BEC (Business E-mail Compromise) Saldırıları

Siber güvenliğin öneminin daha da arttığı Covid-19 salgını döneminde, e-postanın en çok kullanılan iletişim araçlarından biri olduğunu söylesek yanlış olmaz. Herhangi bir şirketin CEO’sundan, en alt birim çalışanına kadar herkesin kurumsal e-posta kullandığını, yazışmaların ve özellikle finansal işlemlerin bu e-postalar aracılığıyla yapıldığını hepimiz biliyoruz.

Siber suçlular da sürekli olarak şirketlere saldırmanın yeni yollarını arıyorlar. Son birkaç yılda, kurumsal yazışmaları hedef alan şirket e-posta dolandırıcılığı (BEC – Business E-mail Compromise) saldırılarına daha fazla başvuruyorlar.

 

BEC (Business E-mail Compromise) Saldırıları Nedir?

BEC (Business E-mail Compromise) saldırısı, yabancı tedarikçilerle çalışan ve banka havalesi yapan şirketleri hedef alan bir tür siber dolandırıcılık yöntemidir. Saldırgan, bir şirket yöneticisini veya finansal işlemlerden sorumlu bir çalışanın, kurumsal veya kamuya açık e-posta adresini bir şekilde ele geçirir. Daha sonra e-posta mesajlarının arasında istek, ödeme, transfer ve acil gibi kelimeleri tespit ederek ava çıkar. Son fazda ise kendi hesabına parayı aktarması için konuşmaların arasına girerek (taklit ederek) kişileri kandırmaya çalışır.

 

BEC (Business E-mail Compromise) Saldırı Yöntemleri Nelerdir?

FBI İnternet Şikayet Merkezi IC3’e göre 5 tip BEC saldırı türü vardır. Bunlar:

 

CEO Dolandırıcılığı

Saldırganlar, kendilerini bir şirketin CEO’su veya yöneticisi olarak tanıtır ve genellikle finans departmanındaki bir kişiye e-posta göndererek paraların saldırgan hesabına aktarılmasını talep eder.

 

Hesap İhlali

Bir çalışanın hesabı saldırgan tarafından ele geçirilir ve satıcılardan ödeme istemek için kullanılır. İstenilen ödemeler, saldırgan hesabına gönderilir.

 

Yanlış Fatura Teması

Saldırgan bu taktiği yabancı tedarikçiler için kullanır. Dolandırıcı, tedarikçiymiş gibi davranır ve sahte hesaplara para transferi talep eder.

 

Avukat Kimliğine Bürünme

Saldırganın bir avukat ya da savcı gibi davranması halidir. Düşük seviyedeki çalışanlar, saldırganın talebini sorgulayacak bilgiye sahip olmamasından kaynaklanan bir dolandırıcılık türüdür.

 

Veri Hırsızlığı

Saldırgan çoğu zaman firmadaki CEO ve yöneticiler hakkında kişisel veya özel bilgiler için telefon/e-posta aracılığıyla iletişime geçer. Bu saldırıda genel olarak insan kaynakları çalışanları hedef alınır. Ve bu elde edilen bilgileri CEO dolandırıcılığı gibi saldırı türlerinde kullanır.

 

BEC Saldırısının Şirketlere Verdiği Mali Zararlar

2020 yılı Agari’nin siber istihbarat raporuna göre BEC dolandırıcılarının şu anda en az 39 ülkede merkez yönetim üslerinin olduğu bildirilmektedir. Her yıl ortalama şirketlere verdiği zarar ise 26 milyar Dolar. Ve bu rakamlar her yıl artıyor…

IC3, sadece 2019 yılında FBI’a şikayet edilen 23,775 benzer vaka olduğunu bildirdi; bu, 2018’den bu yana vakalarda 3500, zararda ise 1,2 milyar Dolar’dan 1,7 milyar Dolar’a artış olduğunu gösteriyor.

Araştırmalar, BEC saldırılarının şu anda küresel olarak siber suç zararlarının %40’ını oluşturduğunu ve en az 177 ülkeyi etkilediğini gösteriyor. Ayrıca Mayıs 2019 ile Temmuz 2020 yılları arasında yapılan araştırmalarda saldırıların %50’sinin Nijerya’da gerçekleştiği de raporlandı. BEC saldırısının küresel olarak duyulduğu ilk bölgenin de Nijerya olduğunu unutmayalım. Aşağıda yüksek profilli şirketlere yapılan BEC saldırı örneklerini sizler için derledik:

  • Bir siber suçlu, Tayvanlı bir elektronik üreticisini taklit eden bir alan adı satın aldıktan sonra iki yıl boyunca bu alan adını (Facebook ve Google dahil) büyük şirketlere fatura göndermek için kullandı ve bu süreçte 120 milyon Dolar kazandı.
  • Bir inşaat şirketini taklit eden siber suçlular, South Oregon Üniversitesi’ni sahte hesaplara yaklaşık 2 milyon Dolar transfer etmeye ikna etti.
  • Bazı dolandırıcılar, birinin adını içeren ancak farklı bir alan uzantısına sahip bir alan adıyla iki futbol kulübü arasında geçen yazışmalara karıştı. İki kulüp, Boca Juniors ve Paris Saint-Germain, bir oyuncunun transferini ve komisyon anlaşmasını tartışıyorlardı. Sonuç olarak, yaklaşık 520.000 Euro Meksika’daki çeşitli hileli hesaplara gitti.
  • Toyota’nın Avrupa kolu, bir çalışanın gerçek zannederek yaptığı sahte banka havalesi talimatının sonucunda siber suçlulara 37 milyon Dolar’dan fazla kaptırdı.

Mart 2016 yılında Seagate ve Snapchat gibi bazı teknoloji şirketleri de BEC saldırılarına maruz kaldılar. BEC saldırılarına karşı şirketlerin önlem alması kaçınılmaz bir durum olmuştur.

 

Dünyadan BEC Saldırı Örnekleri

Aşağıda, gerçek mesajların olmadığı fakat gerçek dünyada yaşanan BEC saldırı örneklerine yer verilmiştir.

 

CEO Dolandırıcılığı

Saldırgan, patronuymuş gibi bir rol yaparak potansiyel bir kurbanla temas kurmaya çalışır. Dolandırıcı, alıcının gerçek şirket çalışanı ile iletişim kurmaya çalışmaması için hem e-postanın aciliyetini hem de patrona diğer iletişim kanalları aracılığıyla erişmenin mümkün olmadığını vurgular:

 

Sahte Adres

Muhasebe biriminden banka bilgilerini değiştirmeye yetkili bir çalışan arayan siber suçlu, şunları yazar:

Burada, e-posta konu başlığı değiştirilir, böylece saldırgan gerçek çalışanın hem adını hem de e-posta adresini görüntüler, ancak saldırganın e-postası yanıtın gönderileceği adresi olarak verilir. Sonuç olarak, bu iletiye verilen yanıtlar “not_bob@gmail.com” adresine gider. Birçok istemci varsayılan olarak yanıtlama alanını gizler, bu nedenle bu e-posta orijinalmiş gibi görünür.

 

Avukat Kimliğine Bürünme

Yönetici gibi davranan saldırgan, çalışanı sahte bir avukatla işbirliği yapılması gerektiğine ikna eder; bu avukat kısa bir süre içinde çalışanla iletişim kuracaktır…

Burada, gönderen kısmı yalnızca adı değil, aynı zamanda sahte mail adresini de içerir. Bu saldırı, gelişmiş teknikleri kullanmasa da, özellikle de gerçek adres alıcının ekranında görüntülenmiyorsa (örneğin, sadece çok uzun olduğu için) birçok kişi bu tuzağa düşebilmektedir.

 

Benzer Alan Adı

Saldırgan, bir şirket çalışanı ile e-posta aracılığıyla iletişim kurar…

Dolandırıcı, önce şirketin alan adına benzer bir bir alanı adı alır (bu durumda example.com yerine examp1e.com) ve alıcının aradaki farkı dikkat etmeyeceğini umarak kandırmaya çalışır.

 

BEC (Business E-mail Compromise) Saldırılarından Korunma Yöntemleri

  • Size gelen e-postalara şüpheci yaklaşın ve dikkatlice inceleyin.
    • Sadece e-posta gönderici ismini referans almayın, bilhassa mail adresinin doğruluğunu kontrol edin.
  • Yöneticiler tarafından gönderilen düzensiz e-postalara karşı dikkatli olun. İsteklerin düzensiz olup olmadığını belirlemek için para transferi talep eden e-postaları özellikle inceleyin.
  • Güvenliğin en zayıf halkasının insan faktörü olduğunu unutmayıp, şirket çalışanlarını BEC saldırısı konusunda eğitin.
  • Ayrıntıları ve ödemelerin neden yapıldığını içeren müşterilerinizin alışkanlıkları hakkında bilgi sahibi olun.
  • E-posta erişiminde iki aşamalı kimlik doğrulama kullanın ve para transferlerini de bu şekilde gerçekleştirin.
  • E-postalarda verilen telefon numaraları ve ödeme hesaplarının doğruluğunu kontrol etmeyi unutmayın.

1 Comment

  • Kemal S.

    27 Kasım 2020 - 23:14

    Bu yöntem ile bizim şirketten 120K dolar aşırıldı. Aynı tip bir saldırı daha oldu 60K dolar daha dolandırıcıya transfer edilecekken anladık:) dikkat etmek lazım

Leave A Comment

Seccops Siber Güvenlik Teknolojileri A.Ş.

Bir kurumun ihtiyaç duyabileceği tüm kurumsal siber güvenlik hizmetlerini sunabilen alanında uzman bir teknoloji şirketidir.

Caferağa Mah. General Asım Gündüz Cad. No: 62/5 Kadıköy
(09:00 - 18:00)

Sosyal Medya

Bültenimize abone olabilirsiniz

Bizden en son haberleri, güncellemeleri, promosyonları ve özel teklifleri almak isterseniz kaydolun.
Hayır, teşekkür ederim
Bültenimize abone olabilirsiniz