Ticari E-posta Güvenliği (BEC), Dolandırıcılık Yönetimi ve Siber Suçlar, Coğrafi Odak: Asya
Exceture CISO Mario Demarillas, BEC Dolandırıcılıklarının Yükselişi Hakkında
Mario Demarillas •
29 Nisan 2024
Filipinler internetin 30. yıl dönümünü kutladı. Otuz yıl önce internetin ilk kullanımı elektronik posta veya e-posta iletişimi içindi. O zamanlar lise öğrencisiydim ve interneti ilgili araştırma konularına göz atmak, bir arama motoru olarak, arkadaşlarımla sohbet etmek ve dünyanın herhangi bir yerindeki herkese e-posta yazışmaları göndermek için kullanıyordum. Daha sonra çevrimiçi oyunlara yöneldim ancak o zamanlar interneti kullanma şeklimin en az %80’i e-posta iletişiminden oluşuyordu.
2023’e hızla ilerleyelim. Şu anda Filipinler’de 85,16 milyon internet kullanıcısı var, bu da toplam nüfusun %73,1’ine denk geliyor. Bu internet kullanıcılarının internet/mobil bankacılık, e-posta yazışmaları, sosyal medya kullanımı ve/veya e-ticaret işlemleri için en az bir kişisel e-posta hesabına sahip olduğunu ve çalışanların çoğunluğunun bir iş e-posta hesabına sahip olduğunu varsaymak yanlış olmaz.
E-posta kullanımı, suçluları, sosyal mühendislik taktikleri veya sistemlere yetkisiz erişim yoluyla iş e-postalarının ele geçirilmesi de dahil olmak üzere dijital suçlara yöneltmiştir. BEC saldırıları, çalışanları, genellikle başkan veya CEO olmak üzere üst düzey bir memurun ele geçirilmiş veya sahte/sahte iş e-posta adresini kullanarak siber suçlulara para aktarmaya veya gizli bilgiler sağlamaya yönlendirir.
ABD Federal Soruşturma Bürosu’na göre, Ekim 2013’ten Aralık 2022’ye kadar bildirilen BEC dolandırıcılıklarının toplamı 50 milyar dolara ulaştı. Aralık 2022’de bildirilen BEC dolandırıcılıkları, Aralık 2021’den bu yana %17’lik bir artış gösteriyor. Yaygın plan, çalınan parayı bir kripto para borsasına veya saklama amaçlı kripto para birimi hesabı olan bir finans kurumuna aktarmaktır. Bildirilen BEC dolandırıcılıkları 50 ABD eyaletini ve 177 ülkeyi kapsıyor. FBI, 140’tan fazla ülkenin hileli transfer aldığını söyledi.
“Bir siber güvenlik riski olarak yönetilmezse BEC, siber suçlular için bir saldırı vektörü haline gelecektir.”
Interpol’ün 2021 ASEAN Siber Tehdit Değerlendirme Raporu, BEC’i bölgedeki en büyük siber tehdit olarak tanımlıyor ve tehdit aktörleri için minimum maliyet ve riskle işletmeler için büyük mali kayıplara neden olduğunu söylüyor. Tesadüfi bir şekilde bu bölge, özellikle COVID-19 salgını sırasında küçük ve orta ölçekli işletmeler için bile dijital işlemleri artırdı. Önümüzdeki beş ila 10 yılın trendi bu olacak ve bir siber güvenlik riski olarak yönetilmezse BEC, siber suçlular için bir saldırı vektörü haline gelecek.
Filipinler’de öğrendiğim veya yardım etmem istenen birkaç BEC dolandırıcılığı vakası kamuya açıklanmadı veya kolluk kuvvetlerine bildirilmedi. Mali kurumlar gibi denetime tabi kuruluşlar, bu dolandırıcılıkları atanmış düzenleyicilere bildirmekle görevlidir ancak diğerleri ya mali kayıpların zararını talep eder, hata yapan çalışanlara ödeme yaptırır ya da suçluları takip etmek için kolluk kuvvetlerinden yardım ister.
BEC Dolandırıcılığının Adımları
Bir BEC dolandırıcılığının nasıl yapıldığını inceleyelim. Her zaman e-posta iletişimini içerir.
Adım 1: Keşif
Tehdit aktörü hedef şirketi araştırır ve finans sorumlusunu arar.
Adım 2: Sosyal Mühendislik
Saldırgan daha sonra ya bir e-posta hesabını taklit eder (bir sosyal mühendislik taktiği) ya da hesabı ele geçirir (erişimi tehlikeye girer) ve bir finans yöneticisine ya da memuruna, saldırganın CEO’nun kimliğine büründüğü bir kimlik avı e-postası gönderir. E-postada CEO’nun adı, iletişim bilgileri ve resminin yanı sıra şirket logosu yer alır ve CEO’nun olağan metin tonuyla yazılır.
Adım 3: Para Transferi Talebi4>
E-posta, bilinen bir satıcıya telgraf transferi yoluyla bir banka hesabına ödeme yapılmasına ilişkin talimatları içerir. Hesap, mali kayıtlarından farklı olmasına rağmen, alıcı, e-postanın CEO’dan gelmesi nedeniyle içeriğin meşru olması gerektiğini varsayacak ve ayrıntıları doğrulama zahmetine girmeyecektir.
Adım 4: Para Transferi: Mali Kayıp
Para, tehdit aktörünün kontrolündeki bir hesaba aktarılır.
Bu tipik bir süreçtir. Bağlam, CEO’dan avukata veya tedarikçiye ve para transferinden kimlik hırsızlığı, finansal veriler veya fikri mülkiyete yönelik kişisel tanımlanabilir bilgiler gibi hassas verilere kadar değişebilir.
BEC Dolandırıcılıklarına Karşı Nasıl Mücadele Edilir?
BEC dolandırıcılığı, teknolojik veya organizasyonel bir güvenlik açığından çok, insani bir güvenlik açığıdır. Biz insanlar çocukluktan yetişkinliğe kadar fiziksel dünyaya dolaylı olarak güvenmek üzere eğitiliriz. Ancak fiziksel ortamdan dijital ortama güven konusunda yeterli bir geçiş yapmıyoruz, bu nedenle BEC gibi dolandırıcılıklar dijital dünyada gelişiyor.
Kuruluşların ve bireylerin BEC dolandırıcılıklarına karşı üstünlük kazanmaları için şu karşı önlemlerin alınmış olması gerekir:
- İşle ilgili yazışmalarda, gerekli teknik e-posta kontrollerinin mevcut olması için kişisel e-posta sistemini değil şirketin e-posta sistemini kullanın.
- E-posta yöneticileri aşağıdaki gibi teknik kontrolleri uygulamalıdır:
- Spam gönderenlerin alanınızı kullanarak e-posta göndermesini engelleyen Gönderen Politikası Çerçevesi veya SPF;
- Aktarım sırasında kurcalanmamasını sağlamak için her postaya dijital bir imza ekleyen Etki Alanı Anahtarları Tanımlanmış Posta veya DKIM;
- E-postanın SPF ve DKIM kontrollerini geçip geçmediğini daha fazla kontrol eden Etki Alanı Tabanlı Mesaj Kimlik Doğrulaması, Raporlama ve Uygunluk veya DMARC. Aksi takdirde e-posta karantinaya alınır veya reddedilir.