Federal Soruşturma Bürosu, ABD’deki şirketleri, daha az teknik aktörün satıcılardan çeşitli malları çalmasına izin veren ticari e-posta uzlaşmasına benzer taktikler kullanan tehdit aktörlerine karşı uyarıyor.
Tipik iş e-postası ele geçirme (BEC) saldırıları, kurbanı kandırarak parayı dolandırıcının hesabına aktarması için para çalmaya odaklanır.
2021’de BEC programlarıyla ilişkili kayıplar yalnızca ABD’de yaklaşık 2,4 milyar dolara ulaştı. Rakam, yalnızca FBI tarafından o yıl alınan 20.000’e yakın şikayete dayanmaktadır.
FBI’ın gözlemlediği dolandırıcılık türünde, tehdit aktörü ülke çapındaki satıcılardan çeşitli ürünler elde etmek için sahte satın alma planları kullanıyor.
Yetenekli dolandırıcılar
Cuma günü yayınlanan bir uyarıda FBI, suçlu aktörlerin toplu alımları başlatmak için ABD merkezli şirketlerin e-posta alan adlarını taklit ettiğini kaydetti.
Dolandırıcılar, taklit ettikleri işletmelerin mevcut veya eski gerçek çalışanlarının adlarını içeren sahte e-postaları kullanacak kadar gayretlidir.
Ajans, “Bu nedenle, mağdur satıcılar, dağıtım için satın alma siparişlerini yerine getiren meşru ticari işlemler yürüttüklerini varsayıyorlar” diye açıklıyor.
FBI’a göre, bu tür dolandırıcılıkta hedef alınan ticari olarak temin edilebilen mallar arasında inşaat malzemeleri, tarım malzemeleri, bilgisayar teknolojisi donanımı ve güneş enerjisi ürünleri yer alıyor.
Bir e-posta adresini taklit etmek için gereken teknik beceriler çok düşük olsa da, aktörlerin iş ödemeleri ve hileyi nasıl gizleyecekleri konusunda bilgili yetenekli dolandırıcılar olduğu anlaşılıyor.
FBI, suçluların sahte referanslara ve gelir bilgisi içeren sahte W-9 formlarına dayanarak satıcıdan kredi başvurusunda bulunarak (Net-30 ve Net-60 şartları) dolandırıcılığın ortaya çıkmasını da geciktireceğini söylüyor.
30 veya 60 günlük kredi geri ödeme süresi verildikten sonra dolandırıcılar, peşin ödeme yapmak zorunda kalmadan ek satın alma siparişleri başlatabilir.
FBI, satıcılara bir işlemi kabul etmeden önce bir e-postanın kaynağını kontrol etmelerini önerir. Alıcının iletişim bilgilerini güvenilir bir kaynaktan (ör. şirketin web sitesi, sosyal medya veya çevrimiçi veritabanları) alabilir ve satın alma amacını sorgulamak için doğrudan onları arayabilirler.