Balina avı saldırısı, siber suçluların, bir kuruluşta üst düzey bir kişinin kılığına bürünmek suretiyle para veya hassas bilgileri çalmak ya da suç işlemek amacıyla bilgisayar sistemlerine erişim sağlamak için bir kuruluştaki üst düzey veya diğer önemli kişileri doğrudan hedef aldıkları bir yöntemdir. CEO dolandırıcılığı olarak da bilinen balina avı, hassas verilerin ifşa edilmesi veya para transferi gibi belirli eylemleri gerçekleştirmesi için bir hedefi kandırmak amacıyla e-posta ve web sitesi taklit etme gibi yöntemler kullanması bakımından kimlik avına benzer.
Kimlik avı dolandırıcılığı herhangi bir kişiyi değil yalnızca belirli bir kitleyi hedef alırken, balina avı yalnızca bu kilit kişileri hedef almakla kalmayıp, aynı zamanda gönderilen sahte iletişimlerin kuruluşlarında özellikle üst düzey veya etki sahibi bir kişiden gelmiş gibi görünmesini sağlayarak etkisini ikiye katlar. Bu kişileri şirketteki CEO veya finans müdürü gibi "büyük balıklar" veya "balinalar" olarak düşünebilirsiniz. Burada, personelin önemli olduğunu düşündüğü birinden gelen talebi reddetme konusunda tereddüt etmeye meyilli olması nedeniyle, sosyal mühendislik unsuru da işin içine katılmış olur.
Tehdit çok gerçek ve her geçen gün büyüyor. 2016 yılında Snapchat'in
bordro departmanı, CEO tarafından gönderilmiş gibi görünen ve
çalışanların bordro bilgilerini isteyen bir balina avı e-postası aldı.
Geçtiğimiz yıl oyuncak devi Mattel, üst düzey bir finans yöneticisinin
yeni CEO'yu taklit eden bir dolandırıcıdan para transferi talep eden bir
e-posta almasıyla bir balina saldırısının kurbanı oldu. Şirket bu yüzden
yaklaşık 3 milyon dolar kaybetti.
Balina Saldırıları Nasıl İşler ve Kendinizi Nasıl Koruyabilirsiniz?
Daha önce de belirtildiği gibi, balina avı, sahte iletişimlerin üst düzey bir kişiden gelmiş gibi görünmesi bakımından zıpkınla kimlik avı yönteminden farklıdır. Bu saldırılar, siber suçluların hedef bireylere özel bir yaklaşım oluşturmak için sosyal medya gibi açık kaynaklardan yararlanan önemli araştırmalar kullandığında daha da inandırıcı olabilmektedir.
Bu, üst düzey bir yöneticiden gelmiş gibi görünen bir e-posta olabilir ve saldırganın internetten edindiği bilgileri, örneğin söz konusu kişiyi ofisteki Noel partisinin sosyal medyada yayınlanmış görüntülerinden edindiği bilgileri kullanabilir: "Merhaba John, yine ben, Steve, geçen Perşembe bayağı içtin! Umarım kırmızı gömleğindeki bira lekesini çıkarmayı başarmışsındır!"
Buna ek olarak, göndericinin e-posta adresi genellikle inandırıcı bir kaynaktan geliyormuş gibi görünür ve hatta kurumsal logolar veya gerçek görünmek üzere tasarlanmış sahte bir web sitesine bağlantılar içerebilir. Bir balinanın kuruluş içindeki güven ve erişim düzeyi yüksek olabileceğinden, siber suçlunun bu çabayı inandırıcı kılmak için fazladan çaba göstermesine, zaman ve emek harcamasına değer.
Balina avı saldırılarına karşı savunma, hedef alınma ihtimallerine karşı sürekli tetikte olmalarını sağlamak için kuruluşunuzdaki kilit kişileri eğitmekle başlar. Kilit personeli, beklenmedik iletişimler söz konusu olduğunda, özellikle bunlar önemli bilgiler veya finansal işlemlerle ilgiliyse sağlıklı bir şüphe düzeyini korumaya teşvik edin. Her zaman kendilerine bu e-postayı, eki veya bağlantıyı bekleyip beklemediklerini sormaları gerekir. Talep herhangi bir şekilde sıra dışı mı?
Ayrıca, bir saldırının sahte e-posta adresleri ve isimler gibi işaretlerine dikkat etmeleri için eğitilmelidirler. İmleci e-postadaki bir ismin üzerine getirdiğinizde tam adres ortaya çıkar. Dikkatlice bakarak, şirket adı ve formatıyla mükemmel bir şekilde eşleşip eşleşmediğini tespit etmek mümkündür. BT departmanınız, kilit personelinizin nasıl tepki vereceğini test etmek için balina avı tatbikatları da yapmalıdır.
Yöneticiler ayrıca Facebook, Twitter ve LinkedIn gibi sosyal medya sitelerinde çevrimiçi bilgi yayınlarken ve paylaşırken özel dikkatli olmayı öğrenmelidir. Doğum günleri, hobiler, tatiller, iş unvanları, terfiler ve ilişkiler gibi ayrıntıların tümü siber suçlular tarafından daha karmaşık saldırılar düzenlemek için kullanılabilir.
BT departmanınızın, ağınızın dışından gelen e-postaları incelenmek üzere otomatik olarak işaretlemesini istemek, sahte e-postalar kaynaklı tehlikeyi azaltmanın mükemmel bir yöntemidir. Balina avı genellikle siber suçluların kilit personelin mesajların kuruluş içinden geldiğine inandırılmasına dayanır, bir finans yöneticisinin bir hesaba para gönderme talebinde bulunması buna örnek olarak verilebilir. Dış e-postaları işaretlemek, eğitimsiz bir göze sahip olanlar için bile gerçek gibi görünen sahte e-postaları tespit etmeyi kolaylaştırır.
URL tarama ve bağlantı doğrulama gibi hizmetler sunan uzman kimlik avı önleme yazılımlarının kullanılması da tavsiye edilir. Hassas bilgilerin veya büyük miktarda fonun aktarılması söz konusu olduğunda başka bir doğrulama seviyesinin eklenmesi de akıllıca olacaktır. Örneğin, kritik veya hassas görevlerin yerine getirilmesinde, işlemin sadece elektronik ortamda gerçekleştirilmesi yerine yüz yüze görüşme veya telefon görüşmesi yapılması en iyi uygulama olabilir.
Ayrıca, internet dolandırıcılığı söz konusu olduğunda iki kere düşünmek bir kere düşünmekten her zaman iyidir. Kuruluşunuzdaki prosedürleri, ödemeleri bir kişi yerine iki kişinin imzalamasını sağlayacak şekilde değiştirmeyi düşünün. Bu sadece bir kişiye şüphelerini paylaşabileceği ikinci bir bakış açısı vermekle kalmaz, aynı zamanda herhangi bir ret karşısında rahatsız olmaları durumunda kıdemli kişi tarafından cezalandırılabilecekleri korkusunu da ortadan kaldırır - çünkü korku, bu saldırganların güvendiği temel bir sosyal mühendislik taktiğidir.