Çalışan savunuculuğu on yıldan fazla bir süredir var olan bir kavram. Kurumsal profili, düşünce liderliğini ve pazarlamayı geliştirmek için iyi niyetle başlayan bu uygulama, bazı istenmeyen sonuçlara da yol açıyor. Siber güvenlik çözümlerinde dünya lideri ESET şirket bilgileri içeren paylaşımlara dikkat çekerek dikkat edilmesi gerekenleri sıraladı.

Profesyoneller işleri, şirketleri ve rollerini paylaşırken benzer düşünen profesyonellerin yanı sıra potansiyel müşteriler ve ortaklara da ulaşmayı hedeflerler. Bu bilgiler kamuya açık hâle geldiğinde genellikle hedef odaklı kimlik avı (spearphishing)  veya iş e-postası dolandırıcılığı (BEC) tarzı saldırılar düzenlemek için kullanılır. Bilgi ne kadar fazla olursa kuruluşunuza ciddi zarar verebilecek kötü niyetli faaliyetler için o kadar fazla fırsat doğar.

Şirket bilgileri nerede paylaşılıyor?
Genellikle bu tür bilgilerin paylaşıldığı Linkedin, tahmin edilebileceği gibi belki de en bariz örnektir. LinkedIn, dünyadaki en büyük açık kurumsal bilgi veri tabanı olarak tanımlanabilir. İşe alım uzmanlarının iş ilanlarını paylaştıkları yer de burasıdır ve bu ilanlarda, daha sonra spearphishing saldırılarında kullanılabilecek teknik ayrıntılar aşırı derecede paylaşılabilir. GitHub, siber güvenlik bağlamında, dikkatsiz geliştiricilerin sabit kodlanmış sırları, IP ve müşteri bilgilerini paylaştıkları bir yer olarak daha iyi bilinir.

Ayrıca Instagram ve X gibi klasik tüketici odaklı sosyal platformlarda da çalışanlar onferanslara ve diğer etkinliklere ilişkin seyahat planlarının ayrıntılarını paylaşabilirler. Bu bilgiler kendilerine ve kuruluşlarına karşı silah olarak kullanılabilir.

Şirket bilgileri silah olarak kullanılır mı?
Tipik bir sosyal mühendislik saldırısının ilk aşaması istihbarat toplamaktır. Bir sonraki aşama ise alıcıyı cihazına farkında olmadan kötü amaçlı yazılım yüklemeye ikna etmek için tasarlanmış bir spearphishing saldırısında bu istihbaratı silah olarak kullanmaktır. Ya da potansiyel olarak, ilk erişim için kurumsal kimlik bilgilerini paylaşmaya ikna etmektir. Bu, e-posta, kısa mesaj veya telefon görüşmesi yoluyla gerçekleştirilebilir. Ayrıca bu bilgileri kullanarak e-posta, telefon veya video görüşmesinde C düzeyinde bir yönetici veya tedarikçi kimliğine bürünerek acil bir havale talebinde de bulunabilirler.

Aşırı paylaşımın risklerine karşı  en güçlü silah eğitim
Yöneticilerden tüm çalışanlara kadar herkesin sosyal medyada aşırı paylaşım yapmamanın önemini anlamasını sağlamak için güvenlik farkındalık programlarını güncelleyin. Çalışanları, kullanıcıyı tanıdıkları hâlde istenmeyen DM'ler yoluyla paylaşım yapmamaları konusunda uyarın; phishing, BEC ve deepfake girişimlerini tespit edebilmelerini sağlayın. Bunu, sosyal medya kullanımıyla ilgili katı bir politika ile destekleyin, paylaşılabilecek ve paylaşılamayacak şeyler konusunda kırmızı çizgiler belirleyin ve kişisel ve profesyonel veya resmî hesaplar arasında net sınırlar uygulayın. Kurumsal web siteleri ve hesaplar da silah olarak kullanılabilecek bilgileri kaldırmak için gözden geçirilip güncellenmesi gerekebilir. Profesyonel hesapların ele geçirilerek iş arkadaşlarını hedef alması ihtimaline karşı, çok faktörlü kimlik doğrulama (MFA) ve güçlü parolalar (parola yöneticisinde saklanan) tüm sosyal medya hesaplarında zorunlu hâle getirilmelidir. Spearphishing ve BEC için kullanılabilecek herhangi bir bilgi için halka açık hesapları izleyin.