Aşırı paylaşım şirketleri tehlikeye atıyor

Aşırı Paylaşım Tehdidi: LinkedIn ve Sosyal Medya Şirketler İçin Siber Saldırıya Nasıl Dönüşüyor?

Siber güvenlik çözümlerinde dünya lideri ESET, çalışanların sosyal medya platformlarında (özellikle LinkedIn) yaptıkları aşırı paylaşımların, iyi niyetle başlayan "çalışan savunuculuğu" kavramını nasıl siber saldırılar için bir istihbarat kaynağına dönüştürdüğüne dikkat çekiyor. Ne kadar çok bilgi kamuya açık hale gelirse, kuruluşlara zarar verebilecek kötü niyetli faaliyetler için o kadar fazla fırsat doğuyor.

Şirket Bilgileri Nerede Paylaşılıyor?

• LinkedIn: Belki de en bariz ve en büyük açık kurumsal bilgi veri tabanıdır. İş ilanlarında, siber saldırılarda kullanılabilecek aşırı teknik detaylar paylaşılabilir.

• GitHub: Geliştiricilerin dikkatsizce sabit kodlanmış sırları, IP ve müşteri bilgilerini paylaştığı yer olarak bilinir.

• Tüketici Odaklı Platformlar (Instagram, X): Çalışanlar, konferanslara ve diğer etkinliklere ilişkin seyahat planlarını paylaşarak, bu bilgilerin kendilerine ve kuruluşlarına karşı silah olarak kullanılmasına davetiye çıkarabilir.

Sosyal Medya Bilgisi Nasıl Silaha Dönüşür?

Tipik bir sosyal mühendislik saldırısı, iki ana aşamadan oluşur:

1. İstihbarat Toplama (Keşif): Saldırının ilk aşaması, hedefin sosyal medya paylaşımları da dahil olmak üzere halka açık tüm bilgilerinin toplanmasıdır.

2. Saldırıyı Silah Olarak Kullanma: Toplanan istihbarat, hedef odaklı saldırılar için kullanılır:

   • Hedef Odaklı Kimlik Avı (Spearphishing): Alıcıyı, cihazına farkında olmadan kötü amaçlı yazılım yüklemeye veya kurumsal kimlik bilgilerini paylaşmaya ikna etmek için kullanılır.

   • İş E-postası Dolandırıcılığı (BEC): C düzeyinde bir yönetici veya tedarikçi kimliğine bürünerek (e-posta, telefon veya video görüşmesi yoluyla) acil bir havale talebinde bulunulabilir.

Aşırı Paylaşım Risklerine Karşı En Güçlü Silah: Eğitim ve Politika

Kuruluşların bu risklere karşı kendilerini korumaları için atılması gereken adımlar, eğitim ve katı güvenlik politikaları ekseninde toplanmaktadır:

1. Güvenlik Farkındalık Programlarını Güncelleyin: Yöneticilerden tüm çalışanlara kadar herkesin aşırı paylaşım yapmamanın önemini anlamasını sağlayın.

2. Tehdit Tespiti Eğitimi Verin: Çalışanları; tanısalar bile istenmeyen DM'ler (doğrudan mesajlar), phishing (oltalama), BEC ve deepfake girişimlerini tespit edebilmeleri konusunda eğitin.

3. Sosyal Medya Kullanım Politikası Oluşturun:

   • Paylaşılabilecek ve paylaşılamayacak şeyler konusunda kırmızı çizgiler belirleyin.

   • Kişisel ve profesyonel/resmî hesaplar arasında net sınırlar uygulayın.

4. Kurumsal Hesap Güvenliğini Güçlendirin:

   • Profesyonel hesapların ele geçirilerek iş arkadaşlarını hedef alması ihtimaline karşı Çok Faktörlü Kimlik Doğrulama (MFA) ve parola yöneticisinde saklanan güçlü parolalar zorunlu hâle getirilmelidir.

   • Kurumsal web siteleri ve hesaplar, silah olarak kullanılabilecek bilgileri kaldırmak için düzenli olarak gözden geçirilmelidir.

5. Halka Açık İzleme Yapın: Spearphishing ve BEC için kullanılabilecek herhangi bir bilgi için halka açık hesapları ve paylaşımları düzenli olarak izleyin.