E-Posta Dolandırıcılığından Korunmak için İpuçları! - Moblobi.com


E-Posta Dolandırıcılığından Korunmak için İpuçları!

E-Posta Dolandırıcılığından Korunmak için İpuçları!

Özellikle şirket çalışanlarını hedefleyen e-posta dolandırıcılığı her geçen gün artıyor ve şirketler bu durum ile baş etmekte zorlanıyorlar. Bu tür dolandırıcılık yöntemleri genel olarak şirkette çalışan bir yöneticiden veya bir iş ortağından gelmiş süsü verilen sahte maillerle yapılıyor ve çok ciddi zararlara sebep oluyor. Peki bu tip dolandırıcılıklara karşı hangi önlemleri almalıyız? İşte detaylar…

Kurumsal mail dolandırıcılığı saldırılarından nasıl korunmalıyız?

Bazı siber saldırganlar oldukça dikkatli ve araştırmacı yöntemler uygularlar. Bu tip saldırgaların tespit edilmesi ve önlem alınması çok daha zor hale gelir. Kurumsal mail dolandırıcılığı saldırıları yani kısa adıyla BEC saldırıları da bunlar arasında yer alıyor. Çalışanlar genellikle patronları, iş ortakları gibi tanıdık bir kimlik ile hazırlanmış olan sahte e-postalar ile kandırılırlar. Bu sorun özellikle bu konuda çalışanlarına yeterli bilgilendirmeyi yapmayan ve gerekli eğitimi vermeyen şirketler için büyük zararlara sebep olabiliyor.

Geçtiğimiz yıl yani 2018 yılı sonu itibariyle bu tip kurumsal mail dolandırıcılığı saldırıları sebebiyle dünyada toplam 12,5 dolar zarar edilmiş durumda. Bu da durumun ciddiyetini daha çık bir şekilde gösteriyor.

BEC yani kurumsal mail dolandırıcılığı saldırılarından korunmak için kullanıcıların eğitilmesi, düzenli testler ile raporlamaların yapılması ve hatta yapay zeka tabanlı tespit sistemleri gibi önleme mekanizmaları bulunuyor. Komtera Teknoloji’nin açıkladığı bilgilere göre güvenlik uzmanları kullanıcıların ve dolayısıyla şirketlerin bu saldırıdan etkilenmeleri için bazı önemli tavsitelerde bulunuyor. İşte kurumsal mail dolandırıcılığı saldırılarından etkilenmemek için ipuçları:

1- Herkesin bilgi sahibi olduğunu sanmayın

Bu konuda özellikle dikkat edilmesi gerekenlerden biri de mail dolandırıcılıkları ve telefon dolandırıcılıkları konusunda herkesin bilgi sahibi olmayabileceğini unutmayın. Çalışanlar oltalama ve hedefli oltalama adı verilen saldırıları birbirinden ayırt edemeyebilir. Bunun telefon versiyonu olan vishing saldırısına maruz kaldığını fark edemeyebilir. Ancak kullanıcılar fark edemese de bu iki saldırı türünün de farklı kombinasyonları siber saldırganlar tarafından uygulanıyor. Örneğin dolandırıcılık amacıyla gelen bir mailin ardından saldırganlar hedefteki kişiyi telefonla da arayarak baskı yaratmaya çalışabilirler. Bu sebeple yapılması gereken en önemli şeylerden biri şirketlerin konu ile ilgili çalışanlarına farkındalık amaçlı eğitimler vermesi olacaktır.

2- Çalışanların vakaları anlatmalarını sağlayın

Yapılması gerekenlerden biri de şriketlein çalışanlarına kendilerini güvende hissettikleri bir ortam yaratarak, karşılaştıkları bu tip vakaları anlatmalarını sağlamak olacaktır. Çünkü bu tip kurumsal mail dolandırıcılığı saldırılarına maruz kalan çalışanlar işlerini kaybetme korkusu ile veya yasal birtakım süreçlerle başlarının belaya girebileceğinden korktuklarından şirketlerine bu durum hakkında bilgi vermiyor, anlatmaktan çekiniyorlar. Bu sebeple şirketler çalışanlarına bu tip bir durum ile karşılaştıklarında kimlere ve nereye bilgi verebilecekleri konusunda yönlendirme yapmalalılar.

Bazı durumlarda kurumlar bu vakaların çalışanlar tarafından korkmadan aktarılmasını sağlamak amacıyla, teşvik edici farklı yöntemler de deniyorlar. Örneğin herhangi bir sosyal mühendislik ya da mail saldırısını anlayıp durdurulmasını sağlayanlara para ödülü verilmesi ya da sözkonusu kişinin şirkette itibarının arttırılması için onurlandırılması gibi yöntemler izlenebiliyor.

3- Uzun dönemli eğitimler verin

Şirketler kurumsal mail dolandırıcılığı saldırıları veya bunun telefon versiyonu olan vishing saldırışarından korunmak ve farkına varmak amacıyla çalışanlarına bir eğitim programı uygulamalıdırlar. Bu tip eğitimler çalışanların kurbana dönüşmesini engellemede büyük oranda etkili olabiliyor. Yıl boyunca aylık olarak veya birkaç ayda bir bu tip saldırı durumları ile ilgili eğitimler vermek, videolar izletmek çalışanların farkındalığını arttıracaktır. Hatta çalışanların testler aracılığıyla konu hakkındaki gelişiminin takip edilmesi de risk profilini ortaya çıkaracağından şirket için yararlı olabilir. BU şekilde risk taşıyan çalışanları eğitimleri arttırılabilir.

4- Kurallar ve prosedürleri açık sunun

Çalışanlara kurumsal mail ve telefon dolandırıcılıkları kounusunda ne yapılması gerektiğinin net bir şekilde aktarıldığı ve özellikle de yeni gelen çalışanlara kısa sürede öğretilebildiği bir sistem kurmak şirketin bu gibi zararlara uğrama ihtimalini ciddi oranda düşürecektir. Örneğin çalışandan şirket veya şirket içerisindeki kişiler tarafından bir fon ya da para transferinin nasıl ve ne zaman istenebileceği konusunda verilen net bir bilgi sayesinde çalışanların siber saldırganlara para transfer etmesinin önüne geçebilir.

Bu tip durumlarda kurban siber saldırganlar tarafından özellikle telaşa sürüklenir ve de hata yapması sağlanır. Bunu önlemek için çalışanlara, bu gibi bir durum ile karşılaştıklarında uygulamaları gereken prosedürler net olarak belirtilmelidir. Örneğin sözkonusu durumda IT ekibinden kime başvurması gerektiği; eğer bir para kaybı ortaya çıktıysa finans ve hukuk departmanlarından ileitşim kurması gereken sorumlu kişilerin kimler olduğu konusunda çalışanlar mutlaka bilgilendirilmelidir.

5- Teknolojinin nasıl yardımcı olacağını bilinmelidir

Kurumsal mail dolandırıcılığı saldırılarını önleyecek bazı teknolojiler bu konuda yardımcı oluyorlar. Örneğin maillere davranışsal analiz araçları yerleştirilerek, kullanıcının bilgileirni çalmaya çalışan zararlı yazılımlar tespit edilebiliyor. Veya mail içeriği ve adresi üzerinden gerçeklik analizi yapabilen makine öğrenme teknolojileri sayesinde önlem alınabiliyor. Bunun yanısıra eğitim videoları, takip raporları, oltalama testleri gibi araçlarda teknolojinin de yardımı ile destek sağlanabiliyor.

Şirketler genellikle günümüzde birden fazla güvenlik aracına sahip. Ancak buna rağmen bu güvenlik araçlarında yer alan bütün özellikleri genellikle kullanmadıkları söylenebilir. Bu sebeple de şirketlerin yeni güvenlik araçlarına başvurmadan önce ellerinde araçları detaylı bir şekilde inceliyor olmaları ve de eğer mümkünse bunlar içerisinden bulunan özelliklerin şirket sistemlerine entegre edilmesi faydalı olacaktır.

Peki siber güvenlik spgortanızda nelere dikkat etmelisiniz? Mail dolandırıcılığından doğan zararınızı nasıl geri alabilirsiniz? Haberin devamında…

DEVAMI İÇİN 2’YE TIKLAYIN

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir