BEC Saldırılarını Nasıl Tespit Edebilirsiniz?

1-BEC saldırısı nedir?

Şirket e-posta dolandırıcılığı (Business Email Compromise-BEC) saldırısı, bir iş e-posta adresinin ele geçirilmesi, yanıltılması veya kimliğine bürünmesini içeren siber saldırıdır. Bir BEC saldırısının kurbanı, güvenilir bir işletmeden geliyormuş gibi görünen bir e-posta alır. E-posta gerçek gibi görünse de genellikle bir kimlik avı bağlantısı, kötü amaçlı bir ek veya saldırgana para aktarma isteği içerir. 

 FBI’ın 2020 İnternet Suç Raporundan belirtilen istatistiklerde; 2020’de FBI İnternet Suçları Şikayet Merkezi (IC3), BEC hakkında yaklaşık 20.000 şikayet aldı ve BEC nedeniyle rapor edilen zararlar 2018’de 1,29 milyar dolar iken 2020’de 1,86 milyar dolara yükseldi.

Ayrıca güvenlik sağlayıcısı GreatHorn’un 2021 BEC Raporunda yer alan yeni verilere göre;

  • Spoofing (Sahtekarlık) – BEC saldırılarının %71’i güvenilirlik sağlamak için sahte bir e-posta hesabı veya web sitesi kullanır. Saldırılar bilinen bir ad soy ad, benzer bir alan adı veya ele geçirilmiş bir e-posta hesabı ile yapılabilir.
  • Spear Phishing (Hedefli Kimlik Avı) – BEC saldırılarının %69’u, bir kuruluşta para üzerinde etkisi olan doğru kişilere ulaşma şanslarını artırmak için hedefli kimlik avı kullanır. Rapora göre, saldırıların %57’si finans departmanını, %22’si CEO’ları ve %20’si BT departmanını hedefliyor.
  • Malware (Kötü Amaçlı Yazılım) – BEC saldırılarının %24’ünde saldırganlar hala malware kullanıyor. Malware kullanılan saldırılarda yaşanan düşüşe rağmen saldırganların bu tür saldırılara devam etmesinin, çeşitli tekniklerle (yetki yükseltme, dahili erişim elde etme vb.) elde ettiği verileri kullanarak kurban firma üzerinden diğer firmalara saldırı yaparak daha fazla kazanma motivasyonu olduğu tespit edilmiştir.  

Verizon’un 2021 Veri İhlali Araştırma Raporuna (DBIR) göre, BEC saldırısı en yaygın ikinci sosyal mühendislik saldırı türüdür. Saldırganların bir iş e-postasına bile ihtiyaç duymadan sadece “CEO@…com” içeren bir e-posta göndermeleri bile saldırıda başarılı olmaları için yeterli olmaktadır.

BEC saldırılarındaki ortalama banka havalesi talebi, 2020’nin üçüncü çeyreğinde 48.000 $ iken, 2021 yılının 1. çeyreğinde 85.000 $’a yükseldi.

BEC saldırıları genellikle aşağıdaki şekilde yoğunlaşmıştır:

  • Üçüncü Taraf Firmanın Taklidi:  Saldırganlar, ortak çalışılan şirketin temsilcisini taklit ederek saldırılarını gerçekleştiriyor. 
  • Yönetici Davranışı: Saldırganlar sosyal mühendislik kullanarak (genellikle üst düzey) şirket içerisinde bir yönetici adına sahte bir mesaj oluşturuyor.
  • Hediye kartı dağıtımı da artışta olan bir saldırı içeriğini oluşturuyor.
  • Hukuki yazışma: Acil ve gizli yanıt gerektiren çoğu durum yasal nitelikte olduğu için mesajlar genellikle bir avukat veya hukuk firması adına gönderiliyor.
  • Kurumsal e-postanın ele geçirilmesi: Saldırgan şirket içerisindeki e-postalara ulaştığından en tehlikeli yöntemdir. Çünkü çalışanın iletişim stili kolayca taklit edilebiliyor.

 

2-Son Dönemlerde Yaşanan BEC Saldırıları

Avusturyalı FACC, siber dolandırıcılık kurbanı oldu, CEO’yu kovdu 

Müşterileri arasında Airbus ve Boeing’in de bulunduğu Avusturya merkezli havacılık parçaları üreticisi FACC, 19 Ocak 2016’da BEC saldırısına uğradı. Saldırganlar bir e-postada CEO Walter Stephan gibi davranarak bir çalışandan sahte bir satın alma projesi için sahte bir hesaba para transfer etmesini istedi. “Sahte Yönetici” saldırısı olarak bilinen BEC saldırısında FACC 42 milyon Euro (47 milyon $) dolandırıldı.  Şirket sadece 10,9 milyon avronun transfer edilmesini engelleyebildiğini belirtti.  

Saldırı sonrasında düzenlenen 14 saatlik Denetim Kurulu toplantısında alınan karar neticesinde CEO Walter Stephan ve CFO (Finans Grubu Başkanı) kovuldu. 2015/16 mali sonuçlarını açıklayan FACC, bir önceki yıla göre 18,9 milyon avro zarar etti. 

Google ve Facebook 100 Milyon Dolara Mal Olan BEC Saldırısına Maruz Kaldı

Google ve Facebook, tek bir kimlik avı e-postası ile başlayan ve 2013-2015 yılları arasında 100 milyon dolardan fazla para kaybı ile son bulan bir BEC phishing saldırısına maruz kaldı. Valdas Rimasauskas adlı saldırgan bilgisayar parçaları satan bir satıcı gibi davranarak şirketlere gönderdiği bir dizi sahte fatura ile Google ve Facebook’u dolandırdı. 

 

3- BEC Saldırıları Nasıl Önlenebilir?

Tehdit aktörleri, BEC saldırılarını gerçekleştirmek için çeşitli teknik hileler ve sosyal mühendislik yöntemleri kullanır. Ayrıca, aşağıdaki adımlar BEC saldırılarını önlemeye yardımcı olmaktadır:

  • Anti-spam ayarlarınızı doğru şekilde kişiselleştirin ve Güçlü spam filtreleri kullanın: Malware içeren dosyaları kullanıcılara ulaşmasını engelleyebilen güçlü spam filtrelerine ihtiyacınız vardır
  • Şüpheli görünen ekleri açmayın: Bu madde sadece tanımadığınız kişiler tarafından gönderilen mesajlar için geçerli değildir. Aynı zamanda tanıdıklarınız olduğuna inandığınız göndericiler için de geçerlidir. Oltalama kaynaklı olarak başlayan fidye yazılım saldırılarının büyük çoğunluğu yönetici seviyesindeki çalışanların kimlik bilgilerinin ele geçirilmesi sonucunda olmaktadır.
  • Kişisel bilgileri vermekten kaçının: Saldırganların saldırıya hazırlanma sürecinde bir kimlik avı e-postası göndermeyi hedefleyebilirler ve bilgilerinizi bir yerden almaları gerekir. Önemli bilgiler için sosyal medya gönderilerinizi veya genel profillerinizi gözden geçirerek OSINT tekniklerini kullanarak elde edebilirler.
  • Dosya Uzantılarını Göster özelliğini kullanın: Bu, dolandırıcıların, bir dosyanın iki veya daha fazla uzantıya sahip gibi göründüğü kafa karıştırıcı bir teknik kullanmaya çalıştığı durumlarda yararlıdır.
  • E-posta kullanıcılarının kimliğini doğrulayın: Kötü niyetli kişilerin e-posta sahtekarlığı tekniklerini kullanmasını önlemek için Gönderen Politikası Çerçevesi (SPF), Etki Alanı İleti Kimlik Doğrulaması Raporlama ve Uygunluğu (DMARC) ve Etki Alanı Anahtarları Tarafından Tanımlanmış Posta (DKIM) gibi teknolojileri de kullanmalısınız.
  • Pop-up’ları engellemek için bir tarayıcı eklentisi yükleyin: Pop-up ‘lar, saldırganların saldırıları başlatması için ortak bir giriş noktası görevi görür. Bu nedenle, pop-up’ları izlerinde durdurmak için tarayıcı eklentileri yüklemeye bakmalısınız.
  • Çalışanları sosyal mühendisliğe karşı periyodik olarak eğitin. Bir atölye ve/veya simülasyon ortamı sağlanarak çalışanların BEC saldırılarına yönelik eğitimleri sağlanabilir.
  • Bilinen kötü niyetli Tor IP adreslerini engelleyin

 

4- BEC Saldırılarını Erken Tespit İçin SOCRadar’ı  Nasıl Kullanabilirsiniz?

SOCRadar Unified sunduğu Threat Intelligence servisi ile aşağıdaki maddelerle BEC saldırılarından korunma sağlamaktadır.

SOCRadar Attack Surface Management modülü sayesinde Internet üzerinde yer alan assetleriniz keşfederek ve takip ederek BEC saldırılarını engellemeye ve hızlı tespit etmeye olanak sağlar:

  • İnternete açık dijital varlık envanterinin çıkarılması, 
  • E-posta sahtekarlığı tekniklerini kullanmasını önlemek için kullanılan MX kayıtllı domainlerinizde SPF, DMARC ve DKIM kontrolünün yapılması

SOCRadar Digital Risk Protection Modülü sayesinde assetlerinize ve şirketinize yönelik olarak ortaya çıkan istihbari bilginin tespit edilmesine olanak sağlar:

  • Şirket Domain’lerinin Dark ve Deep web ortamlarında  otomatik olarak takibinin sağlanması ve olası durumlarda alarm oluşturulması,
  • Çalışanlarınıza ait e-posta hesaplarınızın Dark&Deep Web’te araştırılarak firma çalışanlarının e-posta hesaplarının açığa çıkması, şifrelerinin ele geçirilme durumunun bildirilmesi
  • Şirket domain adına benzer potansiyel kimlik avi adayı olan domainlerin/subdomainlerin tespit edilmesi, hareketlerinin izlenerek değişimlerinin bildirilmesi 
  • SOCRadar dark web analistlerinin HUMINT yeteneği sayesinde tehdit aktörüyle iletişim kurması, güncel bilginin doğruluğunun teyidi ve gerekli durumlarda şirket  itibarını yükseltme amaçlı paylaşım postunun kaldırılması
  • VIP ve kritik personelin (finans, developer, bilgi güvenliği, hukuk departmanı vb.) özel e-postalarının Dark&Deep Web’te araştırılarak açığa çıkması, şifrelerinin ele geçirilme durumunun bildirilmesi.
  • DLP identifiers özelliği sayesinde şirketinize ait kredi kartı, kritik personele ait bilgilerini (Kimlik Numarası, Telefon Numarası) Dark&Deep Web’te araştırılarak açığa çıkma durumunun bildirilmesi. 

SOCRadar DLP Identifier modülünü kullanmak için;

AttackMapper >Digital Footprint>Brand Monitoring >DLP Identifier alanına girdi yapabilirsiniz:

Firmanıza hizmet sunan 3’üncü taraf firmalarının  Dark ve Deep web ortamlarında  otomatik olarak takibini sağlanarak olası durumlarda alarmlar oluşturulması,

SOCRadar Vendor takibi modülünü kullanmak için;

AttackMapper >Digital Footprint>Brand Monitoring >Third-Party Vendors alanına girdi yapabilirsiniz

SOCRadar Cyber Threat Intelligence Modülü sayesinde güncel siber olaylara yönelik istihbaratın tespit edilmesine olanak sağlar: 

  • Tehdit aktörleri tarafından kullanılan  IOC lerin güvenlik cihazlarına entegrasyonu,
  • Oltalama amaçlı kullanılan phishing domainlerin tespit edilerek engellenmesi için entegrasyonların yapılması,
  • BEC saldırıları konusunda yapılan tehdit paylaşımları sayesinde güvenlik personelinin aktif bilgilendirilmesi
  • Malware Analysis modülüyle şüpheli dosyaların analiz edilmesi

SOCRadar Malware Analysis modülünü kullanmak için;

ThreatFusion>Malware Analysis>Upload alanına belirtilen formatta dosya upload edip online kontrolünü yapabilirsiniz.

 

SOCRadar Türkiye ekibi tarafından hazırlanmıştır.

Yorum Yaz

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

*
*

2 × five =

Mail listemize üye olarak eğitim fırsatlarını kaçırmayın!
Eğitim ve ücretsiz etkinliklerizden haberdar olmak için e-posta listesimize üye olun!.