Farkındalık Simülasyonu

Az önce parola güncelleme temalı bir e-posta simülasyonuna tıkladınız.

Bu çalışma, kurumsal e-posta hesaplarına yönelik gelebilecek parola güncelleme temalı oltalama girişimlerine karşı farkındalığı artırmak amacıyla hazırlanmıştır.

Bu sayfada herhangi bir parola veya doğrulama kodu istenmemektedir.

Gerçek parola işlemleri yalnızca şirket tarafından doğrulanmış resmi kanallar üzerinden yapılmalıdır. E-posta ile gelen bağlantılar üzerinden kullanıcı adı, parola veya doğrulama kodu girilmemelidir.

Bu e-postada nelere dikkat edilmeliydi?

Gönderen adresi

E-postanın kimden geldiği, alan adı ve gönderici adresi dikkatlice kontrol edilmelidir. Kurumsal gibi görünen ancak farklı alan adından gelen e-postalara karşı dikkatli olunmalıdır.

Bağlantı adresi

Butona veya bağlantıya tıklamadan önce bağlantının hangi adrese yönlendirdiği kontrol edilmelidir. Şüpheli veya beklenmeyen bağlantılar açılmamalıdır.

Acil aksiyon baskısı

“Bugün tamamlanmalı”, “hesabınız kısıtlanacak”, “erişiminiz kesilecek” gibi ifadeler gerçek saldırılarda kullanıcıyı hızlı hareket etmeye zorlamak için kullanılabilir.

Parola talebi

Parola, doğrulama kodu veya hesap bilgisi isteyen bağlantılar mutlaka sorgulanmalıdır. Parolalar hiçbir kişiyle veya doğrulanmamış ekranla paylaşılmamalıdır.

EXTERNAL / DIŞ KAYNAK

Dış kaynak e-posta uyarılarına dikkat edilmelidir.

Kurum dışından gelen e-postalarda, e-posta güvenlik sistemleri tarafından “External”, “Dış Kaynak” veya benzeri uyarılar gösterilebilir. Bu uyarı, e-postanın kurum dışından geldiğini belirtir ve içeriğin daha dikkatli incelenmesi gerektiğini hatırlatır.

Dış kaynaklı bir e-postada parola güncelleme, ödeme, dosya indirme, bağlantıya tıklama veya kullanıcı bilgisi girme talebi varsa işlem yapılmadan önce gönderen adresi, bağlantı hedefi ve talebin doğruluğu kontrol edilmelidir.

Şüpheli bir e-posta ile karşılaşırsanız ne yapmalısınız?

Bağlantıya tıklamadan önce gönderen adresini ve bağlantı hedefini kontrol edin.
Dış kaynak uyarısı bulunan e-postalarda talebin gerçekten beklenen bir işlem olup olmadığını sorgulayın.
Parola veya doğrulama kodu isteyen ekranlara bilgi girmeyin.
Şüpheli e-postayı Bilgi Güvenliği ekibine iletin.
Yanlışlıkla bilgi girdiğinizi düşünüyorsanız vakit kaybetmeden Bilgi Güvenliği ekibine bildirin.
Şüpheli e-postayı diğer çalışanlara yönlendirmeyin ve yayılmasını engelleyin.

Unutmayın

Gerçek saldırılar çoğu zaman güvenilir görünen gönderen adları, dış kaynaklı bağlantılar, aciliyet oluşturan ifadeler ve kullanıcıyı hızlı aksiyon almaya yönlendiren mesajlarla başlar. Şüpheli durumlarda işlem yapmadan önce Bilgi Güvenliği ekibinden destek alınmalıdır.

Parola güvenliği için uygulanması gereken temel kurallar

Parolalar en az 8 karakter uzunluğunda olmalı; büyük harf, küçük harf, rakam ve özel karakter içermelidir.
Sıralı veya kolay tahmin edilebilir ifadeler kullanılmamalıdır. Örneğin 123456, qwerty, İstanbul123 gibi parolalardan kaçınılmalıdır.
Aynı parola birden fazla sistemde kullanılmamalıdır.
Parolalar en geç 3 ayda bir değiştirilmelidir.
Yeni parola, son kullanılan en az 3 paroladan farklı olmalıdır.
Parolalar hiçbir kişiyle paylaşılmamalıdır.
Parolalar açık şekilde kâğıt, not defteri, masaüstü dosyası veya e-posta içerisinde tutulmamalıdır.
Chrome, Edge, Firefox gibi tarayıcılarda “parolayı hatırla” seçeneği kullanılmamalıdır.
Kurumsal hesaplarda iki faktörlü kimlik doğrulama prensiplerine uygun hareket edilmelidir.

Password Safe kullanımı

Kurumsal parola yönetimi kapsamında parolaların güvenli şekilde saklanması ve yönetilmesi için Password Safe kullanımı esas alınmalıdır.

Parola kayıtları açık metin olarak saklanmamalıdır.
Password Safe veritabanı güçlü bir ana parola ile korunmalıdır.
Sistem, uygulama ve panel giriş bilgileri güvenli kayıt yapısı içerisinde tutulmalıdır.
Parola kopyalama, otomatik doldurma ve kayıt düzenleme işlemleri güvenli kullanım prensiplerine uygun yapılmalıdır.
Password Safe ana parolası kimseyle paylaşılmamalı ve kolay tahmin edilebilir olmamalıdır.