Vendor Email Compromise saldırılarında kullanılan akıllı bir sosyal mühendislik taktiğine göz atıyoruz.
Bugün, bir iş e-posta uzlaşması (BEC) grubunun, tedarik zincirlerini bozmak yerine yöneticileri hedeflemekten kaçındığına dair büyüleyici bir hikayemiz var. Kulağa aşırı derecede karmaşık gelebilecek saldırı, çok para kazanma niyetiyle oldukça basitleştirilmiş bir saldırıdır.
BEC: Ne var?
BEC birkaç farklı modeli takip eder, ancak öncelikle yönetici düzeyinde bir e-posta hesabını ele geçiren veya taklit eden bir suçlunun yaklaşımı etrafında döner.
Suçlu, parayı işletme içinden tamamen başka bir yere taşımakla ilgili olarak daha kıdemsiz bir çalışana bir veya daha fazla “acil” e-posta gönderir. Bazı saldırganlar, İK, finans veya hesaplardaki kişileri hedef alabilmek için önceden keşif gerçekleştirir.
Suçlu muhtemelen paranın hızlı bir şekilde taşınmasında ve başka kimsenin işin içinde olmadığında ısrar edecektir.
Bu teknik birkaç yıldır ortalıkta dolaşıyor ve bazı insanlar buna alışıyor. Sonuç olarak, saldırganlar, bu dolandırıcılıkların işleyiş şeklini genişletmeye çalışıyor ve onlara radarın altından uçmak için en iyi şansı veriyor.
Aşağıda baktığımız şey, Satıcı E-posta Uzlaşması (VEC). Saldırganlar doğrudan bir şirketin peşine düşmek yerine satıcılar, müşteriler, müşteriler, tedarikçilerden oluşan bir ağ bulur… adını siz koyun, hepsini dener ve haritasını çıkarırlar. Oradan, zincirdeki zayıf halkaları bulma ve ardından ellerinden geldiğince onları takip etme durumu.
İşi halletmek için gereken tek şey biraz hileli alan yönetimi ve sosyal mühendislik olabilir.
VEC
Tedarik zinciri başarıya giden adımlar
Bu özel kampanyanın merkezinde yer alan grup, tuhaf bir şekilde “Ateş Tuğlası Devekuşu” lakaplı grubun, birkaç yıl öncesine dayanan en az 350 kampanyada parmağı olduğu belirtildi. 200 kadar farklı URL’de 151 kuruluş taklit edildi. Saldırıların ABD merkezli olduğu ve özellikle ABD işine odaklandığı söyleniyor.
Araştırmanın arkasındaki grup olan Abnormal Intelligence’a göre, Firebrick Ostrich sayı olarak Ağustos 2022’de zirvedeydi ve çeşitli kampanyalarda kullanılan URL’lerin çoğu, kullanıldıkları tarihte bir günden daha yeniydi.
VEC grubu için başarıya giden adımlar şu şekilde sıralanmıştır:
- Taklit etki alanı ve söz konusu sahte “şirket” ile ilgili birden fazla sahte e-posta adresi ile tamamlanmış bir satıcı gibi davranın.
- Sahte satıcı, potansiyel kurbanla iletişimi başlatır ve top hareket halindeyken birkaç yoldan birine gider. Verilen örnekte, dolandırıcılar dosyadaki bir banka hesabını güncellemek istiyor ve ardından ödenmemiş ödemelerin “izini kaybettiklerini” belirtiyorlar. Bu şekilde, borçlu olunan gerçek potansiyel ödemeler veya mağdura karşı kullanılabilecek diğer ilgili bilgiler hakkında içgörü kazanırlar.
- Yukarıda belirtilen, oluşturulan ek e-posta adreslerinin bir kısmı veya tamamı, alıcılara “bunların hepsi makul ve gerçek görünüyor” katmanı eklemek için çeşitli e-posta zincirlerinden bazılarına bağlanabilir. Dolandırıcılar para çalmak için bu kadar ileri gider miydi? Emin ol. Bu tür bir e-posta zincirine bakan birçok çalışan, ikinci kez düşünmez.
para çekme
E-posta maskaralıkları başarılı olursa, sahte satıcıdan gelen bir takip postası, kurbanın para göndermesi için değiştirilmiş ödeme bilgilerini içerir. Anormal Güvenlik, bazı durumlarda, ödeme ayrıntılarını içeren postalara PDF belgelerinin eklendiğini belirtir. Bunun, şüpheli içeriğe (postaların gövdesindeki ödeme ayrıntıları gibi) bakan herhangi bir e-posta bayrağını denemek ve atlamak için yapılmış olması mümkündür.
Sahte e-postalar ve taklit URL’lerden, birinin Google’a veya LinkedIn’e atlaması durumunda bazı iletişimlere gerçek çalışan adlarının eklenmesine kadar tüm taklit ayrıntıları yerindeyken, bu saldırı bir kuruluş için çok büyük sorunlara neden olabilir.
Satıcı saldırıları: kaygan bir müşteri
Bu özel grubun, imalat ve perakendeden enerji ve eğitime kadar uzanan bir yelpazeyi yürüten belirli bir sanayi sektörünü hedeflediği görülmediği göz önüne alındığında, herhangi bir işletmeyi etkileyebilir ve başarılı olursa taklit edilecektir.
Bu tür saldırılara karşı en iyi savunma, personelin bunların var olduğunun ve nasıl çalıştığının farkında olmasını sağlamaktır. Çoğu dolandırıcılık, çalışanları tecrit etmeye ve aceleye getirmeye dayanır, bu nedenle daha az gayretlidirler, dolayısıyla birden fazla çalışanın önemli işlemlere dahil olmasını sağlayan süreçlere sahip olunmasına da yardımcı olur.
Orada güvende kalın!
Tehditleri sadece rapor etmiyoruz, onları kaldırıyoruz
Siber güvenlik riskleri asla bir manşetin ötesine geçmemelidir. Malwarebytes’i bugün indirerek tehditleri cihazlarınızdan uzak tutun.