Performans değerlendirme kisvesi altında kurumsal kimlik avı

Dolandırıcılar, çalışanları performans değerlendirmesine katılmaya teşvik ederken aslında iş hesabı parolalarını çalıyorlar.

Kurumsal hesapların kimlik bilgilerini ele geçirmek isteyen siber suçlular, çalışanları kimlik avı sitelerine çekmek için yeni yollar buluyor. Önceki dolandırıcılık girişimleri, yem olarak SharePoint davetiyelerini ve sesli mesajları kullanmıştı.

Uzmanlarımız son olarak siber suçluların hedefteki şirketin performans değerlendirme sürecini taklit etmeye çalıştığı bir kimlik avı dolandırıcılığını ortaya çıkardı. Saldırı iki şekilde ilerliyor: Alıcılar, değerlendirmenin (a) zorunlu olduğunu ya da (b) maaş artışına yol açacağını düşünüyorlar. Bu tarz değerlendirmelerin bazı şirketlerde ücret revizyonu sürecinin rutin bir parçası olduğunu not düşelim; bu yüzden bu talep şüphe uyandırmıyor.

Saldırı her zamanki gibi bir e-posta ile başlıyor. Çalışanlar, İK’dan geliyormuş gibi görünen bir performans değerlendirme daveti alıyorlar. Mesajın içindeki metin, doldurulması gereken “performans değerlendirmesinin” yer aldığı web sitesinin bağlantısını içeriyor.

Konuya yabancı olanlar hedefleniyor

Talimatlara göre kullanıcının bağlantıya tıklayarak oturum açması, diğer detayları içeren bir e-posta gönderilmesini beklemesi ve üç seçenekten birini tercih etmesi gerekiyor. Şirkette yeni olanlar ve değerlendirme süreçlerine çok hakim olmayanlar için bu adımlar ikna edici görünebiliyor. Yalnızca (kurumsal kaynaklarla ilgisi olmayan) web sitesi adresi şüphe uyandırabiliyor.

Çalışanlar bağlantıya tıkladıklarında bir “İK portalının” giriş sayfasını görüyorlar. Kurumsal hizmetlerin giriş sayfaları gibi görünmeye çalışan birçok kimlik avı kaynağının aksine, parlak, tek renkli veya renk geçişli bir arka plan üzerinde sayfayı kaplayan veri girişi alanlarına sahip bu sayfa oldukça ilkel görünüyor. Dolandırıcılar orijinal görünmek için kullanıcıdan gizlilik politikasını kabul etmesini de istiyor (böyle bir belgeye yönlendiren herhangi bir bağlantı sunmadan).

Kurbandan kullanıcı adını, parolasını ve e-posta adresini girmesi isteniyor. Bazı durumlarda dolandırıcılar iş adresinin girilmesini de isteyebiliyor. Çalışan, Oturum Aç veya Değerlendirme düğmesine bastığında aslında bu verileri siber suçlulara göndermiş oluyor.

Bu noktada “değerlendirme” çoğunlukla bir anda sonlanıyor. Çalışan bir süre bahsedilen ayrıntıları içeren e-postanın gelmesini bekliyor. En iyi olasılıkla bir terslik olduğundan şüpheleniyorlar ya da gerçek İK departmanına bir hatırlatma mesajı gönderiyorlar; İK da böylece BT güvenliğini konudan haberdar ediyor. Aksi durumlarda ise şirket, kimlik hırsızlığı yaşandığını aylarca tespit edemeyebiliyor.

Kurumsal hesapların çalınmasının tehlikeleri

Tüm bunlar elbette söz konusu şirketin hangi teknolojileri kullandığına bağlı. Çalışanların kimlik bilgilerini ele geçiren siber suçlular, örneğin diğer şirketlerin çalışanlarına, ortaklarına ya da müşterilerine kurbanın adıyla hedef gözeten kimlik avı e-postaları göndererek zarara sebep olabilirler.

Saldırgan, yazışmalara veya şirket içi gizli belgelere de erişebilir; bu da saldırının başarılı olma şansını artırır: Kurbandan geliyormuş gibi görünen mesajların hem istenmeyen e-posta filtrelerini aşması hem de alıcıları güvenli hissettirerek kandırması olasılığı daha yüksektir. Çalınan bilgiler daha sonra kurumsal e-postaların ele geçirilmesi (BEC) saldırıları da dahil olmak üzere şirketi hedef alan çeşitli saldırılar için de kullanılabilir.

Dahası, şirket içi belgeler ve çalışan mesajları, şantaj veya rakiplere satma gibi farklı suçlar için de kullanılabilir.

Kimlik avı saldırılarına karşı nasıl korunabilirsiniz?

Böyle saldırılar her şeyden önce insan faktörünü hedef alır. Bu yüzden, çalışanların şirketin siber güvenlik prosedürlerine ve süreçlerine aşina olmasını sağlamak hayati önem taşır.

  • Çalışanların e-postalarda yer alan bağlantılara dikkatle yaklaşması ve yalnızca doğruluğundan emin oldukları bağlantıları açması gerektiğine dair düzenli hatırlatmalar yayınlayın;
  • Çalışanlara iş hesabı bilgilerini şirket dışındaki sitelere girmemeleri gerektiğini hatırlatın;
  • Kimlik avı e-postalarını, kimsenin gelen kutusuna düşmeden önce engelleyin. Bunun için e-posta sunucusu seviyesinde bir güvenlik çözümü kurun. Kaspersky Security for Mail Server veya Kaspersky Endpoint Security for Business Advanced bu iş için biçilmiş kaftandır.
İpuçları