sunduğu fonksiyonel çözümleri incelemek için buraya tıklayabilirsiniz.

ESET kurumsal siber güvenlik çözümlerini kullanan şirketlerden bazıları: ESET ile Ayın Siber Güvenlik Tavsiyeleri yazı dizimizin sonraki bölümü 20 Nisan 2018 tarihinde yayınlanacaktır. Takipte kalınız...