2023 Verizon Veri İhlali Soruşturma Raporu (DBIR), FBI’ın İnternet Suçları Şikayet Merkezi’nin bu yılın başlarında işaret ettiği şeyi doğruladı: BEC dolandırıcıları, sosyal mühendislik çabalarını büyük bir başarı elde etmek için hızlandırıyorlar.
Emlak sektörünü hedefleyen BEC saldırganları
FBI kısa bir süre önce, BEC saldırılarının sürekli gelişimi ve tehlikesi hakkında bir kez daha uyarıda bulunan yeni bir kamu hizmetleri duyurusu yayınladı.
FBI, “Aralık 2021 ile Aralık 2022 arasında, tanımlanmış küresel maruz kalan kayıplarda %17’lik bir artış oldu” dedi.
“2022’de IC3, emlak sektörüyle bağlantılı BEC raporlamasında bir artış gördü ve fonların doğrudan bir kripto para borsasına veya bir kripto para borsası için saklama hesabı tutan bir finans kuruluşuna aktarıldığı BEC olaylarında artış gördü. BEC dolandırıcılığı, alıcılar, satıcılar, emlak avukatları, tapu şirketleri ve acenteler dahil olmak üzere emlak işlemlerinde tüm katılımcıları hedefliyor.
Finansal hizmetler sektörüne yönelik BEC saldırıları
Microsoft’un tehdit analistleri kısa bir süre önce bankacılık ve finansal hizmet kuruluşlarına yönelik çok aşamalı bir ortadaki düşman (AiTM) kimlik avı ve iş e-postası gizliliği (BEC) saldırısını ortaya çıkardı.
AiTM kimlik avı saldırısından BEC’ye saldırı zinciri (Kaynak: Microsoft)
Bu özel saldırı, hedef kuruluşların güvenilir satıcılarından birinden gelen ve hedefe bir faks belgesini görüntülemesini veya indirmesini söyleyen bir kimlik avı e-postasıyla başladı.
Bağlantı, çevrimiçi grafik tasarım platformu Canva’da barındırılan, sahte bir OneDrive belge önizlemesini gösteren bir sayfayı ve başka bir kimlik avı URL’si içeren bağlantıları barındıran, parola isteyen sahte bir Microsoft oturum açma sayfasına işaret eden kötü amaçlı bir URL’ye işaret ediyordu.
Microsoft, “Hedef kimlik avı sayfasında parolayı sağladıktan sonra, saldırgan kimlik bilgilerini hedef web sitesinde oluşturulan bir kimlik doğrulama oturumunda kullandı” dedi.
“Kimlik doğrulama oturumunda saldırgandan MFA istendiğinde, saldırgan kimlik avı sayfasını sahte bir MFA sayfasına dönüştürdü. Hedef, çok faktörlü kimlik doğrulamasını tamamladıktan sonra, oturum belirteci saldırgan tarafından ele geçirildi.”
Saldırganlar daha sonra oturum açmak için çalınan tanımlama bilgisini (oturum yeniden yürütme saldırısı aracılığıyla) kullandı ve erişim elde etmek için kötü yapılandırılmış MFA’dan yararlandı. Bu, tehdit aktörlerinin hedefin kişilerine 16.000’den fazla e-posta gönderdiği kimlik avı saldırısının ikinci aşamasına izin verdi.
Saldırgan daha sonra, teslim edilmemiş ve ofis dışı e-postalar için kurban kullanıcının posta kutusunu izledi ve bunları Arşiv klasöründen sildi. Saldırgan, kimlik avı e-postasının gerçekliğiyle ilgili sorular soran alıcılardan gelen e-postaları okudu ve muhtemelen e-postanın meşru olduğunu yanlış bir şekilde doğrulamak için yanıt verdi. Microsoft, e-postalar ve yanıtların daha sonra posta kutusundan silindiğini ekledi.
Gönderilen 16.000 e-postadan bazılarının başarılı olması kesin ve saldırganlar muhtemelen aynı işlemi tekrarladılar.
BEC dolandırıcıları sosyal mühendisliğin ustasıdır
Çoğu zaman, BEC saldırganları hedef şirketlerin parasının veya hassas bilgilerinin peşindedir, ancak FBI kısa süre önce fiziksel malların da (inşaat malzemeleri, tarımsal malzemeler, bilgisayar teknolojisi donanımı ve güneş enerjisi ürünleri) peşinde oldukları konusunda uyarıda bulunmuştur.
Microsoft tarafından özetlenen bu son saldırılarda, saldırganların şirketlerin iş ortakları/müşteri kuruluşlarıyla kurdukları güven ilişkisinden nasıl yararlandıkları, böylece saldırının etkinliğini artırırken potansiyel olarak iş bağlantılarını, itibarı ve güveni yok ettikleri açıktır.
BEC siber suçluları da saldırılarını e-postalarla sınırlamıyor. IRONSCALES ve Osterman Research’ün yakın tarihli bir raporuna göre, SMS mesajlarını (%36), sosyal medya bağlantı isteklerini (%28) ve telefon görüşmelerini (%22) de kullanıyorlar.
FBI’ın BEC saldırılarına karşı korunma tavsiyesi:
- Hesap değişikliklerini doğrulamak için ikincil kanalları veya iki faktörlü kimlik doğrulamayı kullanın.
- E-posta URL’lerini doğrulayın ve yanlış yazılmış alan adlarına dikkat edin.
- Oturum açma kimlik bilgilerini veya kişisel bilgileri e-posta yoluyla paylaşmaktan kaçının.
- Özellikle mobil cihazlarda gönderenin e-posta adresini doğrulayın.
- Çalışanların bilgisayarlarında tam e-posta uzantılarını etkinleştirin.
- Usulsüzlükler için kişisel mali hesapları izleyin.