Günümüzde çoğu insan kimlik avı ve fidye yazılımlarına aşinadır, çünkü bu saldırılar medyada sık sık yer alıyor. Bununla birlikte, bir suçlunun kurumsal bir e-posta hesabına erişmesini ve para çalmak için hesap sahibinin kimliğini sızdırmasını içeren Business Email Compromise (BEC), çok daha az dikkat çeken fakat çok tehlikeli ve şaşırtıcı derecede yaygın bir saldırı türüdür.
Business Email Compromise (BEC): İş E-postasının Ele Geçirilmesi şeklinde Türkçe’ye çevirebileceğimiz bir siber saldırı türüdür. Çoğunlukla insan hatasını istismar eden BEC saldırıları ile oldukça sık karşılaşıyoruz ve işletmelere faturası ağır oluyor.
İş E-postasının Ele Geçirilmesi
BEC, saldırganların herhangi bir şirketi, çalışanlarını, müşterilerini veya iş ortaklarını dolandırmak için şirket çalışanına ait e-posta hesabını ele geçirdiği veya taklit ettiği bir saldırı türüdür. İnsanlar sık e-posta aldıkları birinin e-posta adresine güvenme eğilimindedirler ve her seferinde doğruluğunu kontrol etmezler. Saldırganlar bu güvenden faydalanarak şirket ağında kullanılan bir e-postayı ele geçirebilirler veya çok benzerini oluşturabilirler.
Çok uluslu çalışan şirketler ya da avukat, finans müdürü, mali müşavir gibi üst düzey çalışanları olan şirketler bu tür saldırılara daha açıktır.
Çok uluslu şirketlerin çalışanlarının e-posta uzantıları ülkeye göre farklılık gösterir, isimleri yerelde kullanılan isimlerden değişik olabilir, farklı karakterler içerebilir. Bu gibi nedenlerle fark edilmeden taklit edilmeleri çok daha kolaydır.
Diğer yandan saldırganlar para peşinde oldukları için şirketlerin para yönetiminin içindeki çalışanları hedef alırlar.
BEC nasıl gerçekleşir?
BEC istismarında, saldırgan genellikle şirket içindeki önemli pozisyondaki birinin hesabını taklit ederek hedefinin, yani kurbanın kendi hesabına para göndermesini sağlamaya çalışır. Bu saldırıların en yaygın kurbanları genellikle uluslararası para transferi yapan şirketlerdir.
Saldırıyı planlamak için şirket ağına sızarak bilgi toplaması gereken saldırganlar spam e-postalar, oltalama veya zararlı yazılımlar içeren birkaç farklı taktiği bir arada kullanırlar. Şirket ağına sızdıktan sonra şirketin iş hacmi hakkında bilgi sahibi olabilmek için yakalanmadan belli bir süre içeride kalmaları gerekir. Bu süre içerisinde çalışanların davranışlarından tutun da iş ortakları, faturalama süreçleri, yöneticilerin çalışma saatleri, alışkanlıkları gibi birçok alanda veri toplarlar.
Saldırganlar, uygun zamanın geldiğine inandıklarında finans bölümünden yetkili birine sahte bir e-posta gönderirler. Bu uygun zaman genellikle araç olarak kullandıkları kişinin şirkette olmadığı bir zamandır. Örneğin şirketin sık çalıştığı bir iş ortağına acil ödeme talep edilir fakat ödemenin yapılacağı banka hesap numarası saldırgan tarafından değiştirilmiştir. Uygun bir zamana denk getirilmiş ve acil yapılması gereken bir iş olduğunda, bir de emir yüksek bir mevkiden geliyor ise ödemeyi yapacak olan çalışan hesap numaralarını kontrol etmeyi muhtemelen atlayacaktır.
Ödemenin yurt dışındaki bir hesaba yapıldığı ve de zamanında fark edilmediğini düşünecek olursak, çeşitli para aklama yöntemleri sayesinde giden parayı geri almak oldukça zorlaşacak ve bazen imkânsız olacaktır.
BEC için kullanılan birkaç teknik
E-posta adresi ve alan adında ufak değişiklikler: Şirketin başka bir ülkedeki ofisindeki bir çalışanının eposta adresinin [email protected] olduğunu varsayalım, saldırgan şirket ağına sızdıktan sonra pekâlâ [email protected] şeklinde bir eposta adresi oluşturabilir. Bu epostadan yapacağı yazışmaların hedefteki kurban tarafından fark edilmemesi işten bile değil.
Hedefli oltalama: Şirket hakkında bilgi toplamak için güvenilir birinden gönderilmiş gibi duran sahte e-postalar.
Zararlı yazılımlar: Ağa sızarak şirket içi verilere ve yazışmalara erişim sağlamak için kullanılır. Toplanan bilgiler daha sonra sahte e-postaların inandırıcılığını arttırmak için kullanılır. Örneğin para transferi yapılması talep edilen firmanın gerçek adı ve gerçek borç tutarı öğrenilerek sahte eposta içinde bahsedilir.
Sahte faturalar: Genellikle farklı ülkeler ile çalışan firmaların başına gelir. İyi tasarlanmış ve öncekilere benzer faturalar gönderilerek para transferi yapılması talep edilir.
Güçlü bir mevkiden gelen talepler: Ülkemizde de sık karşılaşılan bu yöntemde telefon veya e-posta ile ulaşarak avukat, savcı, polis gibi insanların sorgulamaya cesaret edemeyeceği mevkiler taklit edilir ve acilen yapılması gereken talepler sıralanır.
Üst düzey yöneticiler: CEO, CFO gibi üst düzey yöneticilerin eposta hesapları ele geçirilir ve daha alt düzey bir yöneticiden para transferi yapması istenir.
Bu teknikler işe yarıyor mu?
Bazıları basit gibi görünen bazıları ise uzun süren, sabır ve mühendislik isteyen BEC saldırı teknikleri geçtiğimiz yıllarda birçok firmanın başını ağrıttı ve gelecekte de ağrıtacak gibi duruyor.
Merkezi California, ABD’de bulunan bir kablosuz ağ teknolojileri firması olan Ubiquiti bu kurbanlardan biri. Firma geçtiğimiz yıllarda hem çalışan hem de yönetici kimliğinin istismar edildiği ve finans bölümünü hedef alan bir saldırıyı bildirdi. Saldırı sonucunda üçüncü taraf banka hesaplarına 46,7 milyon dolar aktarıldı.
Yine Amerika merkezli Mattel isimli oyuncak firması yaklaşık 3 milyon doları Çin’deki Wenzhou, bankasına transfer etti. Transfer emri sözde CEO’dan gelmişti.
2013 ve 2015 yılları arasında Evaldas Rimasauskas isimli saldırgan karmaşık teknikler ile Facebook ve Google’ı yaklaşık 121 milyon dolar zarara soktu. Bu örnekten de anlaşılacağı gibi en teknolojik firmalar bile BEC saldırılarının kurbanı olabiliyor.
Alınabilecek önlemler
BEC dolandırıcılığının planlanmasında ve gerçekleştirilmesinde yer alan gelişmiş sosyal mühendislik teknikleri saldırıların fark edilmesini oldukça zorlaştırır. Yine de e-posta güvenliği açısından best practice’lere uymak saldırıların şirketinizde başarı şansınızı önemli ölçüde azaltacaktır.
BEC saldırıları genellikle çok daha uzun soluklu saldırıların bir parçasıdır. Saldırganların şirket ağına sızarak belirli bir süre fark edilmeden içeride kalmaları gerekebilir. Bu tür sızmaları fark edebilmenizi sağlayan EDR çözümlerinin zamanında yerleştirilmiş olması ve sistemin sürekli izlenmesi bir anda milyonlarca dolara çıkabilecek zararların önüne geçmenizi sağlayabilir.
Titizlikle belirleyeceğiniz e-posta kuralları ile benzer ama aynı olmayan domainlerden gelen ve yanıtlanan epostaları ayırabilirsiniz. Sık kullanılan ve şirket içi domainler için renk kodu tanımlayabilirsiniz.
Şirket e-posta hesaplarını mutlaka çok faktörlü kimlik doğrulama ile korumalısınız.
SMTP protokolü ne yazık ki istediğiniz alan adından ve e-posta adresinden posta gönderebilmenize olanak sağlar. E-posta güvenlik yazılımınızda yanıtlama adresi farklı olan e-postalar için özel kurallar oluşturabilirsiniz. Bu şekilde sahte e-postaları ayıklama şansınız yükselir.
Çalışanlarınıza genel siber güvenlik kuralları yanında e-postalar konusunda da eğitmelisiniz. Bir e-posta aldıklarında gönderici adresine dikkat etmelerini, postanın içindeki bağlantıları kontrol etmeden tıklamamaları gerektiğini bilmeliler.
Çok faktör doğrulama mantığında olduğu gibi, e-posta ile alınan transfer talepleri için telefon ile arayarak doğrulama yapılmasını zorunlu tutabilirsiniz.
Ayrıca şirket hesaplarını düzenli olarak kontrol etmeyi ihmal etmeyin.
Sonuç
BEC, tüm sektörlerdeki her ölçekten işletmeler için her zamankinden daha ciddi ve yaygın bir tehdittir. Saldırganlar, kurumsal bir e-posta hesabına erişmek için e-posta sızdırma, kimlik avı ve fidye yazılımı gibi gelişmiş sosyal mühendislik tekniklerini bir arada kullanır ve hedef şirketten para çalmak için hesap sahibinin kimliği ile sahte e-postalar gönderirler.
Bu e-posta saldırısı giderek daha popüler hale geliyor, çünkü şirketlerin bireylerden daha fazla kaybedecek parası var ve üstelik, patronunu memnun etmeye çalışırken aceleci davranan birinin dalgın anını yakalamak çok kolay olabiliyor.
Temel e-posta güvenliği kurallarını uygulamak şirketlerin BEC saldırısına maruz kalma riskini azaltacaktır ancak bu tehlikeli ve maliyetli saldırılardan korunmanın en iyi yolu gelişmiş, çok katmanlı bir e-posta güvenliğine yatırım yapmaktan geçer.