İş e-postası ele geçirme (BEC) saldırıları, bir kurumsal hedefi saldırganın kontrolündeki bir banka hesabına büyük meblağlarda nakit aktarmaya ikna etmek için bir yöneticinin veya iş ortağının kimliğine bürünmeyi içerir. Bu siber saldırının başarılı bir uluslararası versiyonunu oluşturmak genellikle çok fazla çaba ve kaynak gerektirir. Gerekli adımlar, hedefin kimlik avı yemlerini ikna edecek kadar derinlemesine araştırmasını ve dolandırıcılıkları birden çok dile çevirmesi için anadili İngilizce olan kişileri işe almayı içerir. Ancak, tehdit grupları süreçteki ayak işlerinin bir kısmını ortadan kaldıran ücretsiz, çevrimiçi araçlardan yararlandıkça, bunların hepsi değişiyor.
Abnormal Security’den bu hafta yayınlanan bir rapor, eğilimi örnekleyen iki BEC grubu belirledi: Midnight Hedgehog ve Mandarin Capybara. Her ikisi de, tehdit aktörlerinin hemen hemen her dilde makul bir kimlik avı tuzağını bir anda hazırlamasına olanak tanıyan Google Çeviri’den yararlanıyor.
Rapordaki araştırmacılar ayrıca, ticari işletme pazarlama hizmetleri gibi araçların, daha az karmaşık ve daha az kaynağa sahip BEC tehdit gruplarının başarılı olmasını her zamankinden daha kolay hale getirdiği konusunda da uyardı. Çoğunlukla satış ve pazarlama departmanları tarafından “potansiyel müşterileri” belirlemek için kullanılan bunlar, bölgeleri ne olursa olsun en iyi hedeflerin izlenmesini kolaylaştırır.
FBI’ın Suç Raporuna göre, BEC saldırılarının zaten kazançlı olduğu, yalnızca 2021’de 2,4 milyar dolarlık zarara yol açtığı ve BEC saldırılarının sayısının artmaya devam ettiği göz önüne alındığında, savunucular için tüm bunlar kötü haber. Şimdi, bunları gerçekleştirmenin maliyetinin bir kısmı ortadan kalktığı için, hacimlerin artması muhtemeldir.
BEC Grupları Çeviri ve Pazarlama Araçları ile Hızla Ölçekleniyor
Abnormal Security’den raporu yazan tehdit istihbaratı direktörü Crane Hassold, rapora göre Midnight Hedgehog’un Ocak 2021’den beri ortalıkta dolaştığını ve uzmanlık alanı olarak CEO’ları taklit ettiğini belirtti.
Şimdiye kadar firma, gruptan 11 farklı dile çevrilmiş iki farklı kimlik avı e-postası gözlemledi: Danca, Felemenkçe, Estonca, Fransızca, Almanca, Macarca, İtalyanca, Norveççe, Lehçe, İspanyolca ve İsveççe. Google Çeviri’nin etkinliği sayesinde, e-postalarda, kullanıcıların dikkat etmesi ve şüpheli olarak görmesi için eğitilmiş basit hatalar eksiktir.
“Kullanıcılarımıza, ne zaman bir saldırı almış olabileceklerini daha iyi belirlemek için yazım hatalarını ve dilbilgisi hatalarını aramayı öğrettik.” doğru.”
Rapora göre Midnight Hedgehog’dan talep edilen ödemeler 17.000 ila 45.000 dolar arasında değişiyor.
Raporun vurguladığı ikinci BEC tehdit grubu olan Mandarin Capybara da şirket yöneticilerinden geliyormuş gibi görünen e-postalar gönderiyor, ancak bir hile kullanıyor: Kontrol ettikleri bir hesaba doğrudan yatırılan maaş çeklerinin gönderilmesi için bordroyla bağlantı kuruyor.
Abnormal Security, Mandarin Capybara’nın Felemenkçe, İngilizce, Fransızca, Almanca, İtalyanca, Lehçe, Portekizce, İspanyolca ve İsveççe dillerinde sahte yemlerle dünyanın dört bir yanındaki şirketleri hedef aldığını gözlemledi, ancak aynı zamanda Avrupa dışındaki şirketleri de İngilizce konuşanlara yönelik kimlik avı e-postalarıyla hedef alıyor. raporun Avrupa’daki İngilizce konuşmayan kurbanlara yapıştığını söylediği Midnight Hedgehog’un aksine ABD ve Avustralya.
BEC Girişinin Önündeki Engelleri Aşmak
Çeviri araçlarıyla kampanyaları herhangi bir dile yaymak ve bir sonraki siber saldırıda kimi kurban edeceklerine dair kendi “liderlerini” belirlemek için çevrimiçi hizmetleri kullanmak, BEC siber saldırganları için operasyonları sınırlar ötesi ölçeklendirmeyi her zamankinden daha kolay hale getiriyor.
“E-posta pazarlama ve çeviri araçları daha doğru, etkili ve erişilebilir hale geldikçe, bilgisayar korsanlarının şirketleri dolandırmak için bunları sömürdüğünü ve artan bir başarı elde ettiğini görmeye devam edeceğiz.” kötü amaçlı yazılım bulaşmış dosyalar yerine Midnight Hedgehog, Mandarin Capybara ve diğer benzer BEC grupları, eski güvenlik sistemlerini ve istenmeyen e-posta filtrelerini kolayca atlayabilecek.”
Hassold, Dark Reading’e, sayıları artan ve karmaşıklığı artan BEC saldırılarına karşı savunmanın cevabının iki yönlü bir yaklaşım olduğunu açıklıyor.
Dark Reading’e, “Sosyal mühendislik saldırıları daha karmaşık hale geldikçe ve onları meşru e-postalardan ayırt etmek daha zor hale geldikçe, hedeflerine ulaşmalarını engellemek daha da önemli hale geliyor” diyor. “Güvenlik farkındalığı eğitiminin, kimlik avı saldırılarına karşı savunmada kesinlikle bir rolü vardır, ancak çalışanların bu saldırılara kanmasını önlemenin en iyi yolu, bu tür saldırılara asla yakalanmamalarını sağlamaktır.”
Rapora göre bu, davranışa dayalı makine öğrenimi ve “normal” davranışın dışındaki herhangi bir şeyi tespit edecek şekilde ayarlanmış yapay zeka araçlarının uygulanmasının, uluslararası BEC saldırılarının bu yeni süper yüklü versiyonunu durdurmanın anahtarı olacağı anlamına geliyor.