Aşırı Paylaşım Şirketleri Güvenlik Riskleriyle Karşı Karşıya Bırakıyor

Çalışan savunuculuğu, şirketlerin tanıtımı için önemli olsa da aşırı bilgi paylaşımı siber saldırılara zemin hazırlayabiliyor. ESET, bu konuda dikkat edilmesi gerekenleri açıkladı.

Çalışan savunuculuğu, on yılı aşkın süredir kurumsal profil, düşünce liderliği ve pazarlamayı geliştirmek amacıyla kullanılan bir yöntemdir. Ancak, bu iyi niyetli uygulama bazı istenmeyen sonuçlara da yol açmaktadır. Siber güvenlik alanında dünya lideri ESET, şirket bilgilerini içeren paylaşımlara dikkat çekerek alınması gereken önlemleri sıraladı.

Profesyoneller, işlerini, şirketlerini ve rollerini paylaşırken benzer düşünen diğer profesyonellerin yanı sıra potansiyel müşteriler ve iş ortaklarına ulaşmayı hedefler. Ancak bu bilgiler kamuya açık hale geldiğinde, genellikle hedefe yönelik kimlik avı (spearphishing) veya iş e-postası dolandırıcılığı (BEC) gibi saldırılar için kullanılmaktadır. Paylaşılan bilgi miktarı arttıkça, kuruluşlara yönelik kötü niyetli faaliyetler için fırsatlar da çoğalmaktadır.

Şirket Bilgileri Hangi Platformlarda Paylaşılıyor?

Bu tür bilgilerin en çok paylaşıldığı platformlardan biri LinkedIn'dir. LinkedIn, dünyanın en büyük açık kurumsal bilgi veri tabanı olarak kabul edilir. İşe alım uzmanlarının iş ilanlarını paylaştığı bu platformda, teknik detaylar aşırı derecede paylaşılabilir ve bu bilgiler spearphishing saldırılarında kullanılabilir. Ayrıca GitHub, dikkatsiz geliştiricilerin sabit kodlanmış şifreler, IP adresleri ve müşteri bilgilerini paylaştığı bir platform olarak bilinir.

Instagram ve X gibi tüketici odaklı sosyal medya platformlarında ise çalışanlar, konferanslar ve etkinliklere ilişkin seyahat planları gibi detayları paylaşabilirler. Bu tür bilgiler, hem çalışanlara hem de kurumlara karşı kullanılabilecek birer silah haline gelebilir.

Şirket Bilgileri Nasıl Kötüye Kullanılır?

Sosyal mühendislik saldırılarının ilk aşaması genellikle istihbarat toplamaktır. Ardından, hedef kişiyi farkında olmadan kötü amaçlı yazılım yüklemeye ikna etmek için spearphishing saldırıları düzenlenir. Kurumsal kimlik bilgilerini paylaşmaya ikna etmek de bu saldırıların bir parçasıdır. Bu süreç e-posta, kısa mesaj veya telefon görüşmeleri yoluyla gerçekleşebilir. Ayrıca, saldırganlar C seviyesindeki yöneticilerin veya tedarikçilerin kimliğine bürünerek acil para transferi taleplerinde bulunabilirler.

Aşırı Paylaşımın Risklerine Karşı En Etkili Çözüm: Eğitim

Yöneticilerden tüm çalışanlara kadar herkesin sosyal medyada aşırı paylaşım yapmamanın önemini kavraması için güvenlik farkındalık programları güncellenmelidir. Çalışanlar, tanıdıkları kişilerden gelen istenmeyen mesajlara karşı uyarılmalı; phishing, BEC ve deepfake saldırılarını tanıyabilmeleri sağlanmalıdır. Sosyal medya kullanımıyla ilgili katı politikalar oluşturularak, paylaşılabilecek ve paylaşılamayacak bilgiler net şekilde belirlenmeli, kişisel ve profesyonel hesaplar arasında kesin sınırlar konulmalıdır. Kurumsal web siteleri ve hesaplar, saldırılarda kullanılabilecek bilgileri kaldırmak amacıyla düzenli olarak gözden geçirilmeli ve güncellenmelidir. Ayrıca, profesyonel hesapların ele geçirilme riskine karşı çok faktörlü kimlik doğrulama (MFA) ve güçlü parolalar zorunlu hale getirilmelidir. Halka açık hesaplar, spearphishing ve BEC saldırılarında kullanılabilecek bilgiler açısından sürekli izlenmelidir.

Kaynak: (BYZHA) Beyaz Haber Ajansı

YORUMLAR

Adınız *

E-Posta Adresiniz *

Yorumunuz *