Aşırı Paylaşım Yapmak Saldırıya Davetiye Çıkarabilir!
Aşırı Paylaşım Yapmak Saldırıya Davetiye Çıkarabilir!
ESET, çalışan savunuculuğu esnasında şirket bilgileri paylaşım risklerine dikkat çekti. Fazla paylaşım spearphishing veya BEC saldırılarına imkan veriyor. LinkedIn ve GitHub, verilerin savunmasız kaldığı alanlar olarak öne çıkıyor. Eğitim ve güvenlik politikaları gereklidir.
Haber Giriş Tarihi: 10.12.2025 09:47
Haber Güncellenme Tarihi: 10.12.2025 12:16
Kaynak:
Kapsül
Çalışan savunuculuğu 10 yılı aşkın süredir var olan bir konsepttir. Kurum itibarını, liderliği ve pazarlama stratejilerini geliştirmek amacıyla iyi niyetle başlatılan bu uygulama, bazen beklenmedik sonuçlar da doğurabiliyor.
Dünya çapında siber güvenlik çözümleri sunan ESET, şirket bilgilerini paylaşmanın getirdiği risklere dikkat çekerek uyulması gereken kuralları öne çıkardı.
Profesyoneller, iş dünyasında kendi işleri, şirketleri ve pozisyonlarını paylaşırken benzer profesyonellerin yanı sıra potansiyel müşterilere ve iş ortaklarına ulaşmayı hedefler. Ancak, bu bilgiler kamuya açıldığında genellikle hedefli kimlik avı (spearphishing) veya kurumsal e-posta dolandırıcılığı (BEC) türünde saldırılara zemin hazırlar. Bilgi miktarı arttıkça, kuruluşunuza verebilecekleri zarar da artar.
Şirket bilgileri nerede paylaşılır?
Bu tür bilgilerin çoğunlukla paylaşıldığı yerlerden biri LinkedIn'dir ve belki de en iyi bilinen örnektir. LinkedIn, dünyanın en büyük halka açık kurumsal bilgi veri tabanı olarak tanımlanabilir. İK uzmanları burada iş ilanları yayınlar ve bu ilanlar, spearphishing saldırılarında kullanılmak üzere fazlasıyla teknik detay barındırabilir. GitHub ise, güvenlik bağlamında dikkatsiz geliştiricilerin sabit kodlanmış bilgileri ve müşteri bilgilerini paylaştıkları bir platform olarak bilinir.
Ayrıca çalışanlar, Instagram ve X gibi klasik tüketici platformlarında etkinlik planları gibi detayları paylaşabilirler. Bu bilgiler hem çalışanlara hem de çalışma kurumlarına karşı kötü niyetli kampanyalarda kullanılabilir.
Şirket bilgileri kötü amaca hizmet edebilir mi?
Tipik bir sosyal mühendislik saldırısının ilk aşaması olan bilgi toplama, daha sonra bu istihbaratı bir spearphishing kampanyasında kullanmak için hazırlık yapmayı içerir. Başka bir olasılık ise, alıcıları giriş bilgilerini kötü niyetli kişilerle paylaşmaya ikna etmektir. Bu, e-posta, kısa mesaj ya da telefon çağrılarıyla olabilir. Ayrıca, aldatıcı kimliklerle acil havale talepleri yapılabilir.
Fazla paylaşımın risklerine karşı eğitim en iyi koruma
Yöneticilerden çalışanlara kadar herkesin sosyal medyada aşırı paylaşımın risklerini anlamasını sağlamak için güvenlik farkındalık eğitimlerini güncelleyin. Çalışanları, istenmeyen DM'lerden uzak durma konusunda uyarın, phishing, BEC ve deepfake girişimlerini tanımayı öğretin. Bu eğitimleri katı sosyal medya politikaları ile destekleyin ve kişisel ve profesyonel hesaplar arasında net sınırlar koyun. Kurumsal siteler ve sosyal medya hesapları, silah olarak kullanılabilecek bilgiler açısından gözden geçirilmeli ve düzenlenmelidir. Olası hesap ele geçirme durumlarına karşı çok faktörlü kimlik doğrulama (MFA) ve güvenli parolalar (parola yöneticilerinde saklanan) zorunlu kılınmalıdır.
Sizlere daha iyi hizmet sunabilmek adına sitemizde çerez konumlandırmaktayız. Kişisel verileriniz, KVKK ve GDPR
kapsamında toplanıp işlenir. Sitemizi kullanarak, çerezleri kullanmamızı kabul etmiş olacaksınız.
En son gelişmelerden anında haberdar olmak için 'İZİN VER' butonuna tıklayınız.
Anasayfa
Yazarlar
Foto Galeri
Video Galeri
Aşırı Paylaşım Yapmak Saldırıya Davetiye Çıkarabilir!
ESET, çalışan savunuculuğu esnasında şirket bilgileri paylaşım risklerine dikkat çekti. Fazla paylaşım spearphishing veya BEC saldırılarına imkan veriyor. LinkedIn ve GitHub, verilerin savunmasız kaldığı alanlar olarak öne çıkıyor. Eğitim ve güvenlik politikaları gereklidir.
Çalışan savunuculuğu 10 yılı aşkın süredir var olan bir konsepttir. Kurum itibarını, liderliği ve pazarlama stratejilerini geliştirmek amacıyla iyi niyetle başlatılan bu uygulama, bazen beklenmedik sonuçlar da doğurabiliyor.
Dünya çapında siber güvenlik çözümleri sunan ESET, şirket bilgilerini paylaşmanın getirdiği risklere dikkat çekerek uyulması gereken kuralları öne çıkardı.
Profesyoneller, iş dünyasında kendi işleri, şirketleri ve pozisyonlarını paylaşırken benzer profesyonellerin yanı sıra potansiyel müşterilere ve iş ortaklarına ulaşmayı hedefler. Ancak, bu bilgiler kamuya açıldığında genellikle hedefli kimlik avı (spearphishing) veya kurumsal e-posta dolandırıcılığı (BEC) türünde saldırılara zemin hazırlar. Bilgi miktarı arttıkça, kuruluşunuza verebilecekleri zarar da artar.
Şirket bilgileri nerede paylaşılır?
Bu tür bilgilerin çoğunlukla paylaşıldığı yerlerden biri LinkedIn'dir ve belki de en iyi bilinen örnektir. LinkedIn, dünyanın en büyük halka açık kurumsal bilgi veri tabanı olarak tanımlanabilir. İK uzmanları burada iş ilanları yayınlar ve bu ilanlar, spearphishing saldırılarında kullanılmak üzere fazlasıyla teknik detay barındırabilir. GitHub ise, güvenlik bağlamında dikkatsiz geliştiricilerin sabit kodlanmış bilgileri ve müşteri bilgilerini paylaştıkları bir platform olarak bilinir.
Ayrıca çalışanlar, Instagram ve X gibi klasik tüketici platformlarında etkinlik planları gibi detayları paylaşabilirler. Bu bilgiler hem çalışanlara hem de çalışma kurumlarına karşı kötü niyetli kampanyalarda kullanılabilir.
Şirket bilgileri kötü amaca hizmet edebilir mi?
Tipik bir sosyal mühendislik saldırısının ilk aşaması olan bilgi toplama, daha sonra bu istihbaratı bir spearphishing kampanyasında kullanmak için hazırlık yapmayı içerir. Başka bir olasılık ise, alıcıları giriş bilgilerini kötü niyetli kişilerle paylaşmaya ikna etmektir. Bu, e-posta, kısa mesaj ya da telefon çağrılarıyla olabilir. Ayrıca, aldatıcı kimliklerle acil havale talepleri yapılabilir.
Fazla paylaşımın risklerine karşı eğitim en iyi koruma
Yöneticilerden çalışanlara kadar herkesin sosyal medyada aşırı paylaşımın risklerini anlamasını sağlamak için güvenlik farkındalık eğitimlerini güncelleyin. Çalışanları, istenmeyen DM'lerden uzak durma konusunda uyarın, phishing, BEC ve deepfake girişimlerini tanımayı öğretin. Bu eğitimleri katı sosyal medya politikaları ile destekleyin ve kişisel ve profesyonel hesaplar arasında net sınırlar koyun. Kurumsal siteler ve sosyal medya hesapları, silah olarak kullanılabilecek bilgiler açısından gözden geçirilmeli ve düzenlenmelidir. Olası hesap ele geçirme durumlarına karşı çok faktörlü kimlik doğrulama (MFA) ve güvenli parolalar (parola yöneticilerinde saklanan) zorunlu kılınmalıdır.
Kaynak: Kapsül
En Çok Okunan Haberler