Finans Sektörünü Hedefleyen Mobil Kimlik Avı Saldırıları 2020’de % 125 Arttı
Araştırmalara göre, geçen yıl mobil cihaz yönetimi (MDM) kullanımında %50'lik bir artış olmasına rağmen, finans sektöründeki mobil cihazlara yönelik Kimlik Avı saldırılarının son üç ay ortalamasına bakıldığında %125 ve kötü amaçlı yazılım ve uygulama riskine maruz kalmanın beş kattan fazla arttığını bildirildi.
Günümüzde daha fazla kullanıcı mobil cihazlardan bulut hizmetlerine ve altyapıya eriştikçe, saldırganların savunmasız bir giriş noktası bulma şanslarını artırmak için telefonları ve tabletleri kasıtlı olarak hedeflemektedirler. Tek bir başarılı Kimlik Avı veya mobil fidye yazılımı saldırısı bile saldırganlara bir şirketin tüm altyapısındaki verilere erişim sağlayabilmektedir.
Verilere erişim çeşitli şekillerde gerçekleşebilir, ancak bir saldırgan her biriyle bulut altyapınıza ulaşmak için kendi yolunu bulabilir. Saldırgan, kurumsal oturum açma sayfasını yeniden oluşturabilir ve hesaplarına giriş yapmalarını isteyen kişiye bir kimlik avı mesajı iletebilir. Saldırgan, cihazın arka planında gizlenebilen ve kullanıcının herhangi bir işlem yapmadan önce bulut uygulamalarında ve altyapısında depolanan hassas kurumsal verilere erişmesini bekleyebilen kötü amaçlı yazılım kullanabilir.
Schless tarafından yazılan Finansal Hizmetler tehdit raporunda;
• Kimlik Avı saldırılarının yaklaşık %50'sinin nedeni, kurumsal giriş kimlik bilgilerini çalmaktı.
• Mobil bankacılık müşterilerinin yaklaşık %20'si, kişisel mobil bankacılık hesabında oturum açmaya çalışırken cihazlarında kötü niyetli bir yazılıma sahipti.
• İOS 14 ve Android 11'in piyasaya sürülmesinden yedi ay sonra, iOS cihazlarının %21'i hala iOS 13 veya daha önceki sürümlerde ve Android cihazların %32'si hala Android 9 veya daha önceki sürümlerde idi.
MDM ile mobil cihazları yönetmekten daha fazlasını yapmak gerekiyor. MDM kuruluşların temel uygulama ve erişim yönetimi politikaları çalışan cihazların yönetilmesini sağlarken, kimlik avı ve uygulama risklerine karşı koruma sağlayamamaktadır.
Güvenliği, mobil uygulama geliştirme sürecine entegre ederek, mobil güvenlik yetenekleri, herhangi bir ek yazılım yüklemesi istenmeden kurulum tamamlanmalıdır. Her kuruluş aynı zamanda sıfır güven yaklaşımını benimsemeli ve mobil uygulamaları, cihazları ve kullanıcıları bu stratejinin bir parçası olarak düşünmelidir.
İşgücünün büyük bir kısmı hala uzaktan çalıştığı için, mobil cihazları sıfır güven stratejisine dahil etmek zorunlu hale geldi.
Yapılan bir araştırmada mobil cihaz kullanıcılarının Kimlik Avı saldırılarında yaygın olarak taklit edilen Office 365, Google Drive veya Adobe gibi bulut hizmetlerine eriştikleri tespit edilmiştir.
Saldırganlar, mobil cihazların veri ve kritik uygulamalara erişim açısından masaüstü bilgisayarlar kadar değerli olduğunu fark ettiler.
- Geri Dön
- 4 dk okuma
- Securvent
INVENTIV BLOG
İlgili Yazılar
Securvent
İşletmenizde Veri Güvenliğini Sağlamak İçin 5 Kolay Yöntem
Kurumlarda veri güvenliği nedir sorusunun cevabı ve uygulamanız gereken kolay ama etkili 5 farklı metodu bu yazıda sizin için derledik.
Daha Fazla
Securvent
Veri Güvenliği için Hangi Programları Kullanmalı?
Evde veya işyerinde kullandığınız her bilgisayarda bir antivirüs yazılımı bulunmalıdır. Antivirüs yazılımlarının etkinliği tartışılsa bile bu ellerimizi yıkamak gibi, basit bir hijyen kuralı olarak…
Daha FazlaSecurvent
Penetrasyon (Sızma) Testi nedir?
Sızma Testi, Penetrasyon Testi, Pentest Nedir? Neden Sızma Testlerine İhtiyacımız Var? Sistemlerinizin, yazılımınızın ve hassas bilgilerinizin güvenliği için penetrasyon testini ne sıklıkla…
Daha FazlaSecurvent
E-Ticaret Sitelerinde Güven Damgası Zorunluluğu
Güven damgası açık bir şekilde “asgari güvenlik ve hizmet kalitesi standardının” varlığına işarettir. Elektronik ticarette Güven Damgası Hakkında Tebliğ’in dördüncü maddesinde güven damgası, “Bu…
Daha FazlaSecurvent
KVKK ‘ya nasıl uyum sağlarım?
KVKK kanunu ile kişisel veri içeren tüm bilgi teknolojisi sistemlerinin internet üzerinden gelebilecek her türlü izinsiz erişim tehdidine karşı korunması zorunlu hale getirilmiştir.
Daha FazlaSecurvent
IOT ve SiberGüvenlik
Daha FazlaSecurvent
KVKK Nedir? KVKK ile ilgili bilinmesi gerekenler (Bölüm-1)
KVKK, kişisel verilerin korunma kanunu anlamına gelmektedir. KVKK nedir, ne zaman yürürlüğe girdi, kanunun amacı ve kapsamı nasıldır sorularının yanıtını bu içeriğimizde bulabilirsiniz.
Daha FazlaSecurvent
Neden farklı firmalarla penetrasyon (sızma) testi yaptırmalıyız?
Penetrasyon testi yapan firmaların değişiminde en sık bahsedilen neden, teste “yeni bir bakış açısı” kazandırmaktır.
Daha FazlaSecurvent
Penetrasyon Testi Firması Seçerken Nelere Dikkat Etmeliyiz?
Daha FazlaSecurvent
2021'de Siber Güvenlik Eğilimleri ve Ortaya Çıkan Tehditler
2021 yılı nihayet geldi ve beraberinde daha parlak bir gelecek vaadini getiriyor ama önümüzde uzun bir yol var. Bu parçada, 2021'de önemli potansiyel risk oluşturan beş siber güvenlik trendini…
Daha FazlaSecurvent
DDoS'un Geleceği ve Atak Simülasyonlarından Farkları Nelerdir?
DDoS'un dünü ve bugünü ile ilgili merak ettiğiniz sorularınızın cevaplarını öğrenmek için hemen tıklayın!
Daha FazlaSecurvent
Evden Çalışma ve Siber Güvenlik Önemleri
Bundan yıllar sonra bile 2020 denilince herkesin aklına ilk olarak Covid-19 yada hepimizin bildiği adıyla Corona Virüsü gelecektir.
Daha FazlaSecurvent
Saldırganlar, Bilgi Çalmak İçin WhatsApp Sesli Mesaj Uyarılarını Taklit Ediyorlar
Araştırmacılar, saldırganların, bilgi çalan kötü amaçlı bir yazılımı yaymak için meşru bir domain’i kullanan kötü niyetli bir oltalama saldırısının, WhatsApp'tan gelen sesli mesaj bildirimlerini…
Daha FazlaSecurvent
Phishing (Oltalama) nedir?
Bu tür ataklarda saldırgan, giriş bilgilerinizi almak için gerçek bir şirketi taklit eder. Hesap bilgilerinizi almak için size bir e-posta göndererek sahte bir web sayfasına yönlendirir.
Daha FazlaSecurvent
Ransomware : Ödemek veya Ödememek ?
Felaketin çehresi değişti. Fidye yazılımı siber saldırıları, küçük ve orta ölçekli işletmeler için giderek yaygınlaşan bir tehdit haline geldi. Kris Schulze ve James R. Slaby, verilerinizi…
Daha FazlaSecurvent
PCI DSS Taraması Nedir?
PCI DSS ile ilgili merak ettiğiniz tüm soruları sizin için cevapladık.
Daha FazlaSecurvent
Şirketler E-posta Güvenliğini Nasıl Sağlar?
Şirket e-postalarının güvenliğini sağlamak için bilmeniz gerekenleri sizin için derledik.
Daha FazlaSecurvent
Conti Zararlı Yazılımı Faaliyetleri Artışa Geçti
Daha FazlaSecurvent
Veri Güvenliği Nedir?
Kurumunuzun en değerli varlıklarından olan verilerinizin tamamını ya da bir kısmını çok kısa bir sürede kaybetmenize sebep olabilecek binlerce siber saldırı metodu vardır. Bu sebeple siber güvenlik…
Daha FazlaSecurvent
KVKK Nedir? KVKK ile ilgili bilinmesi gerekenler (Bölüm-2)
Yazımızın 2. bölümünde KVKK'nın amacı, kapsamı ve kanunun detaylarına erişebilirsiniz.
Daha FazlaSecurvent
Siber Güvenlik Nedir?
Sizlere kısaca siber güvenlik ile alakalı uzman gözünden ne olduğunu açıklayacağız.
Daha Fazla