Doxing ataklarında en sık kullanılan usullerden biri Business Email Compromise (BEC) taarruzları olarak öne çıkıyor. BEC hücumları, hatalıların şirketten biriymiş üzere çalışanlar ortasında e-posta zincirleri başlattığı bir maksatlı taarruzlar olarak tanımlanıyor. Kaspersky, Şubat 2021’de bu cins 1.646 akın tespit etti ve kuruluşların bilgilerini kamuya açık hale getiren doxing taarruzları konusunda kamuoyunu uyardı. Genel olarak bu cins akınların hedefi, müşterilerden saklı bilgileri aşırmak yahut para çalmak olarak öne çıkıyor.
Araştırmacılar, hatalıların para toplamak için gerçek e-postalara çok benzeri e-postalar kullandığı ve amaç kuruluşların çalışanlarının kimliğine büründüğü hadiseleri nizamlı olarak tahlil ediyor. Bununla birlikte BEC hücumları, kuruluşa ziyan vermek için kamuya açık bilgileri kullanan akın cinslerinden sırf biri. Bunun yanı sıra kimlik avı yahut profil derleme üzere nispeten açık usullerin yanı sıra daha yaratıcı, teknoloji odaklı yaklaşımlara da sıkça rastlanıyor. Bu çeşit akınlar öncesinde hatalılar çalışanların isimleri ve pozisyonları, bulundukları yerler, tatil vakitleri ve kontakları üzere toplumsal medyada ve öbür yerlerde bulabildikleri kamuya açık bilgileri toplayıp tahlil ediyor.
En beğenilen kurumsal doxing ataklarından biri kimlik hırsızlığı. Genel olarak saldırganlar, muhakkak çalışanların profilini çıkarmak ve kimliklerini kullanmak için ellerindeki bilgilerden faydalanıyor. Deepfake üzere yeni teknolojiler, halka açık bilgiler eşliğinde bu çeşit teşebbüslerin yürütülmesini kolaylaştırıyor. Örneğin görüntüdekinin kuruluşun bir çalışanı olduğuna inanılan gerçekçi bir deepfake görüntüsü şirketin prestijine büyük ziyan verebiliyor. Bunun için saldırganlara hedeflenen çalışanın toplumsal medyada bulabilecekleri net bir fotoğrafı ve biraz ferdî bilgi yetiyor.
Ayrıyeten sesler de berbata kullanılabiliyor. Radyoda yahut podcast’lerde sunum yapan bir üst seviye yönetici, potansiyel olarak sesinin kaydedilmesine ve daha sonra taklit edilmesine yer oluşturuyor. Bu sayede çalışanlara yapılacak bir davetle acil banka havalesi talebi yahut müşteri veritabanının istenen bir adrese gönderilmesi üzere senaryolar mümkün hale geliyor.
Şirketin Güvenlik Araştırmacısı Roman Dedenok, şunları tabir ediyor: “Kurumsal doxing, kuruluşun kapalı bilgileri açısından gerçek bir tehdit ortaya koyan, göz arkası edilmemesi gereken bir bahis. Doxing tehdidi kurum içindeki güçlü güvenlik prosedürleriyle önlenebilir ve risk en aza indirilebilir. Gerekli tedbir alınmadığında ise bu tıp ataklar çok önemli mali ziyana ve prestij kaybına neden olabilir. Elde edilen zımnî bilgiler ne kadar hassas olursa, ziyan o kadar yüksek olacaktır.”
Doxing riskini önlemek yahut en aza indirmek için uzmanlar şunları öneriyor:
İşle ilgili bahisleri, resmi kurumsal iletileşme uygulamaları dışında asla tartışmamak için katı kurallar oluşturun ve çalışanlarınızı bu kurallara katiyetle uymalarını sağlayın.
Çalışanların atak teknikleri hakkında daha bilgili olmalarına ve siber güvenlik problemlerinin farkına varmalarına yardımcı olun. Siber hatalılar tarafından agresif bir halde kullanılan toplumsal mühendislik tekniklerine tesirli bir formda karşı koymanın tek yolu budur. Bunu yapmak için bir çevrimiçi eğitim platformundan faydalanabilirsiniz.
Çalışanları temel siber tehditler konusunda eğitin. Siber güvenlik bahislerinde tecrübeli bir çalışan saldırıyı önleyebilir. Örneğin meslektaşından bilgi isteyen bir e-posta aldığında, iletisi hakikaten gönderdiklerini doğrulamak için evvel meslektaşlarını araması gerektiğini bilecektir.
Anti-spam ve anti-phishing teknolojilerinden yararlanın.
Hürriyet
