• Anasayfa
  • Nesne
  • teknoloji
  • Dolandırıcıları Zekanızla Alt Edin: Startup'lar Kimlik Avı Saldırılarından Nasıl Korunabilir?

Dolandırıcıları Zekanızla Alt Edin: Startup'lar Kimlik Avı Saldırılarından Nasıl Korunabilir?

Yayınlanan: 2023-11-01

Kimlik avı saldırıları artıyor ve startuplar bu kötü niyetli dolandırıcılıkların ana hedefi oluyor. IBM'e göre veri ihlallerinin şirketlere 2020'de ortalama 3,86 milyon dolara mal olduğu göz önüne alındığında, yeni kurulan şirketlerin kimlik avından kaçınma konusunda ciddileşmesinin zamanı geldi. Büyük mali kayıp tehdidi dikkatinizi çekmediyse belki bu dikkatinizi çeker; siber saldırıların %91'i kimlik avı e-postasıyla başlar.

Açıkçası, girişiminizi kimlik avı saldırılarına karşı proaktif bir şekilde korumanın en önemli öncelik olması gerekir. Ancak dolandırıcıların taktiklerini sürekli değiştirdiği bir ortamda, meşgul girişimler ve girişimciler yemi yutmamalarını nasıl sağlayabilirler?

Bu makale, kimlik avı girişimlerini tanımak, bunların şirketinizin gelen kutunuza sızmasını engellemek, çalışanları tuzaklardan kaçınmak için eğitmek ve en son planlara karşı tetikte olmak için teknolojiden yararlanmak için temel stratejileri ortaya çıkaracaktır. Bu kimlik avı savunma önlemlerini şimdi uygulayın; en sinsi dolandırıcıları bile alt edecek donanıma sahip olacaksınız.

Girişiminizin hassas bilgileri, itibarı ve kârı tehlikedeyken, bu tuzağa düşmeyi göze alamazsınız.

Phishing Nedir ve Startup'ları Nasıl Hedef Alır?

Kimlik avı, internet kullanıcılarını şifreler ve banka bilgileri gibi hassas verileri paylaşmaları için dolandırmak amacıyla sahte e-postalar, mesajlar, telefon görüşmeleri veya web siteleri kullanan bir siber suç taktiğidir. Mesajlar genellikle bankalar, kredi kartı şirketleri veya sosyal medya platformları gibi güvenilir kaynaklar olarak hareket eden taklitçilerden geliyor . Kimlik avı bağlantıları, tıklandığında kötü amaçlı yazılım yükleyebilir ve girilen veriler doğrudan suçlulara gider.

Bu programlar sıklıkla yeni kurulan işletmeleri hedef alıyor çünkü büyük işletmelere göre daha az sıkı siber güvenliğe sahipler. Yeni kurulan şirketler genellikle üst düzey kimlik avı savunmasını sürdürecek bütçeye veya personele sahip değildir.

Ayrıca girişimler, fikri mülkiyet, müşteri bilgileri ve finansal bilgiler gibi kazançlı hedefler oluşturan değerli verileri depolar. Genç şirketlerdeki çalışanlar kimlik avı girişimlerini tespit etme konusunda daha az eğitimli olabilir.

Dolandırıcılar, şirket içi iletişim gibi görünen iş e-postalarını ve sahte mesajları kolayca elde edebilir. Dahası, yeni kurulan şirketler, personel arasında işbirliğini ve bilgi paylaşımını vurgulayan açık kültürlere sahip olma eğilimindedir; bu da çalışanların bir iş arkadaşı gibi görünen bir bağlantıya tıklamasını daha kolay hale getirir.

Kırmızı Bayrakları Tanıma: Şüpheli Mesajları Tespit Etme

Kimlik avı e-postaları son derece meşru görünebilir ancak her startup çalışanının dikkat etmesi gereken işaretler vardır:

  • Oturum açma kimlik bilgileri, banka hesabı ayrıntıları veya diğer hassas bilgilerle ilgili talepler
  • Tıklanacak bağlantılar veya açılacak ekler
  • Yanlış yazılmış veya biraz değiştirilmiş alan adlarından e-posta adresleri
  • Zayıf dilbilgisi, yazım hataları veya garip ifadeler
  • Tehditkar bir dil veya yanlış bir aciliyet duygusu
  • .com yerine .co gibi tuhaf uzantılar içeren web sitesi bağlantıları

Meslektaşları veya liderleri taklit eden sahte e-posta adresleri büyük bir tehlike işaretidir. Diğer bir hediye de, çoğu şirket dahili olarak bu şekilde iletişim kurmadığı için "Merhaba efendim/bayan" gibi kişisel olmayan selamlamalardır. Görsel olarak, logolardaki düşük görüntü kalitesi veya tuhaf biçimlendirme, bir kimlik avı girişiminin işareti olabilir.

Gelen Kutunuzu Koruma

unnamed 4

Bir startup'ın kimlik avına karşı alabileceği en doğrudan önlem, gelen kutularını güçlendiren e-posta güvenlik protokollerini benimsemektir:

  • Çalışanların oturum açma girişimlerini onaylayabilmesi için SMS veya kimlik doğrulama uygulamasını kullanarak iki faktörlü kimlik doğrulamayı etkinleştirin.
  • Personelinizi, meşru olduğu doğrulanmadıkça asla e-postalardaki bağlantılara tıklamamaları veya ekleri indirmemeleri konusunda eğitin.
  • E-posta gönderenlerin kimliğini doğrulayarak sahteciliği önleyen DMARC ve SPF protokollerini uygulayın.
  • Garip bağlantılar, ekler veya istekler içeren şüpheli mesajları filtrelemek ve karantinaya almak için bir e-posta güvenlik duvarı kullanın.
  • Dolandırıcılık e-postalarını tespit etmek için cümle yapısını ve biçimlendirmeyi inceleyen yapay zekayı kullanın.
  • Bilinen kimlik avı terimlerini ve etki alanlarını kara listeye alın, böylece çalışanların gelen kutularında engellenmelerini sağlayın.


 Devam eden eğitim ve gelişmiş e-posta güvenliği birlikte, giderek daha bilinçli hale gelen kimlik avı taktiklerine karşı en iyi savunmayı sunar.

Şirket Verilerinin Korunması

Çalışanların hassas verilere erişimini rollerine göre sınırlamak, tıpkı otel odası anahtarlarının yalnızca kayıtlı konuklara verilmesi gibi, kimlik avına karşı önemli bir taktiktir. İzinleri, satış ekiplerinin yalnızca kendi hesaplarına ilişkin müşteri ayrıntılarına erişebilmesini sağlayacak şekilde ayarlayın; kimlik avına maruz kalmaları durumunda tüm müşteri verilerinin boşa gitmesini önleyin. BT ekiplerinin veritabanlarına erişim için oda anahtarlarına PIN kodları eklemek gibi iki faktörlü kimlik doğrulamayı etkinleştirmesini sağlayın.

Personeli, otel odası kapılarını kilitli tutmak gibi şirket bilgilerinin halka açık olarak çevrimiçi olarak veya kendileriyle temasa geçen yabancılarla aşırı paylaşılmasına karşı dikkatli olun. Mali veriler, teknik spesifikasyonlar ve diğer fikri mülkiyet haklarına ilişkin soruların, konukların oda kapıları yerine ön büroya gitmesi gibi işlemler için Halkla İlişkiler ekibine iletilmesi gerektiğini açıkça belirtin.

Web sitenizi ve dahili uygulamalarınızı, tıpkı lobi ödeme kiosklarını kart kaydırıcılardan korumak gibi, kimlik avı sitelerini ziyaret etmenin siteler arası gözden geçirme yoluyla şifreleri çalmamasını sağlayacak şekilde koruyun. Uzun konaklamalar sırasında misafirlerin yeni oda kodları belirlemesini sağlamak gibi hesapları korumak için her 90 günde bir değiştirilen güçlü şifreleri zorunlu kılın.

Çalışanları Kimlik Avını Tespit Etmek İçin Eğitim

Otellerin acil durum protokollerini gözden geçirmesi gibi, yeni işe alım yönelimlerine kimlik avı farkındalığını dahil edin. Sahte yangın alarmları gibi personelin yanıt oranlarını test etmek için kimlik avı simülasyonu e-postaları gönderin. Tahliye haritalarının güncellenmesi gibi dolandırıcılıklar geliştikçe tehlike işaretlerinin tespit edilmesi konusunda tazeleme sunun.

Çalışanlara, tıpkı yabancılar tarafından önerilen harita rotalarını gözden geçirmek gibi, önizleme hedeflerini görmek için gömülü bağlantıların üzerinde gezinmek gibi püf noktaları öğretin. Bildirilen kimlik avı e-postalarının örneklerini gösterin ve hırsızların misafir kılığında gösterilmesi gibi anormalliklerin üzerinden geçin. Kapının altından atılan hizmetçi servisi programlarının onaylanması gibi, meşruiyetini doğrulamak için mesajlardaki tuhaf istekleri sorgulamaya teşvik edin.

Yolculara avukatlara karşı dikkatli olmalarını tavsiye etmek gibi, bağlantılar ve ekler konusunda dikkatli olma kültürünü teşvik edin. Tıpkı servis sürücülerinin otel onaylı olduğunu doğrulamak gibi, virüs riskini almaktansa iki kez kontrol etmenin daha iyi olduğunu açıkça belirtin. Personelin şüpheli mesajları rahatlıkla işaretleyebilmesi için açık bir diyalog sürdürün.

Sosyal Medyada Dikkati Sürdürmek

unnamed 5

Otel kapıcısı gibi davranan birini izlemek gibi, liderliği veya şirketi taklit eden sahte sosyal hesapları izleyin. Sahte listeleri açığa çıkarmak için seyahat siteleriyle bağlantı kurmak gibi sosyal platformlardaki kişiler aracılığıyla resmi profilleri doğrulayın . Ön büro personelinin kimliğine bürünen telefon dolandırıcılarını bildirmeye benzer şekilde, sosyal medya aracılığıyla çalışanlara kimlik avı yapmaya çalışan sahtekarları bildirin.

Kiralama başvuru sahiplerini kapsamlı bir şekilde incelemek gibi, şirket hesaplarına erişim isteyen yeni sosyal medya bağlantılarını ekstra incelemeyle değerlendirin. Yanlış otel adları gibi sahtekarlığa işaret eden tanıtıcılarda veya markalamada küçük farklılıklar olup olmadığına bakın.

Gerekirse kimlikleri doğrulamak için (giriş sırasında kimlik onayı istemek gibi) görüntülü görüşme talep edin. Personel alanlarını yetkili personelle sınırlamak gibi, hesap erişimini yalnızca çekirdek ekip üyeleriyle sınırlandırın.

Dolandırıcılar yeni platformlara geçerken tetikte olun. Sosyal medya güvenlik politikalarını güncel tutun ve kimlik avı tehditlerine karşı yeni korumalar arayın. Personele, konuklara değerli eşyalarını emanet kasalarında saklamalarını tavsiye etmek gibi, kimlik avına karşı sosyal olarak önleyici tedbirler almanın daha iyi olduğunu hatırlatın.

Temel Çıkarımlar: Dolandırıcıları Zekanızla Alt Edin

Kimlik avı saldırıları her yıl katlanarak artarken hiçbir startup, verilerinin ve dolarlarının dolandırıcılar tarafından ele geçirilmesi tehdidini görmezden gelemez. Ancak bu makalenin de ortaya koyduğu gibi, karşılık vermek tamamen sizin yetenekleriniz dahilindedir. Çalışan eğitimini, e-posta güvenlik protokollerini, erişim kontrolünü ve sosyal medya dikkatliliğini birleştirerek girişiminiz kimlik avı saldırılarıyla doğrudan mücadele edebilir.

Tek bir yanıltıcı tıklama nedeniyle milyonların kanını döken yeni bir kimlik avı istatistiği olmayın. İş gücünüzün saldırıları tanımasına ve direnmesine olanak tanıyan kapsamlı kimlik avı savunmaları uygulayın.

Gelen kutularını kilitlemek ve iletişimlerin kimliğini doğrulamak için en son teknik güvenlik önlemlerinden yararlanın. Girişiminizin başarısı dengede duruyor. Odaklanmaya devam edin, korunmaya devam edin ve dolandırıcılar bir sonraki hedeflerini ararken işinizin gelişmesine izin verin. Zekanız, dikkatiniz ve doğru araçlarla girişiminizi güvenli bir şekilde refahın kıyılarına indirebilir ve kimlik avı yapanları arkanızda bırakabilirsiniz.