Uzun yıllar boyunca siber korsanların para kazanmak için başvurdukları en kazançlı yollardan biri, fidye yazılımlarıydı. Saldırganlar, fidye yazılımlarıyla kurbanlarının dosyalarına ve verilerine ulaşmalarını engellemek için bunları güçlü şifreleme yöntemleriyle şifreliyorlardı. Ardından bu dosyaların ve verilerin şifrelerinin çözülebilmesini sağlayan şifre çözücü anahtarı, takip edilemeyen Bitcoin fidye ödemesi karşılığında kurbanlarına gönderiyorlardı.

Zamanla özellikle büyük ölçekli şirketlere yönelik başka bir yüksek kazançlı saldırı tarzı ortaya çıktı. BEC (Business Email Compromise – İş E-postaları Yoluyla Aldatma) siber suçluların kötü niyetli faaliyetleri sonucunda para kazanabilecekleri önemli fırsatlar yaratıyor. Sahip olduğu karmaşıklık ve dilindeki aciliyet, bu gizli sızmalara karşı savunmayı da zorlaştırıyor.

BEC’in yükselişi

Her ne kadar kurumlar BEC saldırı yaklaşımlarına karşı farkındalık geliştirse de siber korsanlar yıllardır bu strateji ile para kazanıyor. Trend Micro araştırmacıları, 2016’da saldırganların dünya çapında kurumlara gerçekleştirdikleri BEC saldırıları sonucunda ortalama 140 bin dolar elde ettiğini ortaya koyuyor.  

Geçmişte BEC, büyük ölçekli şirketlerdeki kurbanlarından para transferleri yapmalarına yol açacak ve şüphe uyandırmayan e-postalar kullandığından “e-postadaki hayalet” olarak adlandırılıyordu. Trend Micro araştırmacıları bu saldırıların sahte fatura, CEO’ya yapılan saldırılar, sahte hesap kullanımı ya da kimlik gizleme ve hatta geleneksel veri hırsızlığı gibi birçok farklı şekilde gerçekleştiğini ortaya koydu.

BEC ne kadar zararlı?

Siber korsanların geçen iki yılda işletmelere ortalama 140 bin dolar zarar verdiği düşünüldüğünde BEC saldırılarının artacağını öngörmek mümkün.

Temmuz 2018’de FBI’ın İnternet Suçları Şikayet Merkezi, BEC saldırıları sonucunda özellikle Aralık 2016 – Mayıs 2018 arasında kayıpların yüzde 136 arttığını ortaya koydu. Tüm olaylara bakıldığında siber korsanların hem uluslararası hem de yerel saldırılar sonucu 12,5 milyar dolarlık bir zarar verdiği görülüyor. Toplam kayıp (ya da siber korsanlar tarafından bakılırsa kâr) Trend Micro araştırmacılarının Paradigma Değişiyor: 2018 Güvenlik Öngörüleri raporunda belirlenenden 3 milyar dolar fazla gerçekleşti.

BEC’e karşı savunma yapmak neden bu kadar zor?

Büyük ölçekli şirketlerin karar vericileri ve BT bölümleri bu saldırıların gerçekleştiğini kabullenseler bile korunma konusundaki zorlukların da farkındalar. Bu farkındalık sayesinde işletmeler e-posta sistemlerini, kritik veri, finans ve diğer varlıklarını daha iyi koruyacak proaktif önlemler de alabilir.

BEC saldırılarına karşı korunmanın zorluklarına baktığımızda nedenlerini şöyle özetleyebiliriz:

Sosyal mühendisliğin gelişmiş kullanımı

BEC söz konusu olduğunda siber korsanlar herkese yönelik yazılmış bir e-posta hazırlayıp hedefe ulaşmasını beklemiyorlar. Bunun yerine gelişmiş sosyal mühendislik kullanarak bu e-postaları hazırlamak için hatırı sayılır bir zaman harcıyorlar.

Özel olarak düzenlenmiş e-postalar

Sosyal mühendislik sayesinde siber suçlular hedef isimlerin yer aldığı aslına benzer e–postalar yaratabilir ve kurumun içindeki diğer çalışanlardan geliyormuş gibi gösterebilirler. Örneğin; bir muhasebe görevlisi, şirket CEO’sundan bir para transferi için CEO’nun e-posta adresinin neredeyse bire bir aynısından ve hatta e-posta imzasının olduğu sahte bir e-posta alabilir. Bunu takiben de e-posta gerçekçi göründüğünden muhasebe görevlisi para transferini gerçekleştirecektir.

Zararlı bağlantıların ya da eklerin olmaması

Siber korsanların hazırlama sürecindeki çabaları derinlikli ve karmaşıkken, iletim süreci ise oldukça basittir. BEC saldırıları güçlü bir mesaja sahip etkileyici bir e-posta üzerine kurulmuştur. Bu da şu anlama gelir: Olası bir saldırıyı belirlemede kullanılan uyarıları bulundurmaz. Burada şuna dikkat çekmek gerekiyor: “Bu sahtekarlık girişimi herhangi bir zararlı bağlantı ya da ek içermediğinden geleneksel çözümleri atlatabilir.”

Mesajdaki aciliyet duygusu

Kurbanları aldatmak için geçerli isimler, adresler ve diğer detayları içeren sosyal mühendisliğin kullanımının yanı sıra siber saldırganlar BEC mesajlarının içine güçlü bir aciliyet duygusu da katarak saldırılarının başarılı olma şansını artırıyorlar. Trend Micro araştırmacıları tarafından analiz edilen pek çok mesajda “Acil”, “Transfer”, “Talep” ve diğer benzer güçlü anlamı olan kelimeler eklenerek mesajın daha etkili olmasının sağlandığı ortaya çıkartıldı.

Farklı kurbanlar için farkı yöntemler

Saldırganların birbirinden farklı saldırı şekilleri geliştirmesi sosyal mühendislik araştırmalarını temel alarak hedeflerine yönelik en başarılı olanı uygulayabildikleri anlamına geliyor. Örneğin bir şirket CEO’suna saldırmak isteyen siber korsan, bir üçüncü parti gibi rol yaparak zamanı geçmiş bir faturanın ödenmesini isteyebilir. Üçüncü partileri çok fazla kullanmayan ve bu yüzden de bu tür bir aldatmacaya kanmaması muhtemel bir şirkete saldırı yapmayı düşünen bir saldırgan ise bir İK çalışanı gibi davranarak kişisel bilgileri isteyebilir.

Sahtekarlıkta kullanılan bir hesaptan daha sonra faydalanmak: Daireyi tamamlamak

BEC döngüsü kurban tarafından bir para transferi gerçekleştikten sonra bitmeyebilir. Bir hesap, bir kez kullanıldıktan sonra hesabın adres defterindeki kişilere oltalama ya da diğer BEC mesajları göndermek için kullanılabilir.

FBI’ın raporuna göre siber saldırganlar kurbanları “para kuryesi” olarak niteliyor. Bu kurbanlar duygusal ya da şantaj e-postaları yoluyla kullanılarak BEC’te yararlanılabilecek yeni hesaplar açmada kullanılıyor. Her ne kadar bu hesaplar kısa süre açık kalsa da saldırganlar için ek fırsatlar sağlıyor.

Güvenlik uzmanları BEC saldırılarının yakın gelecekte ortadan kalkacağını düşünmüyor. Trend Micro olarak kullanıcı farkındalığına ek olarak büyük ölçekli şirketler BEC amaçlı sızmaları engellemek için gelişmiş güvenlik çözümlerinden faydalanmalarını öneriyoruz. Ayrıca kurumların özellikle bu tür saldırıları belirlemek için yapay zekaya sahip gelişmiş stratejileri ve makine öğrenimi bulunan güvenlik çözümleri kullanmalarını tavsiye ediyoruz.