Kimlik avı amaçlı e-postalar ya da başka ifadelerle phising ya da oltalama saldırıları, siber suçluların adım adım bilgi toplamak için kullandıkları en popüler yöntemlerdendir.
Kimlik avı amaçlı e-postalar ya da başka ifadelerle phising ya da oltalama saldırıları, siber suçluların adım adım bilgi toplamak için kullandıklarıen popüler yöntemlerdendir. Global anitivirüs yazılım kuruluşu ESET’ten Güvenlik Araştırmacısı Lysa Myers, kimlik avı amaçlı e-postaların karakteristik özelliklerine dikkat çekti ve bunlardan kaçınmanın ipuçlarını paylaştı.
Kimlik avı amaçlı e-postalar; kredi kartı numaraları, parolalar, hesap verileri veya başka kişisel verilerinize ulaşmak ya da çalmak amacıyla tasarlanır. Yani özetle kimlik hırsızlığını hedefler. Bu nedenle güvenilir olmayan gönderici adreslerinden gelen acil çağrılı mesajlara; özellikle de başka sitelere yönlendiren eklenti veya bağlantılar içeren mesajlara oldukça dikkatli yaklaşmak gerekiyor.
Kimlik avı mesajı değil ama öyle görünüyorsa...
Ne yazık ki özellikle iş dünyasında meşru göndericilerden gelen ve son derece şüpheli izlenim bıraktığının farkında olmayan hatırı sayılır miktarda e-posta da kullanıcılara ulaşıyor. “E-postalarınızın daha az şüpheli görünebilmesi için ne yapabilirsiniz?“ diyen ESET Güvenlik Araştırmacısı Lysa Myers, göz önünde bulundurulması gereken unsurları şöyle sıraladı:
E-postaları ‘beklenen‘ hale getirin
Çalışanın eyleme geçmesini gerektiren bir e-posta gönderecekseniz, onlara önce giriş niteliğinde bir e-posta gönderin; bu şekilde onları önceden uyarıp e-postanın ne içereceğini açıkladıktan sonra, mesajın alınmasıyla birlikte kendilerinden ne beklendiğini de ifade edin.
Sakin olun
Çalışanlarınızda korku oluşturmak için sosyal mühendislik yöntemlerini kullanmanın iyi bir nedeni yoktur. Muhtemelen işe aldığınız kişiler sorumlu yetişkinlerdir ve onları aciliyet düzeyini panik gerektirmeyecek şekilde doğru bir biçimde tanımlayarak harekete geçirebilirsiniz. Ve herkesin tansiyonu hatırına lütfen TÜMÜ BÜYÜK HARFLERLE YAZILMIŞ MESAJLAR GÖNDERMEYİN.
Güvenlik bilincine sahip ürünleri seçin
Harici uygulamalardan gönderilen e-postaları dijital olarak imzalayabilir veya şifreleyebilir misiniz? Onları kendi şirket adresinizden göndermek gibi bir seçeneğiniz var mı? Kullandığınız yeni veya eski uygulamalarla ilgili pek çok seçeneğiniz olmasa bile, mesajları daha ‘kullanıcı dostu‘ hale getirmek için mesajların özelleştirilmesi gibi bazı seçenekleri değerlendirin.
Basit tutun
Metin biçimini varsayılan olarak kullanırken, HTML içeriğini yalnızca kesinlikle gerekliyse kullanın. Mümkünse, alıcılar mesaj içeriğini okumak için bir bağlantıya veya eke tıklamamalıdır. Çalışanlarınızın en azından bilgilerin temel bir özetini hızlı ve kolay bir şekilde almalarını sağlayın ve iletide gömülü bir bağlantıyı takip etmeleri yerine daha ayrıntılı bilgi almak için standart bir yere (şirket web sitesi gibi) yönlendirin.