sosyal mühendislik

Kurumsal atıklardan uygun şekilde kurtulmanın yolları

Birçok şirket, itibarlarına veya güvenliklerine zarar verebilecek bilgileri çöpe atar.

Nikolay Pankov
Haziran 24, 2021

Şirketlere hedefli bir saldırı düzenlerken, saldırganlar bazen işlerine yarayabilecek bilgiler bulabilmek için şirket çöplerini karıştırırlar. Hackers filmindekinin aksine, siber suçlular gerçek hayatta tabii ki bir çöp kutusunda 50 tane geçerli parola bulamazlar; ama yine de, kurumsal atıkların arasında birçok işe yarar bilgiye ulaşabilirler.

Çöpe atmamanız gereken şeyler

En iyimser çöp karıştırıcıları bile, üzerinde ÇOK GİZLİ yazılı bir grup dosya bulabileceğini düşünmez. Gerçi bir şirketin itibarını sarsmak ya da güçlü bir hedefli saldırı gerçekleştirebilmek için çok büyük sırlara da ihtiyaçları yoktur. Şirketle ilgili en küçük dedikodu veya bilgi bile, sosyal mühendislik yoluyla çalışanları aldatmak için kullanılabilir.

Riskli çöpler

Şirketinizin kara para hesapları olduğuna dair kanıtları veya çevreye zarar verdiğiyle ilgili şikayetleri alışkanlıkla çöpe atmadığınızı varsayarsak; asıl tehlike, hem müşterilerinizin hem de çalışanlarınızın bilgilerini içeren kişisel verilerde yatıyor. Şimdilerde böyle bir keşif hem denetmenlerin dikkatini çeker hem de yüklü para cezalarına çarptırılırsınız.

Ancak hala atılmış kişisel verilerden kaynaklanan vakalar görmeye devam ediyoruz. Birçok örnek olaya rağmen çalışanların çoğu, pizza teslim adreslerinin olduğu bir listenin gizli bilgiye girdiğini bilmiyor. Daha da kötüsü, üzerinde sosyal güvenlik numaraları yazılı tıbbi kayıtlar, banka kartı detayları yazılı ödeme bildirimleri ve kimlik belgelerinin taramaları bile çöpe atılıyor.

Siber suçluların sosyal mühendislik saldırısı için kullanabildikleri şeyler

Siber suçlular öylece atılmış iş belgelerinde, zarflarda ve dijital depolama ortamlarında buldukları bilgileri saldırı için kullanabilir.

İş belgeleri gizli bilgi içermiyorsa bile ekibin neler yaptığını, kullandıkları terminolojiyi, şirketin içinde bulunduğu süreci ve daha birçok bilgiyi açığa çıkarabilir. Böyle bilgileri ele geçirmiş bir saldırgan e-posta veya telefonla, iş sürecine dahil olan bir katılımcının kimliğine bürünerek daha fazla bilgiye ulaşabilir veya inandırıcı bir BEC saldırısı düzenleyebilir.

Zarflar işletme evraklarını göndermek için kullanıldıysa üzerinde her zaman gönderenin ve alıcının bilgileri bulunur. M şirketi çalışanının N şirketi temsilcilerinden bir takım evraklar aldığını bilen bir siber suçlu, alıcının bir şeyi doğrulaması için inandırıcı bir talepte bulunabilir veya alıcıya somut bir belgenin makbuzunu onaylatıyormuş gibi görünen kötü amaçlı bir bağlantı gönderebilir.

Dijital ortam tam anlamıyla bir bilgi hazinesi olabilir. Bozuk bir akıllı telefondan kişi rehberine ve mesajlara ulaşılabilir. Bu bilgiler daha sonra cihazın eski sahibinin kimliğine bürünmek için kullanılabilir. Flash sürücüler ve çöpe atılmış sabit sürücülerin içinde bile on binlerce iş belgesi ve kişisel bilgi olabilir.

Aslına bakarsanız, üzerinde çalışanın adı yazılı bir yemek teslim paketi bile siber suçlular için bir fırsat olabilir. Suçlular bu kişilere özel menü yemeklerinin veya sadakat programlarının sahte bağlantılarının olduğu kimlik avı e-postaları gönderebilir. (Bu çok da görülen bir yöntem olmasa bile böyle bir risk vardır.)

Atıklardan en doğru şekilde kurtulmanın yolları

Öncelikle, depolama yöntemi olarak kağıt kullanımını azaltmanızı veya hiç kullanmamanızı öneriyoruz. Bu şekilde hem çevreye fayda sağlamış, hem de atıklardan kurtulma sorununu çözmüş olacaksınız.

İlk olarak şirketin işlerine dair her kağıt belgeyi yok edin. Bundan kastımız tamamını yok etmeniz; sadece kişisel bilgiler içerenleri değil. Zarflar dahil hepsini parçalayın.

Dijital ortamlar (sabit sürücüler, flash sürücüler) çöpe atılmamalıdır. Bunları mekanik olarak kullanılamaz hale getirmeli ve elektronik geri dönüşüm merkezine götürmelisiniz. Flash sürücüleri pense yardımıyla kırın. Sabit sürücüleri kırmak için elektrikli matkap ya da çekiç kullanın. Unutmayın ki her telefonun içinde bir flash sürücü ve her bilgisayarın içinde bir sabit sürücü vardır. Telefon veya bilgisayarlarınızı atacaksanız, önce içindeki verilerin okunamaz olduğundan emin olun.

Kutuları veya yemek paketlerini atmadan önce üzerinde alıcının ismi ve adresi yazılı bütün etiketleri yırtın ve yok edin.

İşletmenizin güvenliğinin, danışma masasından üst yöneticilere kadar bütün çalışanların bu kuralları anlaması ve bunlara uymasına doğrudan bağlı olduğunu unutmayın. Konumları ne olursa olsun her çalışanın, tehlikeli olabilecek bilgileri idare edebilme konusunda en temel ve pratik bilgilere sahip olması gerekir.

World of Warcraft’ta altın çalmak için yapılan hileli bir ticaret

WeakAuras eklentisindeki kötü amaçlı bir komut dizisi, WoW Classic’te günlerce süren çalışmanızı saniyeler içinde çöpe atabilir.

Gizlilik ve Çocuklar

Hedeflenen Güvenlik Çözümleri

Kurumsal atıklardan uygun şekilde kurtulmanın yolları

Çöpe atmamanız gereken şeyler

Riskli çöpler

Siber suçluların sosyal mühendislik saldırısı için kullanabildikleri şeyler

Atıklardan en doğru şekilde kurtulmanın yolları

Kötü amaçlı yazılımsız siber saldırılar

Makine öğrenimi destekli dolandırıcılıklar

World of Warcraft’ta altın çalmak için yapılan hileli bir ticaret

İpuçları

Akılcı bir yol: çocuklarınızın ilk cihazı için ebeveyn rehberi

Çocukların ilk cihazı için ebeveyn kontrol listesi

Kaspersky’ye geçiş: adım adım geçiş kılavuzu

Patron mu, dolandırıcı mı? Patronunuzdan gelen emirler gibi gösterilen dolandırıcılık

Başlıklarımızı gelen kutunuza almak için kaydolun

Ev Çözümleri

Küçük Ölçekli İşletme Ürünleri

Orta Ölçekli İşletme Ürünleri

Kurumsal Çözümler

Securelist

Eugene Personal Blog