Kurumların Yeni Tehdidi: Sosyal Mühendislik Saldırıları

Şirketlerin insan kaynaklarında odak noktası yeniden şekilleniyor. Siber güvenlik farkındalığı çalışanlar için edinilmesi gereken öncelikli yetenekler arasında yer alıyor. Yeni işe alımlarda, siber güvenlik farkındalığı ve okuryazarlığı eğitimleri öncelikli alınması gereken eğitimlerin başında yer almaya başlayacak.

Dikkatsizlik veya ihmal gibi insan doğasına ait zafiyetleri istismar etme yöntemlerini kullanan sosyal mühendislik saldırılarında siber suçlular genellikle kurumların çalışanlarını hedef alıyorlar. Sistemlere giriş bilgilerini elde etmek veya zararlı yazılımı indirterek arka kapı oluşturmak için kuruma ya da çalışana özel hazırlanan tuzak e-postalar, mesajlar ve telefon görüşmeleriyle gerçekleştirilen bu tür saldırılar son yıllarda büyük artış göstermektedir. Sosyal mühendislik saldırı teknikleri siber saldırıların %98’inde kullanılıyor, bilgi güvenliği konusunda farkındalık yoksunluğunu yapılacak teknolojik yatırımlarla karşılamak mümkün değil. Geldiğimiz noktada farkındalık eğitimleri etkili savunma yöntemlerinin arasında kendine önemli bir yer buluyor. Bu tür saldırılara karşı teknoloji tabanlı tehdit algılama, güvenlik duvarı veya atak izleme çözümleri tek başına yeterli olmuyor.

Sosyal mühendislik gibi bir saldırının henüz gerçekleşmeden tespit edilip önlenmesinde kullanıcı farkındalığı en etkili savunma şekli olarak karşımıza çıkıyor. Tehdit istihbaratı çalışmaları sosyal mühendislik saldırılarını önlemede büyük fayda sağlasa da özellikle kişi ya da birime özel saldırılardan etkinlenmemek ya da riskleri asgariye indirmek için konu yine çalışanların bu konudaki farkındalığına geliyor. Şüpheli bir epostada sosyal mühendislik saldırısının izlerini fark edip bunun tuzak bir eposta olduğunu algılayabilmek çok önemli. Şüpheli linkleri tıklamadan ya da herhangi bir dosya indirmeden önce mesajın kaynağını teyit edecek ve parola/OTP gibi giriş bilgilerinin kimseyle paylaşılmaması gerektiğinin bilincinde olacak düzeyde bir farkındalık edinilmesi, bu tür saldırıların henüz gerçekleşmeden önlenmesini kolaylaştırıyor. Bu farkındalığın edinilmesi için kurum içi eğitimlerinin tüm çalışanları kapsaması ve aynı zamanda sosyal mühendislik saldırılarının hem teknik hem fiziksel tüm türlerine karşı bilinç kazandıracak şekilde tasarlanması gerekiyor. Uygulanacak tedbirler, farkındalık eğitimi ve uyulması gereken kuralların kurumsal güvenlik politikasında yer alması da önem arz ediyor.

Uber saldırısı sosyal mühendislik örneği

Sosyal mühendislik saldırıları kullanıcıları hedef almaya devam ediyor. En son örneği, 15 Eylül 2022 Perşembe günü Uber sistemlerini hedef alan sosyal mühendislik tabanlı saldırı çalışanların güvenlik farkındalığı kazanmasının önemini bir kez daha ortaya koyuyor. Uber’de yaşanan bu güvenlik ihlalinin, 18 yaşında bir saldırgan sosyal mühendislik yöntemiyle bir Uber çalışanından aldığı erişim bilgilerini kullanarak kurum iç VPN sistemine erişmesi şeklinde gerçekleştiği iddia ediliyor. İç ağda tespit edilen ve yönetici login bilgilerini içeren PowerShell betikleriyle Uber’in AWS ve G Suite hesaplarının da ele geçirildiği iddia ediliyor. Hackerın Uber’in kaynak kodlarını sızdırma tehdidinde bulunduğu da iddialar arasında.

Saldırganın aynı zamanda Uber’in Bug Bounty programı kapsamında hizmet aldığı HackerOne tarafından paylaşılan zafiyet raporlarına eriştiği bilgisi bulunuyor. Kurumun iç sistemleri, eposta paneli ve Slack sunucusuna ait ekran görüntüleri paylaştığı ve güvenlik yazılımlarına ve Windows domainlerine tam erişim sağladığı belirtiliyor. Hackerın ele geçirdiği diğer sistemler arasında AWS web konsolu, VMware ESXi sanal makineleri, Google Workspace email admin panelinin de bulunduğu haberlerde geçiyor. Uber’in saldırı iddialarını doğruladığı, kolluk kuvvetleriyle temasta oldukları belirtiliyor.

Uber örneğinde de görülebileceği gibi bir anlık ihmal veya bilinçsiz davranış ile parola gibi hassas bir bilginin dikkatsiz bir şekilde paylaşılmasının sonuçları çok ciddi sonuçları olduğunu söyleyen BeyazNet CTO’su Akgün Yardımcı şöyle konuştu:
“Kurum içi hassas varlıkların ve verilerin tehlikeye düşmesine neden olmasının yanında, beklenmedik ölçekte büyük bir etkiye sahip güvenlik sorununa yol açıyor. Güvenlik farkındalığıyla ilk etapta aşılması daha kolay olan sosyal mühendislik saldırılarında, çalışandan elde ettiği geçerli login bilgileriyle iç ağa erişen bir siber suçluyu teknoloji tabanlı çözümlerin algılayıp durdurması daha zorlu olmaktadır. Bilgi güvenliği, siber güvenlik farkındalığı, sistemleri korumakta giderek daha önemli bir hale geliyor.”

Siber güvenlik farkındalığı eğitimi her şirket için gereklilik

Kurumların ve şirketlerin Uber’e yapılan saldırıyla birlikte farkındalığının arttığına işaret eden e-Mektep Eğitimler Koordinatörü Yasin Yeniyurt, “Öncelikle kritik bilgi sahibi çalışanlardan başlamak üzere tüm çalışanların siber güvenlik farkındalığı eğitimi alması ile ilgili talepler geliyor. Bu trend gittikçe büyüyerek işe alımlarda olmazsa olmaz haline gelecektir. Siber güvenlik farkındalığı eğitimlerinin yanında, sürekli bilgi güncelleme ve yeni tehditleri öğrenme için bu tür eğitimlerin yılda en az 2 kez yapılması gerekiyor.” şeklinde konuştu.

Sizin de bu konuda söyleyecekleriniz mi var?