Tüm güvenlik önlemleri başarısız olduğunda, geriye ne kalır?

Tüm güvenlik önlemleri başarısız olduğunda, geriye ne kalır?
Mayıs 24 14:43 2018 Yazıyı Yazdır

Günümüzde siber saldırganların daha karmaşık sosyal mühendislik saldırıları ile hedef kullanıcıları tuzağa düşürmesi, teknolojik önlemleri büyük ölçüde yetersiz kılmıştır. “Payment swift 034954053917” başlıklı hedef odaklı hazırlanmış oltalama e-postası, yayıldığı gün bir çok e-posta güvenliği bileşeni tarafından tespit edilememiştir. Bu hedef odaklı e-posta zararlısını tespit edemeyen antivirus, firewall, sandbox vb. yeni nesil kurumsal çözümler, e-posta kullanıcısını bu risk ile karşı karşıya bırakmıştır.

Bu durumda, yazımızın başlığındaki sorunun cevabı “İyi eğitilmiş bir kullanıcı“.

İşte bu kullanıcı, teknolojik önlemlerin yetersiz kaldığı durumlarda, son ve etkili bir savunma duvarı olarak hayati öneme sahiptir. Günümüz koşullarında hiç bir teknoloji, insan zekasının yapabildiği düşünme, algılama, yorum katma yetisine sahip değildir. Sosyal mühendislik araçlarıyla başlatılan karmaşık saldırıların, teknolojik önlemleri etkisiz kıldığı durumlarda, iyi eğitilmiş bir kullanıcı, yetisiyle bu riskleri anlamada, tespit etmede ve engellemede en iyi kalkan statüsündedir.

Yaşanmış bir örnek

“Payment swift 034954053917” başlıklı hedef odaklı hazırlanmış oltalama e-postası da, birçok yeni nesil teknolojik önlemleri geçerek, sektörünün öncüsü durumunda olan kurumsal bir şirketin bir çalışanına ulaşmıştır. Ancak, bu çalışan Keepnet Labs anti-phishing and cybersecurity awareness platform üzerinden daha önce aldığı eğitimler ve yaşadığı tecrübeler neticesinde, bu e-postadan şüphelenmiş ve daha sonra bunun bir sosyal mühendislik saldırısı olduğunu algılayabilmiştir. “Phishing Incident Responder” modülünü kullanan müşterimiz, şüpheli aktivite raporlama butonu sayesinde tek tık ile bildirimde bulunarak bu sahte e-postanın ilgili kişiler üzerinden analiz servislerine göndermesini sağlamıştır ve entegre diğer servisler sayesinde zararlı olduğunu doğrulatmıştır.

Resim 1. “Payment swift 034954053917” başlıklı hedef odaklı hazırlanmış oltalama e-postası

Resim 1.’de görüldüğü üzere bu sahte e-posta, kişiye hitaben hazırlanmış ve çalışanın merak edip bakmak isteyeceği bir konu üzerinden iletişim kurulmuştur. Bütün teknolojik önlemleri aşan ve masum görünen bu e-posta, bilinçsiz kullanıcılar için büyük tehlike oluşturmaktadır. Özellikle finansal içerikli e-postalar, kullanıcıların düşünmeden hareket etmelerine sebep olabilmektedir.

Resim 2. Bilinçli kullanıcının bu e-postayı tek tıkla analize göndermesi

Bu e-posta başka hangi kullanıcılara ulaşmış olabilir?

Bu e-posta başka hangi kullanıcılara ulaşmış olabilir? Bu e-posta başka hangi kullanıcılara ulaşıp ulaşmadığını anlamak için geleneksel yöntemler ile bu işi yapan uzmanlar, e-posta servisinin olay kayıtlarından bu durumu aramaya çalışırlar ya da gerçek anlamda e-posta servisi kayıtlarını bir log kolerasyon çözümüne (SIEM) aktarıyorlarsa orada çare bulmaya çalışırlar. Böyle bir senaryoda 1-2 saatlik bir efor ve farklı ekiplerin koordinasyonu gerekir ki, saldırı bu sürede hedefine ulaşmış olabilir!

Keepnet Labs’in ilk e-posta kutusu seviyesinde analiz yeteneğine sahip Incident Investigation modülü ile bir dakikanın altında süren bir arama işlemi gerçekleşmektedir.
Keepnet Labs. Phishing Incident Investigation ekranındaki sorgu ile aktif kullanıcıların e-posta kutularında son 30 günde “Payment swift 034954053917” başlıklı e-posta olup olmadığı ya da göndericisi “infodc2@alfahdsteel.com” olan kişiden bir e-postanın gelip gelmediği öğrenilebilmektedir.

Resim 3. Keepnet Labs. Phishing Incident Investigation Penceresi

Kullanıcılar tuzağa düşmeden, riski ve zararı azaltmak

Kullanıcılar e-postanın zararlı olduğu bilse bile açıp kurumu ciddi zarara uğratabilmektedirler. Bu gibi zararlı e-postaları kullanıcıların e-posta kutusundan silmek tercih edilen en iyi yöntemdir.
Resim 3.’te belirtilen arama kriterinden sonra aksiyon kısmına geçebilir ve iki alternatif yol izleyebilirsiniz:

  • Zararlı e-postayı kullanıcının e-posta kutusundan tek tık ile silebilirsiniz.
  • Bu e-postanın zararlı olduğu uyarısını gönderebilirsiniz.

Resim 4. Zararlı e-postayı kullanıcının e-posta kutusundan tek tık ile silme işlemi

 

Resim 5. E-postanın zararlı olduğu uyarısını gönderme işlemi

Resim 5.’te e-postanın zararlı olduğu uyarısını gönderme işlemi yapıldıktan sonra kullanıcılara aşağıdaki gibi bir mesaj iletilir.

Resim 6. E-postanın zararlı olduğu uyarısının gönderilmesinden sonra kullanıcılara giden uyarı mesajı

H4cktimes olarak ürün ile yaptığımız test sürüşlerimizde ve müşterilerden gelen geri bildirimlere göre Keepnet Labs, bu işi bir dakikanın altında çözüyor.

daha fazla yazı

Yazar Hakkında

İsmail Saygılı
İsmail Saygılı

1998 yılında bilgisayarla tanışan İsmail Saygılı, 2000 yılından bu yana aktif olarak siber dünyada rol almaktadır. 2010 yılına kadar ki süreçte Black Hat tarafında kendisini geliştirmiştir. Üniversite eğitimini uçak teknolojisi üzerine alan Saygılı, 2010 yılından sonra profesyonel olarak siber güvenlik sektöründe çalışmakta ve bu konuda çeşitli eğitimler de vererek sektöre aranılan personeller kazandırmaktadır. Ayrıca kendi blogunda kişisel bilgi ve tecrübelerini makaleler yazarak okuyucularına aktarıyor.

Daha Fazla Yazı
yorum yapın

Yorum Yok

Henüz yorum yapılmamış

İlk yorumu siz yapabilirsiniz.

Yorum ekleyin

Bilgileriniz güvende! E-posta adresiniz yayınlanmayacak. Diğer kişisel bilgileriniz üçüncü partilerle paylaşılmayacak.
* işaretli alanlar zorunludur.

Time limit is exhausted. Please reload CAPTCHA.