HFTTF Girişim Zirvesi

Son Haberler

İzmir Bilişim Zirvesi 2015’e Katıldık
ODTÜ Android Geliştirici Günlerine Katıldık
kiralık bahis sitesi fiyatları
bahis sitesi kiralama
THE 7 MOST ESSENTIAL SECURITY AWARENESS TRAINING TOPICS FOR 2021
Oltalama Saldırıları Şirketler İçin Ne Anlama Geliyor?
Websitenizin Güvende Olduğundan Nasıl Emin Olabilirsiniz?
WHAT SHOULD YOU DO IF YOU ARE A VICTIM OF A PHISHING ATTACK?
WHAT TO DO IF YOU RECEIVE A PHISHING EMAIL?
Etkili Oltalama Eğitimi İçin Gerekli Adımlar
Önemli Oltalama Türleri ve Tespit Yöntemleri
EMAIL SECURITY SOLUTIONS
Fidye Yazılımı ve Oltalama 2021’de de Artışta Olacak
E-posta Güvenlik Yazılımı Seçerken Nelere Bakılmalı?
Şu an buradasınız: Ana Sayfa / Genel / Kurumsal E-posta Saldırıları’na Dikkat!
Genel

Kurumsal E-posta Saldırıları’na Dikkat!

9 Temmuz 2020 By 0 28

Kurumsal E-posta Saldırıları’na Ne kadar Hazırsınız? 

1- Kurumsal E-posta Saldırısı Nedir?

Business Email Compromise (BEC), basit anlamıyla iş e-postasının ele geçirilmesi yoluyla yapılan dolandırıcılık anlamına gelmektedir. Ticari ve kar amacı gütmeyen kurumlara ya da hükümet organlarına  çeşitli sosyal mühendislik saldırıları ile saldırılması ve belirli  sonuçlar elde  etme girişimleridir.  FBI, Business Email Compromise ‘ı (BEC); tedarikçilerle çalışan ve/veya düzenli olarak banka ödemeleri yapan işletmeleri hedefleyen karmaşık bir dolandırıcılık yöntemi olarak tanımlamaktadır.

2- Kurumsal E-posta Saldırıları Neden Önemlidir?

Mali  veya banka havalesi gibi işlemlerden sorumlu olan  yöneticilerin veya üst düzey çalışanların kurumsal veya kamuya açık e-posta hesapları Oltalama Saldırısı (Phishing), Sosyal Mühendislik vb. saldırılar yoluyla ele geçirilir. Bu hesaptan hedef bir firmaya  “banka hesaplarımız değişti, lütfen artık ödemelerinizi bu hesaba gönderin” konulu  bir e-posta gönderiliyor.  Ancak gönderdikleri bu yeni hesap  aslında siber suçluların banka hesaplarıdır. 

Hedef firma düzenli olarak iş yaptığını düşündüğü bir firmadan geldiğini sandığı bu e-postadaki talimata uygun olarak ödemeyi suçlunun hesabına yapar.

Kurumsal e-posta saldırıları kurumun para kaybetmesi veya kurumun marka imajının zedelenmesi gibi  olaylara sebebiyet vermektedir. 

FBI ‘ın İnternet Şikayet Merkezi (Internet Crime Report) IC3 verilerine göre:

Yetkisiz para transferleri yapmak amacıyla  resmi ticari e-posta hesaplarının kullanıldığı bu saldırı yöntemi ile Ekim 2013 ‘ten Mayıs 2018 ’e kadar kurumların  BEC  saldırıları sonucu kaybettiği toplam tutar 12 Milyar Dolardan fazladır..

Küresel çapta ise, siber saldırganlar ABD dışındaki ülkelerdeki kurbanların 50 Milyar Dolarını çaldı. BEC saldırıları her ay yaklaşık 6 Bin kurumu tehdit ediyor.

3- Kurumsal E-posta Saldırı Teknikleri

Phishing 

E-posta üzerinden gönderilen sahte e-postalar ile karşıdaki kişinin özel bilgilerini ele geçirmek, Phishing olarak tanımlanmaktadır.

Vishing

Telefon ile karşıdaki kişiye arayıp profesyonel bir konuşma ile karşıdaki kişinin özel bilgilerini ele geçirmek, Vishing olarak tanımlanmaktadır.

Smishing 

Telefon üzerinden gönderilen SMS ile karşıdaki kişinin özel bilgilerini ele geçirmek, SMS Phishing olarak tanımlanmaktadır.

Social Engineering

İş e-postasının bir başkası tarafından ele geçirilmesi veya taklit edilmesi olayları genellikle sosyal mühendislik saldırıları ile başlıyor.

Oltalama e-postaları (phishing), telefonları (vishing) veya her ikisinin birleşimi ile hassas dosyaların veya bilgilerin ele geçirilmesi sonucu kişilere hatalı banka transferleri yaptırılması şeklinde gerçekleşiyor.

4- Kurumsal E-posta Saldırı Örnekleri

Sahte fatura şeması

Bu tür phishing temaları senaryo genellikle gerçek bir  kurumdan geliyormuş gibi gözüken ve hedefin iyi bildiği bir mesaj içermektedir. Mesaj içerisinde belirli bir hesaba ödeme gönderme isteği içerir. Mesaj mümkün olduğunca gerçek görünmektedir ve ayrıntılı inceleme yapılmadan, mesajın sahte olduğunun anlaşılması zordur.

CEO dolandırıcılığı

Bu senaryo, kurumdaki  bir yöneticinin e-posta adresini ele geçirme ve bu hesaptan kurumdaki  normalde finansal istekleri yerine getiren diğer çalışanlara sahte e-postalar göndermeyle ilgilidir. Meşru e-postalar gibi görünmekle birlikte, çeşitli satın alımlar, banka havaleleri ve diğer finansal işlemlerin sağlanması e-postalar gönderilir.

Hesap Ele Geçirme

Şirket içerisinde ele geçirilmiş bir hesaptan firma çalışanlarına e-posta göndermek yerine, mailleri ilgili kurumun çalıştığı kurumlara veya kişilere gönderilir. Bu mesajlar genellikle diğer kurumlar için faturaları ve ödeme talepleri içerir.

Vergi tehditleri

Belirli vergi kurumlardan geldiğini iddia eden çağrılar, sms, e-postalar olabiliyor ve genellikle karşıdaki kişiyi tehdit eden taktikler kullanılabiliyor.

Seyahat sorunları

Seyahat yapan çalışanlara yönelik yöntemler de mevcuttur.  Genellikle hedef kişiyi kandırmak için  sahte bir e-posta veya kısa mesaj üzerinden gerçekleştirilir.  Bu mesajlarda, yurtdışına seyahat ederken soyulduklarını ve onlara hızlı bir şekilde para göndermenizi gerektirdiğini  söyleyen “mağdur” insanlar olabiliyor.  Aynı zamanda e-posta üzerinden gönderilen seyahat kampanyalarına da dikkat ediniz.

Sahte yardım kurumları

Hayırsever kurumlardan geliyormuş gibi gözüken kurum  ya da kişilerden gelen e-postalara dikkat ediniz. Bu kişiler sizlerin iyi niyetlerini suistimal etmeye yönelik profesyonel e-postalar tasarlarlar. Burada sizlerin Kredi Kartı bilgilerinizi, Paranız, Ad/Soyad, vb. bilgilerinizi çalabilirler.

5- Kurumsal E-posta Saldırılarına Karşı Alınması Gereken Önlemler

Genel Önlemler 

Saldırganların tüm yöntemleri birlikte kullanarak, gönderdikleri sahte e-posta üzerine telefonla da arayıp, çalışan üzerinde hızla baskı kurarak istedikleri transferi yaptırdıkları durumlarda söz konusudur.

Kurumlar mutlaka çalışanlarını oltalama saldırıları, hedef odaklı oltalama saldırıları ve vishing saldırıları konusunda bilgilendirmeli ve bir saldırı ile karşılaştıklarında nasıl davranmaları gerektiğini bilmelidir. 

Çalışanlar BEC sebebiyle dolandırıldıklarında işlerini kaybetmek, kanunla ilgili başlarının belaya girmesi gibi hususlarda korku duymamalıdır. 

Otomatik Raporlama

Açık bir iletişim ortamı yaratılması, kime ve nereye bilgi/rapor verileceğinin bilinmesi ve hatta çalışanların pozitif şekilde ödüllendirilmesi daha sonra yaşanabilecek benzeri durumların önlenmesi için önem kazanıyor. Outlook uygulamalarına kurulabilecek bir Phishing Reporter eklentisi aracılığıyla kullanıcı şüphelendiği e-postayı analize gönderebilir veya raporlayabilir.

Ödül

Sosyal mühendislik saldırılarını tespit eden ve durduran çalışanlara maddi bir ödül ile karşılık verilmesi durumunda kurumlara binlerce dolarlık fayda sağlanabileceği tespit edilmiştir. Kurum içerisinde herkesin yaşanan olayı ve BEC’yi durduran personeli duyacağı bir e-posta gönderilmesi veya herkese açık bir toplantı yapılarak duyurulması da etkili olmakta ve diğer çalışanları bu konuda hassas olmaya teşvik etmektedir. 

Bilgi Güvenliği Eğitimleri ve Phishing Testleri

BEC eğitimleri için uzun dönem yatırım planı yapılması gerekiyor ve bu yüzden doğru eğitmlerin sağlanması elzemdir. Yalnızca bilgi güvenliği farkındalık  eğitim videoları sunmak veya yazılı materyallerin okunmasını sağlamak yerine aylık veya üç aylık dönemlerde phishing ve vishing testlerin yapılması, çalışanların birkaç ayda bir nasıl performans gösterdiğine dair değerlendirme yapılması gerçek bir fayda sağlıyor.

Bu uygulamayı hayata geçiren kurumların çalışanları 1 ila 3 yıl içerisinde %70 oranında bir iyileşme göstererek BEC olaylarını rapor eder hale gelebildiği gösterilmiştir

Politika ve Prosedürler

Kurumta yeni bir personel çalışmaya başladığında verilecek olan oryantasyon ve eğitim programı dahilinde siber güvenlik farkındalığı konusunun yer alması gerekiyor

Sosyal mühendislik tehditleri ve bunlar karşısında nasıl davranılacağının belirlenmesi ve çalışanlara açıklanması önemlidir.

Para transferlerinin nasıl ve ne zaman gerçekleşebileceği konusunda net prosedürler oluşturulmalı, mümkünse yalnız e-posta ile değil, telefonla da onay alınmalı.

Çalışanları para transferi yapılması istenen e-postalar sonucu acele hareket etmemek konusunda eğitmek gerekiyor.

Saldırganlar genellikle sahte bir aciliyet durumu yaratarak kurbanları acele düşünmek, hatayı anlayamayacak kadar hızlı davranmak konusunda zorluyor.

Teknolojiden Yararlanma

BEC ‘ler ile ilgili sorun çözücü ve bunları tespit edebilecek faydalı teknolojileri araştırmalı ve yararlanılmalıdır.

Örneğin; davranış analizi araçları genellikle kullanıcı kimlik bilgilerini çalmak amacıyla gönderilen, kötü amaçlı yazılımlar içeren e-postalardaki ekleri ve URL’leri analiz edebiliyor.

Anti phishing Çözümleriniz

Kurumların genellikle birden fazla güvenlik programı/ürünleri bulunuyor ancak bunların mevcut güvenlik özelliklerinden gerektiği gibi faydalanılamıyor. Var olan anti phishing çözümleri ise yetersiz kalıyor.

Örneğin; e-posta güvenlik çözümünüz var ancak oltalama saldırıları ile ilgili ayarları yapılmamış veya devreye sokulmamış oluyor.

Farklı bir güvenlik ürünü almadan önce elinizdeki güvenlik çözümlerinizin neler yapabileceğini iyice öğrenmeniz bu nedenle önemli. Ayrıca kurumlar eğitim modülleri, videolar, oltalama testleri ve bunlara ait raporlamalar için de teknolojiden faydalanabilirler. Keepnet Labs sayesinde bu çalışmaları yapabilir ve çalışanlarınızın farkındalıklarını ölçüp raporlayabilir ve farkındalık arttırıcı eğitim çalışmalarını yapabilir ve tüm aksiyonların raporlarını alabilirsiniz.

Siber Sigorta

Birçok siber sigorta poliçesi kurbanın kandırılarak para transferi yaptığı durumları kapsamıyor. Eğer sigorta firmanız BEC’i otomatik olarak kapsamıyor ise bir avukat yardımıyla bunun da poliçeye eklenmesini talep edin.

Yüksek Mevki Çalışanlarına Dikkat

Yüksek mevki çalışanlarının sosyal medya hesaplarını ve diğer online verilerini kontrol edin/ettirin ve bu kişilerin mümkün olduğunda “gizli” hale geldiğinde emin olun. Özellikle whaling attack  ( balina saldırısı) diye adlandırılan saldırı tekniğiyle  üst yöneticiler sıklıkla hedef alınmaktadır. 

CFO (Finans Yöneticisi) gibi önemli pozisyonlarda yer alan kişilerin online izlerini tamamen yok edemezsiniz fakat olabildiğince gizli ve güvenli hale getirebilirsiniz.

Bu şekilde saldırganların şirket organizasyon şeması hakkında mümkün olduğunca az bilgi toplayabilmesi sağlayabilirsiniz.

Para Transferleri 

CEO, CFO gibi pozisyonlarda yer alan kişilerin yetkileri kilit önem taşıyor. Büyük para transferlerinin onay sürecinde kuruma özel bir işlem yürütülmesi, e-posta tercih edilmemesi, iletişim için güvenli ve size özel bir yöntem seçilmesi, iki kademe kimlik doğrulama gibi yöntemlerin tercih edilmesi çok önemli.

Eğer çok sayıda ofisiniz varsa ve farklı departmanlar para transferleri yapıyorsa, onay sürecinde e-posta yerine sizlere özgü, sabit bir yöntem bulmalısınız. Örneğin, telefon ile arayıp doğrulamak, ilgili kişinin yanına gidip doğrulamak, sms atmak vb.

6-  Anti-phishing Çözümleriyle ile BEC Saldırılarını Durdurun 

Keepnet Labs Bilgi Güvenliği Farkındalık Eğitimleri (Cybersecurity Awareness Training) – Bilgi Güvenliği eğitimleriyle  bir çok dilde ve bir çok kategoride eğitimler alabilirsiniz. Üstelik 50 kullanıcıya kadar Keepnet ücretsiz olarak bu seçeneği sunmaktadır . Bu eğitimleri çalışanlarınıza düzenli olarak gönderebilir, raporları inceleyebilir ve onların siber güvenlik farkındalıklarının arttığını gözlemleyebilirsiniz. 

Yazar: İbrahim Uçar

RSS Teknoloji Haberleri