E-posta ve Mesajlaşma Güvenliği

Günlük Güvenlik Davranışları

👤 Güvenlik Uzmanı★ 2/3⏱ 12 dk

İnteraktif sahne yükleniyor…

🎯 Neden önemli?

Verizon 2023 Veri İhlali Raporu'na göre ihlallerin yaklaşık %74'ü insan faktörünü içeriyor ve e-posta hâlâ kötü amaçlı yazılım ile kimlik avının bir numaralı dağıtım kanalı. Üstelik FBI'ın IC3 verilerine göre yalnız İş E-postası Ele Geçirme (BEC) saldırıları 2022'de küresel olarak 2,7 milyar dolardan fazla zarara yol açtı. Açtığınız tek bir ek veya tıkladığınız tek bir bağlantı, tüm kurumu riske atabilir.

Giriş

Merhaba, ben Güvenlik Uzmanı. Bu derste kurumsal hayatın en yoğun kullanılan ve en çok hedeflenen kanalı olan e-posta ve anlık mesajlaşmanın güvenliğini ele alıyoruz: kötü amaçlı ek ve bağlantı riskleri, İş E-postası Ele Geçirme (BEC) dolandırıcılığı ve güvenli iletişim alışkanlıkları. Soldaki interaktif sahnede (secSocialEngineering3D) gelen kutusuna düşen sahte ve gerçek e-postaları inceleyip 'gönderen alan adı', 'aciliyet baskısı' ve 'bağlantı önizleme' gibi ipuçlarını üzerlerine gelerek tek tek dene; hangi sinyallerin bir oltayı ele verdiğini gör.

Anlatım

E-POSTA NEDEN BU KADAR HEDEFTE? E-posta kurumsal kimliğin merkezindedir: parola sıfırlama, fatura, sözleşme, İK yazışması hep buradan akar. Saldırgan için tek bir kullanıcıyı kandırmak, güvenlik duvarını aşmaktan çok daha kolaydır. Bu yüzden tehditlerin büyük kısmı teknik bir açık değil, İNSAN kararını hedefler. 1) KİMLİK AVI (PHISHING) VE TÜRLERİ • Phishing: Kitlesel, sahte 'banka/kargo/IT' e-postası — sizi sahte giriş sayfasına çeker, parolanızı çalar. • Spear phishing: Size ÖZEL hazırlanmış, adınızı/şirketinizi/projenizi bilen hedefli saldırı. • Whaling: Üst yöneticiyi (CEO/CFO) hedefleyen spear phishing. • Smishing/Vishing: SMS ve telefon üzerinden aynı oyun. Neden önemli: Çalınan tek bir kurumsal parola, fidye yazılımı veya veri ihlalinin başlangıç kapısıdır. 2) KÖTÜ AMAÇLI EK (ATTACHMENT) RİSKİ Ekler kötü amaçlı kod taşıyabilir. • Yüksek riskli: .exe, .scr, .js, .vbs, .iso, parolalı .zip; özellikle MAKRO içeren Office dosyaları (.docm/.xlsm) — 'İçeriği Etkinleştir' tuzağı. • 'Çift uzantı' hilesi: fatura.pdf.exe gerçekte çalıştırılabilir bir dosyadır. YAPILMASI GEREKEN (DO): Beklemediğiniz hiçbir eki açmayın; göndereni AYRI bir kanaldan teyit edin; makroları varsayılan kapalı tutun; şüpheli ekleri IT/SOC'a iletin. YAPILMAMASI GEREKEN (DON'T): 'İçeriği Etkinleştir / Makroları Etkinleştir' uyarısını refleksle tıklamak; parolası e-postada yazan 'güvenli zip'i açmak (bu antivirüsü atlatma taktiğidir). 3) KÖTÜ AMAÇLI BAĞLANTI (LINK) • Görünen metin ile gerçek hedef FARKLI olabilir. Tıklamadan ÖNCE bağlantının üzerine gelip (hover) gerçek URL'yi görün; mobilde basılı tutun. • Alan adı oyunlarına dikkat: ornek-banka.com yerine ornek-banl<a>ka.com, rn yerine m, .com yerine .com.co. • Kısaltılmış linkler (bit.ly vb.) gerçek hedefi gizler. DO: Şüpheli linke tıklamak yerine adresi tarayıcıya elle yazın; kurumsal MFA'yı her zaman açık tutun. DON'T: 'Hesabınız askıya alınacak, hemen doğrulayın' baskısıyla linke tıklamak. 4) İŞ E-POSTASI ELE GEÇİRME (BEC) — EN PAHALI TEHDİT BEC'te genellikle zararlı yazılım yoktur; saf SOSYAL MÜHENDİSLİKtir. • CEO dolandırıcılığı: 'Patron' aciliyetle gizli bir havale ister. • Sahte fatura/IBAN değişikliği: Gerçek tedarikçi gibi görünen e-posta 'banka hesabımız değişti' der. • Benzer alan adı (look-alike) veya ele geçirilmiş gerçek hesap kullanılır. ALTIN KURAL: Para transferi veya IBAN değişikliği talebini ASLA yalnız e-postayla onaylamayın — bilinen bir telefon numarasından (e-postadaki numarayı DEĞİL) sesli teyit alın (out-of-band doğrulama). 5) GÜVENLİ İLETİŞİM ALIŞKANLIKLARI • Hassas veriyi yalnız kurumun onayladığı kanallardan (kurumsal e-posta/mesajlaşma) paylaşın; kişisel WhatsApp/Gmail'e iş verisi taşımayın (gölge BT — shadow IT). • 'Yanıtla' yerine yeni e-postada alıcıyı elle seçin (yanlış kişiye/dış listeye sızıntıyı önler). • Gizli alıcıları BCC ile koruyun; toplu e-postada herkesin adresini açığa çıkarmayın. • Şüpheli mesajı SİLMEYİN — 'Phishing bildir' düğmesiyle IT/SOC'a raporlayın; raporlama erken müdahaleyi sağlar. GÖNDEREN DOĞRULAMA (SPF/DKIM/DMARC) Kurumsal e-posta sahteciliğini azaltan teknik denetimler vardır (SPF, DKIM, DMARC). Bunlar gönderenin gerçekliğini sunucu düzeyinde doğrular; ancak teknik kontroller %100 koruma sağlamaz — son savunma hattı yine BİLİNÇLİ kullanıcıdır. ISO 27001 / KVKK BAĞLANTISI • ISO/IEC 27001:2022, e-posta ve mesajlaşmayı doğrudan ilgilendiren kontroller içerir: A.5.14 Bilgi transferi, A.6.3 Bilgi güvenliği farkındalık-eğitim-öğretimi, A.8.7 Kötü amaçlı yazılıma karşı koruma, A.8.16 İzleme faaliyetleri, A.5.7 Tehdit istihbaratı. • KVKK (6698 sayılı Kanun) Madde 12, veri sorumlusunu kişisel verilerin hukuka aykırı işlenmesini ve erişimini önlemek için uygun TEKNİK ve İDARİ tedbirleri almakla yükümlü kılar. Phishing ile sızan kişisel veri bir 'veri ihlali'dir; KVKK Kurulu kararı uyarınca ihlal öğrenildiğinde en kısa sürede (72 saat referansı) Kurul'a ve ilgili kişilere bildirim yapılır. E-posta güvenliği bu yüzden hem teknik hem yasal bir zorunluluktur.

📌 Senaryolar

📌 Senaryo 1 (Sahte IT — parola sıfırlama oltası): Gelen kutunuza 'BT Destek' adıyla, 'Parolanız bugün sona eriyor, 2 saat içinde DOĞRULAYIN' diyen ve bir butona bağlantı veren bir e-posta düştü.
  Doğru davranış: Linke tıklamadan üzerine gelip gerçek URL'ye bakın; gönderen alan adının kurum alan adıyla birebir aynı olduğunu kontrol edin; emin değilseniz tarayıcıya bilinen portal adresini ELLE yazıp girin ve e-postayı 'Phishing bildir' ile IT'ye iletin.
  Sonuç/Neden: Aciliyet + parola talebi + tıkla-doğrula kalıbı klasik kimlik avıdır; gerçek URL çoğunlukla benzer ama sahte bir alan adına gider. Elle giriş, çalınan kimlik bilgisi riskini ortadan kaldırır (ISO 27001 A.6.3 farkındalık).

📌 Senaryo 2 (CEO dolandırıcılığı — BEC): Genel müdürünüzün adıyla gelen kısa bir e-posta: 'Toplantıdayım, acil bir tedarikçi ödemesi var, şu IBAN'a 85.000 TL gönder, kimseye sorma, sonra anlatırım.'
  Doğru davranış: Talebi e-postayla onaylamayın. Müdürü/yetkiliyi REHBERDEKİ bilinen numarasından (e-postadaki numarayı değil) arayıp sesli teyit alın; kurumun ödeme onay sürecini (çift onay) uygulayın.
  Sonuç/Neden: BEC'te kötü yazılım yoktur; tek silah aciliyet ve otorite baskısıdır. Out-of-band sesli teyit, milyonluk kayıpların önündeki en etkili settir. ISO 27001 A.5.14 (bilgi transferi kuralları) tam olarak bunu hedefler.

📌 Senaryo 3 (Makrolu ek tuzağı): Bir 'kargo firması' adına gelen e-postada 'teslimat_detay.xlsm' eki var ve dosyayı açınca 'Görüntülemek için Makroları Etkinleştir' uyarısı çıkıyor.
  Doğru davranış: Makroyu ETKİNLEŞTİRMEYİN, dosyayı kapatın. Böyle bir kargo beklemiyorsanız eki açmayı bırakıp IT'ye iletin; gönderici alan adını ve beklenen bir gönderi olup olmadığını doğrulayın.
  Sonuç/Neden: 'Makroları Etkinleştir' uyarısı en yaygın fidye yazılımı bulaşma tetikleyicisidir; makro çalışınca arka planda zararlı kod indirilir. Makroları varsayılan kapalı tutmak ISO 27001 A.8.7 (kötü amaçlı yazılımdan koruma) gereğidir.

📌 Senaryo 4 (IBAN değişikliği — tedarikçi sahteciliği): Aylardır çalıştığınız bir tedarikçiden gelen e-posta 'Bankamızı değiştirdik, bundan sonraki ödemeleri şu yeni IBAN'a yapın' diyor; gönderen adresi neredeyse aynı ama bir harf farklı (ornek-tedarik.com yerine ornek-tedank.com).
  Doğru davranış: Ödemeyi yapmadan önce tedarikçiyi sözleşmedeki/kayıtlı bilinen numaradan arayıp IBAN değişikliğini sesli doğrulayın; gönderen alan adını harf harf inceleyin.
  Sonuç/Neden: Look-alike alan adıyla IBAN değiştirme, BEC'in en kârlı çeşididir. Tek bir harf değişikliği gözden kaçar; bağımsız kanaldan teyit, parayı yanlış hesaba göndermeyi engeller. KVKK md.12 kapsamında finansal/kişisel veri akışını korumak da idari tedbir kapsamındadır.

📌 Senaryo 5 (Yanlış kişiye sızıntı + hassas veri kanalı): Müşteri kimlik bilgilerini içeren bir tabloyu hızlıca paylaşmak için e-postada otomatik tamamlanan ilk 'Ahmet'i seçtiniz ve bunu kişisel Gmail'e iletmek üzeresiniz.
  Doğru davranış: Göndermeden önce alıcının TAM adresini doğrulayın (dış/yanlış 'Ahmet' olabilir); kişisel e-posta yerine kurumun onayladığı kanalı kullanın; mümkünse veriyi şifreli/erişim-kontrollü paylaşın ve gereksiz kişileri çıkarın.
  Sonuç/Neden: Otomatik tamamlama yanlış alıcıya sızıntının bir numaralı nedenidir; kişisel e-posta ise kurum denetimi dışıdır (shadow IT). Bu, kişisel veri ihlali oluşturur ve KVKK md.12 ihlali ile ISO 27001 A.5.14 ihlali doğurur.

Özet

• E-posta, ihlallerin bir numaralı giriş kapısıdır; en zayıf halka teknik açık değil, insan kararıdır. • Bağlantıya tıklamadan ÖNCE gerçek URL'yi (hover) ve gönderen alan adını harf harf doğrulayın. • Beklemediğiniz eki açmayın; 'Makroları Etkinleştir' uyarısını asla refleksle onaylamayın. • Para/IBAN talebini (BEC) ASLA yalnız e-postayla onaylamayın — bilinen numaradan sesli teyit alın (out-of-band). • Hassas veriyi yalnız kurumsal kanaldan paylaşın; şüpheliyi silmeyin, 'Phishing bildir' ile IT/SOC'a raporlayın. • E-posta güvenliği ISO 27001 (A.5.14, A.6.3, A.8.7) ve KVKK md.12 kapsamında zorunlu bir tedbirdir.

✅ Mini-Test (5)

1.İş E-postası Ele Geçirme (BEC) saldırılarının en ayırt edici özelliği aşağıdakilerden hangisidir?

2.Bir e-postadaki bağlantının gerçekten nereye gittiğini tıklamadan ÖNCE anlamanın doğru yolu nedir?

3.Office dosyasındaki 'İçeriği/Makroları Etkinleştir' uyarısını refleksle tıklamak güvenlidir.

4.Yöneticinizden geldiği görünen e-postada acil bir para transferi isteniyor. En doğru davranış hangisidir?

5.Aşağıdaki ISO/IEC 27001:2022 kontrollerinden hangisi e-posta güvenlik farkındalığıyla doğrudan ilişkilidir?

🧩 Uygulama Soruları (5)

1.Aylardır çalıştığınız bir tedarikçiden 'banka hesabımız değişti, yeni IBAN'a ödeyin' e-postası geldi ve gönderen adresi tek harf farklı. Hangisi doğru aksiyondur?

2.'Hesabınız 24 saat içinde kapatılacak, hemen doğrulayın' diyen bir banka e-postası aldınız. Önce ne yaparsınız?

3.Şüpheli olduğunu düşündüğünüz bir e-postayı yapılacak en iyi şey, hemen kalıcı olarak silmektir.

4.Bir müşteri listesini (kişisel veri) hızlıca paylaşmanız gerekiyor. Hangisi KVKK ve kurum politikasıyla en uyumludur?

5.Beklemediğiniz bir e-postada 'fatura.pdf.exe' adlı bir ek var. Bu durumda doğru değerlendirme hangisidir?

← Sosyal Mühendislik ve Manipüla Temiz Masa / Temiz Ekran →

← Tüm modüllere dön · Güvenlik Sözlüğü