Fransa

Fransa – CNIL’IN Üç Ayda Bir Gerçekleştirdiği Bilgilendirme Toplantılarının Bu Dönemki Konusu e-Posta Saldırıları Oldu

Üç Ayın İhlali: e-Posta Saldırıları

10 Ağustos 2021


“Üç ayın ihlali” (“la violation du trimestre”), bir güvenlik olayını detaylıca ele alan (üç ayda bir gerçekleşen) periyodik bir bilgilendirme toplantısıdır. Bu dosyada CNIL, e-posta hizmetlerine yönelik belirli saldırıları irdeliyor ve bunlardan nasıl korunulacağına dair önerilerde bulunuyor.

Son zamanlarda yapılan birçok saldırı, saldırganların e-posta sistemlerine girmesine izin verdi.

Bu saldırıların kaynakları çok çeşitli olabilse de, bu saldırılar, büyüklükleri veya faaliyet alanları ne olursa olsun tüm kuruluşları ilgilendirmektedir. Bu nedenle, temel güvenlik önlemlerinin uygulanması (güçlü parolaların kullanılması, güvenlik güncellemeleri, vb.) ve bu saldırıların genellikle, genel bir kimlik avı (phishing/oltalama) veya hedefli bir kimlik avına (spear phishing/hedefli oltalama) yönelik e-postalardan kaynaklanması nedeniyle çalışanların da eğitilmesi gerekmektedir.

Nasıl Gerçekleşir? 

1.    Çevrimiçi Mesajlaşma Sistemlerindeki Birincil Güvenlik Açığı 

Çevrimiçi mesajlaşma sistemlerindeki birincil güvenlik açıklarının çoğu, zayıf veya güvenliği ihlal edilmiş başka bir çevrimiçi hizmette kullanılan bir parolanın kullanılmasından kaynaklanmaktadır.

Bu güvenlik açığı, bir kimlik avı e-postasının sizi bir bağlantıya tıklamaya ve e-postanızı yeniden doğrulamaya yönlendirdiği sırada gerçekleşebilir: böyle bir durumda, yalnızca kullanıcı adınıza ve parolanıza erişmek amacıyla, bir saldırgan tarafından oluşturulmuş gerçek bir e-posta sistemi görünümündeki bir “sahte site” söz konusu olabilir.

2.    Olası Suiistimaller

Bu tür suiistimal saldırıları oldukça fazladır, özellikle:

E-posta verilerine sızma

Bu durum, örneğin, saldırganın şantaj yapmasına veya çalışanlar ve/veya müşterileri arasındaki bağlantılar hakkında daha fazla bilgi edinerek, ikinci bir adımda, onlara karşı hedefli kimlik avına (hedefli oltalama) yönelik kampanya e-postaları yoluyla saldırmasına olanak verebilir.

Kimlik Hırsızlığı

Aşağıdaki durumlara sebebiyet verebilmektedir:

·        Alıcılar tarafından bilinen bir kaynaktan gelen kimlik avı e-postalarının başarı şansının daha yüksek olması sebebiyle, bu e-postaları göndermek için adres defterlerinin ele geçirilmesi,

·      Yönetici kimliğinin çalınması veya sahte transfer emri verilmesi. Bu tür bir kimlik hırsızlığı, bir iç yöneticinin yerine işlem yapılabilmesini, örneğin sahte bir transfer emrinin yürütülmesi için gerekli e-posta doğrulamasının yapılmasını mümkün kılabilir.

Saldırganın, hileli kurallar oluşturmak amacıyla e-posta sisteminin işlevselliğinden yararlanarak otomatik kurallar oluşturması da mümkündür, örneğin:

•     E-postaları kendi seçtiği bir posta kutusuna iletmek ve böylece hedeflenen kişinin bilgisi olmaksızın hassas verileri toplamak;

•    Belirli mesajları silmek (saldırının hedeflemiş olduğu organizasyonun BT destek ekibinden gelen uyarı e-postaları gibi);

•    Saldırının izlerini gizlemek (örneğin, gelen kutusuna gelen belirli mesajları otomatik olarak “okunmadı” olarak işaretleyerek veya saldırganın ilgisini çekebilecek tüm mesajların taşınacağı belirli bir klasör oluşturarak ve hatta bu mesajları silerek)

Çoğu durumda, saldırgan, e-postanın “konu” alanının “Ödeme”, “Fatura” veya “Banka” gibi belirli anahtar kelimeleri içerip içermediğini tespit etmek için birtakım kurallar yapılandırır. Saldırganın daha sonra önemli transferler hakkında bilgi edinerek, örneğin yöneticinin kimliğini kullanarak saldırıyı devam ettirebilmesi için, bu e-postaları incelemesi yeterlidir.

Bu saldırılar nasıl önlenir?

    Kullanıcıları e-posta hizmetlerinin kullanımı konusunda bilinçlendirmek

  • Kullanıcıları, e-posta hizmetleriyle ilgili riskler ve uygulamalar konusunda düzenli olarak bilgilendirmek gerekmektedir:
  •   Kaynağı güvenilir olmayan e-postalardaki ekleri açmamak ve bağlantılara tıklamamak (özellikle eklerin .scr, .cab vb. gibi şüpheli bir uzantıya sahip olduğu durumlarda);
  • Kaynağı Bilinmeyen herhangi bir uygulama veya program yüklememek;
  • Güvenli olmayan veya yasa dışı sitelerden kaçınmak;
  •   Alınan e-postaların alan adlarını kontrol etmek (ad veya uzantı doğru mu ve şirketin resmî web sitesinde yer alan bilgilere karşılık geliyor mu?);
  •     Özellikle mesajda “acil” ibaresinin yer aldığı durumlarda, ödeme veya banka bilgilerinin değiştirilmesi taleplerine ilişkin onay almak üzere, gönderilen e-postada belirtilen kişiler yerine, talepte bulunan şirketin bilinen bağlantılarıyla telefonla veya şahsen iletişime geçmek;
  •      Bir irtibat listesi (tedarikçiler ve müşteriler) tutmak;
  •    Yönetici kimliğinin çalınması gibi speesifik saldırıları sınırlandırmak amacıyla idari önlemler almak;
  •     E-posta istemcilerinde belirlenmiş olan kuralları düzenli olarak kontrol etmek.

Güvenlik ekiplerinin yanı sıra ofis ortamındaki yönetim ekiplerinin de farkındalığının artırılması son derece önemlidir.

        Uygun teknik tedbirleri almak

Dahili e-posta sunucularına veya çevrimiçi e-posta kutularına erişim sağlanmasına yönelik saldırılara ilişkin riskleri sınırlandırmak için, aşağıdakilerin yapılması önerilmektedir:

  •       Uyarılar ve güvenlik önerileri başta olmak üzere, CERT-FR tarafından yayınlanan bilgileri takip etmek ve bu konulardan haberdar olmak;
  •     Antivirüs ve e-posta sunucularını güncellemek:

Yeni güncellemelerin mevcut olduğu andan itibaren;

CERT-FR’nin, güvenlik yamalarının uygulanmasına ilişkin aciliyet belirtmesi halinde (ör. 2021’de Microsoft Exchange sunucularında keşfedilen güvenlik açıkları);

Yazılım yayıncılarının resmi internet siteleri aracılığıyla.

  •      Bir güvenlik zafiyetinin ardından güvenlik yamalarının e-posta sağlayıcısı tarafından derhal uygulanmaması halinde, sağlayıcı tarafından önerilen geçici çözümleri uygulamak, özellikle:

E-posta sunucularına erişebilen doğrulanmamış bağlantıları engellemek veya internette doğrudan açık edilmemek adına VPN (Virtual Private Network) kurmak;

Dışarıdan erişimleri kısıtlamak;

  • Saldırılar esnasında izlenen yöntemlerle bağlantılı tehdit göstergelerinin (Indicators of Compromise (IOC)) varlığını doğrulayan ve CERT-FR’nin internet sitesi üzerinden indirilebilen çözüm yöntemlerini uygulamak.
  • Sadece şirket içi kullanım için ayrılan ve çalışanların kötü niyetli olarak tanımladıkları e-postaları bildirebilecekleri bir e-posta adresi oluşturmak.
  •   Kullanıcıların yeterli düzeyde karmaşık (yeterince güçlü) farklı parolalar kullanmasını sağlamak.
  •    Hakların yönetimi ve bunların düzenli olarak gözden geçirilmesi amacıyla prosedürler oluşturmak:

Bir çalışanın işten ayrılması durumunda erişimlerini kaldırılmak, çalışanın e-postasını ve ilgili e-postaya ilişkin yönlendirme kurallarının devre dışı bırakmak;

Bir saldırı durumunda, saldırının yayılma riskini sınırlamak adına, “yönetici” tipi yetkili bir hesabın kullanılması yerine iş istasyonlarında “kullanıcı” tipi hesapların kullanılmasını teşvik etmek.

  • Dış bağlantıları kontrol etmek: Wifi erişim noktalarının güvenliğinden emin olmak. 

Saldırı durumunda ne yapılmalı?

Bu tür saldırıların sonuçlarının sınırlandırılabilmesi için müdahale süresi hayati derecede önemli olduğu kadar, uygun bir organizasyonun kurulması da aynı ölçüde gereklidir.

Etkilerini sınırlandırabilmek için saldırının kaynağını anlayın

Bir saldırı meydana geldiğinde, saldırının sonuçlarını yönetmek için, dahili veya harici tüm ekiplerle iyi iletişim kurmak esastır.

İlgili kişileri bilgilendirin

Saldırının yayılmasını ve mesajların alıcılarının aynı sıkıntılarla karşılaşmasını önlemek için, bu kişilerin bir an önce bilgilendirilmeleri gerekmektedir. Özellikle, aşağıdaki konular hakkında bilgilendirme yapılmalıdır:

  §  Daha önceden alınan e-postaları geçerli olarak kabul etmemek;

  §  Yanıt verilmişse gerekli tüm önlemleri almak (şifre değişikliği, itiraz vb.).

İhlali belgeleyin ve CNIL’e bildirin

Saldırının, ilgili kişilerin (veri sahiplerinin) hak ve özgürlükleri için bir risk meydana getirmesi muhtemel ise, veri sorumlusu:

  §  İhlali, ihlal kayıtlarına geçirmeli;

  §  İhlali 72 saat içinde CNIL’e bildirmelidir (GDPR’nin 33. maddesi).

Riskin yüksek olması durumunda, ihlalden etkilenen kişileri de ihlalin olası sonuçlarını (kimlik avı (phishing), adres defterlerinin ve irtibat kurulan kişilere ilişkin bilgilerin yeniden kullanılması vb.) belirterek bilgilendirmelidir.

 Daha fazlası için 

> Kişisel veri ihlalleri > CNIL’in sibergüvenlik üzerine tüm içerikleri> Teleçalışma: kurallar ve izlenecek en iyi uygulamalar > En çok gözlenen veri ihlalleri  > Bireyer: E-posta konfigürasyonu için ipuçları  > Kimlik hırsızlığına nasıl tepki vermeli? ? 

Teşekkür Notu:

Bu yazı, Simge Yüce ve Arslan İnel tarafından birlikte kaleme alınmıştır.

Leave a Reply

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.

error: Content is protected !!