ÇALIŞAN SAVUNUCULUĞU 10 YILDAN FAZLA BİR SÜREDİR VAR OLAN BİR KAVRAM. KURUMSAL PROFİLİ, DÜŞÜNCE LİDERLİĞİNİ VE PAZARLAMAYI GELİŞTİRMEK İÇİN İYİ NİYETLE BAŞLAYAN BU UYGULAMA, BAZI İSTENMEYEN SONUÇLARA DA YOL AÇIYOR.
LINKEDIN PAYLAŞIMI BİLE SALDIRIYA DAVETİYE ÇIKARABİLİR
Profesyoneller işleri, şirketleri ve rollerini paylaşırken benzer düşünen profesyonellerin yanı sıra potansiyel müşterilere ve ortaklara da ulaşmayı hedeflerler. Bu bilgiler kamuya açık hâle geldiğinde genellikle hedef odaklı kimlik avı (spearphishing) veya iş e-postası dolandırıcılığı (BEC) tarzı saldırılar düzenlemek için kullanılır. Bilgi ne kadar fazla olursa kuruluşunuza ciddi zarar verebilecek kötü niyetli faaliyetler için o kadar fazla fırsat doğar.
ŞİRKET BİLGİLERİ NEREDE PAYLAŞILIYOR?
Genellikle bu tür bilgilerin paylaşıldığı LinkedIn, tahmin edilebileceği gibi belki de en bariz örnektir. LinkedIn, dünyadaki en büyük açık kurumsal bilgi veri tabanı olarak tanımlanabilir. İşe alım uzmanlarının iş ilanlarını paylaştıkları yer de burasıdır ve bu ilanlarda, daha sonra spearphishing saldırılarında kullanılabilecek teknik ayrıntılar aşırı derecede paylaşılabilir. GitHub, siber güvenlik bağlamında, dikkatsiz geliştiricilerin sabit kodlanmış sırları, IP ve müşteri bilgilerini paylaştığı bir yer olarak daha iyi bilinir. Ayrıca Instagram ve X gibi klasik tüketici odaklı sosyal platformlarda da çalışanlar konferanslara ve diğer etkinliklere ilişkin seyahat planlarının ayrıntılarını paylaşabilirler. Bu bilgiler kendilerine ve kuruluşlarına karşı silah olarak kullanılabilir.
ŞİRKET BİLGİLERİ SİLAH OLARAK KULLANILIR MI?
Tipik bir sosyal mühendislik saldırısının ilk aşaması istihbarat toplamaktır. Bir sonraki aşama ise alıcının cihazına farkında olmadan kötü amaçlı yazılım yüklemeye ikna etmek için tasarlanmış bir spearphishing saldırısında bu istihbaratı silah olarak kullanmaktır. Ya da potansiyel olarak, ilk erişim için kurumsal kimlik bilgilerini paylaşmaya ikna etmektir. Bu, e-posta, kısa mesaj veya telefon görüşmesi yoluyla gerçekleştirilebilir. Ayrıca bu bilgileri kullanarak e-posta, telefon veya video görüşmesinde C düzeyinde bir yönetici veya tedarikçi kimliğine bürünerek acil bir havale talebinde de bulunulabilir.
AŞIRI PAYLAŞIMIN RİSKLERİNE KARŞI EN GÜÇLÜ SİLAH: EĞİTİM
Yöneticilerden tüm çalışanlara kadar herkesin sosyal medyada aşırı paylaşım yapmamanın önemini anlamasını sağlamak için güvenlik farkındalık programlarını güncelleyin. Çalışanları, kullanıcı tanıdıkları hâlde istenmeyen DM'ler yoluyla paylaşım yapmamaları konusunda uyarın; phishing, BEC ve deepfake girişimlerini tespit edebilmelerini sağlayın. Bunu, sosyal medya kullanımıyla ilgili katı bir politika ile destekleyin, paylaşılabilecek ve paylaşılamayacak şeyler konusunda kırmızı çizgiler belirleyin ve kişisel ve profesyonel veya resmî hesaplar arasında net sınırlar uygulayın. Kurumsal internet siteleri ve hesaplar da silah olarak kullanılabilecek bilgileri kaldırmak için gözden geçirilip güncellenmesi gerekebilir.
Profesyonel hesapların ele geçirilerek iş arkadaşlarını hedef alması ihtimaline karşı, çok faktörlü kimlik doğrulama (MFA) ve güçlü parolalar (parola yöneticisinde saklanan) tüm sosyal medya hesaplarında zorunlu hâle getirilmelidir. Spearphishing ve BEC için kullanılabilecek herhangi bir bilgi için halka açık hesapları izleyebilirsiniz.
