Kurumsal Oltalama Simülasyonu ve Phishing Testi Rehberi
Kurumsal oltalama simülasyonu nasıl kurulur? Sosyal mühendislik psikolojisi, phishing testi metrikleri, SPF/DKIM/DMARC savunması ve farkındalık döngüsü.
Hızlı Cevap
Kurumsal oltalama simülasyonu, çalışanlara yazılı yetki dahilinde kontrollü sahte phishing e-postaları göndererek tıklama, kimlik bilgisi girme ve raporlama davranışını ölçen bir test programıdır. Baseline kampanya, hedefe özgü senaryolar, KVKK uyumlu ölçüm ve tekrarlı farkındalık eğitimiyle insan kaynaklı riski sürekli düşürür.
Neden Oltalama Hâlâ En Büyük Tehdit?
Siber saldırıların büyük çoğunluğu en zayıf halkadan, yani insandan başlar. Güvenlik duvarınız ne kadar güçlü, e-posta ağ geçidiniz ne kadar gelişmiş olursa olsun, ikna edilen bir çalışanın tek bir tıklaması saldırganın içeri girmesi için yeterli olabilir. Verizon Veri İhlali Araştırmaları Raporu (DBIR) yıllardır ihlallerin önemli bir kısmında insan unsurunun rol oynadığını ve oltalamanın ilk erişim için en sık kullanılan tekniklerden biri olduğunu ortaya koyuyor.
Kurumlar genellikle teknik savunmaya yatırım yapar ancak çalışanlarının gerçek bir oltalama karşısında nasıl davranacağını hiç ölçmez. İşte kurumsal oltalama simülasyonu tam da bu boşluğu kapatır: gerçek saldırıyı taklit eden ama gerçek zarar vermeyen kontrollü bir tatbikatla, kurumun insan kaynaklı saldırı yüzeyini ölçülebilir hale getirir.
Bu makale bireysel bir dolandırıcılık rehberi değildir. Eğer kişisel olarak bir oltalama mağduruysanız internetten dolandırıldım, ne yapmalı rehberimizi okuyun. Burada odak noktamız tamamen kurumsal simülasyon ve test programının nasıl kurulacağıdır.
Sosyal Mühendisliğin Psikolojisi: İnsanı Hacklemek
Oltalama teknik bir saldırı gibi görünse de özünde bir psikoloji oyunudur. Saldırgan kodu değil, insan davranışını manipüle eder. Robert Cialdini'nin ikna ilkeleri, başarılı her oltalama kampanyasının arkasındaki mekanizmayı açıklar.
Cialdini'nin İkna İlkeleri ve Oltalamadaki Karşılığı
- Otorite (Authority): İnsanlar yetki figürlerine itaat etme eğilimindedir. CEO, IT yöneticisi veya banka adına gelen bir e-posta sorgulanmadan kabul edilir. Saldırganın en sevdiği maske budur.
- Aciliyet ve Kıtlık (Urgency / Scarcity): "Hesabınız 24 saat içinde kapatılacak" veya "Sadece bugün geçerli" ifadeleri kurbanın düşünmesini engeller. Panik, mantığı devre dışı bırakır.
- Sosyal Kanıt (Social Proof): "Tüm departman bu formu doldurdu" gibi ifadeler, kurbanı sürüye uymaya iter.
- Beğeni ve Benzerlik (Liking): Tanıdık bir isim, ortak bir hobi veya samimi bir ton güveni artırır. Spear phishing tam olarak bunu kullanır.
- Karşılıklılık (Reciprocity): Bir hediye, indirim veya yardım teklifi, kurbanda karşılık verme borcu yaratır.
- Tutarlılık (Commitment): Küçük bir taahhütle başlayıp giderek büyüten saldırılar, kurbanın önceki davranışıyla tutarlı kalma isteğini sömürür.
İyi bir simülasyon senaryosu bu ilkeleri bilinçli olarak kullanır. Örneğin maaş bordrosu güncellemesi (otorite + aciliyet) veya kargo teslimat bildirimi (merak + aciliyet) gibi senaryolar, gerçek saldırganların kullandığı duygusal tetikleyicileri taklit eder.
Oltalama Türleri: Hangi Saldırıyı Simüle Ediyorsunuz?
Oltalama tek tip değildir. Etkili bir program farklı kanalları ve hedefleme seviyelerini test etmelidir. Aşağıdaki tablo başlıca oltalama türlerini karşılaştırır.
| Tür | Kanal | Hedefleme | Tipik Hedef | Tehlike Seviyesi |
|---|---|---|---|---|
| Phishing (Genel Oltalama) | E-posta | Geniş, kişiselleştirilmemiş | Tüm çalışanlar | Orta |
| Spear Phishing (Mızraklı) | E-posta | Belirli kişi/departman, araştırılmış | Muhasebe, IK, yöneticiler | Yüksek |
| Whaling (Balina Avı) | E-posta | Üst düzey yöneticiler (CEO/CFO) | C-seviye, yönetim kurulu | Çok Yüksek |
| Smishing | SMS | Toplu veya hedefli | Mobil cihaz kullanıcıları | Orta-Yüksek |
| Vishing | Telefon (sesli) | Hedefli, senaryolu | Yardım masası, finans | Yüksek |
| Quishing | QR kod | Fiziksel/dijital | Ofis çalışanları | Artan |
Türlerin Kısa Açıklaması
- Phishing: Toplu gönderilen, kişiselleştirilmemiş klasik oltalama. Düşük maliyet, geniş ağ.
- Spear Phishing: Hedef hakkında OSINT ile bilgi toplanarak kişiselleştirilmiş saldırı. İsim, pozisyon, proje detayları içerir.
- Whaling: Şirketin en üst kademesini hedefler. Sahte yatırımcı, hukuk firması veya iş ortağı kimlikleriyle büyük para transferleri hedeflenir (CEO fraud / BEC).
- Smishing: SMS yoluyla kısa link ve aciliyet içeren mesajlar. Kargo, banka, e-devlet temaları yaygındır.
- Vishing: Telefonla yapılan sesli sosyal mühendislik. Saldırgan IT desteği veya banka çalışanı taklidi yapar.
- Quishing: QR kod içeren oltalama. Mobil tarayıcıda açılan link, e-posta filtrelerini atlatabildiği için hızla yükseliyor.
MITRE ATT&CK çerçevesi bu tekniği Phishing (T1566) altında sınıflandırır ve alt teknikler olarak eklenti, link ve servis üzerinden oltalamayı ayırır. Olgun bir simülasyon programı, bu ATT&CK alt tekniklerinin her birini en az bir kampanyada test etmeyi hedefler.
Kurumsal Phishing Simülasyon Programı Nasıl Kurulur?
Başarılı bir program rastgele e-posta göndermekten ibaret değildir. Ölçülebilir, etik ve tekrarlanabilir bir döngü gerektirir. Aşağıdaki adımlar dünya standardı bir programın iskeletini oluşturur.
1. Kapsam ve Yetkilendirme (Yazılı İzin)
Her şey yazılı yetkiyle başlar. Üst yönetimden alınan onay, test edilecek departmanlar, kullanılacak senaryo türleri, kampanya takvimi ve veri işleme sınırları bir sözleşmeyle netleştirilmelidir. DSET'in KAOS yapay zeka güvenlik motoru dahil tüm testleri yalnızca yazılı yetki ve sözleşme dahilinde yürütülür; gerçek zarar verilmez, hiçbir kimlik bilgisi saklanmaz.
2. KVKK ve Etik Çerçeve
Simülasyon çalışan davranışını ölçer, bu nedenle kişisel veri içerir. KVKK uyumu için:
- Veri minimizasyonu: yalnızca kampanya başarısını ölçmek için gereken minimum veri toplanır.
- Anonimleştirme: bireysel suçlama yerine departman/grup düzeyinde raporlama tercih edilir.
- Şeffaflık: çalışanlara genel olarak "periyodik güvenlik tatbikatları yapılacağı" önceden duyurulur (her kampanyanın tarihi değil, programın varlığı).
- Cezalandırma değil eğitim: amaç çalışanı utandırmak değil, davranışı düzeltmektir. Ceza kültürü raporlamayı öldürür.
3. Baseline (Başlangıç) Kampanyası
İlk kampanya mevcut durumu fotoğraflar. Eğitim verilmeden, mevcut hâliyle kurumun tıklama ve raporlama oranı ölçülür. Bu, ilerlemenin kıyaslanacağı referans noktasıdır. Baseline olmadan iyileşmeyi kanıtlayamazsınız.
4. Hedefe Özgü Senaryo Üretimi
Genel şablonlar gerçekçi değildir. Etkili senaryolar kuruma özeldir: kullanılan İK yazılımı, kargo firması, banka, bulut servisleri, hatta güncel kurum içi projeler temalandırılır. KAOS bu noktada hedefe özgü senaryo üretimini destekler; sektöre, role ve güncel olaylara uygun ikna edici (ama zararsız) şablonlar hazırlar. Senaryolar zorluk kademelerine ayrılır: kolay (bariz işaretler), orta (makul görünen) ve zor (neredeyse kusursuz spear phishing).
5. Kampanya Yürütme ve Takip
E-postalar kontrollü bir altyapıdan, kademeli olarak gönderilir. Her etkileşim izlenir: e-posta açıldı mı, link tıklandı mı, sahte giriş sayfasına kimlik bilgisi girildi mi, ek indirildi mi, ve kritik olarak çalışan e-postayı şüpheli olarak raporladı mı. KAOS kampanya takibini ve bu olay zincirinin ölçümünü destekler.
6. Ölçüm ve Raporlama
Kampanya sonunda metrikler departman, kıdem ve senaryo türüne göre kırılır. Rapor yöneticilere risk haritası, çalışanlara ise anında öğretici geri bildirim sunar.
7. Eğitim ve Tekrar (Döngü)
Tıklayan çalışan, tıkladığı anda kısa ve yargılamayan bir eğitim sayfasıyla karşılanır (just-in-time training). Ardından düzenli farkındalık eğitimleri verilir ve kampanya 4-8 hafta sonra yeni senaryolarla tekrarlanır. Bu sürekli döngü, tek seferlik bir testin asla sağlayamayacağı kalıcı davranış değişikliğini yaratır.
Hangi Metrikleri Ölçmelisiniz?
Bir programın değeri ölçtüğü metriklerle belirlenir. Sadece "kaç kişi tıkladı" yetersizdir. İşte izlenmesi gereken temel göstergeler.
| Metrik | Ne Ölçer | İyi Yön |
|---|---|---|
| Tıklama Oranı (Click Rate) | Linke tıklayan çalışan yüzdesi | Düşmeli |
| Kimlik Bilgisi Girme Oranı | Sahte sayfaya bilgi giren yüzdesi | Düşmeli (en kritik) |
| Raporlama Oranı (Report Rate) | Şüpheliyi raporlayan çalışan yüzdesi | Yükselmeli |
| Ek Açma / Makro Çalıştırma | Tehlikeli eki açan yüzdesi | Düşmeli |
| Raporlama Hızı | İlk rapora kadar geçen süre | Kısalmalı |
| Tekrar Eden Tıklayanlar | Birden çok kampanyada tıklayanlar | Azalmalı |
En önemli ve en çok göz ardı edilen metrik raporlama oranıdır. Tıklama oranını sıfıra indiremezsiniz; insanlar hata yapar. Ancak güçlü bir raporlama kültürü, saldırının ilk dakikalarında güvenlik ekibine uyarı vererek olayın yayılmasını engeller. Olgun bir kurumda hedef, tıklama oranını düşürmek kadar raporlama oranını yükseltmektir.
Teknik Savunma: Simülasyonu Mühendislikle Tamamlamak
Farkındalık tek başına yetmez. İnsan katmanını teknik kontrollerle desteklemek gerekir. KAOS, simülasyonun yanında teknik e-posta güvenliği denetimini de destekler.
E-posta Kimlik Doğrulama: SPF, DKIM, DMARC
Bu üç kayıt, alan adınız adına sahte e-posta gönderilmesini zorlaştırır:
- SPF (Sender Policy Framework): Alan adınız adına hangi sunucuların e-posta gönderebileceğini DNS'te ilan eder. Yanlış yapılandırma, spoofing'e kapı açar.
- DKIM (DomainKeys Identified Mail): Giden e-postaları kriptografik imzayla mühürler, içeriğin değiştirilmediğini kanıtlar.
- DMARC (Domain-based Message Authentication): SPF ve DKIM'i bir politikaya bağlar.
p=nonesadece izler; gerçek koruma içinp=quarantineveyap=rejectgerekir. DMARC raporları, alan adınızı kimin taklit etmeye çalıştığını gösterir.
KAOS, bir kurumun SPF/DKIM/DMARC yapılandırmasını denetleyerek spoofing'e açık zayıflıkları raporlar. Birçok kurumda DMARC ya hiç yoktur ya da p=none ile etkisiz bırakılmıştır.
Diğer Teknik Katmanlar
- E-posta Ağ Geçidi (Secure Email Gateway): Bilinen kötü amaçlı linkleri, ekleri ve sandbox analiziyle şüpheli içeriği filtreler.
- MFA (Çok Faktörlü Kimlik Doğrulama): Kimlik bilgisi çalınsa bile saldırganın hesaba girmesini engeller. Phishing'e dirençli MFA (FIDO2/donanım anahtarı) en güçlü katmandır.
- Dış e-posta etiketleme: Kurum dışından gelen e-postaların başlığına uyarı banner'ı eklemek, taklit saldırılarını gözle yakalanır kılar.
- DNS ve link yeniden yazma: Tıklanan linkleri gerçek zamanlı analiz eden çözümler.
Teknik savunmanın gerçek bir saldırı karşısında nasıl davrandığını görmek için kapsamlı bir sızma testi süreci ve fiyatı değerlendirmesi, oltalama simülasyonunu tamamlar.
E-posta Dışı Sosyal Mühendislik: Vishing ve Fiziksel
Oltalama yalnızca e-postayla sınırlı değildir. Olgun bir program diğer kanalları da test eder.
Vishing (Telefon Tabanlı Sosyal Mühendislik)
Saldırgan telefonla arayıp IT desteği, banka veya tedarikçi taklidi yapar. "Sistemde bir sorun var, şifrenizi doğrulamam gerekiyor" veya "Acil bir ödeme onayı" senaryoları sık görülür. Vishing simülasyonunda yetkili test ekibi, çalışanların telefonda hassas bilgi paylaşıp paylaşmadığını ölçer. Özellikle yardım masası ve finans ekipleri kritik hedeftir, çünkü bu birimler doğası gereği yardımcı olmaya programlıdır.
Fiziksel Sosyal Mühendislik
- Tailgating (Kuyruk takibi): Yetkisiz kişinin yetkili birinin arkasından kapıdan geçmesi.
- USB drop: Otoparka veya lobiye bırakılan, merakla takılan zararlı USB bellekler.
- Kimlik taklidi: Teknisyen, kurye veya temizlik görevlisi kılığında fiziksel erişim.
- Omuz sörfü (shoulder surfing): Açık alanda şifre veya ekran gözetleme.
Bu testler her zaman yazılı yetki ve sıkı kurallar altında yapılır; amaç açığı kanıtlamak, zarar vermek değildir.
Gerçek Senaryo Örnekleri
Programın somutlaşması için birkaç anonim örnek:
- Senaryo A (Maaş Bordrosu): İK adına "Yeni maaş bordronuz hazır, görüntülemek için giriş yapın" e-postası. Otorite + merak. Baseline'da tıklama oranı yüksek çıkar, en öğretici senaryolardandır.
- Senaryo B (Bulut Depolama Paylaşımı): "Bir meslektaşınız sizinle bir belge paylaştı" temalı sahte bulut bildirimi. Sosyal kanıt + benzeme. Kimlik bilgisi hasadını test eder.
- Senaryo C (CEO Acil Talep / Whaling): Muhasebeye CEO adından gelen "Acil, bu hesaba transfer yap, sonra açıklarım" mesajı. BEC saldırılarını birebir taklit eder, finans ekibinin doğrulama refleksini ölçer.
- Senaryo D (QR Park Cezası): Quishing örneği; sahte park cezası QR kodu mobil cihazda açılır, e-posta filtrelerini atlatma riskini gösterir.
Her senaryo sonrası, gerçek saldırganların kullanacağı aynı tekniklerle çalışanlara işaretleri tanımayı öğreten geri bildirim verilir. İç tehdit ve yetkisiz erişimin nasıl yayıldığını anlamak için şirket içi saldırıyı önleme rehberimiz, oltalama sonrası lateral hareket riskini de aydınlatır.
Önemli İstatistikler
- Verizon DBIR, yıllar boyunca ihlallerin büyük bölümünde insan unsurunun (hata, sosyal mühendislik, kötüye kullanım) rol oynadığını ve oltalamanın ilk erişim için en yaygın yollardan biri olduğunu raporlar.
- CISA, sosyal mühendislik ve oltalamanın en sık karşılaşılan saldırı vektörlerinden biri olduğunu ve çalışan farkındalığının kritik bir savunma katmanı olduğunu vurgular.
- ENISA tehdit raporları, oltalamayı yıldan yıla en üst sıralardaki tehditler arasında listeler ve hedefli kampanyaların arttığını belirtir.
- NIST, etkili bir güvenlik programının teknik kontrollerin yanında insan davranışını da kapsaması gerektiğini, farkındalık eğitiminin temel kontrol olduğunu ortaya koyar.
Güncel rakamlar için kaynak bölümündeki birincil raporlara başvurun; oranlar her yıl güncellenir.
Sıkça Sorulan Sorular
Oltalama simülasyonu çalışanları cezalandırmak için mi yapılır?
Hayır. Amaç ceza değil, ölçüm ve eğitimdir. Cezalandırma kültürü, çalışanların hata yaptıklarında saklanmasına ve raporlama oranının düşmesine yol açar. Doğru yaklaşım, tıklayan çalışana anında öğretici geri bildirim vermek ve programı bir öğrenme döngüsü olarak konumlandırmaktır.
Simülasyon KVKK'ya aykırı mı?
Doğru kurgulandığında değildir. Veri minimizasyonu, departman düzeyinde anonim raporlama, üst yönetim yetkisi ve programın varlığının çalışanlara genel olarak duyurulması ile KVKK uyumlu yürütülebilir. Bireysel verilerin saklanmaması ve sözleşmeyle sınırlandırılması esastır.
Ne sıklıkla simülasyon yapılmalı?
Genel kabul, çeyrekte bir (her 4-8 haftada bir kampanya) düzenli simülasyondur. Tek seferlik test kalıcı davranış değişikliği yaratmaz. Süreklilik, farkındalığı taze tutar ve eğitimle güçlendirilen döngü zamanla tıklama oranını düşürüp raporlama oranını yükseltir.
Tıklama oranını sıfıra indirebilir miyiz?
Pratikte hayır; insanlar hata yapar ve mükemmel sıfır oran gerçekçi değildir. Daha gerçekçi ve değerli hedef, tıklama oranını sürekli düşürürken raporlama oranını yükseltmektir. Hızlı raporlama, bir saldırının ilk dakikalarında durdurulmasını sağlar.
KAOS oltalama simülasyonunda tam olarak ne yapar?
KAOS, DSET'in yapay zeka destekli ofansif güvenlik ajanıdır. Oltalama simülasyonunda hedefe özgü (sektör ve role uygun) senaryo üretimini, kampanya takibini ve teknik e-posta güvenliği (SPF/DKIM/DMARC) denetimini destekler. Tüm faaliyetler yazılı yetki ve sözleşme dahilinde yürütülür; gerçek zarar verilmez, kimlik bilgisi saklanmaz.
Simülasyon mu yoksa farkındalık eğitimi mi daha önemli?
İkisi birbirini tamamlar. Eğitim bilgi verir, simülasyon ise o bilginin gerçek baskı altında uygulanıp uygulanmadığını ölçer. Sadece eğitim teorik kalır; sadece simülasyon ise yön göstermez. Etkili program, ölç-eğit-tekrar döngüsünde ikisini birleştirir.
Kaynaklar
- Verizon Veri İhlali Araştırmaları Raporu (DBIR)
- CISA - Avoiding Social Engineering and Phishing Attacks
- ENISA - Avrupa Birliği Siber Güvenlik Ajansı
- MITRE ATT&CK - Phishing (T1566)
- NIST - Cybersecurity
Kurumunuzun insan kaynaklı saldırı yüzeyini ölçmeye ve düşürmeye hazır mısınız? DSET, baseline kampanyadan tekrarlı farkındalık döngüsüne kadar uçtan uca kurumsal oltalama simülasyonu sunar.
DSET Bilişim ve Siber Güvenlik (kuruluş 2003). Kurumsal oltalama simülasyonu, farkındalık ve KAOS desteği için: +90 536 662 38 09.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.