Kimlik avı amaçlı e-postalar ya da başka ifadelerle phising ya da oltalama saldırıları, siber suçluların adım adım bilgi toplamak için kullandıklarıen popüler yöntemlerdendir. Global anitivirüs yazılım kuruluşu ESET’ten Güvenlik Araştırmacısı Lysa Myers, kimlik avı amaçlı e-postaların karakteristik özelliklerine dikkat çekti ve bunlardan kaçınmanın ipuçlarını paylaştı.Kimlik avı amaçlı e-postalar; kredi kartı numaraları, parolalar, hesap verileri veya başka kişisel verilerinize ulaşmak ya da çalmak amacıyla tasarlanır. Yani özetle kimlik hırsızlığını hedefler. Bu nedenlegüvenilir olmayan gönderici adreslerinden gelen acil çağrılı mesajlara; özellikle de başka sitelere yönlendiren eklenti veya bağlantılar içeren mesajlara oldukça dikkatli yaklaşmak gerekiyor.
ESET Kuzey Amerika’dan Güvenlik Araştırmacısı Lysa Myers, bu tür e-postaları mercek altına altı. Myers’e göre kimlik avı e-postalarına ait önde gelen karakteristik özellikler şöyle:
- Mesaj beklenmedik şekilde geliyor.
- Mesaj içeriği sıra dışı görünüyor.
- Güvenilir bir kaynakla ilişkili veya oradan gönderilmiş gibi görünüyor.
- Adı geçen otoritenin dışında bir göndericiden geliyor.
- Metin aciliyet ifade ediyor.
- Selamlama yok veya oldukça genel.
- Mesaj neredeyse hiçbir açıklama içermiyor.
- Mesaj olağandışı veya beklenmeyen bir eklenti ya da bağlantı içeriyor.
- “Bu öğelerden birini dahi içeren bir e-posta, güvenlik bilincine sahip birinin kafasını karıştırmak için yeterlidir“ tespitini yapan Lysa Myers, “Bununla birlikte, genellikle sosyal mühendislik saldırılarında kullanılan ve tüm bu nitelikleri içeren meşru e-postalara da rastlıyorum. Çalışanların bu tip mesajları normal olarak kabul etmesi, çok tehlikeli bir örnek oluşturuyor“ dedi.
Kimlik avı mesajı değil ama öyle görünüyorsa...
Ne yazık ki özellikle iş dünyasında meşru göndericilerden gelen ve son derece şüpheli izlenim bıraktığının farkında olmayan hatırı sayılır miktarda e-posta da kullanıcılara ulaşıyor. “E-postalarınızın daha az şüpheli görünebilmesi için ne yapabilirsiniz?“ diyen ESET Güvenlik Araştırmacısı Lysa Myers, göz önünde bulundurulması gereken unsurları şöyle sıraladı:
E-postaları ‘beklenen‘ hale getirin.
Çalışanın eyleme geçmesini gerektiren bir e-posta gönderecekseniz, onlara önce giriş niteliğinde bir e-posta gönderin; bu şekilde onları önceden uyarıp e-postanın ne içereceğini açıkladıktan sonra, mesajın alınmasıyla birlikte kendilerinden ne beklendiğini de ifade edin. Kendilerine ne beklemeleri gerektiğiyle ilgili ne kadar çok bilgi verirseniz (içeriğin kısa bir özeti, ayırt edici bir selamlama ya da veda vs.), e-postanın orijinal olduğunu o kadar rahat doğrulayabilirler.
Sakin olun.
Çalışanlarınızda korku yaratmak için sosyal mühendislik yöntemlerini kullanmanın iyi bir nedeni yoktur. Muhtemelen işe aldığınız kişiler sorumlu yetişkinlerdir ve onları aciliyet düzeyini panik gerektirmeyecek şekilde doğru bir biçimde tanımlayarak harekete geçirebilirsiniz. Ve herkesin tansiyonu hatırına lütfen TÜMÜ BÜYÜK HARFLERLE YAZILMIŞ MESAJLAR GÖNDERMEYİN.
Güvenlik bilincine sahip ürünleri seçin.
Harici uygulamalardan gönderilen e-postaları dijital olarak imzalayabilir veya şifreleyebilir misiniz? Onları kendi şirket adresinizden göndermek gibi bir seçeneğiniz var mı? Kullandığınız yeni veya eski uygulamalarla ilgili pek çok seçeneğiniz olmasa bile, mesajları daha ‘kullanıcı dostu‘ hale getirmek için mesajların özelleştirilmesi gibi bazı seçenekleri değerlendirin.
Basit tutun.
Metin biçimini varsayılan olarak kullanırken, HTML içeriğini yalnızca kesinlikle gerekliyse kullanın. Mümkünse, alıcılar mesaj içeriğini okumak için bir bağlantıya veya eke tıklamamalıdır. Çalışanlarınızın en azından bilgilerin temel bir özetini hızlı ve kolay bir şekilde almalarını sağlayın ve iletide gömülü bir bağlantıyı takip etmeleri yerine daha ayrıntılı bilgi almak için standart bir yere (şirket web sitesi gibi) yönlendirin.
Konuyla ilgili orijinal makaleyi şu linkten takip edebilirsiniz:
https://www.welivesecurity.com/2018/07/25/hook-line-sinker-avoid-looking-phish-y/
