Bloğumuza ilk defa gelmiyorsanız, kimlik avının ne olduğunu biliyor olmalısınız. Bilmiyorsanız bu yazımızı mutlaka okuyun. Kısaca, kimlik avı kişisel verileri elde etmeyi amaçlayan bir dolandırıcılık türüdür: oturum açma, parolalar, cüzdan numaraları gibi. Asıl olarak da dijital sosyal mühendisliktir.
Kimlik avının bir de hedef odaklı kimlik avı olarak bilinen bir türü bulunur. Hedef odaklı kimlik avının belirli bir insanı veya belirli bir şirketin çalışanlarını hedef alması, onu diğer kimlik avı türlerinden ayırır.
Bu hedefleme kimlik avını daha tehlikeli getiriyor: siber suçlular “yemi” daha cazip hale getirmek için özenle kurban hakkında bilgi toplar. İyi hazırlanmış bir hedef odaklı kimlik avı e-postasının meşru e-postadan ayırt edilmesi oldukça zor olabilir. Özetle, hedef odaklı kimlik avı, kurbanı yakalamayı kolaylaştırır.
Hedef odaklı kimlik avını kim, neden kullanır
Hedef odaklı kimlik avının arkasında iki neden bulunuyor: para ve/veya gizli bilgi çalmak. Her iki durumda da ilk iş kurumsal ağa girmek. Genellikle çalışanlara kötü amaçlı belge veya arşiv eklenmiş e-postalar gönderiliyor. Örneğin Silence (Sessizlik) saldırılarının arkasındaki grup bu şekilde çalışıyordu.
Microsoft Word makroları veya JavaScript koduyla bir belge silaha dönüştürülebilir: Bunlar en basit haliyle, kurbanın bilgisayarına çok daha ciddi kötü amaçlı yazılım yükleme amacıyla standart dosyalara yerleştirilen küçük programlardır. Bu kötü amaçlı yazılım daha sonra hedeflenen ağa yayılır veya elde edebileceği tüm bilgiyi alıkoyar, bu şekilde yazılımın geliştiricileri de ağda aradıklarını bulabilir.
Hedef odaklı kimlik avı, ağını olabildiğince geniş tutmaya çalışan küçük çaplı dolandırıcılar için değildir. Basit dolandırıcıların silahlarını özelleştirecek zamanı veya araçları olmaz.
Hedef odaklı kimlik avı, büyük işletmeler, bankalar veya nüfuz sahibi insanlara yapılan büyük saldırılar için kullanılan bir araçtır. Carbanak veya BlackEnergy gibi geniş APT saldırılarında yayılır. Hedef odaklı kimlik avı aynı zamanda bir e-mail bulaşmasıyla Bad Rabbit saldırılarında da kullanılmıştı.
Kimler hedefleniyor
Hedef odaklı kimlik avının en yaygın hedefleri ya kârlı bilgilere erişimi olan yüksek düzeydeki çalışanlar ya da işi gereği dış kaynaklardan çok sayıda belge açması gereken departman çalışanlarıdır.
Örneğin İK departmanları. Her türlü dosya biçiminde birçok özgeçmiş ediniyorlar. Bilinmeyen kaynaklardan gelen e-postalar hiç de şaşırtıcı veya şüpheli olmuyor. Halkla ilişkiler ve satış departmanları da diğer alanlar gibi savunmasız.
Muhasebe departmanları özel risk altındadır. Her şeyden önce onlar üstlenici, düzenleyici ve daha kim bilir kimlerle uğraşıyorlar. Ayrıca tabii ki finans ve bankacılık yazılımlarıyla çalışıyorlar. Paraya aç korsanlar için muhasebe uygun bir av oluyor.
Casuslar ise sistem yöneticileri ve BT personeli gibi sistemin içine erişimi olan insanlarla ilgileniyor.
Hedef odaklı kimlik avının yalnızca büyük şirketlere odaklandığını düşünmeyin sakın. Küçük işletmeler de davetsiz misafirlere oldukça ilginç geliyor. Büyük işletmelerin casusluğa maruz kalma ihtimali daha yüksekken, küçük işletmeler de hırsızlıktan muzdarip.
Hedef odaklı kimlik avına karşı koruma önlemleri
Genel olarak hedef odaklı kimlik avına karşı koruma sağlayan en etkili yöntemler diğer kimlik avı türleri için olanlarla kabaca aynıdır. Bu tehdide karşı maksimum koruma için 10 ipucu içeren gönderimize bakabilirsiniz. Aradaki tek fark ise hedef odaklı kimlik avının daha dikkatli bir yaklaşım gerektirmesi.
İdeal olarak kimlik avı e-postalarının en başından posta kutunuza ulaşmaması gerekiyor. Bir şirketin altyapısında benzeri mesajlar şirketin posta sunucusu düzeyinde filtrelenmelidir. Özel yazılım paketleri yardımcı olabilir. Örneğin Kaspersky Security for Mail Server, kötü amaçlı ekleri ve kimlik avı bağlantılarını engellemek için bulut teknolojisini kullanır.
Ancak daha iyi sonuçlar almak için güvenlik sistemi de çok katmanlı olmalıdır. Sonuçta teoride (ve pratikte) çalışanların üçüncü taraf posta servisleri veya anlık iletilerle kimlik avı bağlantıları alması mümkün. Bu yüzden iş istasyonlarını, saldırganların genelde kullandığı uygulamalardaki kötü amaçlı etkinliği algılama yeteneğine sahip bir çözümle donatmak daha iyi bir yöntem. Kaspersky Endpoint Security for Business bu amaca yönelik çözüm sunuyor.