Geçen yıl FBI, iş e-posta dolandırıcılığı hakkında 21.000’den fazla şikayet kaydetti ve 2,7 milyar doları aşan düzeltilmiş kayıplarla birlikte. Bugün bu saldırı hattı yavaşlama belirtisi göstermiyor. İş e-postası uzlaşma (BEC) teknikleri giderek daha karmaşık hale geliyor; Hizmet olarak siber suç (CasS), diğer güvenlik önlemlerinin yanı sıra, “imkansız seyahat” uyarılarından kaçınmayı kolaylaştırırken, tehdit aktörlerinin giriş engelini azalttı.
BEC bir güven oyunudur. Kötü amaçlı yazılım indiren, kullanıcıları sahte sitelere götüren veya finansal bir işlemi motive eden bağlantılar gibi teknoloji yönleri, güven kazanmak ve bir tıklamayı motive etmek için sosyal mühendislik gerektirir.
Tehdit aktörleri ne arıyor? BEC aktörleri, çalışan kayıtları, bordro bilgileri ve özel iş kayıtları gibi yararlı verilerin yanı sıra, gerçek şeyin kopyaları olan logolar ve tasarımlarla meşru görünen mesajlar kullanarak birini bir ödeme veya para transferi talebini yerine getirmeye ikna etmek istiyor.
BEC’in hızla siber suçluların bir uzmanlığı haline gelmesiyle, güvenlik ekiplerinin gelişen bu tehditlerin bir adım önünde olması gerekiyor. Kurumsal güvenlik ekipleri, teknoloji, politika ve kültürün birleşimiyle saldırıların önlenmesine ve e-posta dolandırıcılığının risklerinin azaltılmasına yardımcı olabilir. Riski azaltmak için altı temel adımla birlikte BEC’in nasıl çalıştığına bakalım.
Hizmet Olarak BEC Büyümesini Destekliyor
Hizmet olarak kimlik avı sağlayıcıları, tehdit aktörlerinin kendi üst düzey teknik becerilerine ihtiyaç duymadan etkili, özgün görünen BEC kampanyaları üretmesini kolaylaştırır. BulletProftLink gibi suç platformları daha da ileri giderek şablonlar, otomatik hizmetler ve hatta bir barındırma platformu satıyor. Bu, BEC’i ödemeye istekli herhangi bir suç örgütüne bir yol olarak açmakla kalmaz, aynı zamanda hızlanma süresini hızlandırarak yeni kampanyalar başlatmayı hızlı ve kolay hale getirir.
Tehdidin Yerelleştirilmesi
En önemlisi, yeni bir trendde, BEC tehdit aktörleri, e-postalarının nereden kaynaklandığını maskelemelerini sağlayarak, konut IP hizmetlerinden konut IP adresleri de satın alıyor. Kötü amaçlı faaliyetlerini (kullanıcı adları ve parolalara ek olarak) desteklemek için yerelleştirilmiş adres alanıyla donanmış olan BEC saldırganları, hareketleri gizleyebilir, “imkansız seyahat“ bayraklar ve daha fazla saldırı gerçekleştirmek için bir ağ geçidi açın.
İmkansız seyahat uyarıları, bir kullanıcı hesabının güvenliğinin ihlal edilmiş olabileceğini gösterir. Bir konumdan diğerine seyahat etmek için uygun süre olmadan, bir görevin iki konumda gerçekleştirildiğini gösteren fiziksel kısıtlamaları işaretlerler. Siber suç ekonomisinin bu sektörünün uzmanlaşması ve sağlamlaşması, tespit edilmekten kaçınmak için konut IP adreslerinin kullanımını artırabilir.
BEC’e Karşı Savunmak
Güvenlik ekiplerinin uygulayabileceği altı temel ipucu vardır. Bazıları hemen uygulanabilirken, diğerleri uzun vadeli düşünme ve pekiştirme gerektirecektir.
- Gelen kutusu koruması: Kuruluşun dışından gelen iletileri işaretlemek için posta sistemlerini yapılandırın. Doğrulanmamış gönderenler hakkında uyarıları etkinleştirin ve bağımsız olarak tanımlanamayan gönderenleri engelleyin.
- Güçlü kimlik doğrulama: Çok faktörlü kimlik doğrulamanın etkinleştirilmesi, saldırganların kullanıcı e-postalarını tehlikeye atmasını zorlaştırır.
- Güvenli e-posta: Yapay zeka ve makine öğrenimine sahip bulut platformları, gelişmiş koruma, sürekli güncellemeler ve güvenlik politikalarının merkezi yönetimini sağlayabilir.
- Kimlik ve erişim yönetimi: Sıfır güven ve otomatikleştirilmiş kimlik yönetişimi ile kuruluşun uygulamalarına ve verilerine erişimi kontrol edin.
- Güvenli ödemeler: E-postayla gönderilen faturaları, ödemeleri ve sağlayıcıları doğrulayan bir sistemle değiştirin.
- Eğitim ve güçlendirme: Çalışanları tıklamadan önce iki kez düşünmeleri için düzenli olarak eğitin ve hatırlatın. Çalışanların ödeme isteklerini e-postadaki bağlantıya tıklayarak değil, bir telefon görüşmesiyle doğrulamasını gerektiren politikalar oluşturun ve uygulayın. Çalışanlara BEC dolandırıcılıklarını durdurmak için inisiyatif almayı öğretin ve tek bir hatanın neden olabileceği sonuçları güçlendirdiğinizden emin olun.
Politika ve yönetişim, BEC’i durdurmaya yardımcı olmak için çok önemlidir. varsayılan olarak güvenlik — örneğin, etki alanı tabanlı bir ileti kimlik doğrulama, raporlama ve uygunluk (DMARC) politikası “reddetmek“ — kimliği doğrulanmamış iletilerin posta sunucusunda reddedilmesini sağlar. Muhasebe, dahili kontroller, bordro ve İK politikalarının güncellenmesi, çalışanların erişim, para veya Sosyal Güvenlik numaraları gibi kişisel bilgiler için gelen talepleri nasıl ele alacaklarını bilmelerine yardımcı olabilir.
BEC tehdit aktörlerini engellemek, uyanıklık ve sürekli bir taahhüt gerektirir. Teknikleri daha sofistike hale geldikçe, hilelerini fark etmek zorlaşıyor. Bu düzenbaz oyunu frenlemek, C-suite ve BT, uyumluluk ve risk yönetimi ekiplerinden her iş birimine kadar tüm organizasyonu gerektirir. Politika ve teknoloji ile desteklenen farkındalık, sürekli olarak güçlü bir savunma için çok önemli bir faktördür.