Spear-Phishing Yöntemiyle Yöneticiler Hedefleniyor

In ESET, Makale by Berker GüngörLeave a Comment

Oltalama (Phishing) yönteminin çok daha rafine bir şekli olan Spear-Phishing, özellikle şirket yönetimlerini tehdit ediyor.

Siber güvenlik sağlama konusundaki en önemli zayıf halka insan unsuru olmaya devam ediyor. Bu alandaki tüm gelişmelere rağmen, kullanıcıları doğrudan kandırarak verilerini erişmek mümkün olabiliyor. Bu amaçla kullanılan en bilindik yöntem olan Phishing, yani “siber oltalama” adını balık avlamaktan alıyor.

Klasik oltalama yöntemleri genellikle kullanıcılara bir e-posta gönderilmesiyle uygulanıyor. Bu e-posta içinde kötü amaçlı bir yazılım ya da sahte bir web sitesine giden bir bağlantı bulunuyor. Kullanıcılar dikkatsizce bu bağlantıya tıklayıp sonra da kendilerinden istenen bilgileri verdiklerinde de tuzağa düşmüş oluyorlar.

Ancak klasik oltalama çok da kesin bir yöntem değil, başarılı olabilmesi için aynı e-postanın binlerce kişiye gönderilmesi söz konusu oluyor. Haliyle e-posta içeriği de çok sıradan hazırlanıyor. Mesela belirli bir telefon şirketinden gelen ödenmemiş fatura bildirisi ya da bir bankadan gelen hesap doğrulama istemi gibi bir mesaj söz konusu olabiliyor. Böylece deniz aynı anda binlerce olta atılıyor ve birilerinin yemi yutması bekleniyor.

Farklı avlanma yöntemleri

Balıkçılıkta tek avlanma yöntemi denize çok sayıda olta ya da geniş bir ağ atmaktan ibaret değildir. Nitekim siber güvenlik konusunda da aynı şey geçerli. “Siber oltalama” haricinde de yöntemler var, bunlardan biri de “Spear-Phishing” tabir edilen yöntem.

Spear-Phishing, lisanımıza “siber zıpkınlama” olarak çevrilse çok da yanlış olmaz. Bu yöntem tıpkı dalgıçların dibe dalarak zıpkınla balık vurması gibi çalışıyor. Oltalama yaparken hedef gözetilmiyor, ancak zıpkınla avlanırken tam tersine hedeflerin belirlenmesi ve izlenmesi söz konusu.

Siber zıpkınlama yönteminde belirli bir grup ya da bazen tek bir kişi hedef alınır. Burada hedef gözetildiğinden, gönderilecek mesajın içeriği de buna uygun olarak daha kapsamlı düzenlenir. Mesela bir şirketin siber güvenlik sorumlularını hedef alırken, gönderilecek e-posta bir şirket iç yazışması gibi düzenlenebilir.

Burada maksat genellikle kilit konumdaki yönetici ya da sorumluları kandırmaktır. Bu sayede bu kişilerin şirket içi verilerine ulaşmak, oradan da şirketin güvenlik önlemlerini saf dışı bırakmak mümkün olabilir. Bu tür bir saldırıyı düzenlemek için kişilere yönelik bir ön çalışma da yapmak gerekir. Bu da özellikle hedefteki kişilerin sosyal medyadaki etkileşimleri incelenerek gerçekleştirilebilir.

Büyük isimler de saldırıya uğruyor

ESET güvenlik uzmanları, son zamanlarda JP Morgan, Siemens ve Target gibi büyük şirketlerde meydana gelen üst düzey veri sızıntılarının bu şekilde gerçekleştirildiğinin altını çiziyorlar. Hedeflenen kişinin çalıştığı şirketin çapı ve şirket içindeki konumu, bu tür bir saldırıya uğrama ihtimalini de doğrudan artırıyor.

Ancak bu tür bir saldırıya uğramak için ille de büyük bir şirkette yönetici olmak gerekmiyor. Bireylerin de çeşitli sebeplerden dolayı farklı kişi ya da gruplarca hedef alınması mümkün. Sosyal medya üzerinde bildirilen bir görüş bile birilerinin hedef listesine girmeye yetebiliyor.

Bu tür saldırılara karşı kullanıcıları bilinçlendirmek, alınacak en önemli önlemlerden biri. Gelen e-postaların dalgınlıkla açılmaması, sosyal medya üzerinde paylaşılan kişisel bilgilerin sınırlanması ve güvenilir bir siber güvenlik yazılımının kullanılması, güvenliği artırmak için atılması gereken adımlar.