Blog

E-posta Kimlik Taklidi: Anlamı, Örnekleri ve Önlenmesi

Geri Dönme
mal
24 dak. Okundu
Konular

Et Paylaş

Url'yi kopyala

Önemli Noktalar

  • E-posta kimliğine bürünme, bir saldırganın gerçek hesabı ele geçirmeye gerek duymadan, güvenilir bir kişi veya kuruluştan geliyormuş gibi görünen mesajlar göndermesi durumudur.
  • En yaygın üç e-posta kimlik taklidi yöntemi, görünen adın sahtekarlığı, benzer alan adları ve ele geçirilmiş hesaplardır.
  • CEO dolandırıcılığı, tedarikçi fatura sahtekarlığı ve sahte müşteri destek e-postaları, işletmelere en fazla mali ve itibar kaybına neden olan saldırı türleridir.
  • E-posta kimlik hırsızlığı saldırılarını önleme söz konusu olduğunda, çalışan eğitimi ve iç doğrulama iş akışları, teknik kontroller kadar önemlidir.

Finans müdürünüzün gelen kutusuna bir e-posta düşüyor: CEO'dan, acil bir havale talebiyle geliyor. Gönderenin adı doğru ve üslup da uygun. Tek sorun şu ki, CEO bu e-postayı hiç göndermedi.

Bu, günümüzde işletmeleri hedef alan en yaygın ve maliyetli siber suç türlerinden biri olan e-posta taklitçiliğidir. Kötü amaçlı yazılımların veya karmaşık siber saldırı girişimlerinin aksine, taklit saldırıları gelişmiş teknik hilelere dayanmaz. Çoğu zaman, inandırıcı bir gönderici adı ve ayrıntıları tekrar kontrol etmeye vakti olmayan meşgul bir alıcı yeterlidir. E-posta spam istatistikleri Yapılan araştırmalar, kötü amaçlı e-posta trafiğinin önemli bir bölümünün bir tür kimlik aldatmacası içerdiğini göstermektedir; bu da her işletmenin anlaması ve aktif olarak önlem alması gereken bir risktir.

Bu kılavuz, e-posta kimlik taklit saldırılarının nasıl çalıştığını, gerçek durumlarda tipik olarak nasıl göründüğünü ve işletmelerin bunları önlemek için atabileceği pratik adımları açıklamaktadır.

E-posta Kimlik Taklitçiliği Nedir?

E-posta taklitçiliği, alıcıyı zararlı bir eyleme yönlendirmek amacıyla, iş arkadaşı, yönetici, tedarikçi veya tanınmış bir marka gibi güvenilir bir göndericiden geliyormuş gibi görünen e-postalar gönderme uygulamasıdır. Bu eylem, para transferi, giriş bilgilerinin paylaşılması, kötü amaçlı bir bağlantıya tıklama veya hassas bilgilerin ifşa edilmesi olabilir.

Kimlik taklitini sıradan spam'den ayıran şey, kasıtlı hedeflemedir. Kimlik taklit saldırıları, mevcut bir ilişkiyi veya güven beklentisini istismar etmek için oluşturulur. Saldırgan bir şey satmaya çalışmaz, aksine birinin kimliğine bürünmeye çalışır.

En önemlisi, e-posta kimliğine bürünme saldırıları, saldırganın gerçek gönderenin hesabına erişimini gerektirmez. Çoğu durumda, saldırganlar teknik hileler veya sosyal mühendislik kullanarak meşruiyet görünümü yaratırlar. Bu da saldırıları saldırganlar için bu kadar kolay ve her büyüklükteki kuruluş için bu kadar tehlikeli hale getiriyor.

E-posta Kimlik Taklitçiliği Nasıl Çalışır?

Saldırganlar, e-postalarının başka birinden gelmiş gibi görünmesini sağlamak için üç ana yöntem kullanırlar.

E-posta kimlik hırsızlığı nasıl çalışır?

Görüntülenen adı taklit etmek

Outlook ve Gmail gibi e-posta istemcileri, gönderenin görünen adını belirgin bir şekilde gösterirken, gerçek e-posta adresi genellikle alıcı tıklayıp genişletmedikçe gizli kalır. Saldırganlar bunu, tamamen alakasız bir adresten gönderim yaparken görünen adlarını "John Smith, CEO" olarak ayarlayarak istismar ederler. [e-posta korumalı]Birçok alıcı, ismin arkasındaki adresi asla kontrol etmez.

Benzer veya sahte alan adları kullanmak

Daha gelişmiş bir taktik, bir şirketin kullandığı gerçek alan adına neredeyse tamamen benzeyen bir alan adı kaydetmeyi içerir. Eğer kuruluşunuz acmecorp.com kullanıyorsa, bir saldırgan acme-corp.com, acmecorp.net veya acrnecorp.com gibi, tek bir karakterin ince bir şekilde değiştirildiği bir alan adı kaydedebilir.

Hızlı bir bakışla, bu adresler meşru görünüyor. Alan adı mevcut olduğundan ve normal şekilde e-posta gönderebildiğinden, buradan gelen mesajlar genellikle temel gönderici kontrollerinden geçer. Bu da saldırıyı basit görünen ad sahtekarlığından daha zor tespit edilebilir hale getirir. Bu teknik yakından ilişkilidir. e-posta sahteciliğiVe bu ikisi sıklıkla birlikte kullanılır.

Gerçek bir hesabı tehlikeye atmak

Saldırgan, kimlik avı, kimlik bilgilerinin çalınması veya veri ihlali yoluyla gerçek bir e-posta hesabına erişim sağladığında, mesajları doğrudan meşru adresten gönderebilir. Bu, tespit edilmesi en zor kimlik taklit etme türüdür çünkü e-postalar gerçekten de iddia ettikleri yerden geliyor gibi görünür. Burada en önemli savunma yöntemleri güçlü kimlik doğrulama kontrolleri ve izleme sistemleridir.

E-posta Kimlik Taklidi Saldırılarının Yaygın Türleri

Kimlik taklit saldırıları tahmin edilebilir kalıpları izler. En yaygın senaryoları anlamak, ekiplerin bunları daha hızlı tanımasına ve bunlara yanıt vermesine yardımcı olur.

E-posta kimlik taklit saldırılarının türleri

CEO ve yönetici taklidi

İş e-postası ele geçirme (BEC) veya CEO dolandırıcılığı olarak da bilinen bu saldırı, genellikle CEO, CFO veya başka bir üst düzey yönetici gibi davranan bir taklitçinin, bir çalışanı yetkisiz bir işlem yapmaya zorlamasını içerir.

Hedef genellikle finansal işlemler üzerinde yetkiye sahip veya hassas verilere erişimi olan çalışanlardır; örneğin finans ekipleri, insan kaynakları, bordro yöneticileri ve yönetici asistanları. Talepler acil ve gizliymiş gibi hissettirmek üzere tasarlanmıştır: "Bunu başka kimseye bildirmeyin, piyasa kapanmadan önce işlemi tamamlayın."

FBI'ın yaygın hedefleri arasında sahte havale işlemleri, hediye kartı satın alımları, W-2 veya bordro verisi talepleri ve doğrudan para yatırma bilgilerinde değişiklikler yer almaktadır. İnternet Suçları Şikayet Merkezi (IC3) BEC'nin, yıllık milyarlarca dolarlık kayıpla, küresel ölçekte en yüksek kayıplara yol açan siber suç kategorilerinden biri olduğunu sürekli olarak belirtmektedir.

Tedarikçi ve ortak kimliğine bürünme

Bu senaryoda, saldırganlar bilinen bir tedarikçi, yüklenici veya iş ortağının kimliğine bürünürler. Genellikle, e-postalarını inandırıcı kılmak için, çoğunlukla kamuya açık kaynaklar veya önceki bir güvenlik ihlali yoluyla, ilişki hakkında yeterli bilgi edinirler.

Tipik bir saldırı, satıcının gerçek faturalarıyla tıpatıp aynı görünen, ancak tek bir değişiklikle (banka hesap numarası) sahte bir fatura göndermeyi içerir. Alıcı, rutin bir ödeme gibi görünen işlemi gerçekleştirir ve paralar saldırganın hesabına geçer. Kurtarma zordur ve genellikle (dolandırıcılık tespit edilene kadar) imkansızdır.

Bu tür saldırılar özellikle tehlikelidir çünkü yerleşik güveni istismar eder. Alıcıdan olağandışı bir şey yapması istenmez, sadece düzenli olarak çalıştığı bir satıcıya ödeme yapması istenir.

Müşteri desteği kimliğine bürünme

Saldırganlar, bir şirketin veya hizmetin müşteri destek personeli gibi davranırlar. Kuruluş içindeki çalışanları kandırmaya çalışmak yerine, o hizmetin sıradan kullanıcılarını veya müşterilerini hedef alırlar. Tanınmış bir şirketin (banka, yazılım sağlayıcısı veya e-ticaret platformu) destek departmanından geliyormuş gibi görünen e-postalar göndererek, alıcıyı acil müdahale gerektiren bir hesap sorunu konusunda uyarırlar.

Amaç genellikle kimlik bilgilerini çalmaktır. E-posta, kurbanın kullanıcı adını ve şifresini girdiği ve bunları doğrudan saldırgana teslim ettiği, inandırıcı bir sahte giriş sayfasına yönlendirir. Bu yaklaşım aynı zamanda şunlarla da bağlantılıdır: eczacılık Kullanıcıların meşru görünmek üzere tasarlanmış sahte web sitelerine yönlendirildiği teknikler kullanılır. Çalınan kimlik bilgileri daha sonra hesap ele geçirme, yeniden satma veya daha fazla saldırı başlatmak için kullanılabilir.

 E-posta Kimlik Hırsızlığını Nasıl Önleyebilirsiniz?

Etkin e-posta kimlik hırsızlığı koruması, katmanlı bir yaklaşım gerektirir. Tek bir kontrol yeterli değildir: teknik güvenlik önlemleri, insan farkındalığı ve iç prosedürlerin tümü birlikte çalışmalıdır.

E-posta kimlik hırsızlığını nasıl önleyebilirim?

E-posta kimlik doğrulama protokolleri

Üç e-posta kimlik doğrulama protokolleri DNS üzerinden çalışan bu protokoller, alan adı taklitini önlemeye yardımcı olur. Bu protokoller, kuruluşunuzun e-posta göndermek için kullandığı her alan adı için kurulmalıdır; yalnızca ana alan adı için değil, kuruluşunuza ait olan ancak aktif olmayan veya ikincil alan adları için de.

  • SPF (Gönderen Politikası Çerçevesi): Alan adınızı kullanarak e-posta göndermesine izin verilen posta sunucularını listeleyen bir DNS kaydı. Alıcı sunucu gelen bir mesajı kontrol ettiğinde, gönderen sunucunun onaylı listede olup olmadığını doğrular. Değilse, mesaj işaretlenebilir veya reddedilebilir.
  • DKIM (Etki Alanı Anahtarlarıyla Tanımlanmış Posta): Alıcı sunucunun doğrulayabileceği, giden mesajlara kriptografik bir imza ekler. Bu, e-postanın gerçekten alan adınızdan kaynaklandığını ve iletim sırasında değiştirilmediğini doğrular.
  • DMARC (Alan Adı Tabanlı Mesaj Kimlik Doğrulama, Raporlama ve Uygunluk): SPF ve DKIM'in üzerine inşa edilen DMARC, alan adı sahiplerinin bir mesajın kimlik doğrulamasında başarısız olması durumunda ne yapılması gerektiğini belirlemelerine olanak tanır: yalnızca izleme, karantinaya alma veya reddetme. DMARC ayrıca, alan adı sahibine hangi sunucuların alan adını kullanarak e-posta gönderdiğini gösteren raporlar göndererek, yetkili gönderim kaynaklarının izlenmesine ve kontrol edilmesine yardımcı olur.

DMARC'ı "reddet" politikasına ayarlamak en güçlü koruma yöntemidir, ancak kuruluşlar genellikle katı kurallar uygulamadan önce meşru e-posta trafiğini anlamak için "izle" politikasıyla başlarlar. E-posta şifreleme Mesaj içeriğini hem iletim sırasında hem de depolama esnasında koruyarak ek bir güvenlik katmanı sağlar.

Çalışan eğitimi ve farkındalığı

Teknik kontroller bazı kimlik taklit girişimlerini engeller, ancak birçok saldırı otomatik filtrelerden sıyrılıp gerçek gelen kutularına ulaşacak şekilde tasarlanmıştır. Bu nedenle personel eğitimi çok önemlidir.

Her seviyedeki çalışanın şunları anlaması gerekir:

  • Gönderenin yalnızca görünen adını değil, gerçek e-posta adresini nasıl doğrulayabilirsiniz? Çoğu e-posta istemcisinde, gönderen adının üzerine gelindiğinde veya tıklandığında gerçek adres görüntülenir.
  • Aciliyet temelli manipülasyonun uyarı işaretleri arasında, hızlı hareket etmeleri, normal onay adımlarını atlamaları veya talebi yönetimden gizli tutmaları için baskı yapan mesajlar yer alır.
  • Tanıdık bir kişiden gelmiş gibi görünse bile, alışılmadık bir istekle karşılaştığınızda ne yapmalısınız? Doğrulama için yapılacak kısa bir telefon görüşmesi, dolandırıcılıktan kurtulmaya çalışmaktan her zaman daha hızlıdır.
  • Benzer alan adlarının nasıl çalıştığı ve bir adresin biraz farklı görünmesi durumunda (örneğin, yer değiştirmiş harfler, eklenmiş tireler veya farklı bir üst düzey alan adı) nelere dikkat edilmesi gerektiği.

Eğitim, tek seferlik bir uygulama değil, pratik ve tekrarlanabilir olmalıdır. BT veya güvenlik ekiplerinin personele sahte kimlik taklit e-postaları gönderdiği simüle edilmiş kimlik avı kampanyaları, farkındalığı artırmanın ve ek rehberliğe ihtiyaç duyan kişileri belirlemenin en etkili yollarından biridir.

Güvenlik araçları ve filtreler

Özel olarak geliştirilmiş güvenlik araçları, temel e-posta filtrelemesinin kapsamadığı tespit ve engelleme yetenekleri sunar.

  • Kimlik avı ve sahtekarlık önleme filtreleri, gelen mesajları, alan adı uyuşmazlığı, şüpheli başlık verileri, benzer gönderen adresleri ve bilinen kötü amaçlı bağlantılar gibi kimlik taklitiyle ilişkili özellikler açısından tarar.
  • E-posta ağ geçidi çözümleri, internet ile posta sunucunuz arasında yer alarak, mesajlar çalışanların gelen kutularına ulaşmadan önce ek kontroller uygular.
  • Alan adı izleme hizmetleri, alan adınıza çok benzeyen yeni alan adları kaydedildiğinde sizi uyarır ve potansiyel bir benzer alan adı saldırısının kullanılmadan önce önlenmesini sağlar.
  • DMARC raporlama araçları, ham DMARC raporlarını okunabilir gösterge panellerine dönüştürerek, alan adınızı kullanan yetkisiz göndericileri tespit etmeyi kolaylaştırır.

Yerleşik bir şirket ile çalışmak e-posta güvenlik şirketleri Bu, kuruluşunuzun büyüklüğüne, altyapısına ve risk profiline uygun araçları değerlendirmenize yardımcı olabilir.

Doğrulama prosedürleri

Son savunma katmanı prosedüreldir: E-postanın ne kadar meşru göründüğüne bakılmaksızın, yüksek riskli istekler için bant dışı doğrulama gerektiren dahili iş akışları.

Etkin doğrulama prosedürleri şunları içerir:

  • E-posta yoluyla yapılan hiçbir havale, ödeme değişikliği veya hassas veri talebinin onaylanmaması konusunda katı bir politika uygulanmaktadır. Kimden geldiğine bakılmaksızın, bu tür tüm taleplerin, e-postada verilen numara yerine, şirket içi rehberinizde bulunan bir iletişim numarası kullanılarak telefonla veya şahsen teyit edilmesi gerekmektedir.
  • Belirli bir eşiğin üzerindeki finansal işlemler için çift onay şartı. Bir ödemenin iki ayrı kişi tarafından incelenmesi ve onaylanması, tek bir taklit e-postanın başarılı olmasını önemli ölçüde zorlaştırır.
  • Şüpheli e-postalar için net bir çözüm yolu. Çalışanlar, şüpheli görünen bir mesaj aldıklarında kiminle ve nasıl iletişime geçeceklerini tam olarak bilmeli ve utanma korkusu olmadan bunu güvenle bildirebilmelidirler.

Bu yöntemlerin uygulanması hiçbir maliyet gerektirmez ve genellikle sosyal mühendislik saldırılarını durdurmada teknik kontrollerden daha etkilidir.

E-posta Taklit Saldırısının Kurbanıysanız Ne Yapmalısınız?

Eğer birinin kuruluşunuzu taklit ettiğini veya bir çalışanınızın saldırıya uğradığını fark ederseniz, hızlı hareket edin. İlk saatler çok önemlidir.

E-posta Taklit Saldırısının Kurbanıysanız Ne Yapmalısınız?

Acil müdahale adımları:

  1. Hasarı sınırlayın: Eğer bir ödeme yapıldıysa, geri çağırma girişiminde bulunmak için derhal bankanızla iletişime geçin. Finans kuruluşlarının müdahale süreleri sınırlıdır, bu nedenle hız çok önemlidir.
  2. Kanıtı koru: Kimlik taklidi içeren e-postaları silmeyin. Mesaj başlıklarının tamamını, ekran görüntülerini ve ilgili tüm yazışmaları kaydedin. Bu belgeler, raporlama ve sonraki soruşturmalar için çok önemlidir.
  3. Kapsamı belirleyin: Saldırının tek bir kişiyi mi yoksa birden fazla hesabı mı hedef aldığını ve kimlik bilgileri, finansal kayıtlar veya kişisel bilgiler gibi hassas verilere erişilip erişilmediğini veya bunların paylaşılıp paylaşılmadığını belirleyin.
  4. Ele geçirilmiş kimlik bilgilerini sıfırla: Hesaplara erişim sağlandıysa, parola sıfırlama işlemini zorunlu kılın ve aktif oturumları derhal iptal edin. Çok faktörlü kimlik doğrulama etkin değilse etkinleştirin.

Raporlama ve bildirim:

  • Olayı ülkenizin ilgili siber suç otoritesine bildirin. ABD'de bu, FBI'ın IC3'üdür (ic3.gov).
  • Müşteri verileri söz konusuysa, ilgili veri koruma düzenlemeleri (GDPR, CCPA ve yargı yetki alanınıza bağlı olarak diğerleri) kapsamındaki ihlal bildirim yükümlülükleri konusunda hukuk ekibinize danışın.
  • Kimliklerinin saldırıda kullanılmış olması durumunda, benzer tehditlerle karşı karşıya kalabilecekleri için etkilenen ortakları veya tedarikçileri bilgilendirin.
  • E-posta sağlayıcınızı bilgilendirin ve gerekirse, taklitçi alan adının kötüye kullanım nedeniyle bildirilmesini talep edin.

Acil müdahalenin ardından, olay sonrası bir değerlendirme yapın: saldırı nasıl gerçekleşti, hangi kontroller başarısız oldu ve tekrar riskini azaltmak için hangi değişiklikler gerekiyor? E-postaları temizle Bu incelemenin bir parçası olarak altyapı ve güvenlik yapılandırmaları da ele alınmaktadır.

Alan adınızı, saldırganlar onu size karşı kullanmadan önce koruyun.

Kimlik hırsızlığına karşı korumanın sıklıkla göz ardı edilen bir yönü, kendi giden e-posta uygulamalarınızın kalitesi ve güvenliğidir. Kötü yönetilen e-posta listelerine, doğrulanmamış iletişim veritabanlarına veya yanlış yapılandırılmış gönderim altyapısına sahip kuruluşlar, hem alan adlarının kötüye kullanılmasına hem de gelen kutusu sağlayıcılarının şüpheyle yaklaştığı e-postaları istemeden göndermeye karşı daha savunmasızdır.

Eposta Doğrulama DeBounce, daha geniş güvenlik duruşunuzu destekleyen sağlam bir e-posta hijyeni uygulamasının bir parçasıdır. DeBounce, herhangi bir mesaj göndermeden e-posta adreslerini doğrular ve geçersiz, tek kullanımlık ve yüksek riskli adresleri listelerinizden kaldırarak alan adınızın tutarlı ve güvenilir bir gönderim itibarı oluşturmasını sağlar. Güçlü bir itibara sahip bir alan adının taklit edilmesi daha zordur ve kötüye kullanım bildirildiğinde savunması daha kolaydır.

E-posta listenizi DeBounce üzerinden çalıştırın. Giden gönderimlerinizin temiz, doğrulanmış ve sizin lehinize çalıştığından emin olmak için.

Tehdide Uygun Savunma Sistemleri Oluşturun

E-posta kimlik hırsızlığı, güveni hedef aldığı için başarılı olur: çalışanların tanıdık bir isme duyduğu güven, müşterilerin bilinen bir markaya duyduğu güven, e-postayı iş için işlevsel bir araç haline getiren güven. Saldırganlar, zaten güvendiğiniz biri gibi davranabildikleri zaman güvenlik duvarlarını aşmak zorunda kalmazlar.

Bu kılavuzda ele alınan savunma yöntemleri; SPF, DKIM ve DMARC kimlik doğrulaması; personel eğitimi; güvenlik filtreleme araçları; ve iç doğrulama prosedürleri, sorunun hem teknik hem de insani boyutlarını ele almaktadır. Bunların hiçbiri tek başına yeterli değildir, ancak birlikte ele alındığında kimlik taklit saldırılarının gerçekleştirilmesini önemli ölçüde zorlaştırır ve yakalanmasını kolaylaştırır.

Öncelikle kimlik doğrulama kayıtlarınızla başlayın. Alan adınız henüz bir DMARC politikası yayınlamıyorsa, şu anda atabileceğiniz en etkili teknik adım budur. Bunu bir personel eğitimi oturumu ve net bir ödeme doğrulama prosedürüyle birleştirirseniz, başarılı kimlik taklit saldırılarının çoğunun istismar ettiği boşlukları kapatmış olursunuz.

Sıkça Sorulan Sorular

Bu konuyla ilgili sıkça sorulan soruların cevapları.
01

Hesap hacklenmeden e-posta yoluyla kimlik taklidi yapılabilir mi?

Evet, ve bu durum çoğunlukla böyledir. Kullanıcı adı sahtekarlığı ve benzer alan adı saldırıları, gerçek hesaba erişim gerektirmez; yalnızca farklı bir gönderen adresi kullanarak görünümünü taklit ederler.

02

E-posta kimlik hırsızlığı saldırıları ne kadar yaygın?

E-posta kimlik taklidi saldırıları çok yaygındır ve siber suçların en sık görülen biçimlerinden biri olmaya devam etmektedir. Sektörler genelindeki kuruluşlar, e-postanın yaygın olarak kullanılması ve saldırganlar için kolayca istismar edilebilir olması nedeniyle, kimlik avı, iş e-postası ele geçirme ve alan adı sahtekarlığı gibi girişimlerle düzenli olarak karşı karşıya kalmaktadır.

Bunları da beğenebilirsin

Fiyatlandırma ve planlarımızla ilgili sorularınıza hızlı yanıtlar bulun.

E-postalardaki Bağlantılar Nasıl Kullanılır?

E-postadaki bağlantılar ateş gibidir. Ne demek istiyorum? Doğru kullanılırsa faydalıdırlar. Ancak, doğru şekilde kullanıldıklarında ciddi hasara yol açabilirler...

   
Roma Gryshuk'u

Etkili E-posta Kimlik Doğrulama Yöntemleri

E-posta harika. Hem kişisel anlamda müthiş bir destek hem de gerçekten muazzam bir iş aracı. Ancak e-posta, sahtekârlar, hayaletler ve genel olarak kötü niyetli kişilerle dolu. Bu ortam...

   
Yauhen Zaremba

E-posta Pazarlama Analizi Kılavuzu

E-posta analizleri önemlidir. Aboneleriniz ve e-postalarınıza yönelik davranışları hakkında birçok bilgi edinmenizi sağlar. Bu yazıda...

   
Geri Dönme