Sızma testlerinde gördüğümüz teknik zafiyetlerin ötesinde gözden kaçabilen bir konuya değinmek istiyorum. Başta Genel Müdür, CEO ve CFO olmak üzere belli bir yetkinin üzerindeki kurum çalışanların e-posta kutularına erişim siber saldırılarda önemli bir adım olarak karşımıza çıkıyor. Aşağıda iki örnek ve önlem tavsiyeleri bulabilirsiniz.
Önemli not: Her sızma testinden önce kuruluş ile Sparta arasında ve mutlaka o projede çalışacak personelimizle kuruluş arasında ayrıca gizlilik sözleşmesi imzalamakta ısrar ediyoruz. Sızma testlerinde sizlerin de bu konuya dikkat etmenizde fayda olacaktır. Çalışan e-postalarının sızma testi kapsamı içinde/dışında tutulmasını istiyorsanız da bunu sözleşmede açıkça belirtmek gerekir.
Örnek 1: “Parola: Galatasaray1905!”
Bir CEO’nun Office 365 hesabına sızdık. İlk denediğimiz parola?
Şirketin adı + 123.
İkinci deneme? Çocuğunun adı + 123 (LinkedIn’e “Oğlum Abuzittincan karnesini aldı” postu vardı).
Üçüncüde girdik. MFA? Yok. Hiç mi yok? Hiç yok! Neden? CEO’ya MFA olmaz!
Gelen kutusunda bulduklarımız:
- Personelin tüm maaş listeleri
- Yönetim kuruluna özel satın alma görüşmeleri
- Ve favorimiz: Bir phishing mailini “Bu gerçek mi?” diye IT’ye ilettiği mail…
Parola seçimleri genellikle sıkıntılı görünüyor. Muhtemelen bugüne kadar karşılaştığımız en yaratıcı parola “Profiterol+123” idi. (Evet, parola sahibinin adı Erol). Bu arada kesinlikle haklısınız: “Galatasaray1905!” ve “Profiterol+123” gibi parolalar, kuruluşunuzun parola politikasına uygundur. Ancak “politikaya uygun parola” ile “kolay tahmin edilemeyen parola” farklı şeylerdir. Bu noktanın farkındalık eğitimlerinde ele alınması iyi olacaktır.
Örnek 2: “Kendime Şifre Gönderdim”
Başka bir şirkette, CFO’nun gelen kutusunda şunu gördük:
Konu: “şifreler – SİLME!!!!!” konulu mailde VPN erişimi, ERP, Gmail, çocukların okul portalı dahil 27 parola.
Özetle: “Hacker’a falan gerek yok, yarın IT’den birini kızdırırsa bile canı çok sıkılır.” dedirten bir davranış.
Neden Hep CEO’lar, CFO’lar, Patronlar?
Öncelikle mükemmel hedefler:
- E-posta trafikleri yoğun
- Asistanlar, çalışanlar, paydaşlar ile sürekli bilgi paylaşımı halinde
- Ve “Ben istisnayım” sendromu: Şirket çapında iki faktörlü kimlik doğrulama (MFA) zorunlu mu? “Ama ben CEO’yum, bununla zaman kaybedemem!”…
Kendinizi Nasıl Korursunuz?
- “Fenerbahçe1907!” veya “Besiktas1903!” parolaları kullanmayın. Aynı şey çalıştığınız kuruluşun ve çocuklarınızın adları için de geçerlidir.
- Bir parola yönetici kullanabilirsiniz.
- İki faktörlü kimlik doğrulamasını bütün hesaplarınızda devreye alın ve kullanın. Evet, 5 saniye daha fazla zaman alıyor. Ama hesabınızın ele geçirilmesi durumunda daha çok zaman kaybedeceksiniz.
- Şüpheli e-postalara karşı tetikte olun
- “Acil”, “Hemen”, “Şimdi” gibi kelimeler içeren e-postalar manipülasyon amaçlı olabilir. Özellikle para transferi, onay veya karar vermenizi istiyorsa, iki kez düşünün ve mutlaka başka bir kanaldan doğrulayın.
Ekibinizi de eğitin
Bilgisayar kullanan çalışanlarınıza CEO, CFO, Patron, Firma Sahibi, vb’den gelen tuhaf istekleri doğrulamaları gerektiğini anlatın. “Toplantıdayım, telefonda konuşamam” gibi bahanelerin geçerli sayılmaması gerektiğini ve doğrulamayı, iş ne kadar acil olursa olsun, mutlaka yapmaları gerektiğini vurgulayın.
Eğer bu hikâyeler size tanıdık geldiyse, bu yazıyı yöneticinize okutabilirsiniz.