Kimlik Avcısı E-Postalara Dikkat!

Sosyal medyada aldığınız her mesaj, e-posta göründüğü gibi olmayabilir. 

Kimlik avı amaçlı e-postalar ya da başka ifadelerle phising ya da oltalama saldırıları, siber suçluların adım adım bilgi toplamak için kullandıkları en popüler yöntemler. Global anitivirüs yazılım kuruluşu ESET’ten Güvenlik Araştırmacısı Lysa Myers, kimlik avı amaçlı e-postaların karakteristik özelliklerine dikkat çekti ve bunlardan kaçınmanın ipuçlarını paylaştı.

Kimlik avı amaçlı e-postalar; kredi kartı numaraları, parolalar, hesap verileri veya başka kişisel verilerinize ulaşmak ya da çalmak amacıyla tasarlanıyor. Bu nedenle güvenilir olmayan gönderici adreslerinden gelen acil çağrılı mesajlara; özellikle de başka sitelere yönlendiren eklenti veya bağlantılar içeren mesajlara oldukça dikkatli yaklaşmak gerekiyor.

ESET Kuzey Amerika’dan Güvenlik Araştırmacısı Lysa Myers, bu tür e-postaları mercek altına altı. Myers’e göre kimlik avı e-postalarına ait önde gelen karakteristik özellikler şöyle;

• Mesaj beklenmedik şekilde geliyor.
• Mesaj içeriği sıra dışı görünüyor.
• Güvenilir bir kaynakla ilişkili veya oradan gönderilmiş gibi görünüyor.
• Adı geçen otoritenin dışında bir göndericiden geliyor.
• Metin aciliyet ifade ediyor.
• Selamlama yok veya oldukça genel.
• Mesaj neredeyse hiçbir açıklama içermiyor.
• Mesaj olağandışı veya beklenmeyen bir eklenti ya da bağlantı içeriyor.

“Bu öğelerden birini dahi içeren bir e-posta, güvenlik bilincine sahip birinin kafasını karıştırmak için yeterlidir“ tespitini yapan Lysa Myers, “Bununla birlikte, genellikle sosyal mühendislik saldırılarında kullanılan ve tüm bu nitelikleri içeren meşru e-postalara da rastlıyorum. Çalışanların bu tip mesajları normal olarak kabul etmesi, çok tehlikeli bir örnek oluşturuyor“ dedi.

Peki bunların önüne nasıl geçeceğiz?

E-postaları ‘beklenen‘ hale getirin: Çalışanın eyleme geçmesini gerektiren bir e-posta gönderecekseniz, onlara önce giriş niteliğinde bir e-posta gönderin; bu şekilde onları önceden uyarıp e-postanın ne içereceğini açıkladıktan sonra, mesajın alınmasıyla birlikte kendilerinden ne beklendiğini de ifade edin. Kendilerine ne beklemeleri gerektiğiyle ilgili ne kadar çok bilgi verirseniz (içeriğin kısa bir özeti, ayırt edici bir selamlama ya da veda vs.), e-postanın orijinal olduğunu o kadar rahat doğrulayabilirler.

Sakin olun: Çalışanlarınızda korku yaratmak için sosyal mühendislik yöntemlerini kullanmanın iyi bir nedeni yoktur. Muhtemelen işe aldığınız kişiler sorumlu yetişkinlerdir ve onları aciliyet düzeyini panik gerektirmeyecek şekilde doğru bir biçimde tanımlayarak harekete geçirebilirsiniz.

Güvenlik bilincine sahip ürünleri seçin: Harici uygulamalardan gönderilen e-postaları dijital olarak imzalayabilir veya şifreleyebilir misiniz? Onları kendi şirket adresinizden göndermek gibi bir seçeneğiniz var mı? Kullandığınız yeni veya eski uygulamalarla ilgili pek çok seçeneğiniz olmasa bile, mesajları daha ‘kullanıcı dostu‘ hale getirmek için mesajların özelleştirilmesi gibi bazı seçenekleri değerlendirin.

Basit tutun: Metin biçimini varsayılan olarak kullanırken, HTML içeriğini yalnızca mutlak gerekli olduğu hallerde kullanın. Mümkünse, alıcılar mesaj içeriğini okumak için bir bağlantıya veya eke tıklamamalıdır. Çalışanlarınızın en azından bilgilerin temel bir özetini hızlı ve kolay bir şekilde almalarını sağlayın ve iletide gömülü bir bağlantıyı takip etmeleri yerine daha ayrıntılı bilgi almak için standart bir yere (şirket web sitesi gibi) yönlendirin.