Her Yönü ile BEC

Business E-mail Compromise (BEC), Türkçesi ile “İş E-posta Uzlaşması” diye tanımlayabileceğimiz saldırı yöntemi.

E-posta yoluyla yapılan saldırılar, siber suçluların kuruluş verilerini ele geçirmeye yönelik en sevilen yöntemlerinden biridir.

Yalnızca 2022 yılında Ticari E-posta Güvenliği (BEC) saldırılarının sayısı iki katına çıktı . 

Ayrıca 2022 yılında iş e-postası ihlali ve kimlik avı saldırıları en pahalı ihlaller olarak ortaya çıktı. Research and Markets'a göre , küresel BEC pazarının 2022'de tahmini 1,1 milyar ABD dolarından 2027'ye kadar 2,8 milyar ABD dolarına, 2022'den 2027'ye kadar %19,4 Yıllık Büyüme Oranı ile büyümesi bekleniyor.

Siber suçluların amaçları ve işletmelere etkileri

BEC saldırısı, kurumsal posta kutusunun güvenliğini aşmayı amaçlayan bir sosyal mühendislik saldırısıdır. Saldırının uygulanmasından önce davetsiz misafirler mağdur ve kişinin çalıştığı şirket hakkında bilgi toplar. Birçok çalışanın kendileri hakkındaki bilgileri bloglarda ve sosyal ağlarda açıkça yayınlaması nedeniyle, bir siber suçlunun mağdura ve meslektaşlarına karşı toplanan verileri elde etmesi ve kullanması zor değildir; örneğin nerede çalıştıklarını, şirketteki pozisyonlarının ne olduğunu, nereye tatile gideceklerini vb. açıklarlar. 

Ancak e-posta adresleri ve iş gezisi tarihleri gibi kurum yöneticilerine ait veriler davetsiz misafirler için daha da fazla tercih edilir. Kötü niyetli aktörler, şirketin ödemeleri ve hesaplarıyla ilgili ayrıntılarla da son derece ilgileniyor. Davetsiz misafirlerin bu tür verilere erişimi varsa, örneğin baş muhasebeciyi kandırmaları ve çalışanı sahte bir hesaba para aktarmaya ikna etmeleri çok daha kolaydır.

Bir saldırıyı gerçekleştirmek için davetsiz misafir bir kuruluşun veya yüklenicisinin e-postasını “hack”leyebilir. Yazışmayı okuduktan sonra, elde edilen bilgileri kendi kötü amaçları için kullanarak yazışmanın devamını simüle edin. Ancak siber suçlular her zaman “hack”lenmiş e-posta yoluyla e-posta göndermezler; orijinaline benzeyen bir kimlik avı alan adı kaydedip bu e-posta aracılığıyla yazışmalara devam edebilirler. Örneğin @mobildev.com alanı yerine @mobldev.com alan adıyla bir posta kutusu oluşturabilirler. 

Kötü niyetli aktörlerin şirketin alan adını hatalı bir yazımla kullanması durumunda, bu sahtecilik yöntemine typequatting adı veriliyor.

Bu tür saldırıların popülaritesi, uygulanmasının basitliği ve hızlılığı ile açıklanabilir. Microsoft Security Intelligence'ın yakın zamanda yaptığı araştırmaya göre ilk log'un alınmasından, gönderilen mesajın silinmesine kadar olan tüm süreç 2 saat içerisinde gerçekleştirilebiliyor.

Davetsiz misafirlerin önemli mali kazançlar elde etmeyi veya başka amaçlara ulaşmayı (örneğin, altyapıya veya gizli verilere erişim elde etmeyi) başardıklarını belirtmek gerekir.

Son zamanlarda davetsiz misafirler fiziksel varlıkları çalmak için BEC saldırıları uygulamaya başladı. Bir “çay tedarikçisi bu tür bir saldırıdan neredeyse etkileniyordu. Davetsiz misafir yazışmalarda belirli adrese kredili bir kamyon dolusu ürün göndermesini istedi. Ancak çay tedarikçisi şirketin çalışanı bir hatanın farkına varır. Çalışan, e-postayı gönderenin gerçekten şirket personeli olduğundan emin olmak için mektubun gönderildiği şirketin temsilcisiyle temasa geçer. Ancak yanıt olumsuzdu. Çalışanın ilgisi sayesinde siber suçlu ürünü çalmayı başaramadı.”

Gönderenin e-posta adresini dikkatlice kontrol etmek çok önemlidir. Dahası, sahte e-postalar genellikle çok az hata içerir. Bir e-postanın şüpheli olması durumunda, e-postanın gönderildiği şirketin temsilcisiyle temasa geçmek ve e-postayı gerçekten çalışanının gönderdiğinden emin olmak yararlı olacaktır. Ancak temsilciyle şüpheli e-postayı yanıtlayarak değil, meşru ve doğrulanmış bir kanal aracılığıyla bağlantı kurduğunuzdan emin olun. Örneğin merkez ofisi arayarak e-postayı gönderen kişinin gerçekten şirkette çalışıp çalışmadığını, mektubu kendisinin gönderip göndermediğini öğrenebilirsiniz.

Bir BEC saldırısı başka nasıl görünebilir?

Aslında e-posta hizmetleri, davetsiz misafirlerin saldırı gerçekleştirmek için kullandığı tek araç değildir. Çok uzun zaman önce siber suçlular, çalışanların para göndermesini veya bazı gizli bilgileri paylaşmasını sağlamak için ZOOM gibi video konferans yazılımlarını kullanmaya başladı. Böyle bir durumda davetsiz misafirler genellikle dolandırıcılık yapmak için deepfake teknolojilerini kullanır.

Örneğin, davetsiz bir misafir bir yöneticinin e-postasını hackler ve çalışanlara bir video konferansa katılma daveti gönderir. Görüşme sırasında davetsiz misafir sahte video yayınlıyor ve sohbete bağlantıda bazı sorunlar olduğunu veya mikrofonda sorun olduğunu belirten bir mesaj yazıyor. Davetsiz misafir daha sonra çalışanlardan para transferi yapmasını istediğini ekliyor ve paranın nereye gönderilmesi gerektiğini açıklıyor.

Çoğu zaman, bu tür olaylar çoğunlukla ABD'de tespit edilir, ancak deepfake oluşturmak için kullanılan teknolojilerin daha da gelişmesi ve fiyatlarının düşmesiyle birlikte, diğer ülkelerdeki davetsiz misafirlerin de bu teknolojileri kötü amaçlı amaçlar için aktif olarak kullanmaya başlaması oldukça muhtemeldir. 

Ancak BEC saldırısını önlemek mümkündür. Görevin başarıyla yerine getirilmesi için bilgi güvenliği kurallarının bilinmesi ve bilgi güvenliği uzmanlarının tavsiyelerine bağlı kalınması gerekmektedir.

Kurumsal e-posta güvenliğinin ihlal edilmesine karşı koruma oluşturma

Davetsiz misafirler BEC saldırıları gerçekleştirmek için sosyal mühendislik tekniklerini uygular ve onlara karşı karmaşık koruma sağlamak önemlidir. Bir yandan çalışanların bilgi güvenliğini ve genel bilgisayar okuryazarlığını geliştirmek hayati önem taşırken, diğer yandan kurumsal korumayı geliştirmeye yardımcı olacak özel koruyucu çözümlerin uygulanması ve personel için özel düzenlemelerin geliştirilmesi gerekmektedir.

Bilgi güvenliği ile ilgili konularda çalışanların yetkinliklerinin arttırılması, kurumsal güvenliğin artırılması açısından önemli bir husustur. Bir çalışanın mevcut riskler hakkında bilgilendirilmemesi durumunda, bir kimlik avı mektubunu ilk denemede fark etmeyecektir ve bu, kuruluş için büyük mali kayıplara yol açacaktır. Ancak, bilgi güvenliği ile ilgili konularda çalışanların eğitimi konusunda kurumda görevli çalışanların kendilerinin yapabileceği çok şey vardır. Örneğin:

• Kimlik avı ve BEC saldırılarının ne olduğunu açıklayın

• Sahte e-postayı gerçek olandan nasıl ayırt edebilirim?

• Kimlik avı saldırıları gibi ara sıra saldırıları taklit edin (çalışanların teoriyi anlayıp anlamadığını ve güvenlik önerilerinin farkında olup olmadığını kontrol etmek için).

Kuruluşunuzda bir eğitim programı geliştirmeye yönelik uzman ve kaynaklar bulunmuyorsa, üçüncü taraf uzmanlarla sözleşme yapma seçeneği mevcuttur. Örneğin şirket uzmanlarımız üç yıldır çeşitli şirketlerin ve devlet kurumlarının çalışanlarına yönelik siber okuryazarlık eğitimleri veriyor.

Dahası, çalışanlarla birkaç not paylaşmak yararlı bir seçenek olabilir. Notlar, bir dizi tehditle (kimlik avı e-postaları, güvenilmez şifrelerin kullanımı, programların yüklenmesi vb.) ilişkili risklerin azaltılmasına yardımcı olur.

İkinci adım, e-posta hizmetlerinin korunmasına yönelik araçların dağıtılmasıdır. Bu tür yazılımlar harici tehditlere karşı koruma sağlar; örneğin, NGFW potansiyel olarak kötü amaçlı ağ trafiğini engellemeye yardımcı olur, antispam yazılımı kimlik avı e-postalarının miktarını azaltır, SPF, DKIM ve DMARC protokolleri e-posta gönderenlerin yasal olup olmadığını doğrulamaya yardımcı olur.

İç tehditlerin azaltılmasına yönelik bazı çözümler de bu görevin üstesinden gelinmesine yardımcı olabilir. 

Dahası, potansiyel olarak tehlikeli olanlar da dahil olmak üzere çalışanların çeşitli durumlarda nasıl davranması gerektiğini düzenleyen özel düzenlemelerin geliştirilmesi yararlı olacaktır.

BEC saldırılarının miktarında kademeli bir değişim yaşanıyor. Ticari E-posta Güvenliği (BEC) saldırılarının hacmi 2022 yılı boyunca iki katına çıktı. Bu, şirketlerin gelişmiş koruma sağlaması ve dolayısıyla kurumsal e-posta güvenliğinin ihlali risklerini ve sonuçlarını azaltması gerektiği anlamına geliyor.