İş e-posta güvenliğini aşma (BEC- Business e-mail compromise) atakları, sağlam bir işletmenin temsilcisinin kimliğine bürünmeyi içeren bir cins dolandırıcılık. Verizon’a göre BEC akınları 2021’deki en yaygın ikinci toplumsal mühendislik akınıydı. FBI, BEC taarruzlarının 2014’ten 2019’a kadar ABD işletmelerine 2 milyar dolardan fazla maliyeti olduğunu bildirdi.
Kaspersky uzmanları BEC ataklarının giderek arttığını gözlemliyor. Yalnızca Ekim ayında 5037 olmak üzere 2021’in dördüncü çeyreğinde Kaspersky eserleri 8000’den çok BEC saldırısını önledi.
2021 boyunca şirketin araştırmacıları, dolandırıcıların geçersiz e-postalar oluşturma ve yayma halini yakından inceledi. Sonuç olarak, atakların iki kategoriye ayrılma eğiliminde olduğunu buldular: Büyük ölçekli olanlar ve yüksek oranda hedeflenmiş olanlar.
Bunlardan birincisi “Hizmet Olarak BEC” olarak isimlendiriliyor. Bu hücumlarda, mümkün olduğunca epeyce sayıda kurbana ulaşmak için akının ardındaki mekanik sıradanleştiriliyor. Saldırganlar, mümkün olduğu kadar fazlaca kurbanı tuzağa düşürmek umuduyla fiyatsız posta hesaplarından toplu biçimde bildiriler gönderiyor. Bu cins bildiriler ekseriyetle yüksek karmaşıklıktan mahrum lakin tesirlidir.
Bu stil taarruzlarda, çalışan daha kıdemli bir çalışandan geçersiz bir e-posta alır. İleti her vakit karmaşıktır ve kişinin acil bir biçimde ele alması gereken bir isteği olduğunu söyler. Mağdurdan birtakım kontratları ivedilikle ödemesi, birtakım mali uyuşmazlıkları çözmesi yahut hassas ayrıntıları üçüncü bir tarafla paylaşması istenebilir. Rastgele bir çalışan potansiyel olarak bu biçimde bir akının mağdur olabilir. Natürel ki bu biçimde iletilerde dikkatli bakınca göze çarpacak birtakım noktalar var. Örneğin kurumsal bir hesap kullanılmıyor ve yazının gönderenin anadili olmadığı birden fazla vakit açıkça aşikâr oluyor.
Birtakım hatalılar sıradanleştirilmiş toplu posta gönderimlerine güvenirken, öbürleri daha gelişmiş, gayeli BEC akınlarına yöneliyor. Süreç şöyle çalışıyor: Saldırganlar evvel bir aracı posta kutusuna saldırıyor ve hesabın e-postasına erişim sağlıyor. Akabinde aracı şirketin kapalılığı ihlal edilen posta kutusunda uygun bir yazışma bulduklarında (mesela, finansal yahut işle ilgili teknik mevzularda), aracı şirket kimliğine bürünerek hedeflenen şirketle yazışmaya devam ediyorlar. Ekseriyetle gaye, kurbanı para transfer etmeye yahut makus hedefli yazılım yüklemeye ikna etmek oluyor.
Amaç saldırganların atıfta bulunduğu konuşmaya dahil olduğundan, dolandırıcılığın kurbanı olma olasılıkları epeyce daha yüksek. Bu çeşit taarruzların çok tesirli olduğu kanıtlandığı için kullanımları da bir çok yaygın.
Kaspersky Güvenlik Uzmanı Roman Dedenok şunları söylüyor: “Şu anda BEC ataklarının en yaygın toplumsal mühendislik tekniklerinden biri haline geldiğini gözlemliyoruz. Bunun sebebi pek sıradantir, dolandırıcılar bu çeşit halleri işe yaradıkları için kullanırlar. Artık daha az insan sıradan toplu ölçekli uydurma e-postalara düşme eğilimindeyken, dolandırıcılar kurbanlarıyla ilgili bilgileri dikkatli bir biçimde toplamaya ve inanç oluşturmak için kullanmaya başladılar. Bu hücumlardan kimileri, siber hatalıların açık erişimdeki şahısların isimlerini, durumlarını ve kişi listelerini kolay kolay bulabilmesi yardımıyla mümkün oluyor. Bu niçinle kullanıcıları iş yerinde dikkatli olmaya teşvik ediyoruz.”
Kaspersky Kıdemli Eser Pazarlama Müdürü Oleg Gorobets de şu eklemelerde bulunuyor: “E-posta, yaygın kullanması niçiniyle birçok işletme için birincil irtibat kanalı olmaya devam ediyor. Ufukta rastgele bir ikame olmadan, gelecek yıllar boyunca da o denli kalacaktır. Lakin zayıf dijital hijyenin artmasıyla bir arada uzaktan çalışma uygulamaları ve bulut depolama yeni norm haline geldikçe, kurumsal güvenlikteki bu boşluklardan yararlanan yeni dolandırıcılık biçimlerinin ortaya çıkacağını öngörüyoruz. Uç nokta güvenliği üzerinde daha az denetime sahip olan BT güvenlik yöneticileri, EPP’den başarılı bir engelleme iletisi alsalar bile gerilime girme eğilimindedir. Bunun uygun bir örneği, telekomünikasyon şirketi yahut bulut posta sağlayıcısından gereğince âlâ bir paket e-posta güvenliği kullanıldığında ortaya çıkabilen, uç nokta düzebir daha ulaşan e-posta kaynaklı tehditlerdir. Kaliteli tehdit bilgileri ve makine tahsili algoritmalarıyla desteklenmiş özel bir güvenlik tahlili ve güzel test edilmiş bir teknoloji yığınını kullanmak burada gerçek bir fark yaratabilir.”
Dolandırıcıların, kuruluşları hedeflemek için kurbanın herkese açık bilgileri nasıl kullanabileceklerini Securelist üzerinde bulabilirsiniz.
Kaspersky uzmanları, BEC ataklarının kurbanı olmamak için şirketlere şu tavsiyelerde bulunuyor:
Kaspersky uzmanları BEC ataklarının giderek arttığını gözlemliyor. Yalnızca Ekim ayında 5037 olmak üzere 2021’in dördüncü çeyreğinde Kaspersky eserleri 8000’den çok BEC saldırısını önledi.
2021 boyunca şirketin araştırmacıları, dolandırıcıların geçersiz e-postalar oluşturma ve yayma halini yakından inceledi. Sonuç olarak, atakların iki kategoriye ayrılma eğiliminde olduğunu buldular: Büyük ölçekli olanlar ve yüksek oranda hedeflenmiş olanlar.
Bunlardan birincisi “Hizmet Olarak BEC” olarak isimlendiriliyor. Bu hücumlarda, mümkün olduğunca epeyce sayıda kurbana ulaşmak için akının ardındaki mekanik sıradanleştiriliyor. Saldırganlar, mümkün olduğu kadar fazlaca kurbanı tuzağa düşürmek umuduyla fiyatsız posta hesaplarından toplu biçimde bildiriler gönderiyor. Bu cins bildiriler ekseriyetle yüksek karmaşıklıktan mahrum lakin tesirlidir.
Bu stil taarruzlarda, çalışan daha kıdemli bir çalışandan geçersiz bir e-posta alır. İleti her vakit karmaşıktır ve kişinin acil bir biçimde ele alması gereken bir isteği olduğunu söyler. Mağdurdan birtakım kontratları ivedilikle ödemesi, birtakım mali uyuşmazlıkları çözmesi yahut hassas ayrıntıları üçüncü bir tarafla paylaşması istenebilir. Rastgele bir çalışan potansiyel olarak bu biçimde bir akının mağdur olabilir. Natürel ki bu biçimde iletilerde dikkatli bakınca göze çarpacak birtakım noktalar var. Örneğin kurumsal bir hesap kullanılmıyor ve yazının gönderenin anadili olmadığı birden fazla vakit açıkça aşikâr oluyor.
Birtakım hatalılar sıradanleştirilmiş toplu posta gönderimlerine güvenirken, öbürleri daha gelişmiş, gayeli BEC akınlarına yöneliyor. Süreç şöyle çalışıyor: Saldırganlar evvel bir aracı posta kutusuna saldırıyor ve hesabın e-postasına erişim sağlıyor. Akabinde aracı şirketin kapalılığı ihlal edilen posta kutusunda uygun bir yazışma bulduklarında (mesela, finansal yahut işle ilgili teknik mevzularda), aracı şirket kimliğine bürünerek hedeflenen şirketle yazışmaya devam ediyorlar. Ekseriyetle gaye, kurbanı para transfer etmeye yahut makus hedefli yazılım yüklemeye ikna etmek oluyor.
Amaç saldırganların atıfta bulunduğu konuşmaya dahil olduğundan, dolandırıcılığın kurbanı olma olasılıkları epeyce daha yüksek. Bu çeşit taarruzların çok tesirli olduğu kanıtlandığı için kullanımları da bir çok yaygın.
Kaspersky Güvenlik Uzmanı Roman Dedenok şunları söylüyor: “Şu anda BEC ataklarının en yaygın toplumsal mühendislik tekniklerinden biri haline geldiğini gözlemliyoruz. Bunun sebebi pek sıradantir, dolandırıcılar bu çeşit halleri işe yaradıkları için kullanırlar. Artık daha az insan sıradan toplu ölçekli uydurma e-postalara düşme eğilimindeyken, dolandırıcılar kurbanlarıyla ilgili bilgileri dikkatli bir biçimde toplamaya ve inanç oluşturmak için kullanmaya başladılar. Bu hücumlardan kimileri, siber hatalıların açık erişimdeki şahısların isimlerini, durumlarını ve kişi listelerini kolay kolay bulabilmesi yardımıyla mümkün oluyor. Bu niçinle kullanıcıları iş yerinde dikkatli olmaya teşvik ediyoruz.”
Kaspersky Kıdemli Eser Pazarlama Müdürü Oleg Gorobets de şu eklemelerde bulunuyor: “E-posta, yaygın kullanması niçiniyle birçok işletme için birincil irtibat kanalı olmaya devam ediyor. Ufukta rastgele bir ikame olmadan, gelecek yıllar boyunca da o denli kalacaktır. Lakin zayıf dijital hijyenin artmasıyla bir arada uzaktan çalışma uygulamaları ve bulut depolama yeni norm haline geldikçe, kurumsal güvenlikteki bu boşluklardan yararlanan yeni dolandırıcılık biçimlerinin ortaya çıkacağını öngörüyoruz. Uç nokta güvenliği üzerinde daha az denetime sahip olan BT güvenlik yöneticileri, EPP’den başarılı bir engelleme iletisi alsalar bile gerilime girme eğilimindedir. Bunun uygun bir örneği, telekomünikasyon şirketi yahut bulut posta sağlayıcısından gereğince âlâ bir paket e-posta güvenliği kullanıldığında ortaya çıkabilen, uç nokta düzebir daha ulaşan e-posta kaynaklı tehditlerdir. Kaliteli tehdit bilgileri ve makine tahsili algoritmalarıyla desteklenmiş özel bir güvenlik tahlili ve güzel test edilmiş bir teknoloji yığınını kullanmak burada gerçek bir fark yaratabilir.”
Dolandırıcıların, kuruluşları hedeflemek için kurbanın herkese açık bilgileri nasıl kullanabileceklerini Securelist üzerinde bulabilirsiniz.
Kaspersky uzmanları, BEC ataklarının kurbanı olmamak için şirketlere şu tavsiyelerde bulunuyor:
- Çalışanlarınızı iki sefer düşünmeye ve ödeme isteyen her e-postayı yahut her türlü şahsi yahut kurumsal bilgiyi dikkatlice denetim etmeye teşvik edin. Bulut hizmetleri üzere açık erişime sahip sistemlerde zımnî kurumsal dataları yayınlamamalarını tembihleyin. Ayrıyeten çalışmalarıyla ilgili epeyce fazla ayrıntıyı geniş bir insan yelpazesiyle paylaşmamalıdırlar.
- Çalışanları toplumsal mühendisliğe karşı eğitin. Oyunlaştırılmış eğitim ve atölye çalışmaları, çalışanları uyanık olmaları ve öbür savunma katmanlarından geçen BEC akınlarını belirlemeleri için eğitebilir.
- Kaspersky Secure Mail Gateway üzere kimlik avı tedbire, istenmeyen posta tedbire, makûs emelli yazılım algılama teknolojileriyle donatılmış güvenlik araçlarını kullanın. Bunlar dolaylı göstergeleri işlemek ve en ikna edici uydurma e-postaları bile tespit edebilen özel bir buluşsal modele sahiptir.