Siber Dünyada Yeni Tehlike: Üst Düzey Yöneticiler "Balina Avı" Kıskacında

ESKİŞEHİR — Siber güvenlik dünyasında "Whaling" (Balina Avı) olarak bilinen ve doğrudan şirketlerin üst düzey yöneticilerini hedef alan saldırı türü, dijital dünyada yeni bir kriz haline geldi. Siber güvenlik şirketi ESET’in hazırladığı son rapor, yönetici koltuğundaki isimlerin neden hedef seçildiğini ve bu sofistike saldırılardan nasıl korunulabileceğini gözler önüne serdi.

Neden "Balinalar" Hedefte?

Balina avı saldırılarını sıradan kimlik avı (phishing) yöntemlerinden ayıran en büyük fark, kurbanın yetki düzeyidir. Tehdit aktörleri için üst düzey yöneticiler şu üç özellik nedeniyle "altın değerinde" görülüyor:

• Zaman Kısıtlılığı: Yoğun iş temposunda e-postaları veya transfer taleplerini hızla onaylama eğilimindedirler. Güvenlik protokollerini (MFA gibi) zaman kazanmak için devre dışı bırakabilirler.

• Dijital Görünürlük: Yöneticilerin sosyal medya hesapları ve röportajları, saldırganların ikna edici senaryolar (sosyal mühendislik) kurması için bol miktarda veri sunar.

• Yetki Gücü: Bu kişiler hassas bilgilere erişme ve büyük çaplı para transferlerini tek başına onaylama yetkisine sahiptir.

Yapay Zekâ Saldırıların Boyutunu Değiştirdi

Üretken yapay zekâ (GenAI), balina avı saldırılarını daha inandırıcı ve tehlikeli hale getirdi:

• Deepfake Tehdidi: Saldırganlar artık sadece sahte e-postalarla yetinmiyor; yöneticinin sesini veya görüntüsünü taklit eden Deepfake videoları ve sesli aramalarla milyonlarca dolarlık transfer talepleri oluşturabiliyor.

• Kusursuz Dil: Yapay zekâ sayesinde, gönderilen mesajlar dil bilgisi hatası içermiyor ve yöneticinin gerçek yazışma tarzını birebir taklit edebiliyor.

Siber Saldırıdan Nasıl Korunulur?

ESKİŞEHİR’deki sanayi kuruluşları ve teknoloji şirketleri için de büyük risk taşıyan bu saldırılara karşı uzmanlar şu önlemleri öneriyor:

• Çift Onay Sistemi: Büyük miktarlı fon transferlerinde tek bir yöneticinin onayı yeterli olmamalı; mutlaka ikinci bir imza veya farklı bir iletişim kanalı üzerinden doğrulama istenmelidir.

• Yöneticiye Özel Eğitim: Genel güvenlik eğitimleri yerine, yöneticilere özel "deepfake" ve "sosyal mühendislik" simülasyonları içeren kısa dersler verilmelidir.

• Sıfır Güven (Zero Trust) Yaklaşımı: Oturum açma bilgilerinin hiçbir zaman varsayılan olarak "güvenli" kabul edilmediği ve erişimin en az ayrıcalık ilkesine göre sınırlandırıldığı bir sistem kurulmalıdır.

• Dijital Ayak İzini Sınırlama: Şirketler, yöneticileri hakkında kamuya açık paylaşılan bilgilerin (etkinlikler, satın almalar vb.) türünü sınırlamalıdır.