Dünyanın önde gelen domain sağlayıcılarından GoDaddy, çalışanlarının kimlik avı konusunda ne kadar hassas olduğunu öğrenebilmek için biraz çetrefilli bir yola başvurdu. Tüm çalışanlarına sahte bir e-posta adresinden GoDaddy’den tatil kazandınız adlı bir e-mail gönderen şirket, ek olarak çalışanların kimlik bilgilerini vermelerini talep etti.
Bu e-maile inanıp şirketin gerçekten de tatil hediye ettiğini düşünen bazı çalışanlar, GoDaddy’nin tuzağına düşmüş oldu. Şirket, bu sınavı geçemeyenlere Güvenlik Farkındalığı: Sosyal Mühendislik adı altında sıfırdan bir eğitim verileceğini açıkladı.
Amaç, kimlik bilgileri dolandırıcılığının önünü kesmek
Özellikle büyük şirketlerde çalışanlar, her gün kimlik bilgileri dolandırıcıları tarafından onlarca maile maruz kalabiliyor. Kimlik bilgilerinin açığa çıkması demek, şirketin de sahip olduğu gizli bilgilerin açığa çıkması demek ve bu yüzden de büyük şirketler, bu dolandırıcılığın önüne geçmek için birçok farklı yola başvuruyor.
GoDaddy’nin seçmiş olduğu yol, daha çok çalışanlarını tuzağa düşürmek amaçlı tasarlanmış. Ancak yine de bu yolun son derece etkili olduğu ve güvenlik farkındalığı konusunda yetersiz bilgiye sahip çalışanları direkt gün yüzüne çıkardığı bir gerçek.
Bu tuzağa tam 500 kişi düştü
Şirket, [email protected] e-posta adresi üzerinden çalışanlarına "2020 yılının çok başarılı geçtiğini ve her bir çalışanın tatili hak ettiğini" belirten bir e-mail yolladı. Bu mailin içerisinde çalışanlara, 650 dolarlık tatil kuponunu alabilmek için en kısa zamanda kimlik bilgilerini iletmeleri gerektiği söylendi.
Bir gazetede açıklanan rapora göre GoDaddy şirketinden tam 500 çalışan, bu tuzağa düşerek kimlik bilgilerini mail sahibiyle paylaştı. Şirketin güvenlik müdürü Demetrius Comes, tuzağa düşen çalışanlarına şöyle bir e-mail gönderdi; “Bu e-maili kimlik avı testimizi geçemediğiniz için alıyorsunuz. Güvenlik Farkındalığı: Sosyal Mühendislik eğitimimizi tekrar almanız gereklidir.”
Şirket, güvenlik politikalarını artırmak ve kimlik dolandırıcılarının önünü tamamen kesebilmek için, tuzağa düşen çalışanlarına kişisel ve finansal bilgilerin neden paylaşılmaması gerektiğine dair bir eğitim verecek.
