kıbrıs ingiltere londra lefkoşa
DOLAR
35,1981
EURO
36,7471
STERLIN
44,2960
BITCOIN
$97.390
Adana Adıyaman Afyon Ağrı Aksaray Amasya Ankara Antalya Ardahan Artvin Aydın Balıkesir Bartın Batman Bayburt Bilecik Bingöl Bitlis Bolu Burdur Bursa Çanakkale Çankırı Çorum Denizli Diyarbakır Düzce Edirne Elazığ Erzincan Erzurum Eskişehir Gaziantep Giresun Gümüşhane Hakkari Hatay Iğdır Isparta İstanbul İzmir K.Maraş Karabük Karaman Kars Kastamonu Kayseri Kırıkkale Kırklareli Kırşehir Kilis Kocaeli Konya Kütahya Malatya Manisa Mardin Mersin Muğla Muş Nevşehir Niğde Ordu Osmaniye Rize Sakarya Samsun Siirt Sinop Sivas Şanlıurfa Şırnak Tekirdağ Tokat Trabzon Tunceli Uşak Van Yalova Yozgat Zonguldak
LONDRA
Hafif yağmur
7°C
LONDRA
7°C
Hafif yağmur
Pazar Rain and snow
7°C
Pazartesi Parçalı bulutlu
="http://www.w3.org/2000/svg" viewBox="0 0 300 300" enable-background="new 0 0 300 300">
10°C
Salı Kapalı
="http://www.w3.org/2000/svg" viewBox="0 0 300 300" enable-background="new 0 0 300 300">
12°C
Çarşamba parçalı az bulutlu
="http://www.w3.org/2000/svg" viewBox="0 0 300 300" enable-background="new 0 0 300 300">
12°C

Gelen bu e-postaları sakın açmayın! Tehlike büyük

Gelen bu e-postaları sakın açmayın! Tehlike büyük
22.02.2019
0
A+
A-

İskoçya’daki bir medya şirketi çalışanına, şirketi tarafından BEC (Şirket E-postası Dolandırıcılığı) sahtekarlığı kurbanı olduğu için dava açıldı. Çalışan, yöneticisinden gönderilmiş gibi görünen ve para transferi isteyen e-postalar almıştı. İlk transferden önce bölüm müdüründen onay alan çalışan, ardından bölüm müdürü tatildeyken 3 ödeme daha gerçekleştirmişti. Toplamda 190 bin sterlinden fazla bir meblağ sahtekarların gönderilmesini istediği hesaplara havale edilmişti. Şirket, 85 bin sterlini bankadan geri aldıktan sonra işten çıkartılan çalışan da geri kalan meblağdan dolayı dava edilmişti. Dava edilmesinin nedeni ise bankanın para transferi dolandırıcılığına karşı standart olarak uyguladığı güvenlik uyarısı kutucuğunu görmezden gelmesiydi.

Artık şirketler bu tür sahtekarlıkların kurbanlarını suçlamak yerine kullanıcı eğitimleri, güvenlik kontrolleri ve süreç kontrolleriyle bu tür dolandırıcılıkları engellemeliler.

İlk adım: Çalışanların eğitimi

Bu davaya konu olan çalışan daha önce online sahtekarlıkları fark etmelerine ve önlemelerine yardımcı olacak hiçbir eğitim almadıklarını belirtti. Trend Micro Türkiye ve Yunanistan Ülke Müdürü Hasan Gültekin birçok çalışanın yöneticisinden mail aldığında cevap vermeye çok fazla odaklandığını ve mailin gerçek olup olmadığını kontrol etmeyi düşünmediğini belirtiyor. “Burada önemli olan, çalışanların bu tür saldırılar hakkında bilgi sahibi olması ve sahte e-posta olup olmadığını anlayabilecekleri belirtileri kontrol etmeleridir. Çalışanlar, şüpheli ya da beklenmedik bir e-posta aldıklarında cevap vermemek, eki açmamak ya da gönderilen bağlantıyı tıklamamak üzere eğitilmelidir.”

Trend Micro Phish Insight ile kurumlar ücretsiz oltalama simülasyonu düzenleyebilir ve kullanıcı eğitimi verebilirler. Bu uygulama ile test amaçlı oltalama e-mailleri gönderilebilir, bu e-maillerden şüphelenen çalışanlar belirlenip ödüllendirilebilir ve eğitime ihtiyacı olanlar belirlenerek eğitim almaları sağlanabilir. Her büyüklükteki işletme Phish Insight’ı ücretsiz olarak Trend Micro web sitesi üzerinden kullanabilir.

İkinci adım: E-posta güvenliği

BEC e-postalarında normalde zararlı bir ek ya da bağlantı bulunmaz. Saldırılarını ağırlıklı olarak sosyal mühendislik yoluyla gerçekleştirirler. Bu da özellikle bu saldırılar için tasarlanmış güvenlik kontrolleri yoksa tespit edilmelerini zorlaştırır. Son dönemde BEC sahtekarlıklarını belirlemek için yapay zeka (AI) yöntemi kullanıldığını belirten Gültekin, öncelikli olarak, geliştirilmiş kurallar sistemiyle sosyal mühendislik ve saldırgan davranışların bulunmaya çalışıldığına dikkat çekiyor. “Ücretsiz e-posta hesabından yüksek profilli bir ismin kullanıcı adını kopyalayan bir e-posta geldiğinde yapay zeka ile bu belirlenir ve iletinin sahibi olan kişi uyarılır. Makine öğrenimi, sahtekarlığı en doğru şekilde tespit etmek için belirlediği tüm özellikleri uygulayarak karar verir. “

Writing Style DNA (Yazım Stili DNA’sı) ise sahte kimlik oluşturma girişimlerinin en zor noktasını tespit etmek için kullanılır. Writing Style DNA, yöneticiler gibi üst düzey kullanıcıların yazım stillerinin modelini yapay zeka ile tekrar yaratır. Modeli oluştururken daha önce gönderilen e-postalardan elde ettiği kılavuz verilerden faydalanır. Üst düzey kullanıcının ismiyle ya da benzer bir isimle e-posta geldiğinde, güvenlik duvarı tarafından belirlenen kural sistemi tarafından da elenmediyse, e-postanın yazım stili yapay zeka tarafından oluşturulan model ile karşılaştırılır. Böylece eğer e-posta sahte bir hesaptan geliyorsa, alıcıya ulaşmadan engellenir ve hem e-postanın sahibine hem de alıcıya bu bilgi iletilir.

Trend Micro Türkiye ve Yunanistan Ülke Müdürü Hasan Gültekin kullanıcı eğitimleri ve güvenlik kontrollerine ek olarak kurumların para havale prosedürlerini de iyi incelemelerini ve özellikle çiftli onay sistemi kullanmalarını öneriyor. “Bugüne kadar BEC sahtekarlıkları sonucunda dünya çapında 12 milyar dolara yakın bir kayıp meydana geldi. Kullanıcı eğitimi, güvenlik ve süreç kontrolleri birlikte uygulanarak gelecek dönemde daha da artması beklenen bu tür saldırılar önlenebilir.”

 

ETİKETLER: ,
Yorumlar

Henüz yorum yapılmamış. İlk yorumu yukarıdaki form aracılığıyla siz yapabilirsiniz.