6 yaygın şifre avcılığı saldırısı ve korunma yöntemleri

Son güncelleme tarihi: 28 Ocak 2019

6 yaygın şifre avcılığı saldırısı ve korunma yöntemleri

Bu yıl düzenlenen RSA Konferansında Tripwire, 200 güvenlik uzmanından şifre avcılığı saldırılarının durumunu değerlendirmesini istediği bir anket çalışması gerçekleştirdi.

Katılımcıların yarısından fazlası (yüzde 58), örgütlerinde yaşanan şifre avcılığı saldırılarının son yıllarda arttığını belirtti. Bu artışa rağmen, şirketlerin çoğu şifre avcılığı dolandırıcılıklarına karşı kendilerini korumak için hazır değil. Az bir çoğunluk (yüzde 52), şifre avcılığı dolandırıcılığını başarılı bir şekilde tespit etmek için yöneticilerinin yeteneklerine güvenmediğini söyledi.

Verizon’un 2016 yılında yayınladığı Veri İhlali Araştırma Raporunda belirttiği gibi hem sıklık hem de detay açısından artan şifre avcılığı saldırıları tüm örgütler için önemli bir tehdit. Tüm şirketlerin kurumsal bilgilerin korumak için en yaygın şifre avcılığı dolandırıcılıklarını fark etmeyi öğrenmesi önemli.

Bunu aklımızda tutarak, CloudPages (CloudM olarak yeniden markalandı) tarafından geliştirilen kılavuzu kullanarak en yaygın altı şifre avcılığı saldırısını ele alacağım: aldatıcı şifre avcılığı, mızrak şifre avcılığı, CEO dolandırıcılığı, yasal olmayan siteye yönlendirme, Dropbox şifre avcılığı ve Google Docs şifre avcılığı. Daha sonra örgütlerin kendilerini bu gibi şifre avcılığı saldırılarına karşı nasıl koruyabileceğine dair ipuçları vereceğim.

1. Aldatıcı şifre avcılığı

Şifre avcılığı dolandırıcılığının en yaygın türü olan adatıcı şifre avcılığı, sahtekarların yasal bir şirketi taklit ederek insanların kişisel bilgisini veya giriş bilgilerini çalma girişimin ifade ediyor. Tehdit uyarıları yapan ve aciliyet hissi uyandıran e-postalar kullanıcıları bu saldırganların kucağına düşürüyor.

Örneğin PayPal dolandırıcıları, hesaplarındaki sorunu gidermek için kullanıcıların bağlantıya tıklaması isteyen e-posta gönderebilir. Aslında bağlantı, sahte PayPal giriş sayfasına yönlendirerek kullanıcının giriş bilgilerini alarak saldırganlara verir.

Aldatıcı şifre avcılığının başarısı, saldıran e-postanın yasal şirketin resmi e-postasına ne kadar benzediğine bağlıdır. Sonuç olarak kullanıcılar bilinmeyen bir siteye yönlendirilip yönlendirilmediklerini anlamak için URL’ye bakmalıdır. Aynı zamanda jenerik açılış cümlelerine, dil bilgisi hatalarına ve e-postada bulunan yazım yanlışlarına da bakabilirler.

2. Mızrak şifre avcılığı

Tüm şifre avcılığı dolandırıcılıkları kişiliksiz değildir – bazıları kişilik sahibidir.

Örneğin mızrak şifre avcılığı dolandırıcılığında sahtekarlar hedefin ismi, konumu, şirketi iş telefonu ve diğer bilgileri içeren saldırı e-postaları göndererek göndericinin gerçekliğine inandırmaya çalışır.

Amaç aldatıcı şifre avcılığıyla aynı: kurbanın zararlı URL veya e-posta eklentisine tıklaması ve kişisel veriler vermesi.

Mızrak şifre avcılığı özellikle LinkedIn gibi sosyal medya sitelerinde yaygındır. Burada saldırganlar hedefli saldırı e-postasını göndermek için birden fazla kaynaktan bilgi toplayabilir.

Bu tür dolandırıcılığa karşı koruma sağlamak için örgütler çalışanlarına güvenlik farkındalığı eğitimi verebilir ve hassas kişisel veya kurumsal bilgileri sosyal medyada yayınlamamalarını isteyebilir. Şirketler aynı zamanda kötü amaçlı bağlantı/e-posta eklentisi içeren iç e-postaları analiz eden çözümlere yatırım yapmalıdır.

3. CEO dolandırıcılığı

Mızrak şifre avcılığı örgütte herkesi hedef alabilir, üst düzey yöneticileri bile. “Balina” saldırısının arkasında mantık, sahtekarların yöneticiyi ağa düşürüp giriş bilgilerini çalmasıdır.

Saldırılarının başarılı olması durumunda, saldırganlar CEO dolandırıcılığı uygulayabilir. Bu, işletme e-posta açığa çıkma (BEC) dolandırıcılığının ikinci aşamasıdır. Bu aşamada saldırganlar yöneticiyi taklit ederek ve kişisel e-postasını kullanarak örgütten finansal olarak aktarım yapabilirler.

Balina saldırılarının işe yarama nedenlerinden biri yöneticilerin çalışanlarla birlikte güvenlik farkındalığı eğitimine katılmamasıdır. Bu tehdide karşı koymak ve CEO dolandırıcılığı riskini azaltmak için tüm şirket personeli, yöneticiler de dahil olmak üzere, devam eden güvenlik farkındalığı eğitimine katılmalıdır.

Örgütler finansal politikalarını iyileştirmeyi düşünmeli ve kimseyi e-posta üzerinden finansal işlem yapmak için yetkilendirmemelidir.

4. Yasal olmayan siteye yönlendirme

Kullanıcılar geleneksel şifre avcılığı dolandırıcılıklarını anladıkça bazı dolandırıcılar kurbanlarını oltalama fikrinden vazgeçiyor. Bunun yerine yasal olmayan siteye yönlendirmeye başvuruyorlar. Bu yöntemde saldırı, alan adı sistemi (DNS) önbellek zehirlenmesini içeriyor.

İnternetin isimlendirme sistemi DNS sunucularının “www.microsoft.com” gibi alfabetik internet sitesi isimlerini sayısal IP adreslerine dönüştürerek bilgisayar hizmetlerini ve cihazlarını bulmayı içeriyor.

DNS önbellek zehirlenmesi saldırısında saldırganlar DNS sunucusunu hedefleyerek alfabetik site adıyla ilişkili IP adresini değiştiriyorlar. Yani saldırganlar kullanıcılar doğru site adresini girse bile kullanıcıları zararlı siteye yönlendirebiliyor.

Yasal olmayan saldırılarak karşı korunmak için örgütler çalışanların kendi giriş bilgilerini sadece HTTPS ile korunan siteye girmesini teşvik etmeli. Şirketler tüm kurumsal cihazlara anti-virüs yazılımı uygulamalı ve virüs veri tabanı güncellemeleri yüklemeli. Aynı zamanda düzenli olarak güvenilir bir İnternet Hizmet Sağlayıcısının (ISP) sunduğu güvenlik güncellemeleri yapılmalı.

5. Dropbox şifre avcılığı

Bazı saldırganlar kurbanlarına yem atmasa da diğerleri şirket veya hizmetlerin e-postasında saldırmak konusunda uzman.

Dropbox örneğini ele alalım. Milyonlarca insan dosyalarını yedeklemek, dosyalarına erişmek ve dosyalarını paylaşmak için her gün Dropbox’u kullanıyor. Bu nedenle saldırganların şifre avcılığı e-postalarıyla kullanıcıları hedef alarak platformun popülerliğinden faydalanmayı denemesi şaşırtıcı değil.

Saldırılardan biri, Dropbox’un barındırdığı giriş sayfasında sahte Dropbox üzerinden giriş bilgilerini almaya çalıştı.

Dropbox saldırılarına karşı korunmak için kullanıcılar hesaplarında iki adımlı kimlik doğrulama (2SV) kullanmayı düşünebilir. Bu ek güvenlik katmanını aktifleştirmeye dair kılavuz için buraya tıklayın.

6. Google Docs şifre avcılığı

Dolandırıcılar, Dropbox kullanıcılarında olduğu gibi Google Drive’ı hedefleyebilir.

Özellikle Google Docs belge, hesap tablosu, sunum, fotoğraf ve tüm internet sitelerini desteklediği için saldırganlar Google hesabı giriş sayfasına benzer bir internet sayfasıyla kullanıcıların bilgilerini toplayabilir.

Saldırganlar bunu Temmuz 2015 tarihinde yaptı. İşin komik yanı Google istemeden sahte giriş sayfasını barındırmak kalması aynı zamanda sayfa Google SSL sertifikasıyla da korundu.

Bu noktada kullanıcılar bu tarz tehditlere karşı koruma sağlamak için 2SV uygulamayı düşünebilir. SMS kısa mesajı veya Google Kimlik Doğrulama uygulamasıyla güvenlik özelliğini kullanabilirler.

Sonuç

Yukarıdaki kılavuzu kullanarak örgütler, yaygın şifre avcılığı saldırılarını daha kolay fark edebilir. Ama bu hepsini fark edecekleri anlamına gelmez. Aksine şifre avcılığı yeni formlar ve teknikler benimseyerek sürekli olarak evrim geçiriyor.

Bununla birlikte örgütlerin sürekli olarak güvenlik farkındalığı eğitimi düzenleyerek çalışanlarının ve yöneticilerinin ortaya çıkan şifre avcılığı saldırılarını öğrenmesini sağlaması gerekiyor.


Bu içerik, Tripwire web sitesinde yayınlanan “6 Common Phishing Attacks and How to Protect Against Them” içeriğinin Türkçe çevirisidir. Orijinal içerikteki bazı bölümler, yerelleştirme amacıyla dışarıda bırakılmış olabilir.