İş dünyasında son on yıldır popüler olan “çalışan savunuculuğu” kavramı, kurumsal profili ve pazarlamayı güçlendirmek için iyi niyetle başlasa da, kontrolsüz yapıldığında ciddi güvenlik açıklarına neden oluyor. Siber güvenlik çözümlerinde dünya lideri ESET, çalışanların şirket, rol ve projeleri hakkında yaptıkları paylaşımların, siber suçlular için nasıl bir istihbarat kaynağına dönüştüğünü analiz etti.
Profesyonellerin potansiyel müşteri ve ortaklara ulaşmak için paylaştığı kamuya açık bilgiler, genellikle hedef odaklı kimlik avı (spearphishing) veya iş e-postası dolandırıcılığı (BEC) gibi sofistike saldırıların zeminini hazırlıyor. Paylaşılan bilgi miktarı arttıkça, kuruluşlara zarar verebilecek kötü niyetli faaliyetler için de fırsatlar çoğalıyor.
LINKEDIN VE GİTHUB: SUÇLULARIN İSTİHBARAT HAVUZU
ESET’in analizine göre, kurumsal bilgilerin en yoğun paylaşıldığı platformların başında tahmin edileceği üzere LinkedIn geliyor. Dünyanın en büyük açık kurumsal bilgi veri tabanı olarak tanımlanan platformda, işe alım uzmanlarının paylaştığı ilanlar dahi saldırganlara teknik detaylar sunabiliyor. Bu detaylar, daha sonra şirkete özel kurgulanmış saldırılarda kullanılabiliyor.
Siber güvenlik bağlamında bir diğer riskli platform ise GitHub. Dikkatsiz yazılım geliştiriciler, burada sabit kodlanmış şifreleri, fikri mülkiyet (IP) verilerini veya müşteri bilgilerini farkında olmadan ifşa edebiliyor. Ayrıca Instagram ve X (Twitter) gibi tüketici odaklı platformlarda paylaşılan iş seyahati ve konferans planları da yöneticilere ve kurumlara karşı bir silah olarak kullanılabiliyor.
SOSYAL MÜHENDİSLİKTE İLK ADIM
Şirket bilgilerinin silaha dönüşme süreci, tipik bir sosyal mühendislik saldırısıyla başlıyor. Saldırganlar ilk aşamada sosyal medyadan topladıkları istihbaratla hedefi tanıyor. İkinci aşamada ise bu bilgiler kullanılarak kurgulanan bir e-posta, SMS veya telefon görüşmesiyle, kurbanın cihazına kötü amaçlı yazılım yüklemesi veya kurumsal şifrelerini paylaşması sağlanıyor.
Tehlikenin boyutu sadece veri hırsızlığıyla sınırlı değil. Elde edilen bilgilerle C düzeyinde (CEO, CFO vb.) bir yönetici veya tedarikçi taklidi yapılarak, acil para transferi talepleriyle finansal dolandırıcılık girişimlerinde bulunulabiliyor.
EN GÜÇLÜ SAVUNMA: EĞİTİM VE KATI POLİTİKALAR
ESET uzmanları, aşırı paylaşım riskine karşı şirketlerin alması gereken önlemleri şöyle sıralıyor:
-
Güvenlik Farkındalığı: Yöneticilerden tüm çalışanlara kadar herkesin kapsandığı eğitim programları güncellenmeli. Çalışanlar, phishing, BEC ve deepfake girişimlerini tespit edebilecek yetkinliğe ulaştırılmalı.
-
Net Sınırlar ve Politikalar: Sosyal medya kullanımıyla ilgili kırmızı çizgilerin belirlendiği katı politikalar uygulanmalı. Kişisel, profesyonel ve resmi hesaplar arasında net sınırlar çizilmeli.
-
Web Sitesi Temizliği: Kurumsal web siteleri ve hesaplar gözden geçirilerek, saldırganların kullanabileceği hassas bilgiler kaldırılmalı.
-
Çok Faktörlü Kimlik Doğrulama (MFA): Profesyonel hesapların ele geçirilmesini önlemek için tüm sosyal medya hesaplarında güçlü parolalar ve MFA kullanımı zorunlu hale getirilmeli.
