BEC saldırılarıyla nasıl başa çıkılır?

Dünya çapındaki şirketler düzenli olarak şirket e-posta dolandırıcılığı (BEC) saldırılarına maruz kalıyor. Bu yazıda bu tehlikeyi ve nasıl en aza indirileceğini anlatıyoruz.

Siber suçlular sürekli olarak şirketlere saldırmanın yeni yollarını arıyorlar. Son birkaç yılda, kurumsal yazışmaları hedef alan şirket e-posta dolandırıcılığı (BEC) saldırılarına giderek daha fazla başvurdular.

ABD İnternet Suçları Şikayet Merkezi (IC3) sadece 2019 yılında FBI’a bildirilen 23,775 benzer vaka olduğunu bildirdi; bu 2018’den bu yana vakalarda 3500, zararda ise 1,2 milyar USD’den 1,7 milyar USD’ye artış olduğunu gösteriyor.

BEC saldırısı nedir?

BEC saldırısı, aşağıdaki yolları kullanarak çalışanı hedef alan bir siber suç saldırısı olarak tanımlanır:

  1. Bir şirket çalışanı ile e-posta alışverişi başlatarak veya mevcut bir şirket e-posta hesabını ele geçirerek;
  2. Çalışanın güvenini kazanarak;
  3. Şirketin veya müşterilerinin çıkarları için zararlı eylemleri teşvik ederek.

Genellikle eylemler suçluların hesaplarına para transfer etmek veya gizli dosyalar göndermekle ilgili olsa da durum her zaman böyle olmayabilir. Örneğin, uzmanlarımız kısa bir süre önce, bir şirketin CEO’sundan gelmiş gibi görünen ve bazı telefon numaralarına kısa mesajlarda hediye kartı kodları gönderme talimatları içeren bir istekle karşılaştı.

BEC teşebbüsleri genellikle kimlik avı tarzı hileler kullanıyor olsa da, bu saldırı biraz teknolojik uzmanlık, biraz da sosyal mühendislik kullanıyordu. Ayrıca, kullanılan teknikler de kendine hastı: İletiler kötü amaçlı bağlantılar veya ekler içermiyordu, ancak saldırganlar posta istemcisini ve dolayısıyla alıcıyı e-postanın hakiki olduğuna ikna etmeye çalışıyordu. Başrolde sosyal mühendislik vardı.

Tipik olarak saldırıdan önce mağdurla ilgili verilerin dikkatli bir şekilde toplanıyordu; fail daha sonra bunları kurbanın güvenini kazanmak için kullanıyordu. Yazışma iki veya üç mesajdan da oluşabiliyor, birkaç ay da sürebiliyordu.

Bu örneğin yanı sıra, çeşitli senaryoları ve teknolojileri birleştiren çok aşamalı BEC saldırıları da bahsetmeye değer. Örneğin, siber suçlular önce hedef odaklı kimlik avı kullanarak sıradan bir çalışanın kimlik bilgilerini çalabilir ve daha sonra şirketin üst düzey bir çalışanına saldırı düzenleyebilir.

Yaygın BEC saldırısı senaryoları

Zaten oldukça çok sayıda BEC saldırı senaryosu var; bununla birlikte siber suçlular sürekli yenilerini de icat ediyor. Gözlemlerimize göre, çoğu vaka dört saldırı çeşidinden birine giriyor:

  • Sahte dış taraf. Saldırganlar, alıcının şirketinin birlikte çalıştığı bir kuruluşun temsilcisini taklit ediyor. Bu, bazen mağdur firmanın gerçekten de iş yaptığı gerçek bir şirketin temsilcisi olabiliyor. Diğer vakalarda ise siber suçlular, sahte bir şirketi temsil ediyormuş gibi davranarak saf ve dikkatsiz kurbanları kandırmaya çalışıyorlar.
  • Patrondan talimatlar. Burada, siber suçlular teknik hileler veya sosyal mühendislik kullanarak (genellikle yüksek rütbeli) bir yönetici adına sahte bir mesaj oluşturuyor.
  • Bir avukatın mesajı. Dolandırıcılar, yüksek rütbeli bir çalışandan (hatta bazen CEO’dan) acilen ve her şeyden önce gizli olarak bir takım fonlar veya hassas bilgiler talep ediyorlar. Genellikle, dışarıdan bir muhasebeci, tedarikçi veya lojistik şirketi gibi bir yükleniciyi taklit ediyorlar. Bununla birlikte, acil ve gizli yanıt gerektiren çoğu durum yasal nitelikte olduğu için mesajlar genellikle bir avukat veya hukuk firması adına gönderiliyor.
  • E-posta korsanlığı. Davetsiz misafir, çalışanın postasına erişim kazanıyor ve ya para transferi ya da veri gönderme talimatı veriyor veya bunları yapmaya yetkili kişilerle bir yazışma başlatıyor. Bu seçenek özellikle tehlikeli, çünkü saldırgan giden kutusundaki iletileri de görüntüleyebildiği için çalışanın iletişim stilini kolayca taklit edebiliyor.

BEC saldırı teknikleri

BEC saldırıları teknolojik açıdan da gelişiyor. 2013’te CEO’ların veya CFO’ların ele geçirilmiş e-posta hesaplarını kullanıyorlardı, bugün ise teknik hileler, sosyal mühendislik ve kurbanın dikkatsizliğinin bir birleşimini kullanarak bir başkasını başarıyla taklit etmeye dayalı yöntemleri daha çok kullanıyorlar. İşte kullandıkları temel teknik püf noktaları:

  • E-posta gönderen kimliği sahtekarlığı. Dolandırıcı, sahte posta başlıkları kullanır. Bunun sonucunda, örneğin, phisher@email.com adresinden gönderilen bir mesaj, kurbanın gelen kutusunda CEO@sirketiniz.com’dan geliyor gibi görünebilir. Bu yöntemin birçok varyasyonu vardır ve farklı başlıklar çeşitli şekillerde değiştirilebilir. Bu saldırı yönteminin başlıca tehlikesi, yalnızca saldırganların ileti başlıklarını manipüle etmesinin yanı sıra, çeşitli nedenlerle meşru gönderenlerin de bunu yapabilmesidir.
  • Benzer alan adları. Siber suçlu, kurbanınkine çok benzeyen bir alan adı kaydeder. Örneğin, example.com yerine examp1e.com gibi. Daha sonra, dikkatsiz bir çalışanın sahte alan adını tespit edemeyeceği umuduyla CEO@examp1e.com adresinden mesajlar gönderir. Buradaki zorluk, saldırganın gerçekte sahte alana sahip olmasından kaynaklanmaktadır; bu nedenle gönderen hakkındaki bilgiler tüm geleneksel güvenlik kontrollerini geçecektir.
  • E-posta kötüye kullanımı. E-posta istemcilerinde her zaman yeni güvenlik açıkları bulunabilir. Bunlar bazen istemciyi yanlış ad veya gönderen adresi görüntülemeye zorlamak için kullanılabilir. Neyse ki, bu tür güvenlik açıkları hızlı bir şekilde bilgi güvenliği şirketlerinin dikkatini çeker ve güvenlik çözümlerinin kullanımlarını izleyerek saldırıları önlemelerini sağlar.
  • E-posta korsanlığı. Saldırganlar bir posta hesabına tam erişim elde eder, bunun üzerine gerçek hesaplardan neredeyse ayırt edilemeyen mesajlar gönderebilirler. Bu tür saldırılara karşı otomatik olarak korunmanın tek yolu, e-postaların yazarlığını belirlemek için makine öğrenimi araçlarını kullanmaktır.

Karşılaştığımız vakalar

Müşterilerimizin gizliliğine saygı duyuyoruz, bu yüzden aşağıdakiler gerçek mesajlar değil, yalnızca yaygın görülen bazı BEC olasılıklarını temsil eden örnekler.

Yanlış ad

Saldırgan, patronuymuş gibi yaparak potansiyel bir kurbanla temas kurmaya çalışır. Alıcının gerçek kıdemli memurla iletişim kurmaya çalışmaması için dolandırıcı, hem talebin aciliyetini hem de patrona diğer iletişim kanalları aracılığıyla erişmenin mümkün olmadığını vurgular:

Dikkatlice bakarsanız gönderenin adının (Bob) gerçek e-posta adresi ile uyuşmadığını fark edebilirsiniz (not_bob@gmail.com). Bu durumda, saldırgan yalnızca ileti açıldığında görüntülenen adı taklit eder. Bu saldırı türü, varsayılan olarak adreslerini değil, yalnızca gönderenin adını görüntüleyen mobil cihazlarda etkilidir.

Sahte adres

Muhasebe’den banka bilgilerini değiştirmeye yetkili bir çalışan arayan siber suçlu, şunları yazar:

Burada, ileti başlığı değiştirilir, böylece istemci meşru çalışanın hem adını hem de e-posta adresini görüntüler, ancak saldırganın e-postası yanıtın gönderileceği adresi olarak verilir. Sonuç olarak, bu iletiye verilen yanıtlar, not_bob@gmail.com adresine gider. Birçok istemci varsayılan olarak yanıtlama alanını gizler, bu nedenle bu ileti yakın denetimde bile orijinalmiş gibi görünür. Teorik olarak, böyle bir mesajı kullanan bir saldırı, kurumsal posta sunucusunda SPF, DKIM ve DMARC doğru yapılandırılarak durdurulabilir.

Hayalet Kimlik Sahtekarlığı

Yönetici gibi davranan saldırgan, çalışanı sahte bir avukatla işbirliği yapılması gerektiğine ikna eder; bu avukat kısa bir süre içinde çalışanla iletişim kuracaktır:

Burada, gönderen alanı yalnızca adı değil, aynı zamanda sahte e-posta adresini de içerir. Bu hile, en ileri teknikleri kullanmasa da, özellikle de gerçek adres alıcının ekranında görüntülenmiyorsa (örneğin, sadece çok uzun olduğu için) birçok kişi bu tuzağa düşer.

Benzer alan adı

Başka bir siber suçlu, bir şirket çalışanı ile e-posta alışverişi başlatmaya çalışır:

Bu, yukarıda bahsettiğimiz benzer alan adı yöntemine bir örnek. Dolandırıcı, önce güvenilir olana benzer bir alanı adı alır (bu durumda example.com yerine examp1e.com ) ve alıcının aradaki farka dikkat etmeyeceğini umar.

Yüksek profilli BEC saldırıları

Birçok yeni haber, çeşitli şekil ve büyüklükteki şirketlere ciddi zarar veren BEC saldırılarına dikkat çekiyor. İşte en ilginçlerinden bazıları:

  • Bir siber suçlu, Tayvanlı bir elektronik üreticisininkini taklit eden bir alan adı oluşturduktan sonra iki yıl boyunca bu alan adını (Facebook ve Google dahil) büyük şirketlere fatura göndermek için kullandı ve bu süreçte 120 milyon dolar kazandı.
  • Bir inşaat şirketini taklit eden siber suçlular, South Oregon Üniversitesi’ni sahte hesaplara yaklaşık 2 milyon dolar transfer etmeye ikna etti.
  • Bazı dolandırıcılar, birinin adını içeren ancak farklı bir alan uzantısına sahip bir alan adıyla iki futbol kulübü arasında geçen yazışmalara karıştı. İki kulüp, Boca Juniors ve Paris Saint-Germain, bir oyuncunun transferini ve komisyon anlaşmasını tartışıyorlardı. Sonuç olarak, neredeyse 520.000 EUR Meksika’daki çeşitli hileli hesaplara gitti.
  • Toyota’nın Avrupa kolu, bir çalışanın gerçek zannederek yaptığı sahte banka havalesi talimatının sonucunda siber suçlulara 37 milyon dolardan fazla kaptırdı.

BEC saldırıları nasıl ele alınmalı

Siber suçlular, güven kazanmak ve sahtekarlık yapmak için oldukça çeşitli teknik hileler ve sosyal mühendislik yöntemleri kullanır. Bununla birlikte, bir dizi etkili önlem almak BEC saldırılarının tehdidini en aza indirebilir:

  • SPF oluşturun, DKIM imzalarını kullanın ve sahte iç yazışmalara karşı koruma sağlamak için bir DMARC politikası uygulayın. Teorik olarak, bu önlemler aynı zamanda diğer şirketlerin kuruluşunuz adına gönderilen e-postaların kimliğini doğrulamasına da olanak sağlar (elbette o şirketlerin de bu teknolojilere sahip olduğunu varsayarak). Bu yöntem bazı durumlarda yetersiz kalabilir (hayalet kimlik sahteciliğini veya benzer alan adlarını önleyememek gibi), ancak ne kadar çok sayıda şirket SPF, DKIM ve DMARC kullanırsa siber suçlulular o kadar az hareket alanına sahip olurlar. Bu teknolojilerin kullanılması, e-posta üstbilgileriyle birçok kötü amaçlı işlem türüne karşı bir tür toplu bağışıklığa katkıda bulunur.
  • Çalışanları sosyal mühendisliğe karşı periyodik olarak eğitin. Bir atölye ve simülasyon kombinasyonu, çalışanları uyanık olmak ve diğer savunma katmanlarından geçen BEC saldırılarını tespit etmek üzere eğitebilir.
  • Bu yazıda anlatılan saldırı vektörlerinin büyük kısmını alt etmek için anti-BEC technolojilerinde uzmanlaşmış bir güvenlik çözümü kullanın.

Laboratuvarımızda özel olarak oluşturulan içerik filtrelemeli Kaspersky çözümleri, zaten birçok BEC saldırısı türünü tespit eder. Uzmanlarımız sürekli olarak en gelişmiş ve sofistike dolandırıcılıklara karşı daha fazla koruma sağlayacak teknolojiler geliştirmektedir.

İpuçları

Uçakta sahte Wi-Fi

Yakın zamanda gerçekleşen bir tutuklama olayının da kanıtladığı gibi, seyir halindeyken bile siber tehditler dijital hayatınızı alt üst edebilir. Peki deniz seviyesinden 10.000 metre yükseklikte kendinizi nasıl koruyabilirsiniz?