istenmeyen e-posta
Kısa süre önce, Brezilyalı büyük bir şirket bir olayı araştırmak için yardımımızı istedi. Sorunun temelinde siber suçluların çalışanların adreslerini kullanarak istenmeyen e-postaları yaymaya başlaması vardı. Yani genelde yaptıkları gibi yasal göndericilere benzemeye çalışmıyorlar, mesajlarını doğrudan şirketin posta sunucusu aracılığıyla gönderiyorlardı. Detaylı bir incelemeden sonra saldırganların eylem planını tam olarak belirledik.
Saldırı planı
Öncelikle dolandırıcılar, şirket çalışanlarına kimlik avı e-postaları gönderiyorlar. Bu e-postalarda kullanıcılara herhangi bir nedenle posta kutularının erişime kapatılacağı söyleniyor ve hesap bilgilerini güncellemek için bir bağlantıya tıklamaları isteniyor. Elbette bu bağlantı, kullanıcıları sistem oturum açma bilgilerini isteyen bir kimlik avı formuna yönlendiriyor.
Çeviri: Sayın kullanıcı, okunmayan çok sayıda mesaj olduğu için bu posta kutusu silinecektir. Bunu önlemek için buraya tıklayarak hesabınızı güncelleyin. Bu sorun için özür dileriz. Sistem yöneticisi.
Saldırının kurbanları formu doldurarak dolandırıcıların posta hesaplarına tam yetkiyle erişmesine izin veriyor. Dolandırıcılar, ele geçirilen hesaplardan istenmeyen e-postalar göndermeye başlıyor. Bunun için zaten meşru olan teknik başlıkları değiştirmeye bile gerek duymuyorlar. Dolayısıyla güvenli oldukları bilinen sunuculardan gönderilen bu e-postalar filtrelerin dikkatini çekmiyor.
Siber suçlular, posta kutularını ele geçirdikten sonra diğer e-posta dalgasını başlatıyor. Bu dalgada dolandırıcılar, “Nigerian spam” tekniğini kullanarak farklı dillerde yazılan e-postalar gönderiyor (Bu e-postalar teoride karaborsada satılan ilaç tekliflerinden kötü amaçlı yazılımlara kadar her şeyi içerebilir).
Örnek “Nigerian spam” mesajı
Analizde Brezilyalı şirketin tek kurban olmadığı ortaya çıktı. Aynı mesaj, çeşitli resmi kuruluşların ve kâr amacı gütmeyen kuruluşların adreslerinden de büyük miktarlarda gönderilmişti. Bu durum mesajların güvenlik itibarını daha da artırıyordu.
Saldırının sonuçları
Sunucularınızın dolandırıcılık teklifleri göndermek için kullanılması kulağa hiç iyi gelmiyor. Saldırganlar bu tekliflerden vazgeçip kötü amaçlı yazılımlarını yaymaya karar verirse şirketinizin itibarı yok olabilir.
Ancak karşılaşabileceğiniz sonuçlar bunlarla da kalmıyor. Çalışanların posta kutularına giriş bilgilerinin etki alanı kullanıcı adı ve parolası ile aynı olması sık karşılaşılan bir durum. Yani çalınan giriş bilgileri, diğer kurumsal hizmetlere erişim kazanmak için de kullanılabilir.
Ayrıca siber suçlular, saygın bir kuruluşta çalışan kişinin posta kutusuna erişim sağladıktan sonra bu kişinin çalışma arkadaşlarına, işletmenin iş ortaklarına veya resmi yetkililere hedefli bir saldırı gerçekleştirebilir. Bu tür saldırılarda kurbanı gerekli tüm işlemleri yapmaya ikna etmek birinci sınıf sosyal mühendislik becerileri gerektirdiğinden bu saldırıları yapmak oldukça zordur ancak gerçekleştiklerinde oluşturdukları zararlar tahmin edemeyeceğiniz kadar ciddi olabilir.
Bu tür dolandırıcılık saldırıları, kurumsal e-postaların ele geçirilmesi (BEC) olarak adlandırılır ve etkilenen şirketlerin başını ciddi anlamda ağrıtabilir. Bu saldırılarda temel amaç hesap verilerinin, finansal belgelerin ve diğer gizli bilgilerin sahte gönderici tarafından yazışma yoluyla ele geçirilmesidir. BEC mesajları, doğru başlıklara ve konuyla alakalı içeriklere sahip olduğundan bu mesajları tespit etmek oldukça zordur.
Şirketinizi ve çalışanlarınızı nasıl koruyabilirsiniz?
Şirketinizin itibarını korumak ve kötü niyetli bir spam göndericisi olarak algılanmanın önüne geçmek için güvenilir bir koruma çözümü kullanarak hem posta sunucularında hem de çalışan iş istasyonlarında kimlik avı girişimlerini tespit edebilirsiniz. Sezgisel antispam veritabanlarını ve kimlik avı saldırısına karşı koruma bileşenlerini düzenli olarak güncellemenin kritik önem taşıdığını belirtmeye bile gerek yok.
İpuçları