Kurumsal sosyal medya kanallarınıza yönelik siber riskleri azaltmak için 7 ipucu

Kurumsal sosyal medya kanallarına yönelik tehditler, saldırganların sosyal mühendislik becerileriyle birlikte baş döndürücü bir hızla gelişiyor. Bazen teknikleri o kadar yüksek bir seviyeye ulaşıyor ki, bir kurumsal ağın teknolojiden anlayan yöneticisi bile sahtekarlık ile gerçek arasındaki farkı anlayamıyor. Neticede pek çok işletme, ürünlerini ve hizmetlerini tanıtmak için sosyal medyayı kullandığından ötürü, bu tehditler çok sayıda şirketi ilgilendirmekte. Kaspersky uzmanlarının, kurumların güvende kalmalarına yardımcı olmak adına bazı önerilerini aşağıda bulabilirsiniz.

Direkt mesajlar ve taslaklar klasörü konusunda dikkatli olun, eski ve alakasız bilgileri silin

Şirketlerin hassas bilgilerini mesaj kutularında saklama konusunda dikkatli olmaları gerekiyor zira bu durum siber risklere gebe. İnsanlar, hesap sahibinin ürün veya hizmetini kullanarak doğrudan markalara yazmak ve yardım istemek için kurumsal sosyal medyayı sıklıkla kullanıyor. Ayrıca, blog yazarlarıyla olan ortaklıklar da doğrudan mesajlarla müzakere edilebiliyor. Bazen, bu konuşmalar sırasında kişisel veya finansal bilgiler de paylaşılıyor ve bunlar etkileşimden çok sonra bile mesajlar klasöründe kalabiliyor. Bu durumda, siber suçluların hesaba yetkisiz erişim elde etmesine izin veren bir ihlal varsa, hassas veriler sızdırılabilir veya bir saldırı düzenlemek için kullanılabilir.

Bu riskten kaçınmak için, diyalog bittiğinde ve içerdiği bilgiler artık alakalı olmadığında alakasız mesajları silmeyi faydalı bir alışkanlık haline getirin. Aynısı gönderiler için de geçerli, aman zaman taslaklar klasörüne kaydedilenleri dikkatlice gözden geçirmenizi öneriyoruz.

İtibar risklerini en aza indirmek için eski gönderileri gözden geçirin

“İtibar” giderek gücünü artırıyor; kullanılan her kelime, eylem veya karar, şirketin imajına yardımcı olabildiği gibi zarar da verebilecek bir enstrüman olarak karşımıza çıkabilir. Çevrimiçi yayınlanan her şey, siber güvenlik açısından da büyük önem taşımaktadır; hassas bilgiler kamuya (yeniden) göründüğünde, -neredeyse her seferinde- şirketin itibarını zedeleyip mali kayıplara neden olabiliyor. Bu durumu şansa bırakmamak için, mevcut gerçekliğe uymayan bilgiler içerebileceğinden -uygunsuz şakalardan tartışmalı reklam kampanyalarına kadar her şey olabilir- önceden yayınlanmış gönderileri gözden geçirmek için biraz zaman ayırmanızda sonsuz faydalar var zira dün normal olan bir paylaşım, bugün olumsuz bir kamuoyu tepkisine neden olabilir. Son birkaç yılda yapılan yayınların gözden geçirilmesi, ilgili itibar risklerini de büyük ölçüde azaltacaktır.

Başarı hikayelerinizi paylaşırken dikkatli olun

Kazançlı bir sözleşme imzaladıktan veya bir anlaşmadan sonra, mümkün olduğunca çok kişiye başarımızdan bahsetmek adına bunu sosyal medyada yayınlamak isteriz ancak böyle yaptığımızda siber suçluların dikkatini çektiğimizin de farkında olmamız gerekiyor. Potansiyel bir saldırgan, tedarikçilerinizin veya yüklenicilerinizin kim olduğunu bilirse, onların kimliğine bürünerek veya hesaplarını ihlal ederek, onların adına bir saldırı gerçekleştirmeye çalışabilir.

Ayrıca şirketinizin yapısını ve çalışma yöntemlerini sosyal medyaya ne kadar çok yansıtırsanız, faillerin saldırı düzenlemesi de o kadar kolaylaşıyor. Örneğin, sosyal medya üzerinden finanstan kimin sorumlu olduğunu takip edebilmek mümkünse, bir saldırgan bu kişinin amiri gibi davranabilir ve “bir anlaşma yapmak” veya “satın almak” için onları (acilen) büyük miktarda parayı sahte bir hesaba aktarmaya ikna etmeye çalışabilir. Bu saldırgan, çeşitli sosyal mühendislik tekniklerini uygulayarak başka bir kişinin kimliğine de bürünebilir ve hedefteki kurban, dolandırıcılığın farkında neredeyse hiç varmaz.

İşe yeni başlayanları sosyal medyadaki riskler konusunda uyarın

İnsanlar yeni bir işe girdikten sonra genellikle haberleri sosyal medyada paylaşırlar ancak bu şirkette kimlik tespitinin nasıl çalıştığı veya hassas bilgileri kiminle paylaşabilecekleri gibi siber güvenlik süreçlerinin nasıl oluşturulduğunu henüz anlayamazlar;. Bu nedenle, yeni işe başlayan bir çalışan siber saldırılara karşı daha savunmasızdır.

Şimdi düşünün: Bir saldırgan, bu kişiyi sosyal medyada takip eder ve hakkında bilgi toplar. Daha sonra saldırgan, yeni çalışana şirketin BT yöneticisi adına teknik bir hesap oluşturmak için şifreyi paylaşmasını isteyen kötü niyetli bir mektup yazar. Yöneticilerin asla böyle bir mektup yazmayacaklarını bilmedikleri için, yeni gelen birinin şifreyi paylaşması kuvvetle muhtemeldir. Ayrıca, yeni çalışanlar genellikle utangaçtır ve meslektaşlarına mektubun gerçek olup olmadığını sormaktan çekinebilirler. Böylece, sosyal medyadaki küçücük bir gönderi, çalışanı siber suçlular için bir giriş noktasına dönüştürebilir.

Riski azaltmak için, yeni başlayan çalışanlara bilgi güvenliği hakkında bir kurs vermenizi ve onlara yeni işleri hakkında bir şeyler paylaşırken son derece dikkatli olmalarını söylemenizi öneriyoruz.

Hesap erişimini kontrol edin (ve bir çalışan ayrıldığında şifreyi değiştirmeyi unutmayın)

Bir sosyal medya hesabı oluşturmak için kullanılan oturum açma bilgileri, parolalar ve e-posta adresine erişim, en az diğer şirket içi belgeler kadar değerlidir. Hesaplara ve kimlik doğrulama verilerine erişimi olan bir çalışan şirketten ayrılırsa, şirket ağına erişimini engellerken uygulanan kuralların aynısını uygulamak yararlı olur. Başlangıç olarak, kurumsal sosyal ağa bağlı e-posta hesabının şifresini değiştirin; daha sonra eski çalışanın cep telefonu numarasının bağlantısını kaldırın ve diğer kimlik doğrulama yöntemlerini (örneğin yedek bir posta kutusu) kontrol edin.

İki faktörlü kimlik doğrulaması kullanın

Bir sosyal ağdaki herhangi bir hesap gibi kurumsal hesaplar da mümkün olan en doğru şekilde korunmalıdır. İki faktörlü kimlik doğrulama da her tür hesaplar için kesinlikle gerekli bir özelliktir.

Hesaba bağlı e-posta adresi, sosyal medya hesabının kendisi kadar korunmalıdır. Genellikle saldırı, e-postaya ilk erişimle başlar. Saldırgan, bir hesabı ihlal ettikten sonra sosyal ağdaki tüm destek e-postalarını silmek için posta kutusu ayarlarında filtreleri yapılandırabilir. Bu nedenle, tüm e-postalar otomatik olarak silineceğinden, kullanıcı hesabına yeniden erişemeyecektir. O stresli anınızda posta kutunuzda hangi filtrelerin yapılandırılmış olduğunu kontrol etmenin aklınıza gelmeyeceğinden bahsetmiyoruz bile.

Sonuçta, kurumsal bir e-posta adresi kullanarak bir sosyal medya hesabına kaydolmak genellikle en iyisidir. En azından başlangıç olarak, diğerlerinden daha iyi korunur (şirketin siber güvenliğe önem verdiğini varsayarsak). Ayrıca gerektiğinde şirket içi güvenlik uzmanları, kurumsal ağa erişimlerle birlikte bu posta kutusuna erişimi de engelleyebilir.

Çalışanlarınıza kimlik avına karşı eğitim verin

Sosyal medya ağlarındaki siber riskleri azaltmak için şirketinizin hesabını teknik olarak korumak yeterli değildir. Çalışanlara bilgi güvenliği, çeşitli kimlik avı türleri ve diğer tehditler hakkında özel eğitimler vermek de eşit derecede önemlidir. Çalışanları eğitmek ve yöneticilere siber becerilerini ölçmede yardımcı olmak için tasarlanan Kaspersky Gamified Assessment Tool’un kullanıcı istatistiklerine göre, 2022’de yaklaşık 4000 çalışanın yalnızca %11’i yüksek düzeyde siber güvenlik farkındalığı gösterirken, %28’i yeterli siber güvenliği kanıtlayamamıştır.

Ayrıca saldırganlar karmaşık sosyal mühendislik yöntemleri de kullanabilir. Z jenerasyonunun en parlak üyeleri bile bunlara yenik düşebiliyor. Evet, belki insan faktörü sıfıra indirilemez, ancak özel eğitim yardımı ile mümkün olduğunca azaltılabilir.

Yazarlar: Anna Larkina / Kaspersky Web İçerik Analizi Izmanı,  Roman Dedenok / Kaspersky Spam Analizi Uzmanı