Şirketlere hedefli bir saldırı düzenlerken, saldırganlar bazen işlerine yarayabilecek bilgiler bulabilmek için şirket çöplerini karıştırırlar. Hackers filmindekinin aksine, siber suçlular gerçek hayatta tabii ki bir çöp kutusunda 50 tane geçerli parola bulamazlar; ama yine de, kurumsal atıkların arasında birçok işe yarar bilgiye ulaşabilirler.
Çöpe atmamanız gereken şeyler
En iyimser çöp karıştırıcıları bile, üzerinde ÇOK GİZLİ yazılı bir grup dosya bulabileceğini düşünmez. Gerçi bir şirketin itibarını sarsmak ya da güçlü bir hedefli saldırı gerçekleştirebilmek için çok büyük sırlara da ihtiyaçları yoktur. Şirketle ilgili en küçük dedikodu veya bilgi bile, sosyal mühendislik yoluyla çalışanları aldatmak için kullanılabilir.
Riskli çöpler
Şirketinizin kara para hesapları olduğuna dair kanıtları veya çevreye zarar verdiğiyle ilgili şikayetleri alışkanlıkla çöpe atmadığınızı varsayarsak; asıl tehlike, hem müşterilerinizin hem de çalışanlarınızın bilgilerini içeren kişisel verilerde yatıyor. Şimdilerde böyle bir keşif hem denetmenlerin dikkatini çeker hem de yüklü para cezalarına çarptırılırsınız.
Ancak hala atılmış kişisel verilerden kaynaklanan vakalar görmeye devam ediyoruz. Birçok örnek olaya rağmen çalışanların çoğu, pizza teslim adreslerinin olduğu bir listenin gizli bilgiye girdiğini bilmiyor. Daha da kötüsü, üzerinde sosyal güvenlik numaraları yazılı tıbbi kayıtlar, banka kartı detayları yazılı ödeme bildirimleri ve kimlik belgelerinin taramaları bile çöpe atılıyor.
Siber suçluların sosyal mühendislik saldırısı için kullanabildikleri şeyler
Siber suçlular öylece atılmış iş belgelerinde, zarflarda ve dijital depolama ortamlarında buldukları bilgileri saldırı için kullanabilir.
İş belgeleri gizli bilgi içermiyorsa bile ekibin neler yaptığını, kullandıkları terminolojiyi, şirketin içinde bulunduğu süreci ve daha birçok bilgiyi açığa çıkarabilir. Böyle bilgileri ele geçirmiş bir saldırgan e-posta veya telefonla, iş sürecine dahil olan bir katılımcının kimliğine bürünerek daha fazla bilgiye ulaşabilir veya inandırıcı bir BEC saldırısı düzenleyebilir.
Zarflar işletme evraklarını göndermek için kullanıldıysa üzerinde her zaman gönderenin ve alıcının bilgileri bulunur. M şirketi çalışanının N şirketi temsilcilerinden bir takım evraklar aldığını bilen bir siber suçlu, alıcının bir şeyi doğrulaması için inandırıcı bir talepte bulunabilir veya alıcıya somut bir belgenin makbuzunu onaylatıyormuş gibi görünen kötü amaçlı bir bağlantı gönderebilir.
Dijital ortam tam anlamıyla bir bilgi hazinesi olabilir. Bozuk bir akıllı telefondan kişi rehberine ve mesajlara ulaşılabilir. Bu bilgiler daha sonra cihazın eski sahibinin kimliğine bürünmek için kullanılabilir. Flash sürücüler ve çöpe atılmış sabit sürücülerin içinde bile on binlerce iş belgesi ve kişisel bilgi olabilir.
Aslına bakarsanız, üzerinde çalışanın adı yazılı bir yemek teslim paketi bile siber suçlular için bir fırsat olabilir. Suçlular bu kişilere özel menü yemeklerinin veya sadakat programlarının sahte bağlantılarının olduğu kimlik avı e-postaları gönderebilir. (Bu çok da görülen bir yöntem olmasa bile böyle bir risk vardır.)
Atıklardan en doğru şekilde kurtulmanın yolları
Öncelikle, depolama yöntemi olarak kağıt kullanımını azaltmanızı veya hiç kullanmamanızı öneriyoruz. Bu şekilde hem çevreye fayda sağlamış, hem de atıklardan kurtulma sorununu çözmüş olacaksınız.
İlk olarak şirketin işlerine dair her kağıt belgeyi yok edin. Bundan kastımız tamamını yok etmeniz; sadece kişisel bilgiler içerenleri değil. Zarflar dahil hepsini parçalayın.
Dijital ortamlar (sabit sürücüler, flash sürücüler) çöpe atılmamalıdır. Bunları mekanik olarak kullanılamaz hale getirmeli ve elektronik geri dönüşüm merkezine götürmelisiniz. Flash sürücüleri pense yardımıyla kırın. Sabit sürücüleri kırmak için elektrikli matkap ya da çekiç kullanın. Unutmayın ki her telefonun içinde bir flash sürücü ve her bilgisayarın içinde bir sabit sürücü vardır. Telefon veya bilgisayarlarınızı atacaksanız, önce içindeki verilerin okunamaz olduğundan emin olun.
Kutuları veya yemek paketlerini atmadan önce üzerinde alıcının ismi ve adresi yazılı bütün etiketleri yırtın ve yok edin.
İşletmenizin güvenliğinin, danışma masasından üst yöneticilere kadar bütün çalışanların bu kuralları anlaması ve bunlara uymasına doğrudan bağlı olduğunu unutmayın. Konumları ne olursa olsun her çalışanın, tehlikeli olabilecek bilgileri idare edebilme konusunda en temel ve pratik bilgilere sahip olması gerekir.