CEO Sahtekarlığı Kılavuzu
Shanna Utgard, Kıdemli Siber Avukat, Defendify
“ACİL – Müsait misiniz? Müteahhitlerimizden birinden gelen bekleyen bir faturayla ilgilenmeni istiyorum. Bir toplantıdayım ve konuşamıyorum ama bunu bir an önce halletmemiz gerekiyor.”
Böyle bir mesaj almış veya almış birini tanıyor olabilirsiniz. Bu, hassas veya finansal verilere erişimi olan kişileri hedefleyen İş E-postası Uzlaşması (BEC) olarak bilinen belirli bir hedef odaklı kimlik avı saldırısı örneğidir.
Siber saldırganlar, çalışanları standart güvenlik prosedürlerini kırmaya veya en iyi uygulamaları görmezden gelmeye yönlendirmek için insan etkileşimlerinden yararlanmak için gelişmiş sosyal mühendislik tekniklerini kullanır. Geleneksel siber güvenlik önlemleri uygulansa bile, bu siber suçlular bir kuruluşun sistemlerine, ağlarına ve bilgilerine çalışanları aracılığıyla, çoğu zaman onların bilgisi olmadan yetkisiz erişim elde edebilir.
Siber Suçlular Araştırma ve Sosyal Mühendislikten Nasıl Yararlanıyor?
bu FBI, BEC’yi tanımlar “Yabancı tedarikçilerle çalışan işletmeleri ve/veya düzenli olarak banka havalesi ödemeleri yapan işletmeleri hedef alan sofistike bir dolandırıcılık” olarak. Yukarıdakiler, CEO kimliğine bürünme dolandırıcılığına bir örnektir; çalışanları, şirketlerinde üst düzey bir yetkilinin para göndermeleri gerektiğini düşünmeleri için kandırmaya çalışan, giderek büyüyen bir BEC saldırısı türüdür – ve hızlı.
CEO dolandırıcılığı olarak da adlandırılan bu taktik, çalışanların yardımcı olma ve iyi bir iş çıkarma arzusunu ortadan kaldırırken bir aciliyet ve otorite duygusuna dayanır. FBI İnternet Suçları Şikayet Merkezi’ne (IC3) göre 2021 İnternet Suç RaporuBEC planları, geçen yıl yaklaşık 2,4 milyar dolarlık düzeltilmiş bir kayıpla en maliyetli saldırı türüydü.
Bu BEC planlarını uygulamadan önce tehdit aktörleri ödevlerini yaparlar. Hedef organizasyonları hakkında bilgi toplamak için şirket web sitesini, sosyal medya sayfalarını, medya kapsamını ve diğer kamuya açık veri kaynaklarını incelerler. Bu araştırma, yönetici ve üst düzey çalışanlar, yeni işe alım duyuruları, seyahat planları veya benzer ofis dışı bildirimleri, şirket haberleri ve diğer önemli proje veya etkinliklerle ilgili ayrıntıları içerebilir. CEO sahtekarlığı örneğinde, en iyi başarı şansını sağlamak için kilit hedefleri belirleyecek ve güvenilir bir kişiyi taklit edecekler. Bu dolandırıcılıklar, SMS metin mesajlarını, kişisel e-postaları veya sosyal medya hesaplarını ve cep telefonları gibi kişisel cihazları içerecek şekilde gelişmiştir.
Siber suçlular, toplanan bilgileri çalışanları hedef almak ve onları kötü aktörlerin hileli amaçlarla kullanabileceği gizli bilgileri veya hassas verileri ifşa etmeye ikna etmek için kullanır.
BEC’in ortak hedefleri arasında çalışanları bir bağlantıya tıklayıp oturum açma kimlik bilgileri sağlamaya, hassas veriler göndermeye, finansal bir işlem gerçekleştirmeye (para gönderme, hediye kartları satın alma) veya kötü niyetli ekleri açmaya ikna etmek yer alır.
Diğer İş E-posta Uzlaşması türleri:
CEO Kimliğine Bürünme: yukarıda bahsedildiği gibi, bu taktik, bir yöneticiden sahte bir mesaj göndermeyi, çalışanlardan bir havale veya başka bir finansal işlem gönderme, çalışanlara W-2’ler sağlama, hediye kartları satın alma vb. gibi bazı eylemlerde bulunmalarını talep etmeyi içerir.
Sahte Fatura Dolandırıcılığı: saldırganlar, bir kuruluşun düzenli olarak birlikte çalıştığı, ancak güncellenmiş ödeme bilgileriyle birlikte bir satıcıdan veya üçüncü taraftan gelen bir faturayı içeren bir e-postayı taklit eder.
Veri hırsızlığı: İK Personelinin, çalışan veya şirket vergi bilgileri gibi hassas verileri elde etmesi veya saldırganların çalışan olarak poz vermesi ve yeni bordro doğrudan para yatırma talimatları göndermesi hedefleniyor
Hesap Uzlaşması: E-posta hesaplarının güvenliği ihlal edilir ve saldırgan tarafından kontrol edilen hesaplara faturalar veya ödeme talepleri göndermek için kullanılır.
Bir çalışan bu taktiklere kapılırsa, kişisel utancın çok ötesinde hasara yol açabilir. Kötü aktörlere parola sağlamak, bir saldırgana para veya hassas veriler göndermek ve bir bağlantı tıklamasıyla sağlanan fidye yazılımlarının tümü, tüm kuruluş üzerinde geniş kapsamlı etkilere sahip olabilir.
Kapsamlı Siber Güvenlik Uygulaması
Kapsamlı siber güvenliğin temel direklerine sık sık geri dönüyoruz: mevcut ve gelecekteki tehditlere karşı savunmak için insanları, süreçleri ve teknolojiyi kullanmak. CEO dolandırıcılığına ve diğer BEC dolandırıcılıklarına uyarlanabilir bir yaklaşım uygulamak, özellikle hibrit veya uzak bir dünyada çalışmanın yeni zorluklarıyla birlikte, organizasyonları gelişen taktiklerden korumada uzun bir yol kat edebilir.
Çalışanlar genellikle BEC gibi siber saldırılara karşı ilk ve son savunma hattıdır. Potansiyel tehditleri tanımak ve bunlara yanıt vermek için uygun eğitim ve rehberlik almalıdırlar. Tehdit aktörleri sık sık taktik değiştirdiği ve farkındalık zamanla azaldığı için yıllık (hatta üç ayda bir) siber güvenlik eğitimi vermek artık yeterli değil. Yeni çalışanlar BEC saldırılarının başlıca hedefleridir, bu nedenle siber eğitimlerine ilk işe alım ve oryantasyon sırasında başlamak avantajlıdır. Kuruluşlar sık sık ilgi çekici eğitimler vermeli ve çalışanları karşılaşabilecekleri her türlü dolandırıcılığa karşı yüksek düzeyde tetikte olmaya teşvik etmelidir. Yakın zamanda hibrit veya uzak iş gücüne geçişle birlikte birçok kuruluş, bağlantıda kalmak için işbirliğine dayalı bulut tabanlı araçlar uygular. Bu acil talepler için, özellikle de meslektaşlarıyla hiç tanışmamış olabilecek yeni çalışanlar için net politikalar iletmek artık her zamankinden daha önemli.
Birden fazla imza veya onay, doğrudan yüz yüze veya telefonla doğrulama veya başka bir yerleşik süreç talep etmeye karar verebilirsiniz.
Çalışanların şüpheli etkinlikleri veya CEO sahtekarlığı da dahil olmak üzere sosyal mühendislik saldırılarının kurbanı olduklarını bildirmeleri için açık ve kolay bir yol sağlayın. BEC için bir olay müdahale planı, böyle bir saldırının olası yansımalarını azaltmak için çok önemlidir. Dolandırıcılık ne kadar hızlı rapor edilirse, herhangi bir fon veya verinin kurtarılma şansı o kadar yüksek olur.
Son olarak, temel siber güvenlik önlemlerinin uygulanması, bir BEC saldırısı durumunda yaygın etkiyi önlemede uzun bir yol kat edebilir. Çalışanlara benzersiz parolaları kolayca oluşturup kullanmaları için araçlar sağlayın ve siber suçluların e-postaları ve diğer değerli hesapları ele geçirmesini zorlaştırmak için çok faktörlü kimlik doğrulamayı etkinleştirin.
Düzenli, ilgi çekici farkındalık eğitimi, basit ve net politikalar ve güvenli teknoloji sayesinde, (gerçek) CEO’dan stajyere kadar her çalışan, kuruluşlarını önemli ölçüde güvende tutabilir.
yazar hakkında
Shanna Utgard, siber güvenliği TÜM işletmeler için mümkün kılan hepsi bir arada siber güvenlik platformu Defendify’da Kıdemli Siber Güvenlik Avukatıdır. Shanna, ödüllü bir kanal yöneticisidir ve kuruluşların basit, uygun maliyetli ve günün her saatinde birden fazla düzeyde çalışan kapsamlı bir programı nasıl geliştirebilecekleri konusunda sık sık konuşmacıdır. ona e-posta gönder [email protected] veya şu adresten ekiple iletişime geçin: Defendify.com.
ADİL KULLANIM BİLDİRİMİ: “Adil kullanım” yasası uyarınca, başka bir yazar, orijinal yazarın eserini izin almadan sınırlı olarak kullanabilir. 17 ABD Yasası § 107 uyarınca, telif hakkıyla korunan materyalin “eleştiri, yorum, haber raporlama, öğretim (sınıf kullanımı için birden çok kopya dahil), burs veya araştırma gibi amaçlarla belirli kullanımları, bir telif hakkı ihlali değildir.” Politika gereği, adil kullanım, halkın telif hakkıyla korunan materyallerin bölümlerini yorum ve eleştiri amacıyla özgürce kullanma hakkına sahip olduğu inancına dayanır. Adil kullanım ayrıcalığı, bir telif hakkı sahibinin münhasır haklarındaki belki de en önemli sınırlamadır. Siber Savunma Medya Grubu, siber haberleri, olayları, bilgileri ve çok daha fazlasını ücretsiz olarak web sitemiz Cyber Defense Magazine’de bildiren bir haber raporlama şirketidir. Tüm görüntüler ve raporlama, yalnızca ABD telif hakkı yasasının Adil Kullanımı kapsamında yapılır.