E-postanızı ayarlamakla ilgili en akılda kalan şey nedir? Bu sadece güçlü bir parolaysa, bu makale bunu ve diğer bazı yaygın mitleri çürütmenize yardımcı olacaktır. E-postanızın güvenliği önemlidir, ancak çok fazla çözüm ve ipucu uzmanlıktan ziyade önyargıya dayanmaktadır. E-posta güvenlik politikalarını, çözümlerini ve bazı kırmızı bayrakları da gözden geçirip revize edeceğim.
En yaygın e-posta koruma efsanelerine tek tek değinelim.
Efsane 1: Her şey şifre gücü ile ilgilidir
Parolayı tahmin edemezseniz hesabınızı hackleme şansınız yok diyorlar. Bu doğru mu?
Öncelikle, herhangi bir saldırıya karşı koyabilecek bir parola oluşturmanıza yardımcı olabilecek sihirli bir değnek yoktur. Bilgisayar korsanları, ne kadar karmaşık olursa olsun, hem insan hem de makine tarafından oluşturulan parolaları çalar ve kırar.
Kanıta dayalı uzmanlık, e-posta parolalarını veya parolaları düzenli aralıklarla değiştirmenin en iyi pratik çözüm olduğunu öne sürüyor. Parola güncellemeleri için en uygun sıklık üç aydır. Bu size, saldırıya uğraması durumunda hesabınızı siber suçlulardan kilitlemeniz için iyi bir şans sağlar; aynı zamanda, güncelleme sıklığı oldukça düşüktür.
Kusursuz olmaktan çok uzak olmasına rağmen, bu rutin şaşırtıcı bir şekilde çoğu durumda e-postanızı korur.
Ayrıca, yalnızca parola ile kurumsal e-posta koruması diye bir şey yoktur. İş e-posta sistemleri ekstra güvenlik önlemleri gerektirir. Her şirketin BT personeli, bireysel taktik ve araç setleri ile gelir. Bunlar, güvenli oturum açma gereksinimleri, ana veri yönetimine uygunluk, çok faktörlü kimlik doğrulama, e-posta filtreleri, güvenli BYOD prosedürleri vb. içerir.
Özetlemek gerekirse, uygun e-posta güvenliği bir dizi faktöre ve taktiğe başvurduğundan, parolanın kendisi buzdağının sadece görünen kısmıdır.
Efsane 2: Profesyonelce oluşturulmuş bir kurumsal web sitesini kopyalamak son derece zordur
Bunun e-postanızın güvenliğiyle bir ilgisi olup olmadığını merak edebilirsiniz. Kimlik avı burada doğru ipucudur. E-postanızı gelişmiş kimlik doğrulama çözümleriyle güvence altına alabilir, ekstra güçlü bir parola belirleyebilir, dosya eklerini filtreleyebilir ve olası istenmeyen e-postaları filtreleyebilirsiniz, ancak bu, web sitesi kimlik avı denen şeye karşı çalışmaz. Efsane, bilgisayar korsanlarının yüksek profilli bir web sitesini taklit edemeyeceğini söylüyor. Sence bu doğru mu?
Tabii ki, bu doğru değil. İster NASA ister Facebook olsun, hükümet ve büyük şirketlerin web siteleri sahtekarlığa karşı dayanıklı değildir. Onlar da diğer internet kaynakları kadar savunmasız ve dışarıdan kurcalamaya maruz kalıyorlar. Bilgisayar korsanları, bilgilerinizi çalmak için Google doking komutlarını bile kullanabilir.
Web sitesi kimlik avı yapan saldırganlar genellikle gelişmiş araçlara ve becerilere sahiptir. Kara Cuma’da satın alınan aptallar için bir kimlik avı kiti kullanan korsan özentileriyle neredeyse hiç ortak noktaları yok. Sosyal mühendislik, psikoloji, web sitesi geliştirme ve programlama, modern kimlik avcılarının sağlam deneyim ve bilgiye sahip olduğu alanlardır.
Bu suç uzmanları, web sitesi güvenlik açıklarını nasıl tespit edip kullanacaklarını bilirler. Web sitenizin kendileri için iyi olduğunu bulduklarında, klonunu geliştirmek ve web’de yayınlamak birkaç saat meselesidir.
Çok sayıda klonun gerçekten kusursuz olduğunu kabul edecek kadar uzun süredir web sitesi kimlik avı vakalarını izliyorum. Mağdurlar bir dolandırıcılıktan şüphelenmek için hiçbir neden görmezler. Kimlik avı saldırılarının çeşitliliğini ve ustalığını görmek için ikiz web sitelerindeki bu STK makalesini okuyun. Bu, yüksek profilli veya kurumsal bir web sitesi de dahil olmak üzere herhangi bir sayfanın sahtekarlığa maruz kalabileceğini kanıtlıyor.
Bu tür durumlara karşı dikkatli olun ve oturum açtığınız bir web sitesinin gerçek olmasını sağlayan taktikler sağlayın. Dikkatli olun, öngörü uygulayın, web sitesi sertifikalarını kontrol edin, web sitesi URL’sini dikkatlice inceleyin ve orijinal web sitesine karşılık geldiğinden emin olun. Hiçbir koşulda, yalnızca bu tanıdık sayfa istediği için herhangi bir içerik indirip yüklemeyin veya oturum açma kimlik bilgilerinizi girmeyin.
Aslında, tüm önemli web sitelerini tarayıcınızda yer imlerine eklemek ve bunları yalnızca doğrulanmış yer imlerini kullanarak açmak daha iyidir.
Efsane 3: Çoğu risk, çalışanları e-postayla güvenli bir şekilde ilgilenmeleri için eğiterek önlenebilir
Çoğumuz bir çalışan işe alım rutininden geçtik. Bu genellikle bazı kuralları, prosedürleri okumak, diğer personel üyeleri ve liderlik ile tanışmak, eğitimleri izlemek vb. için yeni bir personel gerektirir.
Birçok işletme, çalışanlarının güvenlik konusunda bilgili olmasını sağlamak için önemli çabalar sarf eder. Bir sonraki efsane şudur: Personelin dijital farkındalığına yatırım yapmak e-posta risklerini önemli ölçüde azaltır. Bu sadece bir efsane mi yoksa gerçek mi?
Bunun bir efsane olmadığından eminim. Personeliniz gerçek hayattaki vakaları inceleyerek e-posta güvenliği konusunda eğitim alırsa, becerileri ve alışkanlıkları değişecektir. İyi eğitimli bir çalışan, sahtekarlar tarafından uydurulmuş bir e-postadan gerçek bir e-postayı ayırt edebilir, kurumsal bir e-posta veya web sitesini taklit etme girişimlerini tespit edebilir, kötü niyetli dosya eklerini belirleyebilir ve herhangi bir düzensizliği uygun birimlere bildirebilir.
Eğitim bir horlama şenliği olmamalıdır. Eğitmenleri çok sayıda video ve sesli eğitim, gerçek kimlik avı e-posta iletileri ve sahte web siteleri kullanmaya teşvik edin. Seyirciyi mümkün olduğunca meşgul edin. Eğlence, öğrenmeyi tamamen değiştiremez, ancak onu önemli ölçüde kolaylaştırır ve geliştirir. Ve elbette, kuruluşunuza karşı sahte (BT personeliniz tarafından hazırlanan) kimlik avı saldırıları başlatın.
Efsane 4: Web tarayıcıları, tüm güvenli olmayan web siteleri hakkında bilgi verir
Tarayıcınız bir web sitesini yükledikten sonra SSL sertifikasını kontrol ederseniz, ziyaret edilen sayfa güvenlik özelliklerinden tamamen haberdar olduğunuz anlamına gelir. Efsaneye gelince, şöyle devam eder: tarayıcım her zaman güvenli olmayan veya kimlik avı yapan sayfaları işaretler. Efsane mi, gerçek mi?
Bu sadece bir efsane. Tarayıcıların genellikle bir web sitesi ziyaretçisi için gösterdiği iki uyarı vardır. Tarayıcınız sitenin güvenli olduğuna inanıyorsa, bir asma kilit göreceksiniz. Belirli güvenlik açıklamaları varsa bir ünlem işareti görünür.
Vahşi doğada, asma kilitle işaretlenmiş bir site bile mutlaka güvenli değildir. Cybercrooks, geçerli bir web sitesi sertifikası almak için gölgeli sertifika yetkilileri kullanır veya yanlış bilgiler gönderir. Ancak, sıradan kullanıcılar genellikle bu kadar derine inmezler. Sayfada bir asma kilit gördüklerinde her şeyin yolunda olduğunu düşünürler.
Öte yandan, bazen güvensiz olarak işaretlenen siteler güvenli olabilir. Web sitesinin kodundaki birkaç hata fark yaratabilir. Teknik aksaklıklar da olabilir. Bu nedenle, tarayıcılar kullanıcıları güvence altına almak için ellerinden gelenin en iyisini yapsalar da, yine de asma kilit simgesine körü körüne güvenmemeliyiz.
Her neyse, SSL sertifikasını incelerken bazı alanların boş olduğunu veya alakasız veriler içerdiğini görürseniz, en iyi cevap siteden ayrılarak kötü niyetli veya şüpheli davranışları bildirmek olacaktır.
Efsane 5: Etkin kötü amaçlı web sitelerini kara listeye almak, daha fazla saldırıya karşı bağışıklık sağlar
Örneğin, burada açıklanan Search Baron gibi bazı web sitelerinin sizi sahte tekliflere veya bir kimlik avı sitesine yönlendireceğini bildiğinizi varsayalım. Bundan sonra ne yapacaksınız? Web sitesini kara listenize ekleyecek misiniz? Bazı insanlar, birkaç kötü amaçlı web sitesini engellerlerse daha fazla saldırıya karşı güvende olduklarına inanırlar. Doğru ya da yanlış?
Bu yanlış bir inançtır. Bir düzine kötü amaçlı web sitesini kara listeye alsanız bile, bilgisayar korsanlarının bir kimlik avı tuzağı kurmak için hala sayısız yeni URL’si vardır. Kayıt olmanın ve yeni bir web sitesi kurmanın sadece birkaç saat sürdüğünü biliyor muydunuz? Bir etki alanını engelleyebilirsiniz; başka bir küçük bölünme kaydederler. Bu bir kedi ve fare oyunudur.
Aynı şey antivirüs satıcıları için de geçerlidir. Sürekli olarak yeni virüsleri ve kötü amaçlı yazılımları algılar ve karantinaya alırlar, ancak kötü niyetli kişiler tekrar tekrar yenilerini oluşturur.
Kimlik avı URL’sini kara listeye almak iyi bir fikirdir. Bu arada, bu ancak yarım bir çözümdür. İşiniz, bu tür web sitelerini davranışlarına ve özelliklerine göre nasıl tanımlayacağınızı öğrenmektir.
Son düşünceler
E-posta güvenliği, ilgili taraflarla ilgilidir. En zayıf halka insan faktörüdür. İncelediğim beş efsane, güvenlik bilinci eğitiminin son derece önemli olduğunu gösteriyor.
E-posta güvenliği için yazılım çözümlerine güvenmeyi düşünüyorsanız, satıcı e-posta güvenliği, solucanlar, makro virüsler vb. dahil olmak üzere tüm saldırı vektörlerini kapsamalıdır. Aynı zamanda, insan faktörünün neden olduğu riskleri en aza indirmeye yardımcı olmalıdır.
