Son yıllarda, kurumsal ağlara e-posta aracılığıyla virüs bulaşması haberleriyle düzenli olarak karşılaşıyoruz (ve genellikle fidye yazılımıyla bağlantılı oluyorlar). Hal böyleyken dolandırıcıların, şirket çalışanlarını posta kutularını taramaya ikna ederek kurumsal posta hesaplarından kimlik bilgilerini almaya çalışmak için düzenli aralıklarla bu hassasiyeti kullanmaları şaşırtıcı değil.
Bu kurgu, e-postalardaki potansiyel kötü amaçlı yazılım tehdidini bilen, ancak bununla nasıl başa çıkılacağını yeterince anlamayan kişileri hedefliyor. Bilgi güvenliği çalışanları, püf noktaları çalışanlara açıklamalı ve bu tür örnekleri çalışanların siber suçluların kurbanı olmaktan kaçınmak için nelere dikkat etmeleri gerektiğini göstermek için kullanmalı.
Kimlik avı e-postası
Bu dolandırıcılık mesajı, eski hilelerden birini kullanarak mağdurlara gözdağı verir. “Virüs Uyarısı” ve ardından üç ünlem işareti yazan başlıkta bu yöntemi görebilirsiniz. Ne kadar önemsiz bir noktalama işareti gibi görünse de, alıcıya bir terslik olduğu konusunda ipucu vermesi gereken ilk işaret budur. Bir iş e-postasında gereksiz noktalama işaretleri, duygusallığın veya profesyonellikten uzaklığın işaretidir. Her iki durum da, bir tehditle ilgili bilgileri iletmeyi amaçladığı varsayılan bir bildirim için uygunsuzdur.
Alıcının sorması gereken birinci soru “Mesajı kim gönderdi?” olmalıdır. E-posta, herhangi bir işlem yapmamanın alıcının hesabının bloke edilmesiyle sonuçlanacağını belirtiyor. Bu e-postanın kurumsal e-posta sunucusunu destekleyen BT hizmeti veya e-posta hizmeti sağlayıcısının çalışanları tarafından gönderildiğini varsaymak bir noktaya kadar mantıklı olabilir.
Ancak, hiçbir sağlayıcının veya dahili hizmetin, posta kutusunun içeriğini taramak için kullanıcının bir eylemde bulunmasını şart koşmayacağını anlamak çok önemli. Tarama, e-posta sunucusunda otomatik olarak gerçekleşir. Dahası, “virüs etkinliği” bir hesap içinde nadiren gerçekleşir. Birisi bir virüs göndermiş olsa bile alıcının bu virüsü indirip çalıştırması gerekir. Virüs, e-posta hesabına değil, bilgisayara bulaşır.
İlk soruya geri dönecek olursak, gönderene bakıldığında hemen iki tehlike işareti ortaya çıkıyor. Birincisi, e-posta bir Hotmail hesabından gönderilmiş; oysa meşru bir bildirim, şirketin veya sağlayıcının alan adını görüntülerdi. İkincisi, mesajın “E-posta Güvenlik Ekibi”nden geldiği söyleniyor. Alıcının şirketi bir üçüncü taraf posta hizmeti sağlayıcısı kullanıyorsa, bu hizmetin adı imzada görünmek zorundadır. Posta sunucusu kurumsal altyapıdaysa bildirim kurum içi BT veya bilgi güvenliği hizmetinden gelecektir ama tüm ekibin yalnızca e-posta güvenliğinden sorumlu olma olasılığı çok düşüktür.
Sıra geldi bağlantıya… Çoğu modern e-posta istemcisi, köprünün arkasına gizlenmiş URL’i gösterir. Alıcıdan, şirketinize de, posta sağlayıcısına da ait olmayan bir alan adında barındırılan bir e-posta tarayıcısına tıklaması istenirse bu neredeyse kesinlikle kimlik avıdır.
Kimlik avı sitesi
Site bir tür çevrimiçi e-posta tarayıcısı gibi görünüyor. Orijinallik izlenimi vermek için bir dizi antivirüs sağlayıcısının logoları gösteriliyor. Başlık, alıcının şirketinin adını bile içeriyor; bu, tarayıcının kimin aracı olduğuna dair herhangi bir şüpheyi ortadan kaldırmayı amaçlıyor. Site, önce bir taramayı simüle ediyor, ardından “E-posta taraması tamamlamak ve etkilenen dosyaları tüm silmek için aşağıdaki hesabınızı onaylayın” şeklinde yanlış bir gramer kullanılarak yazılmış bir mesajla işlemi yarıda kesiyor. Elbette bunun için hesap şifresi gerekiyor.
Sitenin yapısını anlamak için işe tarayıcı adres çubuğunun içeriğini inceleyerek başlayın. Birincisi, yukarıda belirtildiği gibi, doğru alan adına sahip değil. İkincisi, URL büyük olasılıkla alıcının e-posta adresini içerir. Bu tek başına bir sorun değildir: Kullanıcı kimliği URL aracılığıyla aktarılmış olabilir. Ancak sitenin yasallığıyla ilgili herhangi bir şüphe durumunda, adresi rastgele karakterlerle değiştirin (ancak e-posta adresi görünümünü korumak için @ simgesini tutun).
Bu tür siteler, sayfa şablonundaki belirli boşlukları doldurmak için kimlik avı e-postasındaki bağlantı tarafından iletilen adresi kullanır. Biz deneme yapmak için var olmayan kurban@sirketiniz.org diye bir adres kullandık. Site, tarayıcının adına “şirketiniz” kelimesini yerleştirdi ve tüm adresi hesabın adına uygun şekilde değiştirdi; bunun üzerine var olmayan e-postalardaki var olmayan ekleri taramaya başlamış görüntüsü verdi. Deneyi farklı bir adresle tekrarladığımızda her “taramadaki” eklerin adlarının aynı olduğunu gördük.
Diğer bir tutarsızlık ise tarayıcının posta kutusu içeriğini kimlik doğrulaması olmadan taraması. Öyleyse neden şifreye ihtiyacı olsun ki?
Çalışanlarınızı kimlik avından nasıl koruyabilirsiniz?
Hem e-postadaki hem de sahte tarayıcı internet sitesindeki kimlik avı işaretlerini ayrıntılı olarak analiz ettik. Bu gönderiyi çalışanlara göstermek, onlara ne arayacakları konusunda kabaca bir fikir verecektir. Ancak bu, buz dağının sadece görünen kısmı. Bazı sahte e-postalar daha karmaşıktır ve fark edilmesi daha zordur.
Bu nedenle, örneğin Kaspersky Automated Security Awareness Platform gibi bir platform üzerinden çalışanlara en son siber tehditler hakkında sürekli farkındalık eğitimi verilmesini öneriyoruz.
Ayrıca, posta sunucusundaki kimlik avı e-postalarını algılayabilen ve iş istasyonlarında kimlik avı sitelerine yönlendirmeleri engelleyebilen güvenlik çözümlerini kullanın. Kaspersky Security for Business her ikisini de yapabiliyor. Dahası, Microsoft Office 365'in yerleşik koruma mekanizmalarını geliştiren bir çözüm de sunuyoruz.