Ticari E-Posta Güvenliği (BEC), Dolandırıcılık Yönetimi ve Siber Suçlar, Sağlık Hizmetleri
Ajans, Maliyetli Planlara Mağdur Olmayı Önleyecek Tedbirleri Açıkladı
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
20 Mayıs 2024
Sağlık ve İnsani Hizmetler Bakanlığı Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi, sağlık kuruluşlarının, maliyetli iş e-postası uzlaşma dolandırıcılıkları ve sosyal mühendislikle desteklenen ilgili kimlik avı planlarını içeren gelişen tehditlerin kurbanı olmaktan kaçınmak için adımlar atması gerektiği konusunda uyardı.
İş e-postası uzlaşma saldırıları (birini para göndermesi veya gizli bilgileri ifşa etmesi için kandırmak üzere tasarlanmış bir tür hedef odaklı kimlik avı dolandırıcılığı), ABD’deki işletmelere her yıl milyarlarca dolara mal olan, en zarar verici ve pahalı kimlik avı saldırıları türleri arasındadır. İnsan Hizmetleri Sağlık Sektörü Siber Güvenlik Koordinasyon Merkezi Perşembe günü yayınlanan bir tehdit brifinginde şunları söyledi.
Ayrıca bakınız: 360 Derece Kimlik Görünümüyle Para Katırlarını Avlamak
Bu saldırılar yalnızca sağlık sektöründe değil, birçok sektörde kalıcı bir tehdit oluşturuyor. Ekim 2013 ile Aralık 2022 arasında yaklaşık 138.000 ABD’li kurban, FBI’ın İnternet Suçları Şikayet Merkezi’ne iş e-postalarının ihlal edildiğini bildirdi ve toplam kayıp 17,3 milyar dolardan fazla oldu. FBI’ın raporuna göre, iş e-postası risklerinden kaynaklanan doğrudan kayıplar saldırı başına ortalama 125.000 dolar civarında.
Güvenlik firması Abnormal Security’nin CISO’su Mike Britton, sağlık sektörünün geçtiğimiz yıl (Mayıs 2023’ten Mayıs 2024’e kadar) BEC, kimlik bilgisi avı, kötü amaçlı yazılım ve gasp gibi gelişmiş e-posta saldırılarında bir artış yaşadığını söyledi.
Şirketin verilerine göre, özellikle sağlık alanındaki BEC saldırıları da aynı zaman diliminde yaklaşık %81 oranında artmaya devam ediyor.
Britton, “BEC saldırılarının en tehlikeli türleri metin tabanlıdır, yasal alanlardan gönderilir ve şüpheli bağlantı veya kötü amaçlı eklenti gibi geleneksel güvenlik ihlali göstergelerinden yoksundur” dedi. “Çoğu durumda, tehdit aktörleri bu e-postaları yalnızca başka bir saldırı için kullanılabilecek bilgileri aramak için kullanıyor.”
Britton, Anormal Security’nin ayrıca, bir saldırganın ABD çapında 200’den fazla konuma sahip bir sağlık ağının başkanı ve CEO’sunun kimliğine bürünmesi gibi eskime raporları taleplerinin sayısında da bir artış fark ettiğini söyledi.
“E-posta, alıcıdan, ilgili borçlar departmanının e-posta adresleri de dahil olmak üzere tüm güncel müşteri hesabı yaşlandırma bildirimlerinin bir kopyasını göndermesini talep ediyor” dedi.
“Bu bilgiler daha sonra sağlık hizmeti ağının müşterilerine saldırmak için bu geçerli bilgileri kullanarak hileli ödemeler toplamak amacıyla bir sosyal mühendislik bahanesi olarak kullanılıyor” dedi.
HHS HC3, sağlık sektöründeki en yaygın beş ticari e-posta dolandırıcılığı türünün avukat kimliğine bürünme, CEO sahtekarlığı, veri hırsızlığı, hesap gizliliğinin ihlali ve sahte faturaları içerdiğini söyledi.
HHS HC3, 2024’teki genel kimlik avı saldırılarının da gelişeceğini söyledi.
Bu yıl şu ana kadar daha geleneksel e-posta kimlik avı planlarını içeriyorlar; dolandırıcıların bilgi çalmak için telefon görüşmesi yaptığı sesli kimlik avı veya vishing; Klon kimlik avı, bir bilgisayar korsanının, alıcıya daha önce almış olduğu bir mesajın aynı kopyasını gönderdiği ancak e-postaya kötü amaçlı bir bağlantıyla birlikte “bunu yeniden gönder” ifadesini de eklediği; bir tür kısa mesaj veya SMS içeren smishing ve sonlandırma, Kurbanları kötü amaçlı web sitelerine yönlendirmek için QR kodları kullanan bir yazılımdır.
Güvenlik firması Optiv’in kurumsal olay yönetimi danışmanı Justin Safa, son üç yılda, çok faktörlü kimlik doğrulamayı atlayabilen ortadaki rakip gibi teknikleri kullanan kimlik avı tehditlerinde de büyük bir artış olduğunu söyledi.
Kendisi şöyle konuştu: “MFA baypas teknikleri iyice belgelendi ve tecrübesiz siber suçlular için çok basit hale geldi.” Siber suçlular bir avuç fare tıklamasıyla erişebilirler” dedi.
Britton, sağlık sektörünün diğerlerine kıyasla bu sektörü hedef alan saldırıların çok büyük olması nedeniyle geleneksel kimlik avı saldırılarına karşı özellikle duyarlı olduğunu söyledi. “Sağlık hizmetleri, birçok nedenden dolayı saldırganlar için çok çekici bir hedef. Sağlık sistemleri, siber suçlular satabilirse çok değerli olabilecek özel hasta bilgileri de dahil olmak üzere değerli veriler açısından bir altın madenidir.
“Kimlik avı genellikle bir fidye yazılımı saldırısı başlatmanın ilk adımıdır ve suçlular, sağlık şirketlerinin operasyonlarını hasta sağlığı ve güvenliği açısından çalışır durumda tutmanın ne kadar önemli olduğu nedeniyle fidye ödeyebileceğini biliyor” dedi.
Harekete geçmek
Optiv uygulama müdürü Keith Forrester, sosyal mühendislik saldırılarının karmaşıklık düzeyi artarken, tüm sağlık kuruluşlarının eğitim ve farkındalık ihtiyaçlarını karşılayamadığını söyledi. “Rol bazlı eğitim ve farkındalık çok önemli ve kuruluşların eğitim içeriklerini mevcut tehditlere ve eğilimlere göre uyarlamaları gerekiyor” dedi.
Örneğin kuruluşların, siber tehditler ve aktörler hakkında gerçek zamanlı verileri toplayan ve analiz eden, ardından etkilenebilecek kullanıcı topluluğuna daha fazla ayrıntı ve spesifik bilgi sağlayan gelişmiş tehdit istihbarat hizmetlerine erişmesi gerektiğini söyledi. “Saldırı kalıpları hakkında ayrıntılar ve örnekler verin ve ardından farkındalık çabalarının işe yarayıp yaramadığını belirlemek için kimlik avı kampanyalarını güncelleyin.”
Bazı uzmanlar, sağlık kuruluşlarının iş e-postası ihlallerinin ve diğer ilgili kimlik avı dolandırıcılıklarının kurbanı olmaktan kaçınmaya yardımcı olmak için başka adımlar atabileceğini söyledi.
Safa, adımların, gelişmiş kimlik avı tehditlerinin posta akışı düzeyinde teslimini önlemek amacıyla posta dağıtımını ve tehdit algılama politikalarını yapılandırarak e-posta güvenlik ağ geçitlerinin bir kuruluşa uyum sağlayacak şekilde ayarlanmasını içerdiğini söyledi.
Britton, kuruluşların yapay zeka ve makine öğreniminden yararlanan çözümler de dahil olmak üzere yeni saldırı türlerini tanımlayıp engelleyebilecek e-posta güvenlik araçlarından yararlanmayı düşünmeleri gerektiğini söyledi. Bunların, tipik kullanıcı davranışından sapmaları arayarak kötü niyetli niyeti tespit edebileceklerini söyledi.
HHS HC3, sağlık kuruluşlarının iş e-postalarının ele geçirilmesini önlemeye yardımcı olmak için bir dizi önlem almasını önerdi. Kişisel cihaz kullanımını sınırlamak ve ağ çevresi dışında bilgi paylaşımını önlemek için ağ erişim kurallarının belirlenmesini içerir; tüm uygulamaların, işletim sistemlerinin, ağ araçlarının ve iç yazılımların güncel ve güvenli olmasını sağlamak için altyapılarını güncellemek; gönderen adresleriyle eşleşmeyen yanıt adresleri gibi BEC e-postalarındaki tehlike işaretlerini tanımlayabilen bir kimlik avı önleme çözümünün dağıtılması; ve bir saldırının belirtileri açısından e-posta dilini analiz etmek için makine öğrenimini kullanmak.
HHS HC3 ayrıca kuruluşlara, çalışanları para veya hassas bilgi göndermek gibi yüksek riskli bir eylemi gerçekleştirmeye kandırmaya çalışan BEC saldırılarının kurbanı olmaktan kaçınmak için bir görev ayrımı uygulamasını tavsiye etti.
HHS HC3, “İkinci bir çalışanın bağımsız doğrulamasını gerektiren bu eylemler için politikaların uygulanması, başarılı bir saldırı olasılığının azaltılmasına yardımcı olabilir” dedi.