Çok paylaşım şirketleri tehlikeye atıyor

BEĞENDİM

ABONE OL

News

Çalışan savunuculuğu on yıldan fazla bir müddettir var olan bir kavram. Kurumsal profili, niyet liderliğini ve pazarlamayı geliştirmek için düzgün niyetle başlayan bu uygulama, kimi istenmeyen sonuçlara da yol açıyor. Siber güvenlik çözümlerinde dünya lideri ESET şirket bilgileri içeren paylaşımlara dikkat çekerek dikkat edilmesi gerekenleri sıraladı.

Profesyoneller işleri, şirketleri ve rollerini paylaşırken benzeri düşünen profesyonellerin yanı sıra potansiyel müşteriler ve ortaklara da ulaşmayı hedeflerler. Bu bilgiler kamuya açık hâle geldiğinde ekseriyetle amaç odaklı kimlik avı (spearphishing) veya iş e-postası dolandırıcılığı (BEC) stili taarruzlar düzenlemek için kullanılır. Bilgi ne kadar fazla olursa kuruluşunuza önemli ziyan verebilecek makûs niyetli faaliyetler için o kadar fazla fırsat doğar.

Şirket bilgileri nerede paylaşılıyor?

Genellikle bu tıp bilgilerin paylaşıldığı Linkedin, iddia edilebileceği üzere tahminen de en bariz örnektir. LinkedIn, dünyadaki en büyük açık kurumsal bilgi data tabanı olarak tanımlanabilir. İşe alım uzmanlarının iş ilanlarını paylaştıkları yer de burasıdır ve bu ilanlarda, daha sonra spearphishing ataklarında kullanılabilecek teknik detaylar çok derecede paylaşılabilir. GitHub, siber güvenlik bağlamında, dikkatsiz geliştiricilerin sabit kodlanmış sırları, IP ve müşteri bilgilerini paylaştıkları bir yer olarak daha güzel bilinir.

Ayrıca Instagram ve X üzere klasik tüketici odaklı toplumsal platformlarda da çalışanlar onferanslara ve başka etkinliklere ait seyahat planlarının detaylarını paylaşabilirler. Bu bilgiler kendilerine ve kuruluşlarına karşı silah olarak kullanılabilir.

Şirket bilgileri silah olarak kullanılır mı?

Tipik bir toplumsal mühendislik saldırısının birinci basamağı istihbarat toplamaktır. Bir sonraki etap ise alıcıyı aygıtına farkında olmadan makus hedefli yazılım yüklemeye ikna etmek için tasarlanmış bir spearphishing taarruzunda bu istihbaratı silah olarak kullanmaktır. Ya da potansiyel olarak, birinci erişim için kurumsal kimlik bilgilerini paylaşmaya ikna etmektir. Bu, e-posta, kısa bildiri yahut telefon görüşmesi yoluyla gerçekleştirilebilir. Ayrıyeten bu bilgileri kullanarak e-posta, telefon yahut görüntü görüşmesinde C seviyesinde bir yönetici yahut tedarikçi kimliğine bürünerek acil bir havale talebinde de bulunabilirler.

Aşırı paylaşımın risklerine karşı en güçlü silah eğitim

Yöneticilerden tüm çalışanlara kadar herkesin toplumsal medyada çok paylaşım yapmamanın kıymetini anlamasını sağlamak için güvenlik farkındalık programlarını güncelleyin. Çalışanları, kullanıcıyı tanıdıkları hâlde istenmeyen DM’ler yoluyla paylaşım yapmamaları konusunda uyarın; phishing, BEC ve deepfake teşebbüslerini tespit edebilmelerini sağlayın. Bunu, toplumsal medya kullanımıyla ilgili katı bir siyaset ile destekleyin, paylaşılabilecek ve paylaşılamayacak şeyler konusunda kırmızı çizgiler belirleyin ve şahsî ve profesyonel yahut resmî hesaplar ortasında net sonlar uygulayın. Kurumsal web siteleri ve hesaplar da silah olarak kullanılabilecek bilgileri kaldırmak için gözden geçirilip güncellenmesi gerekebilir. Profesyonel hesapların ele geçirilerek iş arkadaşlarını amaç alması ihtimaline karşı, çok faktörlü kimlik doğrulama (MFA) ve güçlü parolalar (parola yöneticisinde saklanan) tüm toplumsal medya hesaplarında mecburî hâle getirilmelidir. Spearphishing ve BEC için kullanılabilecek rastgele bir bilgi için halka açık hesapları izleyin.

Kaynak: (BYZHA) Beyaz Haber Ajansı