Ayşe’nin Salı günü diğerleri gibi başladı. Kahvesi ve poğaçasıyla mutfak masasına oturdu ve e-postasını kontrol etmek için dizüstü bilgisayarını açtı.
Öğleden sonraki önemli toplantı nedeniyle biraz endişeliydi. Contoso'nun yeni ürününü Melda Oyuncak’ın Operasyon Direktörü'ne sunacaktı. Bu yüzden biraz dikkati dağılmış olabilir.
Kahvesinden bir yudum daha aldı, bağlantıya tıkladı ve sonraki sayfaya kullanıcı adını ve parolasını girdi. Ancak “Gönder”e tıkladığında içine bir kuşku düştü. "Onay" sayfası onu rahatlatmadı ve adres çubuğuna dikkatle baktı.
http://contoso.support.contoso-it.net/confirm
Bu etki alanı adı doğru görünmüyordu! Özgün e-postaya tekrar göz attı ve yıkıldı. E-posta adresindeki etki alanı adını, iletideki yazım yanlışlarını veya ona adı yerine "iş arkadaşı" diye hitap edildiğini fark etmemişti. Hızla Teams'i açtı ve şirket dizininde "Fatih Kara" adını aradı. Korktuğu gibi... bu ada sahip birisi yoktu.
Contoso şirket güvenliğini aramak ve şüphelerini raporlamak için telefonunu ekine aldığında "ding" sesiyle bir bildirim geldi. Telefonuna baktığında bunun hesabı için bir çok faktörlü kimlik doğrulama kodu olduğunu gördü. Birisi oymuş gibi oturum açmaya ÇALIŞIYORDU. Ve parolasını ele geçirmişlerdi.
Hemen Contoso şirket güvenliğinin numarasını çevirdi, telefon çalarken Gelen Kutusu'na dönüp iletideki "Raporla > Kimlik Avı" seçeneğine tıkladı.
"Contoso güvenlik, Ahmet konuşuyor." Ayşe bir saniye durakladı, ardından yanıt verdi. "Merhaba Ahmet, ben Ayşe Güler. İstanbul'da kıdemli hesap yöneticisiyim. Sanırım bu sabah bir kimlik avı iletisi ile kandırıldım."
"Tamam Amber, ne kadar zaman önce oldu?"
"Yalnızca birkaç dakika önce. Bağlantıya tıkladım ve iyice düşünmeden siteye kullanıcı adımla parolamı girdim." Ayşe, azarlanmayı bekliyordu veya belki de İK’dan bir arama gelebilirdi.
"Bizi hemen aramak için doğru olanı yaptın. Outlook'taki iletide yer alan “Kimlik Avını Raporla” seçeneğine tıkladınız mı?
Ayşe rahat bir nefes aldı, Ahmet’in anlayışlı ses tonu onu rahatlatmıştı. "Evet, tam da bu numarayı çevirirken."
"İyi. Günlüklerde, bu sabah sizin saatinizle 7:52'de başarılı bir oturum açma işlemi yapıldığı görünüyor”, dedi Ahmet.
"O bendim. E-posta için oturum açmıştım.", diye yanıtladı Ayşe.
"Tamam. Birkaç dakika sonra saat 8:01'de oturum açma girişiminde bulunduk, ancak bilinmeyen bir cihazdandı ve çok faktörlü istem hiçbir zaman kabul görmedi."
"Doğru! Tam sizi aradığım sırada kimlik doğrulama uygulamam bir oturum açma işlemini onaylamamı istedi. Bu noktada kimliğimin avlandığından kuşkulanıyordum, dolayısıyla istemi onaylamadım."
Ahmet "Mükemmel", dedi, "sizden tam olarak bunu yapmanızı istiyoruz. Çok faktörlü kimlik doğrulama istemini başlatan kişi olduğunuzdan emin olmadıkça asla bu isteği onaylamayın. Dizüstü bilgisayarınızda oturumunuz hala açık olduğu için hemen Contoso profil sayfanıza gitmenizi ve parolanızı değiştirmenizi rica ediyorum. Ayrıca, aldığınız kimlik avı iletisinin bir kopyasını bana ek olarak gönderebilir misiniz?"
"Evet, elbette.", dedi Ayşe.
"Harika. İletiyi olay müdahale ekibiyle paylaşacağım. Böylece şirketteki diğer kişileri bu saldırıya karşı dikkatli olmaları için uyarabiliriz. Çok faktörlü kimlik doğrulama bildirimini onaylamayarak ve bizi hemen arayarak çok iyi yaptınız. Bence her şey yolunda olmalı."
Ayşe biraz sarsılmış ama rahatlamış olarak telefonu kapattı. Artık soğuyan kahvesinden bir yudum aldı ve parolasını değiştirdi.
Özet
Kimlik avı e-postası alan kişilerin yaklaşık %4'ü bağlantıya tıklar. Bu hikayede, hepimizin başına gelebilecek geçici bir konsantrasyon kaybı Ayşe’yi tehlikeli bir yola sürükledi. Baktığı ilk web sitesi yeterince gerçek görünüyordu, dolayısıyla kullanıcı adını ve parolasını girdi, ancak neyse ki şüphelendi ve gerçek bir zarar verilmeden önce hızla harekete geçti.
Ayşe neleri daha iyi yapabilirdi?
-
Açıkça şüpheli görünen gönderen adresine (destek@contoso-it.net) daha fazla dikkat edebilirdi.
-
Geçmişte şirket parolasının süresi dolduğunda her zaman bu parolayı değiştirmesi gerekmişti. Süresi dolmak üzere olan bir parolayı yenilemesini sağlayan bir e-posta teklifi şüpheli görünmeliydi.
-
Kimlik bilgilerini göndermeden önce, kullanıcı adını ve parolasını isteyen sitenin web adresine (http://contoso.support.contoso-it.net) bakmalıydı. "HTTP" güvenli olmayan bir protokoldür ve yasal olarak oturum açmak için kullanılmaz. Etki alanı adının kendisi garip ve "contoso.com" yerine "contoso-it.net" olması şüpheli görünüyor.
Ayşe neleri doğru yaptı?
-
En sonunda kötü web adresini fark etti ve geri dönüp e-posta iletisini daha dikkatli bir şekilde kontrol etmeyi düşünebildi.
-
Telefonuna çok faktörlü kimlik doğrulama iletisi geldiğinde bir şeyin yanlış olduğunu biliyordu ama bu iletiyi doğrulamadı.
-
Hemen şirket güvenliğini aradı, onlara ne olduğunu açıkça anlattı ve Outlook’ta iletiyi raporladı.
Hızlı kurtarma özelliği sayesinde olağanüstü durum ortaya çıkabilirdi.
Daha fazla bilgi edinmek için https://support.microsoft.com/security adresini ziyaret edin.
Sonraki hikayemize hazır mısınız?
Cameron, çok güçlü parolalar olsalar bile yeniden kullanmanın neden tehlikeli bir fikir olabileceğini öğrenmek için parolaların yeniden kullanımını öğreniyor konusuna göz atın.
Görüşlerinizi dikkate alıyoruz!
Bu makale hakkında ne düşündünüz? Siber güvenlik bilgilerinin bunun gibi kısa hikaye biçiminde sunulmasını beğendiniz mi? Bunun daha fazla örneğini görmek ister misiniz? Lütfen beğendiyseniz aşağıdaki geri bildirim denetiminde Evet’i, beğenmediyseniz Hayır’ı seçin. Ayrıca bunu nasıl iyileştirebileceğimiz konusunda geri bildiriminiz veya gelecekteki konular hakkında istekleriniz varsa bize yorum bırakmaktan çekinmeyin.
Geri bildiriminiz, bunun gibi gelecekteki içerikler hakkında bize yol gösterecektir. Teşekkürler!