Hackerlar yazılımı ve donanımındaki yeni gelişmeler sayesinde ağ güvenliğini kırmanın ve hassas bilgileri çalmanın yeni yollarını buluyor. Peki şirketlerin en çok zarar gördüğü nokta ne? Çoğu araştırma bu noktanın çalışanlar olduğunu gösteriyor. Çalışanlarınızın yapacağı küçük bir hata BT departmanınızın yıllarca üzerine uğraştığı güvenlik çalışmalarını yerle bir edebilir. Bu yüzden şirketlerin bu durumu ciddiye alması gerekiyor. Sosyal mühendislik tehdidini azaltmak için çalışanlarınızı eğitmeniz şart. Peki, çalışanlarınızı sosyal mühendisliğe karşı nasıl eğitebilirsiniz?

Çalışanlarınızı Sosyal Mühendisliğe Karşı Nasıl Eğitebilirsiniz?

Sosyal mühendislik, hackerların hassas verileri ele geçirmeye çalışırken sıklıkla kullandığı yollardan biridir. Hackerlar özellikle çalışanların eğitimsizliğinden yararlanır. Çalışanlarınız bu tip saldırıları nasıl tanıyacaklarını ve bunlarla nasıl mücadele edecekleri bilmediğinde saldırıya kurban gidebilir. Bu tip saldırılar genellikle karşılaştığımız saldırılarından daha az tahmin edilebilirdir. Bu yüzden şirket çalışanlarınızın her biri potansiyel bir kurbandır ve bu çalışanlar hata yapabilir. Düzenli ve interaktif sosyal mühendislik eğitimlerinden yararlanmadığınız takdirde ile hackerlar çoğu saldırıda istediklerini elde edecektir.

Çalışanlarınızı Sosyal Mühendisliğe Karşı Nasıl Eğitebilirsiniz?: Sosyal Mühendislik Nedir?

Çalışanlarınızı Sosyal Mühendisliğe Karşı Nasıl Eğitebilirsiniz?

Sosyal mühendislik, bir çalışanı kişisel bilgilerini vermesi amacıyla kandırmak için her türlü yöntemi kullanmaktır. Hackerların hedeflediği kişisel bilgiler hassas verileri, parolaları ve çeşitli dosyaları içerebilir. Yani, sosyal mühendisler, tanıdık biri gibi davranarak çalışanları kişisel bilgilerini vermeye ikna eder. Gelin çeşitli sosyal mühendislik türlerini birlikte inceleyelim.

1. Standart Sosyal Mühendislik Saldırıları

• Yüz yüze veya telefon aracılığıyla yapılabilir.
• Hacker, önemli biri olduğunu iddia eder ve kurbandan bilgi talep eder. Talep edilen bilgiler arasında çalışan kimlik bilgileri ve benzeri bilgiler bulunur.
• Hacker bir sunucu odasına erişim talep eedebilir. 
• Kurban hacker’ın isteklerini yerine getirirse, hacker şirket ağına sızabilir

2. Fiziksel Sosyal Mühendislik Saldırıları

Bu tip sosyal mühendislik saldırılarında standart sosyal mühendislik saldırılarının aksine hacker ve çalışan arasındaki online bir iletişim gerçekleşmez. Örneğin, hackerlar açık bir kapı kollayarak veya çalışan kimliklerini çalarak şirkete gizlice girebilir. Sonrasında kötü amaçlı yazılım barındıran USB’leri şirketin çeşitli yerlerine bırakıp çalışanların bu USB’yi kullanmasını beklerler. Herhangi bir çalışan bu cihazı işyerinde kullanırsa tüm sisteme kötü amaçlı yazılım bulaşabilir. 

3. E-posta Sosyal Mühendislik Saldırıları

E-posta sosyal mühendislik saldırıları birçok anlamda standart sosyal mühendislik saldırılarına benzer. Buna ek olarak araştırmlara göre bu tip sosyal mühendislik saldırıları ABD’de yıllık 3,7 milyon dolardan fazlaya zarara sebep oluyor. Bu tip saldırılarda hackerlar kurbanlarına meşru görünen oltalama e-postası gönderiyor. E-posta kötü amaçlı yazılımlar içerebiliyor veya e-postada sahte web sitelerine giden bağlantılar bulunuyor. Çalışanlar e-postadaki dosyaları açtığında veya bağlantılara tıkladığında saldırı başarıya ulaşmış oluyor. 

Peki, Çalışanlarınızı Sosyal Mühendisliğe Karşı Nasıl Eğitebilirsiniz?

Şirketler çeşitli şekillerde sosyal mühendislik eğitimleri düzenleyebilir. Fakat en önemlisi bu eğitimlere rehberlik edecek politikaları belirlemektir. Bu yüzden eğitimlerde kullanmanız gereken yöntemleri ve araçları iyi bilmeniz gerekir. İşte sosyal mühendislik eğitimlerinde kullanabileceğiniz beş yöntem:

Çalışanlarınızı Sosyal Mühendisliğe Karşı Nasıl Eğitebilirsiniz?

1. Çalışanlarınızı Motive Edecek Bir Kurumsal Politika Kullanın!

Şirketlerin çoğu çalışanların saldırıları kendi kendine anlaması gerektiğini düşünüyor ve bir kurumsal politika oluşturmuyor. Fakat sosyal mühendislik saldırılarında bir kurumsal politika kullanılması çok önemli. Bu sayede çalışanlarınız sosyal mühendislik girişimlerini daha hızlı tanıyabilir, değerlendirebilir ve kendilerini bu saldırılardan koruyabilir. Fakat yazacağınız politika uzun, yasal bilgilerle dolu bir belge olmamalı, çalışanların anlayabileceği bir dil kullanmalısınız.

İşte kurumsal sosyal mühendislik politikanızda yer verebileceğiniz birkaç detay:

• Önemli belgelere erişim sağlaması gereken çalışanlarınızdan kimlik doğrulaması talep edin.
• Şüpheli durumları hemen inceleyin ve raporlayın.
• Şirkete air olduğundan emin olmadığınız USB cihazlarını kullanmayın.
• Kimlikleri çalınan veya kaybolan çalışanlarınızdan 12 saat içinde durumu bildirmelerini isteyin.
• Tanımadığınız birinden gelen e-postaları açmayın.
• Şüpheli ve olası oltalama e-postalarını IT ekibinize bildirin.
• Sosyal mühendislik saldırısına kurban giderseniz yöneticinize haber verin.

2. Çalışanlarınıza sürekli olarak bir siber güvenlik bilinci aşılayın.

Çalışanlarınızı eğitimin bir parçası haline getirin. Onlarla gerçek hayat senaryoları paylaşın veya onlara düzenli e-posta göndererek çeşitli raporlar sunun. Eğitim bülten ve benzeri içeriklerle onların gelişimini destekleyin. Mümkünse şirkette bulunan ekranlarda siber güvenlik videolarının oynatılmasını sağlayın. Yeni işe alınan çalışanlarınızı özellikle hızlı bir şekilde bu sürece dahil edin.

Eğitimlerinizde sosyal mühendislik saldırılarına özel hayatta da dikkat edilmesi gerektiğini vurgulayın. Hackerlar her an her yerde çalışanlarınıza dair bilgileri çalabilir. Özellikle sosyal medyada açık bir şekilde bilgi paylaşmak çok tehlikelidir. Bu tip davranışlar sosyal mühendislik saldırılarının kaynağı olabilir.

3. Çalışanlarınıza sunduğunuz eğitimleri sıfırdan planlayın.

Sosyal mühendislik saldırılarına karşı savaşmada en önemli araç zorunlu ve düzenli sosyal mühendislik eğitimleridir. Bu eğitimler yöneticiler de dahil olmak üzere tüm çalışanlar için zorunlu olmalıdır. Fakat şirketinizde eğitimleri yönetebilecek yetkinlikte biri yoksa bir siber güvenlik şirketiyle çalışmak en doğrusudur. 

Sizlere sunduğumuz siber güvenlik farkındalık eğitimleri çalışanlarınıza işinizi korumak için ihtiyaç duydukları bilgileri verir. Çalışanlarınıza e-posta güvenliği için büyük bir tehlike oluşturan oltalama, hedefli oltalama, balina avı, yemleme, BEC, fidye yazılımı, kötü amaçlı yazılım ve sosyal mühendislik saldırıları hakkında kapsamlı bir eğitim sunar. Daha fazla bilgi için tıklayın.

4. Çalışanlarınıza Sorgulayıcı Olmayı Öğretin.

Sosyal mühendislik olaylarından başarılı bir şekilde korunmak istiyorsanız sorgulayıcı olmanız çok önemli. Özellikle tanımadığınız kişilere karşı şüpheci yaklaşmalı ve amaçlarının iyi olduğundan emin olana kadar bilgilerinizi paylaşmamalısınız. Çalışanlarınız her zaman karşı karşıya oldukları kişiyi, durumu sorgulamalı ve düşünmeli.

5. Siber Güvenlik Eğitimlerinin Etkili Olup Olmadığını Test Edin.

Şirketinizde özel olarak sosyal mühendislik saldırılarıyla ilginecek bir ekip oluşturun. Bu ekipten eğitimlerin gidişatını takip etmesini ve sonuçları raporlamasını isteyin. Buna ek olarak eğitimlerin etkisini oltalama simülasyonlarıyla da test edebilirsiniz. 

Sosyal mühendislik saldırılarının sayısı giderek artmakta ve saldırılar daha da karmaşık hale gelmekte. Oltalama Simülasyonu aracımızı kullanarak, güvenlik açığı düzeyini değerlendirmek için simüle edilmiş oltalama senaryolarıyla çalışanlarınızın güvenlik farkındalığını kolayca tespit edebilirsiniz. Aracımız, çeşitli saldırı grupları oluşturmanıza yardımcı olur ve her bir grup için farklı bir simüle edilmiş bir oltalama saldırısı kullanabilirsiniz. Ayrıca, raporlama özelliğimizi kullanarak, simüle edilmiş saldırılar sırasında çalışanlarınızı izleyebilir, takip edebilir ve etkili bir siber güvenlik farkındalık programı oluşturabilirsiniz. Çalışanları test ettikten sonra onlara neyi yanlış yaptıklarını, gelecekte bundan nasıl kaçınabileceklerini söyleyin.  Bunu yaparken onları utandırmamaya dikkat edin. 

Halihazırda bir sosyal mühendislik eğitimi programınız yoksa en kısa sürede etkili bir program hazırlayın. Sonrasında, azırladığınız programı çalışanlarınız üzerinde test edin ve sonuçları izleyin.