İçinde bulunduğumuz internet çağında artık hemen hemen her işimizi internet üzerinden halledebiliyoruz fakat bu durumda da birçok insan siber saldırılara ve kimlik hırsızlığınamaruz kalıyor. İnternet sektöründe de kimlik ve bilgi hırsızlığı girişimlerine karşı çalışanların hazırlıklı ve bilinçli olmaları bekleniyor ancak bazen bu yönde eğitim almış olan çalışanlar bile kandırılabiliyor.
Bu bağlamda web tabanlı kod depolama hizmeti veren GitLab, geçtiğimiz çarşamba günü çalışanlarına bir kimlik hırsızlığı testi uyguladı. Ne yazık ki sonuç beklendiği gibi olmadı; GitLab'in her beş çalışanından biri test içerisinde gönderilen sahte e-postalara tıkladı. GitLab tarafından yapılan bu test, çok faktörlü kimlik doğrulaması gibi güvenlik araçlarını es geçerek direkt olarak çalışanlarını sahte bir giriş sayfasına yönlendiren e-postalar üzerinden GitLab giriş bilgilerini çalmaya yönelik basit bir yöntem üzerinde duruyordu.
Çalışanların %20'si kimlik bilgilerini 'çaldırdı'
Yapılan testin arkasındaki GitLab ekibi, işe önce gitlab.company isimli bir domain almakla başladı. Ardından ekip, e-postaların şüphe uyandırmaması için domain ismini dikkat çekmeyecek şekilde düzenleyip tüm SSL sertifikalarını ekledi ve G Suite ile çalışanlarına bu 'sahte' e-postaları yolladı.
50 GitLab çalışanını hedefleyen bu e-postalar, "Güncellemek için tıklayınız" yazısının ardından tıklayanları sahte bir GitLab giriş sayfasına yönlendirerek giriş bilgilerini çalmayı hedefliyordu. İşin olumlu yanı olarak 50 çalışandan sadece 17'si bu bağlantıya tıkladı fakat bu 17 çalışandan 10 tanesi sahte GitLab sitesine girmeye çalışarak kimlik bilgilerini çaldırmış oldu. Ayrıca bu 50 çalışandan 6'sıysa bu e-postayı şüpheli olduğu gerekçesiyle GitLab'in güvenlik ekibine bildirdi.
Güvenlik açığı tespit şirketi olan Red Canary Inc. Kurucu Ortağı Chris Rothe, konuyla alakalı yaptığı açıklamada şu ifadeleri kullandı: "Sahte e-postalarla yapılan kimlik hırsızlığı, hiçbir zaman tam olarak önüne geçilemeyecek bir güvenlik açığına örnek çünkü e-posta, iş dünyasında kritik bir öneme sahip. Bu yüzden e-posta sisteminin güvenlik standartlarından ziyade iş dünyasındaki kullanışlılığına göre tasarlanması gerekiyor. Bilgi teknolojisi ekiplerinin bu sahte e-postayla kimlik hırsızlığını azaltmak için hâlihazırda e-posta engelleme, eklentileri ayıklama ve çalışanlara farkındalık eğitimi verme gibi birçok taktiği bulunuyor fakat ne yazık ki ortada %100 etkili bir çözüm bulunmuyor."
Yorumlar