İş E-postası Tehlikeye Atma (BEC), saldırganların çalışanları, ortakları ve hatta potansiyel olarak müşterileri dolandırmak için meşru iş e-postalarını taklit ettiği bir sosyal mühendislik dolandırıcılığıdır. Aldatıcı derecede basit olsa da, bu saldırılar önemli mali hasara yol açabilir.
BEC dolandırıcılıkları, çoğu siber saldırı gibi küreseldir. Elli eyalette ve 177 ülkede bildirildi ve mali zararı artık 50 milyar doları aştı. FBI’a göre BEC, çoğumuzun kişisel ve profesyonel işlerimizi yürütmek için e-postaya güvenmesi nedeniyle mali açıdan en zararlı çevrimiçi suçlardan ve istismarlardan biridir. Mart ayında, FBI İnternet Suçu Şikayet Merkezi (IC3), BEC’yi önemli bir iş tehdidi olarak vurgulayan 2023 İnternet Suçu Raporunu yayınladı ve yaklaşık 3 milyar dolarlık kayba yol açtı – 2022’nin 2,7 milyar dolarlık toplamına göre %7’lik bir artış.
Arttırılmış Karmaşıklıkla Uygulanması Kolay
Bir BEC dolandırıcılığı gerçekleştirmek için saldırganların yalnızca şüphesiz kurbanları hedefleyen ikna edici e-postalar oluşturmak için bir e-posta hizmetine ihtiyaçları vardır. Arctic Wolf Network’ün Siber Güvenlik Durumu: 2024 Trendleri Raporu’na göre, kuruluşların neredeyse dörtte üçü (%70) geçtiğimiz yıl BEC saldırı girişimlerinin hedefi oldu ve bu hedeflerin neredeyse üçte biri (%29) bir veya daha fazla başarılı BEC olayının kurbanı oldu.
İşletmeleri hedef alan siber dolandırıcılık için e-posta kullanmak yeni bir şey değil, ancak AI’nın büyümesi BEC’yi daha yaygın ve tehlikeli hale getiriyor. Günümüzde, AI araçları alıcıları kolayca yanıltabilen son derece kişiselleştirilmiş ve meşru görünen e-postalar üretebiliyor. Saldırganlar kullanıcı adlarını, e-posta adreslerini, parolaları birleştirebilir ve süreci otomatikleştirmek için e-posta şablonları kullanabilir. Saldırganlar API’ler aracılığıyla operasyonlarını ölçeklendirebilir ve aynı anda çok sayıda kurbanı hedef alabilir. Suçlular ayrıca e-posta sunucularını ve etki alanlarını toplu olarak satın alma olanağına sahipler ve bu da aynı anda birden fazla kuruluşu hedeflemelerine olanak tanıyor.
Yaygın BEC İş Dolandırıcılıkları
BEC saldırıları doğası gereği çok spesifik olabilir ancak aynı nihai hedefe sahiptir: finansal kazanç için veri çalmak. Çalışanları aldatmak için oluşturulmuş dört yaygın BEC dolandırıcılığı şunlardır:
CEO Dolandırıcılığı. Bu saldırıda kötü niyetli aktörler, genellikle bir şirket CEO’su olan üst düzey bir yöneticiyi taklit eder. Bir ayna görüntüsü e-posta adresi oluştururlar ve sıklıkla kuruluşa yeni katılan veya onay süreçlerine aşina olmayan, en az şüphelenebilecek çalışanları hedef alırlar. E-postalar genellikle alıcının bir görevi, örneğin dolandırıcı bir hesaba para transferi gibi, acilen tamamlamasını isteyen bir istek içerir.
İş Verisi Hırsızlığı. Burada saldırganlar hassas bilgileri çalmak için İK veya muhasebe departmanlarını hedef alır. Bu bilgiler çalışanların kişisel olarak tanımlanabilir bilgilerini (PII), fikri mülkiyeti veya kurumsal finansal verileri içerebilir.
Sahte Faturalar. Bu tür dolandırıcılık yakın zamanda Massachusetts’teki bir kasaba ve okul bölgesini yaklaşık yarım milyon dolardan dolandırmak için kullanıldı. Suçlular, e-posta kullanarak meşru bir satıcıyı taklit ettiler ve ödeme talep eden faturaları kasaba çalışanlarına gönderdiler. Bu faturalar elektronik ödemeleri sahte bir hesaba yönlendirdi. Çalışanlar daha sonra kasaba fonlarını istemeden suçlulara gönderdiler.
Çalışan Hesaplarının Tehlikeye Atılması. Bu senaryoda, tüm çalışanlar hedef olma riski altındadır. Tehdit aktörleri bir çalışanın e-posta hesabına erişmeye çalışır. Bir kez tehlikeye atıldığında, hesabı daha fazla BEC saldırısı başlatmak veya daha kritik sistemler için kimlik bilgilerini çalmak için kullanabilirler.
Yıllar boyunca gerçekleşen BEC dolandırıcılıkları, hiçbir işletmenin, hükümetin veya kuruluşun bağışık olmadığını kanıtladı – ister teknoloji devleri, ister hükümet organları veya hatta hayır kurumları olsun. Facebook ve Google’ın, bilinen bir satıcıyı taklit eden saldırganlar tarafından gerçekleştirilen bir kimlik avı saldırısının, çalışanlara ödeme talep eden gerçek görünümlü faturaları e-postayla göndermesiyle kurban olduklarını gördük. Bir BEC dolandırıcılığı, hileli bir transferi başarıyla harekete geçirdi ve Porto Riko hükümetine 2,6 milyon dolara mal oldu. Save the Children bile bir BEC Dolandırıcılığından kaçamadı ve dolandırıcılar bir çalışanın e-postasını bir personel üyesi gibi göstererek tehlikeye attığında 1 milyon dolar kaybetti.
E-posta Giriş Bilgilerini Çalmak: Veri Hırsızlığının Başka Bir Yolu
BEC saldırıları yalnızca e-posta kimliğine bürünmeye odaklanmaz. Tehdit aktörleri ayrıca çalışanların oturum açma kimlik bilgilerini elde etmek için tasarlanmış sahte web siteleri de oluşturur. Bu web siteleri, Microsoft Exchange ve Gmail gibi yaygın olarak kullanılan e-posta hizmetleri için meşru oturum açma sayfalarını taklit edebilir.
İşte böyle olabilir. Saldırganlar sahte web sitesi alan adlarına bağlantılar içeren e-postalar gönderir. Çalışanlar bağlantıya tıklar ve meşru bir oturum açma sayfası gibi görünen, ancak aslında sahte alan adı olan bir yere yönlendirilir. Aldatmanın farkında olmayan çalışan, daha sonra siber suçlu tarafından yakalanan oturum açma kimlik bilgilerini girer. Bu, onlara kuruluşun ağında hareket etme, potansiyel olarak ek hesapları tehlikeye atma ve verileri çalma yeteneği verir.
Çok Katmanlı Güvenlik Yaklaşımıyla BEC Saldırılarının Erken Tespiti
En güncel güvenlik çözümleri, bir kuruluşun ağındaki kullanıcıları hedef alan e-postaları tespit ederek reaktif bir yaklaşıma dayanır. Bu çözümler, kullanıcı davranışlarını ve kalıplarını tespit etmek için makine öğrenimi gibi teknikler kullanır, ardından bilinen kalıpların dışında kalan şüpheli e-postaları işaretler. Güvenlik Operasyon Merkezleri (SOC’ler), bu tehditleri kapatarak bir rol oynar.
Tehditleri tanımak ve karantinaya almak için e-postaları kullanıcı düzeyinde analiz etmenin yanı sıra, kuruluşlar genellikle potansiyel BEC dolandırıcılık alan adlarını belirler ve bunları engeller. Ayrıca, işlerini taklit eden alan adlarını tespit etmeye yardımcı olan Alan Adı Tabanlı Mesaj Kimlik Doğrulaması (DMARC) aracılığıyla politika uygulamasını devreye sokarlar.
Reaktif bir yaklaşım birçok fayda sağlasa da, henüz silahlandırılmamış internet araçlarından kaynaklanan potansiyel tehditleri hesaba katmaz. Birçok potansiyel saldırı şu anda kullanımda değildir, ancak ihtiyaç duyulduğunda hazır bir şekilde silahsız bir durumda bulunur. Örneğin, saldırganlar genellikle meşru şirketlere benzeyen alan adları satın alır ve bir saldırı başlatmada yararlı olabilecekleri zamana kadar bunları uzun süre hareketsiz bırakırlar.
Azaltma cevabı, hem bağlamsal tehdit tespiti hem de saldırının kaynağını durdurma adımlarıyla birlikte kaldırma önlemlerini birleştiren çok katmanlı bir güvenlik yaklaşımında yatar; bu adımlar arasında e-posta sunucuları ve kimlik avı saldırıları için ana bilgisayar olduğundan şüphelenilen alan adlarının tanımlanması ve kaldırılması yer alabilir. Bu, kuruluşların zarar vermeden önce BEC saldırılarını proaktif olarak tanımlamalarına ve engellemelerine olanak tanır. Katmanlı bir savunma, otomasyonu kullanarak zaten zorlanan güvenlik ve SecOps ekiplerinin yükünün bir kısmını alarak genel güvenlik duruşunu önemli ölçüde iyileştirebilir.
Hiçbir güvenlik yaklaşımı BEC saldırılarına karşı bir garanti olmasa da, en iyi savunma iyi bir saldırıdır. Erken tehdit tespitinin faydaları, işletmelerin artan siber tehditlerin e-postayı silahlandırmasından kaynaklanan mali kayıp veya operasyonel kesinti olasılığını azaltmasını sağlar.
Reklam