İş e-posta uzlaşması (BEC), gelişmiş hedefleme ve sosyal mühendisliğin desteğiyle gelişmeye devam ediyor ve son 10 yılda dünya çapında işletmelere 50 milyar dolardan fazlaya mal oldu – bu rakam, BEC’e yönelik iş kayıplarında yıldan yıla %17’lik bir büyümeyi yansıtıyordu. FBI’a göre 2022 yılı.
Kurumun BEC hakkındaki İnternet Suçları Şikayet Merkezi (IC3) 2022 raporu, ABD işletmelerinin Ekim 2013 ile Aralık 2022 arasında bu tür dolandırıcılıklara 17 milyar dolardan fazla kaybettiğini ve küresel işletmelerin aynı dönemde yaklaşık 51 milyar dolar zarar ettiğini ortaya koydu. IC3’ün kuruluşlardan aldığı raporlar.
Bu yıllarda yalnızca ABD’de BEC kurbanı olduğunu bildiren kuruluşların sayısı, 50 eyalette 137.601’dir – güvenlik uzmanlarına göre, yalnızca FBI’a bildirilen olayları temsil ettiği için muhtemelen daha yüksek bir sayıdır. Bu, yalnızca ABD’deki değil, aynı zamanda küresel olarak şirketler için BEC’ye atfedilen toplam kayıpların muhtemelen bildirilen rakamlardan çok daha yüksek olduğu anlamına geliyor, diyorlar.
Kuruluşların, on yıldan uzun süredir bir saldırı vektörü olan BEC’ye karşı genel olarak artan farkındalığına ve savunmasına rağmen, gelişen bir siber suç faaliyetini temsil etmeye devam ediyor.
Güvenlik uzmanları, BEC’in siber tehdit ortamında devam eden hakimiyetini birkaç nedene bağlıyor. Cloudflare’nin saha baş güvenlik sorumlusu Oren Falkowitz, Dark Reading’e verdiği demeçte, saldırganların mesajları kullanıcılara gerçek görünecek şekilde sosyal olarak nasıl tasarlayacakları konusunda giderek daha fazla bilgili hale gelmesi, bu dolandırıcılıkta başarılı olmanın anahtarının bu olduğunu söylüyor.
Falkowitz bir e-postada “Başarılı BEC, zeki olmakla ilgili değil, özgünlük ve kurbanın gözünde meşruiyet kazanmakla ilgili” diyor. “Meşru görünmenin bir kısmı, haberlerdeki fiziksel olayları ve trendleri yakından takip etmektir – bu da sonunda siber uzayda yankı uyandırır ve kaldıraç olarak kullanılır.”
Bunun bir örneği, IC3’ün, 2022’de BEC’e 446,1 milyon $ zarar bildiren emlak sektörüne yönelik saldırılarda artış çağrısıdır. 2021’de bu rakam, IC3’e göre emlak kuruluşlarının 258,4 milyon $ zarar bildirdiği 2020’ye göre BEC’in gayrimenkul kayıplarının neredeyse iki katına çıktığını gösterdi.
Falkowitz, gayrimenkule yönelik BEC saldırılarındaki bu artışın, tehdit aktörlerinin fark ettiği ve avantaj sağladığı sektördeki mücadeleler nedeniyle devam ediyor gibi göründüğünü söylüyor. “Bu yılki raporda gayrimenkul sektörüyle bir bağlantıya sahip olan BEC’in izi, ticari gayrimenkul sıkışıklığına ve şehirlerin yeniden düzenlenmesine kadar izlenebilir” diyor.
Sessiz, Ama Ölümcül
BEC, tehdit aktörlerinin, yetkisiz bir fon transferi gerçekleştirmek veya finansal hesaplarla ilgili kişisel olarak tanımlanabilir bilgilere (PII) erişim sağlayarak bir kurbanı başka bir şekilde dolandırmak için meşru ticari veya kişisel e-posta hesaplarını tehlikeye atmak için aldatma ve kimliğe bürünme kullandığı bir saldırı türüdür.
BEC, doğası gereği yalnızca şirketler için değil, bireyler için de büyük mali kayıplara neden olmasıyla bilinir. Bununla birlikte, bir güvenlik uzmanına göre, son birkaç yılda fidye yazılımlarının kötü şöhretindeki artış, BEC saldırganlarının etkilerini önemli ölçüde artırırken, bir şekilde radarın altından uçmalarına izin verdi, bu da artışına katkıda bulunan bir başka faktör.
Kurumsal güvenlik farkındalığının kurucu ortağı ve CEO’su Mika Aalto, “Fidye yazılımı son iki yıldır manşetleri ele geçirirken, BEC sessizce ‘biramı tut’ dedi ve siber suçun en üretken ve en maliyetli biçimi olarak kendisini geride bıraktı” dedi. firma Hoxhunt, diyor.
Geçen hafta yayınlanan ve BEC’nin maliyetinin ve görülme sıklığının 2022’ye göre ikiye katlandığını bulan Verizon DBIR’den alıntı yaptı. Aslında, kolluk kuvvetleri fidye yazılımı çetelerinin peşine düştüğü için güvenlik endüstrisinin fidye yazılımına odaklanması bu süre zarfında BEC’in yükselişine gerçekten katkıda bulunmuş olabilir. Aalto, “BEC düşük riskli ve oldukça karlı olmaya devam ederken”, yaptırımlar uygulayarak ve sıkılaştırılmış siber sigorta politikalarına yol açarken, diyor Aalto.
Güvenlik uzmanları, genel olarak sosyal mühendisliğin siber suçlular tarafından başarılı bir taktik olarak yükselişinin de BEC’in sinsi ve sağlam doğasına katkıda bulunduğunu söylüyor. Aslında, Verizon DBIR raporunun bir diğer dikkate değer bulgusu, kimlik avı ve “bahane” – yani BEC saldırılarında yaygın olarak kullanılan türden kimliğe bürünme – geçen yıl sosyal mühendislik sahnesine hakim olmasıdır. Rapora göre, 2022’de BEC saldırılarının algılanan meşruiyetine katkıda bulunan bahane kumarları bir önceki yıla göre neredeyse iki katına çıktı ve şu anda tüm sosyal mühendislik saldırılarının %50’sini oluşturuyor.
Aalto, “Sosyal mühendislik tamamen güven ile ilgilidir ve saldırgan, genellikle yetkili bir konumda olan birinin hesabına erişim sağlayarak ve bu kişi kılığına girerek, kurbanları tavsiye edilmeyen faaliyetler için manipüle ederek güven bariyerini son derece düşürür.” notlar.
Kuruluş Nasıl Yanıt Verebilir?
Güvenlik uzmanlarına göre, BEC’in devam eden başarısı, bu saldırıların kalıcı olduğu anlamına geliyor, bu da kuruluşların daha da güçlü güvenlik önlemleriyle karşılık vermek zorunda kalacağı anlamına geliyor.
Tehdit istihbaratı yönetimi şirketi Cyware’de araştırma ve inovasyondan sorumlu kıdemli başkan yardımcısı Avkash Kathiriya, “Sorun ortadan kalkmıyor” diye katılıyor. “Kuruluşlar önemli ilerleme kaydetmiş olsalar da, hala sosyal mühendisliğe karşı savunmasız durumdalar, daha küçük işletmeler ve bireyler ise giderek daha karmaşık dolandırıcılıkların hedefi oluyor.”
Uyumlulukta uyum stratejisinden sorumlu başkan yardımcısı Igor Volovich, bu dolandırıcılıkların temel başarı faktörü olan insan unsurunun ve bir kuruluşun güvenlik altyapısındaki zayıf noktaların kullanılması nedeniyle, “yalnızca geleneksel güvenlik önlemlerini kullanmaya karşı savunma yapmak özellikle zordur” diyor. firma Qmulos.
Bu nedenle, kuruluşların “başarılı BEC olaylarına yol açabilecek kontrol anormalliklerini veya başarısızlıklarını derhal tespit etmelerine” olanak sağlayacak şekilde, iç güvenlik kontrollerinin gerçek zamanlı olarak sürekli izlenmesine ve değerlendirilmesine yönelmelerini tavsiye ediyor.
“Bu yaklaşım, kuruluşlara ortaya çıkan tehditlere hızlı bir şekilde yanıt verme çevikliği sağlıyor, dolandırıcıların güvenlik açıklarından yararlanma fırsat penceresini azaltıyor, kurumsal risk duruşunun birleşik, gerçek zamanlı bir resmini sunmak için güvenlik, uyumluluk ve risk yönetimi arasındaki zaman çizelgelerini birleştiriyor. ,” diyor Volovich.
Kimlik avı önleme firması SlashNext’in CEO’su Patrick Harr, BEC saldırganlarının sosyal olarak tasarlanmış mesajlar oluşturmalarına yardımcı olmak için ChatGPT ve diğer teknolojiler biçiminde giderek daha fazla kullandıkları üretken yapay zekanın, kuruluşlar tarafından saldırılara karşı savunmak için de kullanılabileceğini söylüyor.
“BT güvenliği uzmanlarının, karmaşık çok kanallı mesajlaşma saldırılarını engellemek için doğal dil işleme, bilgisayar görüşü ve makine öğrenimini ilişki grafikleri ve derin bağlamsallaştırma ile birleştiren yapay zeka yeteneklerini uygulaması gerekiyor” diyor.
Harr, kuruluşların, çalışanların kötü niyetli kampanyaları ve mesajları (genellikle güven ve yakınlık kurmak için sahte sosyal medya profilleri, bloglar, e-posta hesapları ve benzerlerini kullanan) tanımlamasına yardımcı olmak için işgücü eğitimi çabalarını güçlendirmesi gerektiğini de ekliyor Harr.
Aslında, BEC saldırıları genellikle kimlik avı kampanyalarından veya sosyal mühendislik yöntemlerinden kaynaklandığından, yapay zeka destekli bir siber sigorta sağlayıcısı olan Cowbell’in risk yöneticisi Jay Gohil, “kuruluşların sağlam bir siber farkındalık eğitimi kültürü geliştirmesi çok önemlidir” diyor.