Merhaba arkadaşlar, yoğun iş temposu sonunda biraz vakit ayırıp bir şeyler karalamaya çalıştım. Bugün bu yazımda olay müdahalelerinde sıkça karşılaştığımız bir saldırı çeşidinden bahsedeceğiz. Bu yazımı çalışıyor olduğum PwC Turkiye blog sayfasında da yayınladık. (link)
E-posta sistemlerinin aktif olarak kullanılmaya başlanmasından sonra saldırganlar hedeflerini e-postalara çevirmeye başladı. Bu blog yazısında ise adından sıkça söz ettiren Business E-mail Compromise (BEC) saldırılarından bahsedilecektir. Business E-mail Compromise (BEC) genel olarak yurt dışı tedarikçileri bulunan firmaları hedef alan saldırı yöntemidir. Üst düzey yöneticilerin veya çalışanların sosyal mühendislik saldırılarıyla e-posta adreslerinin ele geçirilmesi veya benzer e-posta hesapları kullanılarak adlarına e-posta atılması ile yapılmaktadır. Bu saldırılar şirketlere milyarlarca dolar zarara mal oluyor ve itibarlarına ciddi zararlar verebiliyor. FBI’ın yayınladığı rapora göre Haziran 2016 ile Temmuz 2019 arasında BEC saldırılarının şirketlere olan zararı 26 milyar dolardan fazla olduğu belirtildi. Bu saldırıların %85’i hızlı yanıt alabilmek için tasarlanmış acil e-postalardan oluşmaktadır.
Proofpoint 2018 yılında 3900 şirkete 160 milyardan fazla BEC e-posta atıldığını, bunların doğrudan kurum içinde çalışan üst düzey yöneticileri veya çalışanlarını hedef aldığını, içeriklerinin banka havale veya hassas bilgilerin gönderilmesi gibi işlemlerden oluştuğunu, 2019 yılında ise bu e-posta saldırılarının %120 fazlalaştığını belirtti. Bu saldırıdan etkilenen firmalara örnek vermek gerekirse Toyota firmasının alt kuruluşlarından olan Toyota Boshoku’yu örnek verebiliriz. Toyota Boshoku firmasının 6 Eylül’de yaptığı duyuruya göre firmanın bu saldırıdan 37 milyon dolardan fazla zarara uğradığı açıklandı.
Saldırılar Nasıl Gerçekleşiyor?
Örnek bir senaryo üzerinden bakılırsa Noname adında bir firmanın finans bölümünde çalışıyorsunuz ve para transferlerini sizin gerçekleştirdiğinizi düşünelim. Düzenli olarak her ayın 15’inde müşterinize ödeme yapması için çalışmış olduğunuz firmanın hesap bilgilerini gönderiyorsunuz. Saldırgan size ait e-posta adresini ele geçirip eski yazışmalarınızdan yola çıkarak bilginiz olmadan ayın 14’ünde kendi düzenlemiş olduğu hesap bilgilerini gönderebilir ve işlemin acil olduğunu belirterek, paranın kendi hesabına yatırılmasını sağlayabilir.
Bir başka senaryo ise sizin aktif olarak kullandığınız “finance@noname.abc” mail adresinizin var olduğunu düşünelim. Saldırgan (nonaame.abc) çalıştığınız firmaya benzer bir domain adı alabilir ve bu domain adı ile sizin mail adresinize benzer (finance@nonaame.abc) mail adresi oluşturabilir. Bu e-posta adresi ile müşterilerinizden sipariş için kısmi ödeme veya aylık düzenli ödeme vb. gibi ödemeler isteyebilir.
Saldırılar Nasıl Başarılı Oluyor?
İlk olarak bilinmesi gereken, bu saldırılar hedef odaklıdır. Bir kuruluşun çalışanları, iş ortakları veya müşterileri gibi görünebilirler. Anti-spam teknolojileri ise genelde bu e-postaları tehdit olarak algılayamaz.
İkincisi bu saldırı yönteminde, saldırganlar e-posta içeriğine herhangi bir zararlı yazılım veya kötü amaçlı link (URL) eklemezler. Bundan dolayı anti virüs teknolojileri, bu e-postaları tehdit olarak algılayamaz.
Son olarak saldırgan, çalışanlardan veya müşterilerden, düzenli olarak yapmakta oldukları işleri istedikleri için saldırının fark edilmesi zor olabilir.
Nasıl Korunabiliriz?
E-postalar anadili Türkçe veya İngilizce olmayan kişiler tarafından hazırlanabilir veya hazır bir şablon kullanılabilir. E-posta içeriğinde bazı imla ve kelime hataları dikkat çekiyorsa, e-postanın teyit edilmesi gerekebilir.
Kurum çalışanlarına, sosyal mühendislik saldırılarına karşı farkındalık eğitimleri verilmesi gereklidir.
Bir sonraki yazıda görüşmek üzere.