KURUMSAL EĞİTİM, KİMLİK AVI SALDIRISI ÖNLEME KONTROL LİSTESİ

YENİ NESİL KİMLİK AVI (PHISHING) VE SOSYAL MÜHENDİSLİK SAVUNMASI

Siber güvenlik dünyasında teknolojik savunma katmanları ne kadar gelişirse gelişsin, saldırganların "en zayıf halka" olarak nitelendirdiği insan faktörü değişmemiştir. Ancak günümüzde oltalama (phishing) saldırıları, bozuk Türkçeyle yazılmış e-postalardan; Üretken Yapay Zeka (GenAI) destekli, kusursuz dil bilgisine sahip, derin sahte (Deepfake) sesler ve görüntülerle zenginleştirilmiş ultra-gerçekçi sosyal mühendislik operasyonlarına evrilmiştir. Artık bir "güvenlik açığı" kodlarda değil, güven duygusunda ve bilişsel önyargılarımızda aranmaktadır.

Bu eğitim programı, kurum çalışanlarını ve güvenlik profesyonellerini sadece "bilgi sahibi" yapmaz, onları yaşayan bir "İnsan Güvenlik Duvarı" (Human Firewall) seviyesine taşır. Müfredatımız; geleneksel e-posta oltalamalarından, QRishing (QR kod), Smishing (SMS) ve Vishing (Ses) gibi çok kanallı tehdit vektörlerine kadar siber saldırganların kullandığı tüm manipülasyon tekniklerini deşifre eder. Katılımcılar, bir saldırganın zihniyetini anlayarak; aciliyet, korku ve otorite gibi tetikleyicileri nasıl profesyonelce analiz edeceklerini öğrenirler.

Teknik katmanda ise; FIDO2 destekli Passkey'ler, MFA Fatigue (MFA Yorgunluğu) saldırıları ve SPF/DKIM/DMARC gibi gelişmiş e-posta doğrulama protokollerinin modern kurumsal mimarideki rolünü işliyoruz. Sadece "tıklama" demeyi değil; bir mesajın başlık (header) bilgilerini incelemeyi, URL sandbox araçlarını kullanmayı ve olası bir ihlal durumunda "Siber Olay Müdahale" (IR) protokollerini hayata geçirmeyi uygulamalı olarak aktarıyoruz. Zero Trust (Sıfır Güven) felsefesinin dördüncü boyutu olan "insan farkındalığı" bu eğitimin kalbidir.

Vebende Akademi'nin bu programı, kurumunuzun siber dayanıklılığını (Cyber Resilience) artırmak için tasarlanmıştır. Şirket içi güvenlik kültürünü oyunlaştırma (gamification) ve simülasyonlarla destekleyen bu yolculuk, çalışanlarınızın sadece kendilerini değil, şirketin en değerli varlığı olan veriyi korumasını sağlar. Modern siber dünyada en iyi savunma, uyanık bir zeka ve veriye dayalı şüphedir.

EĞİTİM HEDEFİ

Eğitim sonunda katılımcılar; Modern kimlik avı (phishing) vektörlerini (Smishing, QRishing, Business Email Compromise - BEC) tanıyıp kurumsal savunma kurgulayabilir; Üretken Yapay Zeka (GenAI) ile hazırlanan saldırıları ve profesyonel sosyal mühendislik manipülasyonlarını deşifre edebilir; E-posta güvenliğinde SPF, DKIM ve DMARC protokollerini teknik olarak analiz edip domain taklit (spoofing) risklerini önleyebilir; FIDO2, Passkeys ve biyometrik kimlik doğrulama modellerini hayata geçirerek parola tabanlı zafiyetleri ortadan kaldırabilir; şüpheli bir linki veya belgeyi URL Sandbox ve zararlı yazılım analiz araçlarıyla (VirusTotal, Hybrid Analysis) denetleyebilir; üst düzey yöneticileri hedef alan "Whaling" ve "Spear Phishing" saldırılarına karşı özelleştirilmiş savunma stratejileri geliştirebilir; siber olay müdahale (Incident Response) süreçlerini başlatıp ihlalin yayılmasını (containment) durdurabilir ve nihayetinde, kurum içinde sürdürülebilir bir "Siber Güvenlik Kültürü" oluşturarak "en zayıf halkayı" en güçlü savunma katmanına dönüştürebilirler.

EĞİTİM İÇERİĞİ

1. SOSYAL MÜHENDİSLİK PSİKOLOJİSİ VE BİLİŞSEL TETİKLEYİCİLER

• Saldırganın Zihniyeti: Neden teknik açıklar yerine insan zafiyetleri tercih ediliyor? Manipülasyonun 6 temel prensibi.
• Bilişsel Önyargılar (Cognitive Biases): Otoriteye güven, aciliyet hissi, merak ve kıtlık duygularının siber saldırılarda kullanımı.
• Bilgi Toplama (OSINT): Sosyal medya ve kurumsal web sitelerinden hedef profilleme teknikleri ve korunma yolları.
• Pretexting: Sahte senaryo oluşturma sanatında profesyonel yaklaşımlar ve güven inşası.

2. YAPAY ZEKA DESTEKLİ PHISHING VE MODERN TEHDİTLER

• GenAI ve Oltalama: LLM'lerin (ChatGPT vb.) kusursuz, ikna edici ve çok dilli saldırı mesajları üretimindeki rolü.
• Deepfake Saldırıları: Ses ve görüntü taklidi (Vishing 2.0) ile yapılan finansal dolandırıcılıklar ve tespit yöntemleri.
• QRishing (QR Code Phishing): Zararlı QR kodlar ile mobil cihazların ele geçirilmesi ve sahte ödeme sayfalarına yönlendirme.
• Smishing (SMS) ve Instant Messaging: WhatsApp ve Telegram üzerinden yapılan kurumsal sızma girişimleri.

3. İLERİ E-POSTA GÜVENLİĞİ VE TEKNİK DOĞRULAMA (ANTI-SPOOFING)

• SPF (Sender Policy Framework): Domain adına hangi sunucuların mail atabileceğini DNS katmanında tanımlama.
• DKIM (DomainKeys Identified Mail): Dijital imzalama ile mesaj bütünlüğünün (integrity) korunması ve doğrulanması.
• DMARC Masterclass: 'Reject' ve 'Quarantine' politikaları ile domain taklitlerini (spoofing) kalıcı olarak engelleme.
• BIMI (Brand Indicators): Görsel marka doğrulaması ile kullanıcı güvenini artırma ve oltalama direncini güçlendirme.

4. KİMLİK VE ERİŞİM YÖNETİMİ (IAM) SAVUNMASI

• MFA vs MFA Fatigue: Klasik SMS kodlarının zafiyetleri ve onay yorgunluğu saldırılarına karşı önlemler.
• FIDO2 ve Passkeys: Parolasız dünya; donanımsal güvenlik anahtarları (Security Keys) ve siber saldırıya dirençli auth.
• Zero Trust Access: "Asla Güvenme, Daima Doğrula" felsefesiyle cihaz ve konum tabanlı erişim kontrolü.
• Privileged Access Management (PAM): Kritik yetkili hesapların (Admin) phishing sonrası korunması stratejileri.

5. BEC (BUSINESS EMAIL COMPROMISE) VE WHALING SAVUNMASI

• CEO Fraud Seansları: Üst düzey yönetici taklidi ile yapılan fatura ve ödeme dolandırıcılıklarının analizi.
• Supply Chain Phishing: Tedarikçiler üzerinden gelen güvenilir görünümlü saldırıların tespiti ve yönetimi.
• Fatura ve Maaş Talebi Dolandırıcılığı: Muhasebe ve İK birimlerini hedef alan senaryoların deşifre edilmesi.
• Vekalet ve Yetki Kontrolü: Kritik işlemlerde "Gözden Geçirme" ve "Çift Onay" mekanizmalarının kurulması.

6. TEKNİK ANALİZ: HEADER VE URL FORENSICS

• Mail Başlığı (Header) İnceleme: Geri dönüş adresleri (Return-Path), X-Headers ve IP izi takibi.
• URL Analiz ve Obfuscation: Link kısaltıcılar, Punycode (homograph) saldırıları ve gizli yönlendirmeleri deşifre etme.
• Sandbox Kullanımı: Şüpheli dosyaları izole ortamlarda (Cuckoo, Any.Run) güvenli bir şekilde çalıştırma ve davranış analizi.
• IOC (Indicator of Compromise) Paylaşımı: Kurum içi ve dışı tehdit istihbaratı ağlarına entegrasyon.

7. SİBER OLAY MÜDAHALE (INCIDENT RESPONSE) PROTOKOLLERİ

• Olay Tespiti ve Raporlama: Çalışanlar için "Raporla" butonu ve SOC (Security Operations Center) entegrasyonu.
• Karantina ve Temizlik: Sızan hesapların dondurulması, oturumların sonlandırılması ve zararlı içeriğin silinmesi.
• Hasar Tespiti ve Forensics: Saldırganın iç ağda ne kadar ilerlediğinin (Lateral Movement) analizi.
• Legal ve Regülatif Süreç: KVKK kapsamında veri ihlali bildirim yükümlülükleri ve raporlama takvimi.

8. GÜVENLİK KÜLTÜRÜ VE OYUNLAŞTIRILMIŞ SİMÜLASYONLAR

• Phishing Simulation Tasarımı: Çalışanları cezalandırmayan, eğitmeye odaklı "Oltalama Testleri" planlama.
• Metric Selection (KRIs): Tıklama oranı değil, raporlama oranının başarı kriteri olarak belirlenmesi.
• Security Awareness Awareness: Farkındalık eğitimlerini sıkıcılıktan kurtaracak yaratıcı içerik geliştirme.
• Incentive Programs: Başarılı raporlama yapan "Güvenlik Şampiyonları" oluşturma ve ödüllendirme.

9. CİHAZ VE UÇ NOKTA (ENDPOINT) KORUMASI

• EDR/XDR Entegrasyonu: Uç noktalarda oltalama odaklı dosya ve URL koruma mekanizmaları.
• Browser Isolation: Web trafiğini bulut tabanlı izole konteynerlarda çalıştırma ve veri sızıntısını önleme.
• Mobile Device Management (MDM): Şirket telefonlarında Smishing ve QRishing koruma politikaları.
• DLP (Data Loss Prevention): Kimlik bilgilerinin sahte sitelere girilmesini engelleyen içerik filtreleme.

10. KURUMSAL SİBER HİJYEN VE GELECEK PERSPEKTİFİ

• Digital Footprint Management: Şirketin dijital ayak izini küçültme ve maruziyet analizi.
• Passkey Geçiş Yol Haritası: Geleneksel parolalardan aşamalı olarak kurtulma stratejileri.
• AI v AI Savunması: Saldırı AI'larına karşı savunma AI'larının (Detectors) kullanımı.
• Kariyer ve Uzmanlık: "Security Awareness Manager" rolü ve global sertifikasyon yolları (SANS, ISC2).

EĞİTİM YÖNTEMİ

• Live Phishing Simulation: Eğitim başında anonim bir test yapılır, sonunda ise aynı testin farkındalık artışı ölçülür.
• Header Forensics Lab: Katılımcılar, gerçek oltalama mail başlıklarını analiz ederek "gerçek göndericiyi" tespit ederler.
• Deepfake Detection Workshop: Yapay zeka ile üretilmiş ses ve görüntülerin nasıl deşifre edileceği uygulamalı gösterilir.
• Incident Response Roleplay: Bir ihlal senaryosunda IT, İK ve Hukuk birimlerinin nasıl koordine olacağı simüle edilir.
• Sandbox Testing: Malware içeren dosyaların izole ortamlarda teknik analizi katılımcılarla birlikte yapılır.

HEDEF KİTLE

BİLGİ GÜVENLİĞİ VE CISO EKİPLERİ

• Kurumsal savunma stratejilerini "insan" odaklı geliştirmek ve modern tehdit vektörlerini (FIDO2, AI Phished) sisteme entegre etmek isteyen profesyoneller.

İNSAN KAYNAKLARI (HR) VE KURUMSAL İLETİŞİM

• Şirket içi güvenlik kültürünü oluşturmak, eğitim süreçlerini yönetmek ve çalışan farkındalığını artırmakla sorumlu yöneticiler.

KRİTİK BİRİM ÇALIŞANLARI (FINANS, IT, YÖNETİM)

• "Whaling" ve "BEC" saldırılarının birincil hedefi olan, yüksek yetkili hesapları ve finansal süreçleri yöneten personel.

BT SİSTEM VE AĞ YÖNETİCİLERİ

• DMARC, SPF ve Proxy gibi teknik guardrail'leri kurmak ve ihlal anında siber olay müdahalesi yapmakla görevli teknik ekipler.

KATILIMCILARDAN BEKLENTİLERİMİZ

• Siber Hijyen Temelleri: Temel bilgisayar ve internet kullanımı; kurumsal e-posta sistemlerine aşinalık.
• Profesyonel Şüphecilik: Gelen her iletiyi, kaynağı ne olursa olsun kritik gözle değerlendirme motivasyonu.
• İş Birliği Odaklılık: Güvenlik açıklarını bir "suc" değil, bir "ogrenme" fırsatı olarak raporlama disiplini.
• Teknoloji Merakı: Yapay zeka ve modern kimlik doğrulama yöntemlerini anlama ve uygulama isteği.
• Dürüst Geri Bildirim: Simülasyonlar ve testler sırasında yapılan hataları şeffafça paylaşarak kurumsal gelişime katkı sağlama.