Tüm dünyayı etkilemekte olan COVID-19 sebebi ile dünyanın birçok yerinde kurumlar ofislerini kapatmış ve bununla birlikte çoğu kurum “Uzaktan/Evden Çalışma” şekline geçmiş durumdadır.
Uzaktan çalışma sırasında kurum içinde kullanılacak iletişim, toplantı ve VPN gibi hizmetler için gerekli yazılımlar satın alınıp kurumlara konfigürasyonu sağlandı. Eminiz ki bu yazılımlar satın alınmadan önce “ne kadar güvenli” olduğuna dair uzunca araştırmalar yapıldı. Ancak bu yeni çalışma mantığının gelmesiyle birlikte karmaşaların arasında kaybolan birçok kurum, bir kez daha Siber Güvenliğin en zayıf halkasını unutmuş oldular. Yani ‘insanı’.
İnsanlar birçok farklı saldırı tipi ile sosyal mühendislik saldırılarına maruz kalmaktadır. Bu saldırılara birkaç örnek vermek gerekirse:
- Kurbanın aklını karıştıracak bir şey yapmadan, kurbandan direkt bir bilgiyi veya erişimi isteyivermek yani doğrudan yapılmasını istemek,
- Güven duymaya ve aldatılmaya açık olan insanların zaafını kullanarak, kurban üzerinde güven uyandırıp istediği bir şeyi yaptırmak,
- Kurban kişiden bir yardım talep ederek kurbanın kendisine “yardım etme zorunluluğunda” hissettirmek,
- İnsanların bedava bir şeyler elde etme hevesinden istifade ederek “hediye, indirim, bedava, ücretsiz” gibi anahtar kelimeleri kullanmak,
- Kurban üzerinde korku, heyecan ya da suçluluk gibi duyguları uyandırmaya çalışarak kurbana dilediği şeyleri yaptırmak.
COVID-19 günlerinde insanlar hastalık, evden çıkamama gibi nedenler ile stres altındayken bunun üzerine gelecek sosyal mühendislik saldırılarının içeriği kişiyi paniğe ve heyecana sürükleyecek bir şey olduğunda, kurban mantıklı düşünemeyerek e-postadaki zararlı bir ek dosyasını indirebilir, zararlı bir bağlantı linkini tıklayabilir veya kendisinden istenen kimlik bilgilerini girebilir.
Örneğin aşağıdaki sosyal mühendislik senaryosunda “insanların bedava bir şeyler elde etme” hevesinden bahsedebiliriz:
COVID-19 kapsamında devletimizin bazı ailelere 1000 TL yardım sağladığını bilen saldırgan, “Turkiyegov-devleti.com” ya da benzer isimli, kendini orijinal bir devlet alan adına sahip gibi göstererek kurbana “COVID-19 sebebiyle sosyal yardım kampanyamızdan siz de faydalandınız. Parayı hesabınıza aktarabilmemiz için bugün mesai saatlerimiz bitmeden gereken iletişim bilgilerinizi girmeniz gerekmektedir.” içerikli bir e-posta gönderdiğinde, bilgilerini girecek kişi sayısı bir hayli fazla olacaktır. Bu senaryoda kilit rol oynayan diğer bir etken ise “bugün mesai saatleri bitmeden bilgilerinizi girmeniz gerekmektedir” cümlesidir. Kurban üzerinde baskı uygulayarak mantıklı düşünmesi engellenmeye çalışılmaktadır.
Bir diğer sosyal mühendislik senaryosunda ise kurbanda merak uyandırılması taktiğinden bahsedebiliriz:
“Ülkemiz tarafından COVID-19 sebebi ile başlatılan sosyal yardım kampanyamızdan faydalanıp faydalanamayacağınızı şu link üzerinden ulaşacağınız sitede gereken bilgilerinizi girdikten sonra kontrol edebilirsiniz.” içerikli bir e-posta, kurbanları kandırmak için yeterli olacaktır.
COVID-19 kapsamındaki bir diğer önemli konu ise, birçok kurumda uzaktan/evden çalışmaya geçilmesi ile birlikte, home-office çalışma tarzına alışkın olmayan çalışanlarda aşırı bir rahatlık söz konusu olabilmesidir. İnsanlar mesai saatleri 09:00’da başlıyorken çalışan 08:50’de uyanıp bilgisayar başına geçebilmektedir. Pijamaları, eşofmanları ile çalışmaları mümkün olabildiği için çalışırken kendilerini daha rahat hissetmekte ve bunun sağladığı rahatlık ile daha da dikkatsiz ve umursamaz olabilmektedir. Bu durum da onları mükemmel birer potansiyel kurban haline getirmektedir.
Google’nin raporlarına göre, 2020 Ocak ayında yaklaşık 149.000 kadar kimlik avı saldırıları için kullanılan web siteleri olduğu tespit edilmişken bu sayı Şubat ayında 293.000 olarak belirtildi. Mart ayında ise 522.000 kimlik avı web sitesi tespit edilmiş durumdadır. 2020 yılının ilk ayından Mart ayına kadar zararlı web sitelerinin %350 oranında arttığı gözlemlenmiştir. Artışın bu denli olmasının sebebi, sosyal mühendislik yapan saldırganların, insanların panik durumundan yararlanabileceğini bilmesinden kaynaklanmaktadır.
Peki Ne Yapmalısınız?
Sayıları artan ve örnekleri ile sürekli karşılaştığımız bu saldırılardan korunmak için çalışanlarınıza “Siber Farkındalık” eğitimleri vermelisiniz. Örneğin çalışanlarınıza bu makalenin bağlantısını göndermek yerine, daha fazla görsel içerikleri olan bir sunum dosyası hazırlayabilirsiniz. Fakat bu sunum dosyasını hangi çalışanın, ne kadar ciddiye alarak okuyacağını bilmeniz pek de mümkün değil.
Bu durumda, yaptıracağınız “Sosyal Mühendislik Testleri” ile çalışanlarınızın gerçek bir senaryoda durumu daha iyi kavrayabilmesini sağlayabilirsiniz. COVID-19 döneminde, Sosyal Mühendislik Saldırılarına karşı çalışanlarınıza daha dikkatli olmalarını, evden çalışma sürecinde rahatlıklarını, korku ve panik durumlarını kötüye kullanmak isteyecek saldırganların daha çok peşlerine düşebileceğini uygun bir sosyal mühendislik test senaryosu ile çalışanlarınıza öğretebilirsiniz.
Ayrıca yaptıracağınız test sonucunda, çalışanlarınızın evden çalışırken ne derecede dikkatli olduğu bilgisini grafik halinde görebilir ve bu grafiğe göre güvenlik önlemlerinizi alabilir veya artırabilirsiniz.
Sosyal Mühendislik Farkındalığı eğitimleri hakkında bilgi almak için bize ulaşabilirsiniz.
Yazar: Barış Koparmal