Merhaba, Osman Bey'in bahsettiği BGA Blog sayfasında yayınlanan "Hedef Odaklı Saldırılarda İş İlanlarından Faydalanmak" adlı yazısını aşağıda ki linkte bulabilirsiniz.
https://www.bgasecurity.com/2016/09/hedef-odakli-saldirilarda-is-ilanlarindan-faydalanmak/ Saygılarımla, İyi Çalışmalar. İbrahim AKCAVLI 24 Kasım 2016 00:34 tarihinde Osman Samutoglu <[email protected]> yazdı: > Merhaba, > > Bu fikir alışverişini tetikleyen iş ilanının makul olduğunu düşünüyorum. > Genel olarak her bankada var olan cihazlar, marka, model detayı içermeden > işaret edilmiş ve ilgilenenlerden özgeçmiş isteniyor. İlan sahibi kurum > açısından önemli olan gereksiz/fazla bilgi vermeden derdini anlatmak. > (Yakın zamanda yanılmıyorsam BGA'nın bir SlideShare paylaşımında ya da > Huzeyfe Önal'ın bir tweet'inde "iş ilanları üzerinden hedef şirketin > saldırgan açısından işe yarar bir istihbaratının yapılabilmesi" riskiyle > ilgili bilgilendirme vardı.) > > İlgilenen aday açısından da, yukarıda sorgulanan 'kişisel bilgi güvenliği' > bakımından da CV'nin kime gittiğinin gerçek bir sorun olacağını sanmıyorum. > CV içeriği kişinin kendi reklamını yapmaya odaklı oluşturulmuş olmalı zira. > (Terim kullanacak olursak zaten "public" veri içermeli.) > > Gerek bu yazışmada, gerekse grup içerisindeki diğer yazışmalarda, e-mail > imzasında, sahibinin "yetki seviyesini" çözümlemeye" yetecek kadar > pozisyon/unvan bilgisine, şirket ismine yer verenler, bunu bir de 'cep > telefonu numarası' ile taçlandırıp, public bir linkedin profiline sahip > olanlar var. Bunlar varken, CV'sini tanımadığı mail adresine gönderenin > CV'sini ayırır, kenara koyarım demek çok adil gelmedi bana. Kaldı ki e-mail > imzasında bol bilgiye yer verene de yapılmamalı. Tek gerekçe olabilecek > kadar güçlü bir parametre yok ortada. İlan içeriği düzgün gelmiştir, ilanı > gönderenin linkedin profiline ve gruptaki eski maillerine bakarak teyit > etmiştir, aynı ilanı public bir ilan sitesinde görmüştür vs. > > Biz güvenlik dünyasının içinde olup saçma sapan ihlallerden, ihmallerden > ve bilinçsizliklerden haber aldıkça ve tehditlerin yeteneklerindeki artışa > şahit oldukça paranoya eşik seviyemiz düşüyor belki biraz. :) > > On Wed, Nov 23, 2016, 15:58 Murat Gezer <[email protected]> wrote: > >> Tekradan merhaba, >> >> Mustafa bey; "Bilgi güvenliğinde en zayıf nokta her zaman için >> çalışanlar" denmektedir. Ancak benim düşündüğüm nokta buradan gönderilen CV >> sonuçu işe alınan eleman değil. >> Aslında benim dikkatimi çeken nokta şu xyz@public bir e-posta >> adresinden halka açık ve herkesin üye olabileceği bir listeye uzmanlık >> istenen bir konuda iş ilanı atılması ve özellikle Bilgi güvenliğinde kritik >> iş kolllarından biri olan sektörde çalıştığını ima eden bir şahsın >> ilanına başvuran olurmu? Başvuran olursa o başvuran kişinin ne kadar uzman >> olduğunu düşünebiliriz. >> >> Burada daha öncede bir çok iş ilanı geldi ancak dikkatimi çeken bu >> ilanları veren kişilerin çoğunun CV leri kurumsal postalarına veya kurumsal >> iş bulma sitelerine yönelndirmeleriydi. >> Eğer konu güvenlik ise ben iş veren olarak buradan benim public epostama >> gelecek CV leri yana koyardım. Çünkü cevap veren kişi aslında sahte bir >> ilan kurbanı olup CV geönderip sonra yapılacak sözde çevrimiçi görüşmeler >> ile tuzağa düşürülme riskine sahiptir. >> >> Daha önce dediğim gibi bu yazdıklarım sadece böyle gelen bir epostadan >> sonra aklıma gelen senaryolar. Belkide bir çok arkadaşın kafasında yeni >> soru işaretleri uyandıracak birer nokta. >> >> Bir yazılımcı/sistemci vs vs arıyorsanız bana göre public epostası >> yeterli olur gibi geliyor ama Kritik bir iş olan Bilgi Güvenliğinde >> başvuracak adayında tuzaklara karşı dikkatli olması lazım. >> >> >> herkese kolay gelsin >> >> >> not: amaç burada kavga vs değil sadece beyin fırtınası. Dediğim gibi işin >> uzmanı vs vs değilim. >> >> >> 2016-11-23 14:49 GMT+03:00 Fevzi Özyurt <[email protected]>: >> >> Merhabalar, >> >> >> >> Keşke bu konuya dönüş Mustafa Bey’ den önce uzman bir >> arkadaş tarafından sosyal mühendislik kavramları içerisinde olsaydı da ... >> Bizde tatbikat izler gibi heyecanla karşılıklı mail’ leri izleseydik... Ahh >> ahh J >> >> >> >> *Not: Mail’ i ilk gördüğümde içimden geçirdiklerimi >> paylaşmak istedim. >> >> >> >> *Saygılarımla / Best Regards* >> >> >> >> *Fevzi ÖZYURT* >> >> İletişim Ağları ve BT Güvenlik Uzmanı / Network and IT Security Specialist >> >> İletişim Ağları ve BT Güvenlik Çözüm ve Hizmetleri / Network and Security >> Solutions and Services Unit >> >> >> >> *Bilgi Gizlilik Sınıflandırması* : *Genel Paylaşım* >> *Information Confidentiality* : *Public Use* >> >> >> >> *From:* Liste [mailto:[email protected]] *On Behalf Of *Mustafa >> Ekim >> *Sent:* Wednesday, November 23, 2016 2:25 PM >> *To:* [email protected] >> *Subject:* Re: [NetsecTR] İş İlanı >> >> >> >> Murat Bey'in yazdıkları ilginç bir bakış açısı bence de. >> >> >> >> Benim aklıma ise şu geliyor, eğer birisi bir bankaya saldırmak isterse en >> güzel yöntem herhalde önce içeri girmek olurdu. Zira Obama döneminde >> güvenlik artık içerde (firewall içi) veya dışarda her noktaya bu yüzden >> taşındı diye düşünüyorum. >> >> >> >> Bu bağlamda, acaba Yurtdışında da bankalar güvenlik uzmanlarını bu tür >> açık ilanlar ile mi işe alıyor? Sanki bir aracı olması gerekiyor gibi >> düşünüyorum. X bankası güvenlik elemanı işe alacak diye ilan çıkılması >> kulağa garip geliyor. >> >> >> >> Teşekkürler, >> >> >> -- >> >> Mustafa Ekim >> >> -- >> >> >> >> 2016-11-23 12:40 GMT+03:00 Murat Gezer <[email protected]>: >> >> Merhaba, >> >> >> >> her ne kadar sadece dinleyici olarak netSecTR ye katıldıysamda. Aklıma >> gelen bir soru nedeniyle yazdım Devrim bey bu sizinle ilgili bir konu değil >> sadece beyin fırtınası o yüzden yazdıklarımdan üstünüze alınmayın. >> >> >> >> Problem: >> >> >> >> Bir banka çalışma arkadaşı arıyor hemde konu Güvenlik >> >> >> >> Ben bir vatandaş a olarak böyle bir kurumda tabiki çalışmak isterim. >> >> >> >> Ancak zaten X kuruluşunda çalışıyorum ve bu ilan ilgimi çekiyor CV mi bir >> gruptan mail yolu ile bana özelden gönderin demekte olan sadece adını >> soyadını öğrendiğim b isimli kişiye göndermem ne kadar Risk taşır. >> >> Bu tarz bir sosyal mühendislik yapılamazmı? >> >> >> >> Cünkü Adını Soyadı ve e -posta adresi kurum olmayan bu b kişisine neden >> göndermeliyim. >> >> Ayrıca ben b kişisi olsam ve gerçekten bu bankanın Bilgi Güvenliğinin >> başındaki kişi olsam bana sırf bir listeye (bu liste herkese açık herkes >> üye olabilir ve posta gönderebiliyor moderasyonu yok) e-posta attım ve CV >> gönderdi diye güvenlik te çalışacak eleman alırmıyım. >> >> >> >> >> >> >> >> Dediğim gibi uzun uzun maddeler ekleyebilirim ama be sadece pratik yapmak >> için yazdım. Ben sadece Bilgi Güvenliği konusunda sizleri izleyen ve makale >> okuyup nacizane dersimde anlatan bir kişiyim. >> >> >> >> Saygılarımla >> >> >> >> >> >> Murat Gezer >> >> >> >> not: Bilgi güvenliği uzmanıyım anlarım vs vs demiyorum sadece ilgimi >> çekti konu >> >> >> >> >> >> >> >> >> >> 2016-11-23 10:38 GMT+03:00 Devrim Kalmaz <[email protected]>: >> >> Merhaba >> >> >> >> QNB Finansbank/IBTECH altyapı güvenlik birimi için çalışma arkadaşı >> arıyoruz. >> >> >> >> İş tanımında hem tasarım hem operasyon/nöbet bulunmaktadır. >> >> >> >> Minimum 5 yıl deneyim gereklidir. >> >> >> >> Ana başlıklar: >> >> Firewall >> >> IPS/IDS >> >> EMail Security >> >> Uzaktan Erişimler/VPN >> >> DNS >> >> Web Security >> >> Endpoint Security >> >> DDOS >> >> >> >> CV nizi özelden benimle paylaşabilirsiniz. >> >> >> >> İyi çalışmalar >> >> >> --------------------------------------- >> >> Siber Güvenlik Kış Kampı Başvuruları Açıldı! >> >> http://siberkamp.eventbrite.com/ >> >> >> >> >> >> -- >> >> Öğr. Gör. Dr. Murat Gezer >> İstanbul Üniversitesi >> Enformatik Bölümü >> >> 16 Mart Sehitleri Cad. No 22/24 Vezneciler 34134 ISTANBUL/TURKEY >> Tel(Ofis): 44000000/12335 >> E-mail: [email protected] [email protected] >> Web : http://www.muratgezer.com >> https://www.researchgate.net/profile/Murat_Gezer >> >> >> --------------------------------------- >> >> Siber Güvenlik Kış Kampı Başvuruları Açıldı! >> >> http://siberkamp.eventbrite.com/ >> >> >> Bu e-posta mesaji kisiye özel olup, gizli bilgiler iceriyor olabilir. >> Eger bu e-posta mesaji size yanlislikla ulasmissa, icerigini hic bir >> sekilde kullanmayiniz ve ekli dosyalari acmayiniz. Bu durumda lutfen >> e-posta mesajini kullaniciya hemen geri gonderiniz ve tum kopyalarini >> mesaj kutunuzdan siliniz. Bu e-posta mesaji, hic bir sekilde, herhangi bir >> amac icin cogaltilamaz, yayinlanamaz ve para karsiligi satilamaz. Bu >> e-posta mesaji viruslere karsi anti-virus sistemleri tarafindan >> taranmistir. Ancak yollayici, bu e-posta mesajinin - virus koruma >> sistemleri ile kontrol ediliyor olsa bile - virus icermedigini garanti >> etmez ve meydana gelebilecek zararlardan dogacak hicbir sorumlulugu kabul >> etmez. >> This message is intended solely for the use of the individual or entity >> to whom it is addressed , and may contain confidential information. If you >> are not the intended recipient of this message or you receive this mail in >> error, you should refrain from making any use of the contents and from >> opening any attachment. In that case, please notify the sender immediately >> and return the message to the sender, then, delete and destroy all copies. >> This e-mail message, can not be copied, published or sold for any reason. >> This e-mail message has been swept by anti-virus systems for the presence >> of computer viruses. In doing so, however, sender cannot warrant that >> virus or other forms of data corruption may not be present and do not take >> any responsibility in any occurrence. >> >> --------------------------------------- >> >> Siber Güvenlik Kış Kampı Başvuruları Açıldı! >> >> http://siberkamp.eventbrite.com/ >> >> >> >> >> -- >> Öğr. Gör. Dr. Murat Gezer >> İstanbul Üniversitesi >> Enformatik Bölümü >> >> 16 Mart Sehitleri Cad. No 22/24 Vezneciler 34134 ISTANBUL/TURKEY >> Tel(Cep): 05062764026 >> >> Tel(Ofis): 44000000/12335 >> E-mail: [email protected] [email protected] >> Web : http://www.muratgezer.com >> https://www.researchgate.net/profile/Murat_Gezer >> --------------------------------------- >> >> Siber Güvenlik Kış Kampı Başvuruları Açıldı! >> >> http://siberkamp.eventbrite.com/ > > > --------------------------------------- > > Siber Güvenlik Kış Kampı Başvuruları Açıldı! > > http://siberkamp.eventbrite.com/ >
--------------------------------------- Siber Güvenlik Kış Kampı Başvuruları Açıldı! http://siberkamp.eventbrite.com/
