Pazarlama departmanlarına karşı gerçekleştirilen beş siber saldırı

Siber suçlular neden halkla ilişkiler ve pazarlama personeline saldırmak istiyor ve en önemlisi, şirketinizi finansal ve itibar kaybından nasıl koruyabilirsiniz?

İşletmelere yönelik saldırılar söz konusu olduğunda, genellikle dört konuya odaklanılır: finans, fikri mülkiyet, kişisel veriler ve BT altyapısı. Ancak, siber suçluların halkla ilişkiler ve pazarlama tarafından yönetilen şirket varlıklarını da hedef alabileceğini unutmamalıyız – bunlar arasında e-postalar, reklam platformları, sosyal medya kanalları ve tanıtım siteleri sayılabilir. İlk bakışta bunlar suçlular için cazip görünmeyebilir (“gelir nerede?”), ancak pratikte her biri siber suçlulara kendi “pazarlama faaliyetlerinde” hizmet edebilir.

Kötü amaçlı reklam

Birçok kişiyi (InfoSec uzmanlarını bile) şaşırtacak şekilde, siber suçlular birkaç yıldır yasal ücretli reklamları aktif olarak kullanmaktadır. Banner reklamlar ve arama yerleşimleri için bir şekilde para ödüyorlar ve kurumsal tanıtım araçlarını kullanıyorlar. Kötü amaçlı reklamcılık (malvertising) adıyla anılan bu olgunun pek çok örneği vardır. Siber suçlular genellikle popüler uygulamaların sahte sayfalarının, ünlü markalara yönelik sahte promosyon kampanyalarının ve geniş bir kitleyi hedefleyen diğer dolandırıcılık planlarının reklamını yaparlar. Bazen tehdit aktörleri kendilerine ait bir reklam hesabı oluşturur ve reklam için ödeme yapar, ancak bu yöntem çok fazla iz bırakır (ödeme ayrıntıları gibi). Bu yüzden farklı bir yöntem onlar için daha cazip: giriş bilgilerini çalmak ve sıradan bir şirketin reklam hesabını ele geçirmek, sonra da bu hesap üzerinden kendi sitelerini tanıtmak. Bunun siber suçlular için fazladan bir getirisi vardır: başkalarının parasını fazla iz bırakmadan harcayabilirler. Ancak mağdur şirket, reklam hesabını kaybetmenin yanı sıra, kötü amaçlı içerik dağıttığı gerekçesiyle reklam platformu tarafından engellenme ihtimali de dâhil olmak üzere, peş peşe sorunlarla karşılaşıyor.

Olumsuz oy verildi ve takipten çıkarıldı

Yukarıdaki planın bir varyasyonu da sosyal ağların ücretli reklam hesaplarının ele geçirilmesidir. Sosyal medya platformlarının özellikleri, hedef şirket için ek sıkıntılar yaratır.

İlk olarak, kurumsal sosyal medya hesaplarına erişim genellikle çalışanların kişisel hesaplarına bağlıdır. Saldırganların bir reklamcının kişisel bilgisayarını ele geçirmesi veya sosyal ağ parolasını çalması, yalnızca beğenilere ve kedi resimlerine değil, aynı zamanda çalıştıkları şirket tarafından kendilerine verilen etki alanına da erişim sağlamaları için genellikle yeterlidir. Bu, şirketin sosyal ağ sayfasında yayın yapmayı, yerleşik iletişim mekanizması aracılığıyla müşterilere e-posta göndermeyi ve ücretli reklam vermeyi içerir. Kurumsal sayfanın ana yöneticisi olmadığı sürece bu işlevleri gizliliği ihlal edilmiş bir çalışandan geri almak kolaydır – bu durumda, erişimi geri yüklemek aşırı derecede zahmetli olacaktır.

İkinci olarak, sosyal ağlardaki reklamların çoğu, belirli bir şirket adına oluşturulan “sponsorlu gönderiler” şeklindedir. Bir saldırgan sahte bir teklif yayınlar ve reklamını yaparsa, izleyiciler bunu kimin yayınladığını hemen görür ve şikayetlerini doğrudan gönderinin altında dile getirebilir. Bu durumda şirket sadece finansal olarak değil, gözle görülür bir itibar kaybına da uğrar.

Üçüncüsü, sosyal ağlarda birçok şirket “özel kitleleri” kaydeder – çeşitli ürün ve hizmetlerle ilgilenen veya daha önce şirketin web sitesini ziyaret etmiş olan müşteri koleksiyonları. Bunlar genellikle bir sosyal ağdan çekilemese de (yani çalınamasa da), ne yazık ki bunlara dayanarak belirli bir kitleye uyarlanmış ve dolayısıyla daha etkili olan kötü amaçlı reklamlar oluşturmak mümkündür.

Planlanmamış genelge

Siber suçlular için ücretsiz reklam elde etmenin bir başka etkili yolu da bir e-posta hizmet sağlayıcısındaki bir hesabı ele geçirmektir. Saldırıya uğrayan şirket yeterince büyükse, posta listesinde milyonlarca abonesi olabilir.

Bu erişim çeşitli şekillerde istismar edilebilir: abone veri tabanındaki e-posta adreslerine karşı konulmaz sahte bir teklif göndererek; planlanmış reklam e-postalarındaki bağlantıları gizlice değiştirerek; veya daha sonra başka yöntemlerle kimlik avı e-postaları göndermek için abone veri tabanını indirerek.

Yine, maruz kalınan zarar finansal, itibari ve tekniktir. “Teknik” derken, gelecekte gelebilecek mesajların posta sunucuları tarafından engellenmesini kastediyoruz. Başka bir deyişle, kötü niyetli posta gönderilerinden sonra, mağdur şirketin yalnızca posta platformuyla ilgili sorunları değil, aynı zamanda bu şirketi potansiyel dolandırıcılık kaynağı olarak engelleyen bazı e-posta sağlayıcılarıyla ilgili sorunları da çözmesi gerekecektir.

Böyle bir saldırının çok kötü bir yan etkisi müşterilerin kişisel verilerinin sızdırılması olacaktır. Bu başlı başına bir sorundur – sadece itibarınıza zarar vermekle kalmaz, aynı zamanda veri koruma düzenleyicileri tarafından para cezasına çarptırılmanıza da neden olabilir.

Web sitesinin elli tonu

Bir web sitesi saldırısı uzun süre fark edilmeyebilir – özellikle de işlerini ağırlıklı olarak sosyal ağlar üzerinden veya çevrimdışı yürüten küçük bir şirket için. Siber suçluların bakış açısına göre, bir web sitesinin ele geçirilmesinin amaçları sitenin türüne ve şirketin faaliyetinin niteliğine göre değişir. Web sitesinin ele geçirilmesinin daha karmaşık bir siber saldırının parçası olduğu durumları bir kenara bırakırsak, genel olarak aşağıdaki kategorileri tanımlayabiliriz.

İlk olarak, kötü niyetli kişiler bir e-ticaret sitesine bir web skimmer yükleyebilir. Bu, müşteriler bir satın alma işlemi için ödeme yaparken kart bilgilerini çalan, doğrudan web sitesi koduna gömülü küçük, iyi gizlenmiş bir JavaScript parçasıdır. Müşterinin herhangi bir şey indirmesi veya çalıştırması gerekmez – sadece sitedeki mal veya hizmetler için ödeme yapar ve saldırganlar paranın kaymağını yer.

İkinci olarak, saldırganlar sitede gizli alt bölümler oluşturabilir ve bunları kendi seçtikleri kötü amaçlı içerikle doldurabilirler. Bu tür sayfalar, sahte eşantiyonlar, düzmece satışlar veya Truva atlı yazılım dağıtımı gibi çok çeşitli suç faaliyetleri için kullanılabilir. Bu amaçlar için yasal bir web sitesi kullanmak, sahipleri “misafirleri” olduğunun farkına varmadıkları sürece idealdir. Aslında bu uygulamaya odaklanmış koca bir endüstri var. Özellikle bazı pazarlama kampanyaları veya tek seferlik etkinlikler için oluşturulan ve daha sonra unutulan sahipsiz siteler popülerdir.

Bir web sitesinin hacklenmesinin bir şirkete verdiği zarar oldukça geniş kapsamlıdır ve şunları içerir: kötü niyetli trafik nedeniyle siteyle ilgili maliyetlerin artması; sitenin SEO sıralamasındaki düşmeye bağlı olarak gerçek ziyaretçi sayısında azalma; müşterilerin kartlarından beklenmedik ücretler alınması nedeniyle müşterilerle veya yasal yaptırımlarla olası sorunlar.

Bağlantılı web formları

Tehdit aktörleri bir şirketin web sitesini hacklemeden bile kendi amaçları için kullanabilirler. İhtiyaç duydukları tek şey, bir onay e-postası oluşturan bir web sitesi işlevidir: bir geri bildirim formu, bir randevu formu vb. Siber suçlular, spam gönderme veya kimlik avı amacıyla bu tür formlardan yararlanmak için otomatik sistemler kullanır.

Mekanizma basittir: hedefin adresi iletişim e-postası olarak forma girilirken, sahte e-postanın metni Ad veya Konu alanına eklenir, örneğin “Para transferiniz gerçekleştirilmeye hazır (bağlantı)”. Sonuç olarak, kurban aşağıdaki gibi bir kötü niyetli e-posta alır: “Sayın XXX, para transferiniz gerçekleştirilmeye hazır (bağlantı). Bizimle iletişim kurduğunuz için teşekkür ederiz. Kısa süre içinde sizinle iletişime geçeceğiz.” Doğal olarak, anti-spam platformları nihayetinde bu tür e-postaların geçişine izin vermeyi bırakır ve kurban şirketin formu işlevinin bir kısmını kaybeder. Buna ek olarak, bu tür postaların tüm alıcıları şirket hakkında olumsuz düşünerek şirketi bir spam göndericisi ile bir tutar.

Halkla ilişkiler ve pazarlama varlıkları siber saldırılardan nasıl korunur?

Tanımlanan saldırılar oldukça çeşitli olduğundan, derinlemesine koruma gereklidir. Atılacak adımlar:

  • Tüm pazarlama departmanında siber güvenlik farkındalık eğitimi düzenleyin. Bunu düzenli olarak tekrarlayın;
  • Tüm çalışanların en iyi parola uygulamalarına bağlı kaldığından emin olun: her platform için uzun, benzersiz parolalar ve iki faktörlü kimlik doğrulamanın zorunlu kullanımı – özellikle sosyal ağlar, posta araçları ve reklam yönetimi platformları için;
  • Kurumsal bir sosyal ağa veya başka bir çevrimiçi araca erişmesi gereken tüm çalışanlar için tek bir parola kullanma uygulamasını ortadan kaldırın;
  • Çalışanlara posta/reklam araçlarına ve web sitesi yönetici paneline yalnızca şirket standartlarına (EDR veya internet güvenliği, EMM/UEM, VPN) uygun olarak tam koruma ile donatılmış ofis cihazlarından erişmeleri talimatını verin;
  • Çalışanları kişisel bilgisayarlarına ve akıllı telefonlarına kapsamlı koruma yüklemeye teşvik edin;
  • Kullanılmadığında posta/reklam platformlarından ve diğer benzer hesaplardan zorunlu çıkış uygulamasını başlatın;
  • Bir çalışan şirketten ayrıldıktan hemen sonra sosyal ağlara, posta/reklam platformlarına ve web sitesi yöneticisine erişimi iptal etmeyi unutmayın;
  • Anormallikleri zamanında tespit edebilmek için gönderilen e-posta listelerini ve yayınlanmakta olan reklamları, ayrıntılı web sitesi trafik analizleriyle birlikte düzenli olarak gözden geçirin;
  • Web sitelerinizde (içerik yönetim sistemi, uzantıları) ve iş bilgisayarlarında (işletim sistemi, tarayıcı ve Office gibi) kullanılan tüm yazılımların düzenli ve sistematik olarak en son sürümlere güncellendiğinden emin olun;
  • Form doğrulama ve temizlemeyi uygulamak için web sitesi destek yüklenicinizle birlikte çalışın; özellikle de, bağlantıların böyle bir amaç için tasarlanmamış alanlara eklenememesini sağlamak için. Ayrıca, aynı aktörün günde yüzlerce talepte bulunmasını önlemek için bir “hız sınırlaması” ve botlara karşı koruma sağlamak için akıllı bir captcha belirleyin.
İpuçları