Kimlik Avına Karşı Koruma, DMARC, İş E-postasının Tehlikeye Atılması (BEC), Dolandırıcılık Yönetimi ve Siber Suç
Ağzı Sıkı Tutulan Ajansın 7,5 Milyon Dolarlık Dolandırıcılığın Ardından Bir Sonraki Hamlesi Çok Şey Anlatıyor Olabilir
Marianne Kolbasuk McGee (SağlıkBilgi Güvenliği) •
24 Ocak 2024
Siber saldırılarda 7,5 milyon dolar kaybetmek federal hükümet için bile büyük bir nakit yığını. Bilgisayar korsanlarının geçen yıl ABD Sağlık ve İnsani Hizmetler Bakanlığı’ndan milyonlarca hibe ödemesini nasıl çalmayı başardıkları konusunda spekülasyonlar çok yaygın.
Ayrıca bakınız: SASE ve NDR Birbirlerini Nasıl Tamamlıyor?
Bir görüş, saldırganların yapay zeka destekli hedef odaklı kimlik avı tekniklerini kullanmış olmaları gerektiğidir. Diğerleri ise soygunun alışılagelmiş bir mali dolandırıcılık dolandırıcılığının sonucu olabileceğini söylüyor.
Federal israf, dolandırıcılık ve suiistimal söz konusu olduğunda kamu denetimi her zaman yüksektir. HHS ayrıca ironik bir şekilde Çarşamba günü sağlık sektörünün geri kalanı için “siber güvenlik performans hedeflerini” açıklayan bir kılavuz yayınladı. Bu nedenle, sağlık sektöründe siber güvenlik ve mahremiyet konusunda gözlemci kurum olmakla suçlanan HHS’nin kendisinin saldırıya uğraması pek de iyi bir görünüm değil. Bütün sektör izliyor.
Bakanlık olayı kamuoyuna açıklamadı ancak Bloomberg’in geçen hafta olayı ilk kez haberleştirmesinin ardından medyanın baskı yapması üzerine belli belirsiz kabul etti.
HHS, kendi izleme kurumu olan Genel Müfettiş Ofisi’ni “konu” hakkında bilgilendirdiğini ve Kongre üyelerinin bir soruşturma için öngörülebilir bir talebinin hemen hemen kesin olarak takip edileceğini söyledi (bkz: Rapor: Bilgisayar Korsanları HHS Hibe Ödeme Sisteminden 7,5 Milyon Dolar Dolandırdı).
Saldırganların bağışları dağıtmak için ödeme sistemini hedef aldığı 2023 yılı Mart sonu ile Kasım ortası arasında HHS’de meydana gelen uzlaşmalar hakkında kamuya çok az şey biliniyor. Bloomberg’e göre bilgisayar korsanları, kırsal toplulukları ve yetersiz hizmet alan hastaları desteklemek için kullanılan paralar da dahil olmak üzere beş hesaba dağıtılması amaçlanan milyonlarca doları geri çekti.
Başka Bir Sıradan Dolandırıcılık mı?
HHS için daha da utanç verici olabilecek şey, ajansın ve hibe alıcılarının, finansal dolandırıcılığın en eski ve en yaygın biçimlerinden birinin, iş e-postasının ele geçirilmesinin kurbanı olma ihtimalinin güçlü olmasıdır.
Güvenlik firması Critical Insight’ın kurucu ortağı ve CISO’su Mike Hamilton, bir hayır kurumundan en az bir çalışanın kimlik bilgilerinin tehlikeye atılmasıyla başlayan 800.000 dolarlık hırsızlık da dahil olmak üzere benzer olaylara tanık olduğunu söyledi. Saldırgan ayrıcalıkları yükseltti, dahili e-posta hesaplarını gözetledi, belediyede finansman konusunda çalışan kişinin kimliğini üstlendi ve bankanın para yatırma yönlendirme numarasını değiştirmesi için kuruma e-posta gönderdi.
Hamilton, HHS hırsızlığının hibe alan beş kuruluştaki e-posta hesaplarının hacklenmesiyle başladığından şüphelendiğini söyledi.
“Bu, hedef odaklı bir kimlik avı değil; bu, tanıdık bir hesaptan devlet finansman kurumuna gelen, hiçbir zil çalmayan ve şifre sıfırlama isteyen yetkili bir e-postadır” dedi. “Soruşturma tamamlandığında bunun sıradan bir iş e-postası ihlali olduğunu öğreneceğimize eminim.”
Bu dolandırıcılıklara karşı kusursuz bir çözüm olmasa da riskler azaltılabilir. İş e-postasının ele geçirilmesi yeni bir şey değil. Hamilton, “Fon dağıtımını yöneten devlet kurumlarının, yardım masası, finansal işlemler vb. için uygun süreçler konusunda eğitilmeleri ve değişiklik talebinde bulunan kişinin kimliğini tamamen doğrulamak için ters iletişim ve diğer yöntemleri kullanmaları gerekiyor” dedi.
Yapay Zekayı Suçlayalım
Birisinin, HHS’nin Ekim ayında tüm sağlık sektörünü uyardığı, üretken yapay zeka araçlarıyla oluşturulan son derece ikna edici kimlik avı e-posta kampanyalarını kullanan en yeni yapay zeka destekli kimlik avı e-postalarından birinin kurbanı olması mümkündür.
Gizlilik ve güvenlik firması tw-Security’nin ortağı Keith Fricke, yapay zeka destekli kimlik avı ve sosyal mühendislik saldırılarının sahte e-postaların daha da gerçekçi görünmesini sağlayacağına şüphe yok, dedi. Siber suç gruplarının yakında AI’yi bilgisayar korsanlarına bir hizmet olarak sunmaya başlayacağını söyledi.
“C düzeyindeki kişilerin isteklerini simüle eden ses kayıtları, insanları şifreleri, çok faktörlü kimlik doğrulama metinlerinin telefon numaralarını değiştirmeleri için kandıracak ve hatta insanları banka havalesi transferlerine izin vermeye yönlendirecek” dedi.
Yapay zekanın bu işte parmağı olup olmaması gerçekten önemli değil. Kimlik avı e-postaları yapay zeka olmadan bile oldukça etkili oldu. Hamilton’ın gözlemlediği gibi, “Hepimizin bilişsel önyargıları var, medya okuryazarlığımız zayıf ve mevcut dünya görüşlerimizi doğrulayan şeylere inanmaya yatkınız. Tüm bu gerçekler, bizi kandırmak isteyenlere yardımcı oluyor.”
Çok faktörlü kimlik doğrulama bile kusursuz bir koruma değildir.
Hamilton, günümüzde birçok kimlik avı bağlantısının, oturum belirtecini soyan ve ikinci faktörü elde etme sürecini otomatikleştiren komut dosyalarını etkinleştirdiğini söyledi. Kendisi, bağlantının kendisinin tehlikeli olduğunu, yalnızca kimlik bilgilerinin sahte bir oturum açma sayfasına girme eylemi olmadığını söyledi.
İronik bir şekilde, yapay zeka tabanlı e-posta tehdidi koruma araçları, bir e-postanın yasal olup olmadığını, kötü amaçlı yazılım ve tehlikeli bağlantılar içerip içermediğini belirlemede oldukça etkilidir. Ancak Hamilton, kuruluş her mesajı incelemediği sürece şüpheli e-postaları tespit etmenin çalışanlara bağlı olduğunu söyledi.
Fricke, bunun, yapay zekanın kimlik avı denkleminin bir parçası olduğuna dair farkındalığı artırmak için sağlık sektörünün eğitim de dahil olmak üzere çalışmalarını hızlandırması gerektiği anlamına geldiğini söyledi.
“Kimlik avı mesajı örnekleriyle çalışan eğitiminin daha sık gerçekleşmesi gerekiyor. Kuruluşların, satıcıların algılama ve karantina teknolojilerini nasıl iyileştirdiklerini anlamak için e-posta filtreleme hizmetleri sağlayan satıcılarla birlikte çalışması gerekiyor” dedi.
Şeffaflık Zamanı
Şu anda HHS dışında hiç kimse, dolandırıcılık planlarında hedef alınan HHS hibe ödemesi çalışanlarının yeterli eğitime, doğru prosedürlere ve yeterli siber savunmaya sahip olup olmadığını bilmiyor.
Ve bu belki de en büyük ironi noktası: bugüne kadar şeffaflığın olmayışı.
Uzun yıllardır hastaneler, sağlık grupları ve bunların iş ortakları, yüz milyonlarca hastanın kişisel bilgilerini etkileyen fidye yazılımı saldırıları ve veri hırsızlıklarıyla karşı karşıya kalıyor. HHS, Aralık ayında kimlik avı olayından kaynaklanan ilk para cezasının alınması da dahil olmak üzere büyük veri ihlallerinde yaptırım önlemleri alıyor.
HHS, risklerin yönetilmesi ve doğru güvenlik kontrollerinin sağlanması konusunda rehberliği paylaşmak için diğer kurumlarla işbirliği yapar. Ve bu programın en önemli kiracılarından biri bilgi paylaşımıdır. HHS, sağlık sektörü kuruluşlarını, siber bilgileri Sağlık Bilgi Paylaşımı ve Analiz Merkezi’nin yanı sıra bir olay meydana geldiğinde CISA ile paylaşmaya teşvik eder.
Dolayısıyla bu ödeme hack’i HHS ve federal hükümet için büyük bir sınav olacak. Başkalarını cesaretlendirdikleri gibi açıklık ve bilgi paylaşımı konusunda da örnek teşkil edecekler mi? Gerçekler utanç verici mi olacak? Şüphesiz. Kariyerleri etkileyecek mi? Muhtemelen.
Uzun yıllardır HHS’yi takip ediyorum ve orada doğru şeyi yapmak isteyen çok sayıda insan olduğunu biliyorum, ancak oraya ulaşmak genellikle uzun zaman alıyor. HHS’nin daha fazla ayrıntı paylaşmasının ne kadar süreceğini ve bu 7,5 milyon dolarlık fiyaskodan ne gibi dersler çıkarabileceğimizi görmek için izliyor olacağız.