Oltalama Saldırıları Şirketler için Ne Kadar Mali Zarara Yol Açıyor? 

Oltalama saldırılarının gerçek maliyeti ve güvenlik ihlalleri sadece siber saldırıların kendisi ölçüsünde sonuçlarla karşımıza çıkmıyor, çok daha fazlası var. Zira yakın zamanda sunulan bir rapora göre, oltalama saldırılarının maliyeti sadece ilgili siber saldırı için ne kadar süre harcandığıyla değil, aynı zamanda gönderilen e-postanın maliyeti gibi dış etkenlere göre değişiyor. E-posta siber güvenliğinin gerçek maliyetinin detaylarına bakıldığında, karşımıza baş döndürücü ve ağızları açık bırakan bir tablo çıkıyor desek yanlış olmaz. Detaylara iniyoruz…

Araştırma nasıl gerçekleştirildi? 

Osterman tarafından yürütülen araştırmada, her bir oltalama e-postasının saatlik maliyeti ile bir oltalama veya kötü amaçlı e-postanın maliyetleri değerlendirildi. ABD’de 252 bilişim teknolojileri (IT) uzmanı ile gerçekleştirilen araştırmada, her bir IT uzmanının ortalama maaşlarına bakılarak her yıl oltalama bağlantılı e-postaların 45.726 dolar maliyet oluşturduğu anlaşıldı.

Oltalama e-postalarının maliyeti

Her bir oltalama e-posta saldırısı istihdamda 31 dolar maliyete kadar çıkabiliyor. Bu değer, bir oltalama e-postasının bir IT uzmanı tarafından 27 dakika içinde tespit edildiğini kabul ediyor. E-posta başına maliyet, tespit süresi 60 dakikaya kadar çıkarsa 85.33 dolara kadar yükseliyor.

Ankete katılan IT uzmanlarının yüzde 70’i, her bir oltalama e-postası için yaklaşık 31-45 dakika harcadıklarını belirtti. Kısaca, oltalama e-postalarını önlemeye çalışmak mesai saatlerinin üçte birine tekabül ediyor.

Bu veriler üzerinden ilerleyerek, beş IT uzmanına sahip orta ölçekli şirketlerin her yıl sadece e-posta bazlı saldırılara 228,630 dolar harcadığı kaydediliyor. Üstelik IT uzman sayısı 25’in üzerine çıkan kurumlar için oltalama e-postaları yılda 1,1 milyon dolara kadar maliyetli olabilir.

En çok kullanılan yöntemler neler? 

Adaptasyon yöntemleri: “Çok biçimli (polimorfik) oltalama” olarak da adlandırılan yöntem, çalışanların ve meslektaşların ortak kullandığı hesap giriş sayfalarını sahte yöntemler, hatta logo setleri (logo kits) kullanarak gerçeklerinden benzersiz kılıyor. Logo kits, kullanıcıların yönlendirildiği sahte sayfalardaki görüntü ve logoların birebir taklit edilen orijinal sayfaya benzemesini esas alıyor. 2020’de gerçekleştirilen oltalama saldırılarının %42’sinde polimorfik yöntemler kullanıldı.

Müdahale edilen hesap bilgileri: Siber dolandırıcılar internet kullanıcılarına ait hesap bilgilerini ya dark web üzerinden geçmişteki saldırılarda çalınan verileri satan karaborsalardan alıyor ya da başarılı oltalama saldırıları sonucunda elde ediyorlar. Söz konusu e-postalar genelde kurum içinde oluşturulduğu için geleneksel filtreleme yazılımları kullanarak kötü amaçlı faaliyetleri tespit etmek bir hayli zorlaşıyor.

Gizleme: Söz konusu yöntemde mevcut e-posta güvenlik aşamasını atlayabilmek için çeşitli şifreler, kodlar ve diğer veriler e-posta içinde saklanıyor. Zero-point font (metin karakterlerini düzenleme) ve brand impersanation (sadece e-mail içinde görselleri değiştirerek marka taklidi yapma).

Saldırılar sadece e-posta ile sınırlı değil 

Araştırmada yer alan 252 IT uzmanından;

• Yüzde 57’si WhatsApp, Telegram, Signal gibi popüler anlık mesajlaşma uygulamaları üzerinden oltalama girişimlerine maruz kaldı,
• Yüzde 50’si Google Drive, Dropbox ve benzeri bulut depolama hizmetleri üzerinden oltalama girişimine maruz kaldı,
• Yüzde 49’u SMS veya metin mesajları üzerinden oltalama girişimine maruz kaldı,
• Yüzde 44’ü Facebook ve Twitter gibi sosyal medya platformları üzerinden gelen oltalama saldırılarını önledi,
• Yüzde 43’ü Zoom, Google ve Meets gibi video sohbet uygulamaları üzerinden oltalama girişimleri engelledi,
• Yüzde 40’ı Slack gibi iş odaklı ortak kullanım platformlarından tehdit aldı ve önledi.

Bunun sonu ne olacak? 

Oltalama saldırıları çağımızın en ciddi siber güvenlik sorunlarından biri şüphesiz. Uzmanlara göre güvenlik ve risk yönetimi yöneticileri Microsoft 365 içine eklemiş geleneksel güvenlik yöntemlerine bağlı kalmayarak daha kapsayıcı, şahısların güvenliğini birinci madde olarak belirleyen daha efektif bir siber güvenlik kültürü geliştirmek için yoğun olarak gayret göstermeli.