Siber güvenliğin öneminin daha da arttığı Covid-19 salgını döneminde, e-postanın en çok kullanılan iletişim araçlarından biri olduğunu söylesek yanlış olmaz. Herhangi bir şirketin CEO’sundan, en alt birim çalışanına kadar herkesin kurumsal e-posta kullandığını, yazışmaların ve özellikle finansal işlemlerin bu e-postalar aracılığıyla yapıldığını hepimiz biliyoruz.
Siber suçlular da sürekli olarak şirketlere saldırmanın yeni yollarını arıyorlar. Son birkaç yılda, kurumsal yazışmaları hedef alan şirket e-posta dolandırıcılığı (BEC – Business E-mail Compromise) saldırılarına daha fazla başvuruyorlar.
BEC (Business E-mail Compromise) Saldırıları Nedir?
BEC (Business E-mail Compromise) saldırısı, yabancı tedarikçilerle çalışan ve banka havalesi yapan şirketleri hedef alan bir tür siber dolandırıcılık yöntemidir. Saldırgan, bir şirket yöneticisini veya finansal işlemlerden sorumlu bir çalışanın, kurumsal veya kamuya açık e-posta adresini bir şekilde ele geçirir. Daha sonra e-posta mesajlarının arasında istek, ödeme, transfer ve acil gibi kelimeleri tespit ederek ava çıkar. Son fazda ise kendi hesabına parayı aktarması için konuşmaların arasına girerek (taklit ederek) kişileri kandırmaya çalışır.
BEC (Business E-mail Compromise) Saldırı Yöntemleri Nelerdir?
FBI İnternet Şikayet Merkezi IC3’e göre 5 tip BEC saldırı türü vardır. Bunlar:
CEO Dolandırıcılığı
Hesap İhlali
Yanlış Fatura Teması
Avukat Kimliğine Bürünme
Veri Hırsızlığı
BEC Saldırısının Şirketlere Verdiği Mali Zararlar
2020 yılı Agari’nin siber istihbarat raporuna göre BEC dolandırıcılarının şu anda en az 39 ülkede merkez yönetim üslerinin olduğu bildirilmektedir. Her yıl ortalama şirketlere verdiği zarar ise 26 milyar Dolar. Ve bu rakamlar her yıl artıyor…
IC3, sadece 2019 yılında FBI’a şikayet edilen 23,775 benzer vaka olduğunu bildirdi; bu, 2018’den bu yana vakalarda 3500, zararda ise 1,2 milyar Dolar’dan 1,7 milyar Dolar’a artış olduğunu gösteriyor.
Araştırmalar, BEC saldırılarının şu anda küresel olarak siber suç zararlarının %40’ını oluşturduğunu ve en az 177 ülkeyi etkilediğini gösteriyor. Ayrıca Mayıs 2019 ile Temmuz 2020 yılları arasında yapılan araştırmalarda saldırıların %50’sinin Nijerya’da gerçekleştiği de raporlandı. BEC saldırısının küresel olarak duyulduğu ilk bölgenin de Nijerya olduğunu unutmayalım. Aşağıda yüksek profilli şirketlere yapılan BEC saldırı örneklerini sizler için derledik:
- Bir siber suçlu, Tayvanlı bir elektronik üreticisini taklit eden bir alan adı satın aldıktan sonra iki yıl boyunca bu alan adını (Facebook ve Google dahil) büyük şirketlere fatura göndermek için kullandı ve bu süreçte 120 milyon Dolar kazandı.
- Bir inşaat şirketini taklit eden siber suçlular, South Oregon Üniversitesi’ni sahte hesaplara yaklaşık 2 milyon Dolar transfer etmeye ikna etti.
- Bazı dolandırıcılar, birinin adını içeren ancak farklı bir alan uzantısına sahip bir alan adıyla iki futbol kulübü arasında geçen yazışmalara karıştı. İki kulüp, Boca Juniors ve Paris Saint-Germain, bir oyuncunun transferini ve komisyon anlaşmasını tartışıyorlardı. Sonuç olarak, yaklaşık 520.000 Euro Meksika’daki çeşitli hileli hesaplara gitti.
- Toyota’nın Avrupa kolu, bir çalışanın gerçek zannederek yaptığı sahte banka havalesi talimatının sonucunda siber suçlulara 37 milyon Dolar’dan fazla kaptırdı.
Mart 2016 yılında Seagate ve Snapchat gibi bazı teknoloji şirketleri de BEC saldırılarına maruz kaldılar. BEC saldırılarına karşı şirketlerin önlem alması kaçınılmaz bir durum olmuştur.
Dünyadan BEC Saldırı Örnekleri
Aşağıda, gerçek mesajların olmadığı fakat gerçek dünyada yaşanan BEC saldırı örneklerine yer verilmiştir.
CEO Dolandırıcılığı
Saldırgan, patronuymuş gibi bir rol yaparak potansiyel bir kurbanla temas kurmaya çalışır. Dolandırıcı, alıcının gerçek şirket çalışanı ile iletişim kurmaya çalışmaması için hem e-postanın aciliyetini hem de patrona diğer iletişim kanalları aracılığıyla erişmenin mümkün olmadığını vurgular:
Sahte Adres
Muhasebe biriminden banka bilgilerini değiştirmeye yetkili bir çalışan arayan siber suçlu, şunları yazar:
Burada, e-posta konu başlığı değiştirilir, böylece saldırgan gerçek çalışanın hem adını hem de e-posta adresini görüntüler, ancak saldırganın e-postası yanıtın gönderileceği adresi olarak verilir. Sonuç olarak, bu iletiye verilen yanıtlar “not_bob@gmail.com” adresine gider. Birçok istemci varsayılan olarak yanıtlama alanını gizler, bu nedenle bu e-posta orijinalmiş gibi görünür.
Avukat Kimliğine Bürünme
Yönetici gibi davranan saldırgan, çalışanı sahte bir avukatla işbirliği yapılması gerektiğine ikna eder; bu avukat kısa bir süre içinde çalışanla iletişim kuracaktır…
Benzer Alan Adı
Saldırgan, bir şirket çalışanı ile e-posta aracılığıyla iletişim kurar…
BEC (Business E-mail Compromise) Saldırılarından Korunma Yöntemleri
- Size gelen e-postalara şüpheci yaklaşın ve dikkatlice inceleyin.
- Sadece e-posta gönderici ismini referans almayın, bilhassa mail adresinin doğruluğunu kontrol edin.
- Yöneticiler tarafından gönderilen düzensiz e-postalara karşı dikkatli olun. İsteklerin düzensiz olup olmadığını belirlemek için para transferi talep eden e-postaları özellikle inceleyin.
- Güvenliğin en zayıf halkasının insan faktörü olduğunu unutmayıp, şirket çalışanlarını BEC saldırısı konusunda eğitin.
- Ayrıntıları ve ödemelerin neden yapıldığını içeren müşterilerinizin alışkanlıkları hakkında bilgi sahibi olun.
- E-posta erişiminde iki aşamalı kimlik doğrulama kullanın ve para transferlerini de bu şekilde gerçekleştirin.
- E-postalarda verilen telefon numaraları ve ödeme hesaplarının doğruluğunu kontrol etmeyi unutmayın.