SlideShare ist ein Scribd-Unternehmen logo

Business E-Mail Compromise (BEC) Nedir?

Sparta Bilişim
Sparta Bilişim

BEC (Business E-mail Comprimise / İş e-postasının ele geçirilmesi) olayları FBI raporuna göre her ay yaklaşık 6000 işletmeyi tehdit ediyor. Ekim 2013’ten Mayıs 2018’e kadar kuruluşların kaybettiği toplam tutar 12 Milyar Dolardan fazla. 2017 yılından 2018 yılına yaşanan kayıpların %90 artmış olması da riskin büyüklüğü hakkında ciddi bir gösterge. Bu sunumda BEC’nin ne olduğu, nasıl saldırı düzenlendiği, korunmak için kolay uygulanabilir önlemler ve yaşanmış örnek bir olay bulunuyor. Kolay okunabilen, akılda kalıcı ve uygulanabilir olmasına dikkat etmeye çalıştığımız bu dokümanın faydalı olmasını dileriz.

Internet
1 von 29
Downloaden Sie, um offline zu lesen
BEC NEDİR? (BUSINESS E-MAIL COMPROMISE) www.sparta.com.tr BEC SALDIRILARINDAN KORUNMAK İÇİN KOLAY UYGULANABİLİR YÖNTEMLER
www.sparta.com.tr
BEC NEDİR? www.sparta.com.tr BEC: BUSINESS E-MAIL COMPROMISE «İŞ E-POSTASININ ELE GEÇİRİLMESİ YOLUYLA YAPILAN DOLANDIRICILIK» ANLAMINA GELMEKTEDİR.
FBI, Business Email Compromise’ı (BEC); tedarikçilerle çalışan ve/veya düzenli olarak banka ödemeleri yapan işletmeleri hedefleyen, karmaşık bir dolandırıcılık yöntemi olarak tanımlamaktadır.
BEC saldırıları ülkemizdeki firmaları da hedef alıyor ve bu saldırılarda özetle aşağıdaki gibi bir yol izleniyor; www.sparta.com.tr Hedef firmanın iş yaptığı şirketlerden birinden üst düzey yönetici veya bir finans birimi çalışanının e-posta hesabı ele geçiriliyor. Bu hesaptan hedef firmaya “banka hesaplarımız değişti, lütfen artık ödemelerinizi bu hesaba gönderin” içerikli bir e-posta gönderiliyor. Bu e-postadaki banka hesapları siber suçluların banka hesapları oluyor. Hedef firma düzenli olarak iş yaptığını düşündüğü bir firmadan geldiğini sandığı bu e-postadaki talimata uygun olarak ödemeyi suçlunun hesabına yapıyor.
FBI’ın İnternet Şikayet Merkezi (Internet Crime Report) IC3 verilerine göre: Yetkisiz para transferleri yapmak için resmi ticari e-posta hesaplarının kullanıldığı bu yöntem ile Ekim 2013’ten Mayıs 2018’e kadar kuruluşların BEC sonucu kaybettiği toplam tutar 12 Milyar Dolardan fazla. www.sparta.com.tr
www.sparta.com.tr FBI’ın İnternet Şikayet Merkezi (Internet Crime Report) IC3 verilerine göre: BEC Dolandırıcılıklarından doğan kayıplar 2018 yılında 1.3 Milyar Dolara ulaştı. Küresel olarak, siber suçlular ABD dışındaki ülkelerdeki kurbanların 50 milyon Dolarını çaldı. BEC Saldırıları her ay yaklaşık 6 Bin işletmeyi tehdit ediyor.
2018 yılında BEC ile ilgili kayıplar 2017 yılına göre 90.8% artarak 1,3 Milyon Dolardan 2,7 Milyon Dolara yükseldi. www.sparta.com.tr
İş e-postasının bir başkası tarafından ele geçirilmesi veya taklit edilmesi olayları genellikle sosyal mühendislik saldırıları ile başlıyor. Oltalama e-postaları (phishing), telefonları (vishing) veya her ikisinin birleşimi ile hassas dosyaların veya bilgilerin ele geçirilmesi sonucu kişilere hatalı banka transferleri yaptırılması şeklinde gerçekleşiyor. www.sparta.com.tr
BEC SALDIRILARINDAN KORUNMAK İÇİN KOLAY UYGULANABİLİR YÖNTEMLER  Herkesin BEC konusunda bilgisi olduğunu varsaymayın  Kuruluş çalışanlarının BEC yaşanan durumlarda korkmadan, hemen rapor etmelerini sağlayabilecek bir ortam yaratın  BEC farkındalık eğitimi için uzun dönem planları yapın  Politika ve prosedürler tanımlayın  Teknolojiden nasıl yardım alabileceğinizi öğrenin  Mevcut programlarınızın güvenlik özelliklerini öğrenin  Siber Sigortanız BEC saldırılarını kapsıyor mu kontrol edin  Yüksek mevki çalışanların sosyal medya hesaplarını kısıtlayın  Para transferleri için kuruluşa özel prosedürler belirleyin  Sadece e-posta kullanmayın
Herkesin BEC konusunda bilgisi olduğunu varsaymayın Social-Engineer Inc. firmasının kurucusu Chris Hadnagy güvenlik uzmanlarının genellikle herkesin BEC’nin ne olduğunu bildiğini zannettiğini söylüyor ancak maalesef durum böyle değil. Birçok kuruluş çalışanı oltalama saldırısı (phishing) ile hedefli oltalama saldırısının (targeted spear phishing) arasındaki farkı bilmiyor, bir de bunların üzerine eklenen “vishing” kavramı var yani BEC’lerin sesli olarak yapılanı.
Saldırganların tüm yöntemleri birlikte kullanarak, gönderdikleri sahte e-posta üzerine telefonla da arayıp, çalışan üzerinde hızla baskı kurarak istedikleri transferi yaptırdıkları durumlar da söz konusu. Kuruluşlar mutlaka çalışanlarını oltalama saldırıları, hedefli oltalama saldırıları ve vishing saldırıları konusunda bilgilendirmeli ve bir saldırı ile karşılaştıklarında nasıl davranmaları gerektiğini bilmeleri sağlamalı. www.sparta.com.tr
Kuruluş çalışanlarının BEC yaşanan durumlarda korkmadan, hemen rapor etmelerini sağlayabilecek bir ortam yaratın Çalışanlar BEC sebebiyle dolandırıldıklarında işlerini kaybetmek, kanunla ilgili başlarının belaya girmesi gibi hususlarda korku duymamalı. Açık bir iletişim ortamı yaratılması, kime ve nereye bilgi/rapor verileceğinin bilinmesi ve hatta çalışanların pozitif şekilde ödüllendirilmesi daha sonra yaşanabilecek benzeri durumların önlenmesi için önem kazanıyor.
Sosyal mühendislik saldırılarını tespit eden ve durduran çalışanlara maddi bir ödül ile karşılık verilmesi durumunda kuruluşlara binlerce dolarlık fayda sağlanabildiği tespit edilmiş. Kuruluş içerisinde herkesin yaşanan olayı ve BEC’yi durduran personeli duyacağı bir e-posta gönderilmesi veya herkese açık bir toplantı yapılarak duyurulması da etkili oluyor. www.sparta.com.tr
BEC eğitimi için uzun dönem planları yapın BEC eğitimleri için uzun dönem yatırım planı yapılması gerekiyor. BEC konusu çalışanların eline bir «check list» vermek kadar kolay değil, gerçekten sonuç alabilmek için tutarlı bir eğitim süreci gerçekleştirilmeli. Yalnızca eğitim videoları sunmak veya yazılı materyallerin okunmasını sağlamak yerine aylık veya üç aylık dönemlerde phishing ve vishing testlerinin yapılması, çalışanların birkaç ayda bir nasıl performans gösterdiğine dair değerlendirilme yapılması gerçek bir fayda sağlıyor.
« Bu uygulamayı hayata geçiren kuruluşların çalışanları 1 ila 3 yıl içerisinde %70 oranında bir iyileşme göstererek BEC olaylarını rapor eder hale geliyor ve yalnız %10’u oltalama saldırılarına yakalanıyor» Social-Engineer Inc. firmasının kurucusu Chris Hadnagy
Politika ve prosedürler tanımlayın Kuruluşta yeni bir personel çalışmaya başladığında verilecek olan oryantasyon ve eğitim programı dahilinde siber güvenlik farkındalığı konusunun yer alması gerekiyor. Sosyal mühendislik tehditleri ve bunlar karşısında nasıl davranılacağının belirlenmesi ve çalışanlara açıklanması önemli. Para transferlerinin nasıl ve ne zaman gerçekleşebileceği konusunda net prosedürler oluşturulmalı, mümkünse yalnız e-posta ile değil telefonla da onay alınmalı.
Çalışanları para transferi yapılması istenen e-postalar sonucu acele hareket etmemek konusunda eğitmek gerekiyor. Saldırganlar genellikle sahte bir aciliyet durumu yaratarak kurbanları acele düşünmek, hatayı anlayamayacak kadar hızlı davranmak konusunda zorluyor. www.sparta.com.tr
Önceden belirlenmiş ve spesifik iletişim politikaları anahtar rolde. Çalışanlar bir BEC saldırısı durumunda hangi IT personeli ile görüşeceklerini bilmeli. Eğer büyük bir miktarda bir para kaybı söz konusuysa finans departmanı ile iletişim kurularak yapılacak işlemler (örneğin polise veya sigortaya haber vermek gibi) konusunda bir yol haritası çizmek gerekiyor. www.sparta.com.tr
Teknolojiden nasıl yardım alabileceğinizi öğrenin BEC’ler için hızlı bir sorun çözücü uygulama bulunmamasına karşın bunları tespit edebilecek faydalı teknolojiler var. Örneğin; davranış analizi araçları genellikle kullanıcı kimlik bilgilerini çalmak amacıyla gönderilen, kötü amaçlı yazılımlar içeren e-postalardaki ekleri ve URL’leri analiz edebiliyor.
Mevcut Programlarınızın Güvenlik Özelliklerini Öğrenin Kuruluşların genellikle birden fazla güvenlik programı bulunuyor ancak bunların mevcut güvenlik özelliklerinden gerektiği gibi faydalanılamıyor. Örneğin; e-posta güvenlik programı bulunuyor ancak oltalama saldırıları ile ilgili ayarları yapılmamış veya devreye sokulmamış oluyor. Farklı bir cihaz veya program satın almadan önce elinizdeki mevcut araçların neler yapabildiğini iyice öğrenmek bu nedenle önemli. Ayrıca kuruluşlar eğitim modülleri, videolar, oltalama testleri ve bunlara ait raporlamalar için de teknolojiden faydalanabilir.
Siber Sigortanız BEC saldırılarını kapsıyor mu kontrol edin Birçok siber sigorta poliçesi kurbanın kandırılarak para transferi yaptığı durumları kapsamıyor. Eğer sigorta firmanız BEC’i otomatik olarak kapsamıyor ise bir avukat yardımıyla bunun da poliçeye eklenmesini talep edin.
Yüksek mevki çalışanların sosyal medya hesaplarını kısıtlayın Yüksek mevki çalışanların sosyal medya hesaplarını ve diğer online verilerini kontrol edin/ettirin ve bu kişilerin mümkün olduğunca “gizli” hale geldiğinden emin olun. CFO (Finans Yöneticisi) gibi önemli pozisyonlarda yer alan kişilerin online izlerini tamamen yok edemeseniz bile olabildiğince gizli ve güvenli hale getirebilirsiniz. Bu şekilde saldırganların şirket organizasyon şeması hakkında mümkün olduğunca az bilgi toplayabilmesini sağlayabilirsiniz.
Para transferleri için kuruluşa özel prosedürler belirleyin CEO, CFO gibi pozisyonlarda yer alan kişilerin yetkileri kilit önem taşıyor. Büyük para transferlerinin onay sürecinde kuruluşa özel bir işlem yürütülmesi, e- posta tercih edilmemesi, iletişim için güvenli ve size özel bir yöntem seçilmesi, iki kademe kimlik doğrulama gibi yöntemlerin tercih edilmesi çok önemli. Eğer çok sayıda ofisiniz varsa ve farklı departmanlar para transferleri yapıyorsa yine onay süreci için size özel, e-posta üzerinden olmayan, sabit bir yöntem bulup tüm ofislerde bunu uygulayın.
Sadece e-posta kullanmayın Mümkünse yazılı iletişime ilave olarak sözlü iletişim tercih edin, telefon kullanın. Bu yöntem saat farkı nedeniyle sorunlara yol açabilecek de olsa büyük miktarlı para kayıplarının önüne geçebilecektir.
Örnek Olay: Bir E-posta ile 21.5 Milyon Dolar Dolandırılmak Avrupa’nın zincir sinema kuruluşu Pathé, Mart 2018’de BEC nedeniyle 21.5 Milyon Dolar dolandırıldı. Fransa Merkez Ofis’ten gönderilmiş gibi yapılan bir sahte e-posta ile Hollanda’da yer alan yönetime “Şu anda Dubai merkezli yabancı şirket alımına yönelik bir finansal işlem yürütüyoruz. İşlem kesinlikle gizli kalmalıdır. Rakiplerimiz karşısında bize avantaj sağlamak için başka kimse bundan haberdar edilmemelidir. ” denilmiş. Hollanda CFO ve CEO’su durumu garip bulsa da ilk olarak 800.000EUR ardından da diğer istenen tutarları ödemiş. www.sparta.com.tr
SİZE NASIL YARDIMCI OLABİLİRİZ? www.sparta.com.tr OLAY ÖNCESİ OLAY SONRASI PROAKTİF SİBER GÜVENLİK • Farkındalık eğitimleri • Sosyal mühendislik testleri • İş süreçleri analizi • Siber risk sigortası • Olay müdahale hizmetleri • Süreç iyileştirme çalışmaları • Güvenlik seviyesi iyileştirme • Sürekli izleme • Güncel tehditlere karşı koruma • Saldırı tespit
www.sparta.com.tr sparta@sparta.com.tr 0 312 909 33 02 www.sparta.com.tr

Empfohlen

2020 yılında nasıl hacklendik?
2020 yılında nasıl hacklendik?2020 yılında nasıl hacklendik?
2020 yılında nasıl hacklendik?
Sparta Bilişim
 
2020'nin ilk yarısında Oltalama (Phishing) Saldırıları
2020'nin ilk yarısında Oltalama (Phishing) Saldırıları 2020'nin ilk yarısında Oltalama (Phishing) Saldırıları
2020'nin ilk yarısında Oltalama (Phishing) Saldırıları
Sparta Bilişim
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
 
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği RehberiCumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Sparta Bilişim
 
Mobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
Mobil Zararlı Yazılımlar Hakkında Bilinmesi GerekenlerMobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
Mobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
Sparta Bilişim
 
Ornek istemci degerlendirme_raporu
Ornek istemci degerlendirme_raporuOrnek istemci degerlendirme_raporu
Ornek istemci degerlendirme_raporu
Sparta Bilişim
 
Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?
Sparta Bilişim
 
OCAK AYINDA NASIL HACKLENDİK? (2020)
OCAK AYINDA NASIL HACKLENDİK? (2020)OCAK AYINDA NASIL HACKLENDİK? (2020)
OCAK AYINDA NASIL HACKLENDİK? (2020)
Sparta Bilişim
 

Empfohlen

2020 yılında nasıl hacklendik?
2020 yılında nasıl hacklendik?2020 yılında nasıl hacklendik?
2020 yılında nasıl hacklendik?
Sparta Bilişim
 
2020'nin ilk yarısında Oltalama (Phishing) Saldırıları
2020'nin ilk yarısında Oltalama (Phishing) Saldırıları 2020'nin ilk yarısında Oltalama (Phishing) Saldırıları
2020'nin ilk yarısında Oltalama (Phishing) Saldırıları
Sparta Bilişim
 
Windows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı TespitiWindows Ağlarda Saldırı Tespiti
Windows Ağlarda Saldırı Tespiti
Sparta Bilişim
 
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği RehberiCumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Cumhurbaşkanlığı Bilgi ve İletişim Güvenliği Rehberi
Sparta Bilişim
 
Mobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
Mobil Zararlı Yazılımlar Hakkında Bilinmesi GerekenlerMobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
Mobil Zararlı Yazılımlar Hakkında Bilinmesi Gerekenler
Sparta Bilişim
 
Ornek istemci degerlendirme_raporu
Ornek istemci degerlendirme_raporuOrnek istemci degerlendirme_raporu
Ornek istemci degerlendirme_raporu
Sparta Bilişim
 
Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?Şubat Ayında Nasıl Hacklendik?
Şubat Ayında Nasıl Hacklendik?
Sparta Bilişim
 
OCAK AYINDA NASIL HACKLENDİK? (2020)
OCAK AYINDA NASIL HACKLENDİK? (2020)OCAK AYINDA NASIL HACKLENDİK? (2020)
OCAK AYINDA NASIL HACKLENDİK? (2020)
Sparta Bilişim
 
2019 yılında nasıl hacklendik?
2019 yılında nasıl hacklendik?2019 yılında nasıl hacklendik?
2019 yılında nasıl hacklendik?
Sparta Bilişim
 
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Sparta Bilişim
 
SANS 20 Kritik Siber Guvenlik Kontrolü
SANS 20 Kritik Siber Guvenlik KontrolüSANS 20 Kritik Siber Guvenlik Kontrolü
SANS 20 Kritik Siber Guvenlik Kontrolü
Sparta Bilişim
 
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta BilişimSızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sparta Bilişim
 
Kuruluş Çalışanlarınız için Siber Güvenlik Önerileri
Kuruluş Çalışanlarınız için Siber Güvenlik ÖnerileriKuruluş Çalışanlarınız için Siber Güvenlik Önerileri
Kuruluş Çalışanlarınız için Siber Güvenlik Önerileri
Sparta Bilişim
 
KOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
KOBI'ler için 60 Dakikada Ağ Güvenliği DosyasıKOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
KOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
Sparta Bilişim
 
Seyahatte Veri Güvenliği Dosyası
Seyahatte Veri Güvenliği DosyasıSeyahatte Veri Güvenliği Dosyası
Seyahatte Veri Güvenliği Dosyası
Sparta Bilişim
 
Kablosuz Ağ Güvenliği Dosyası
Kablosuz Ağ Güvenliği DosyasıKablosuz Ağ Güvenliği Dosyası
Kablosuz Ağ Güvenliği Dosyası
Sparta Bilişim
 
Çocuklar için Siber Güvenlik
Çocuklar için Siber GüvenlikÇocuklar için Siber Güvenlik
Çocuklar için Siber Güvenlik
Sparta Bilişim
 
2019 yılı Siber Güvenlik Beklentileri
2019 yılı Siber Güvenlik Beklentileri2019 yılı Siber Güvenlik Beklentileri
2019 yılı Siber Güvenlik Beklentileri
Sparta Bilişim
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik Önerileri
Sparta Bilişim
 

Weitere ähnliche Inhalte

Mehr von Sparta Bilişim

Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Sparta Bilişim
 
SANS 20 Kritik Siber Guvenlik Kontrolü
SANS 20 Kritik Siber Guvenlik KontrolüSANS 20 Kritik Siber Guvenlik Kontrolü
SANS 20 Kritik Siber Guvenlik Kontrolü
Sparta Bilişim
 
Kuruluş Çalışanlarınız için Siber Güvenlik Önerileri
Kuruluş Çalışanlarınız için Siber Güvenlik ÖnerileriKuruluş Çalışanlarınız için Siber Güvenlik Önerileri
Kuruluş Çalışanlarınız için Siber Güvenlik Önerileri
Sparta Bilişim
 
Kablosuz Ağ Güvenliği Dosyası
Kablosuz Ağ Güvenliği DosyasıKablosuz Ağ Güvenliği Dosyası
Kablosuz Ağ Güvenliği Dosyası
Sparta Bilişim
 
2019 yılı Siber Güvenlik Beklentileri
2019 yılı Siber Güvenlik Beklentileri2019 yılı Siber Güvenlik Beklentileri
2019 yılı Siber Güvenlik Beklentileri
Sparta Bilişim
 

Mehr von Sparta Bilişim (11)

2019 yılında nasıl hacklendik?
2019 yılında nasıl hacklendik?2019 yılında nasıl hacklendik?
2019 yılında nasıl hacklendik?
 
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİMSiber Güvenlik Eğitimleri | SPARTA BİLİŞİM
Siber Güvenlik Eğitimleri | SPARTA BİLİŞİM
 
SANS 20 Kritik Siber Guvenlik Kontrolü
SANS 20 Kritik Siber Guvenlik KontrolüSANS 20 Kritik Siber Guvenlik Kontrolü
SANS 20 Kritik Siber Guvenlik Kontrolü
 
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta BilişimSızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
Sızma Testi (Penetrasyon Testi) Nedir? - Sparta Bilişim
 
Kuruluş Çalışanlarınız için Siber Güvenlik Önerileri
Kuruluş Çalışanlarınız için Siber Güvenlik ÖnerileriKuruluş Çalışanlarınız için Siber Güvenlik Önerileri
Kuruluş Çalışanlarınız için Siber Güvenlik Önerileri
 
KOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
KOBI'ler için 60 Dakikada Ağ Güvenliği DosyasıKOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
KOBI'ler için 60 Dakikada Ağ Güvenliği Dosyası
 
Seyahatte Veri Güvenliği Dosyası
Seyahatte Veri Güvenliği DosyasıSeyahatte Veri Güvenliği Dosyası
Seyahatte Veri Güvenliği Dosyası
 
Kablosuz Ağ Güvenliği Dosyası
Kablosuz Ağ Güvenliği DosyasıKablosuz Ağ Güvenliği Dosyası
Kablosuz Ağ Güvenliği Dosyası
 
Çocuklar için Siber Güvenlik
Çocuklar için Siber GüvenlikÇocuklar için Siber Güvenlik
Çocuklar için Siber Güvenlik
 
2019 yılı Siber Güvenlik Beklentileri
2019 yılı Siber Güvenlik Beklentileri2019 yılı Siber Güvenlik Beklentileri
2019 yılı Siber Güvenlik Beklentileri
 
Belediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik ÖnerileriBelediyeler için Siber Güvenlik Önerileri
Belediyeler için Siber Güvenlik Önerileri
 

Business E-Mail Compromise (BEC) Nedir?

  • 1. BEC NEDİR? (BUSINESS E-MAIL COMPROMISE) www.sparta.com.tr BEC SALDIRILARINDAN KORUNMAK İÇİN KOLAY UYGULANABİLİR YÖNTEMLER
  • 3. BEC NEDİR? www.sparta.com.tr BEC: BUSINESS E-MAIL COMPROMISE «İŞ E-POSTASININ ELE GEÇİRİLMESİ YOLUYLA YAPILAN DOLANDIRICILIK» ANLAMINA GELMEKTEDİR.
  • 4. FBI, Business Email Compromise’ı (BEC); tedarikçilerle çalışan ve/veya düzenli olarak banka ödemeleri yapan işletmeleri hedefleyen, karmaşık bir dolandırıcılık yöntemi olarak tanımlamaktadır.
  • 5. BEC saldırıları ülkemizdeki firmaları da hedef alıyor ve bu saldırılarda özetle aşağıdaki gibi bir yol izleniyor; www.sparta.com.tr Hedef firmanın iş yaptığı şirketlerden birinden üst düzey yönetici veya bir finans birimi çalışanının e-posta hesabı ele geçiriliyor. Bu hesaptan hedef firmaya “banka hesaplarımız değişti, lütfen artık ödemelerinizi bu hesaba gönderin” içerikli bir e-posta gönderiliyor. Bu e-postadaki banka hesapları siber suçluların banka hesapları oluyor. Hedef firma düzenli olarak iş yaptığını düşündüğü bir firmadan geldiğini sandığı bu e-postadaki talimata uygun olarak ödemeyi suçlunun hesabına yapıyor.
  • 6. FBI’ın İnternet Şikayet Merkezi (Internet Crime Report) IC3 verilerine göre: Yetkisiz para transferleri yapmak için resmi ticari e-posta hesaplarının kullanıldığı bu yöntem ile Ekim 2013’ten Mayıs 2018’e kadar kuruluşların BEC sonucu kaybettiği toplam tutar 12 Milyar Dolardan fazla. www.sparta.com.tr
  • 7. www.sparta.com.tr FBI’ın İnternet Şikayet Merkezi (Internet Crime Report) IC3 verilerine göre: BEC Dolandırıcılıklarından doğan kayıplar 2018 yılında 1.3 Milyar Dolara ulaştı. Küresel olarak, siber suçlular ABD dışındaki ülkelerdeki kurbanların 50 milyon Dolarını çaldı. BEC Saldırıları her ay yaklaşık 6 Bin işletmeyi tehdit ediyor.
  • 8. 2018 yılında BEC ile ilgili kayıplar 2017 yılına göre 90.8% artarak 1,3 Milyon Dolardan 2,7 Milyon Dolara yükseldi. www.sparta.com.tr
  • 9.
  • 10. İş e-postasının bir başkası tarafından ele geçirilmesi veya taklit edilmesi olayları genellikle sosyal mühendislik saldırıları ile başlıyor. Oltalama e-postaları (phishing), telefonları (vishing) veya her ikisinin birleşimi ile hassas dosyaların veya bilgilerin ele geçirilmesi sonucu kişilere hatalı banka transferleri yaptırılması şeklinde gerçekleşiyor. www.sparta.com.tr
  • 11. BEC SALDIRILARINDAN KORUNMAK İÇİN KOLAY UYGULANABİLİR YÖNTEMLER  Herkesin BEC konusunda bilgisi olduğunu varsaymayın  Kuruluş çalışanlarının BEC yaşanan durumlarda korkmadan, hemen rapor etmelerini sağlayabilecek bir ortam yaratın  BEC farkındalık eğitimi için uzun dönem planları yapın  Politika ve prosedürler tanımlayın  Teknolojiden nasıl yardım alabileceğinizi öğrenin  Mevcut programlarınızın güvenlik özelliklerini öğrenin  Siber Sigortanız BEC saldırılarını kapsıyor mu kontrol edin  Yüksek mevki çalışanların sosyal medya hesaplarını kısıtlayın  Para transferleri için kuruluşa özel prosedürler belirleyin  Sadece e-posta kullanmayın
  • 12. Herkesin BEC konusunda bilgisi olduğunu varsaymayın Social-Engineer Inc. firmasının kurucusu Chris Hadnagy güvenlik uzmanlarının genellikle herkesin BEC’nin ne olduğunu bildiğini zannettiğini söylüyor ancak maalesef durum böyle değil. Birçok kuruluş çalışanı oltalama saldırısı (phishing) ile hedefli oltalama saldırısının (targeted spear phishing) arasındaki farkı bilmiyor, bir de bunların üzerine eklenen “vishing” kavramı var yani BEC’lerin sesli olarak yapılanı.
  • 13. Saldırganların tüm yöntemleri birlikte kullanarak, gönderdikleri sahte e-posta üzerine telefonla da arayıp, çalışan üzerinde hızla baskı kurarak istedikleri transferi yaptırdıkları durumlar da söz konusu. Kuruluşlar mutlaka çalışanlarını oltalama saldırıları, hedefli oltalama saldırıları ve vishing saldırıları konusunda bilgilendirmeli ve bir saldırı ile karşılaştıklarında nasıl davranmaları gerektiğini bilmeleri sağlamalı. www.sparta.com.tr
  • 14. Kuruluş çalışanlarının BEC yaşanan durumlarda korkmadan, hemen rapor etmelerini sağlayabilecek bir ortam yaratın Çalışanlar BEC sebebiyle dolandırıldıklarında işlerini kaybetmek, kanunla ilgili başlarının belaya girmesi gibi hususlarda korku duymamalı. Açık bir iletişim ortamı yaratılması, kime ve nereye bilgi/rapor verileceğinin bilinmesi ve hatta çalışanların pozitif şekilde ödüllendirilmesi daha sonra yaşanabilecek benzeri durumların önlenmesi için önem kazanıyor.
  • 15. Sosyal mühendislik saldırılarını tespit eden ve durduran çalışanlara maddi bir ödül ile karşılık verilmesi durumunda kuruluşlara binlerce dolarlık fayda sağlanabildiği tespit edilmiş. Kuruluş içerisinde herkesin yaşanan olayı ve BEC’yi durduran personeli duyacağı bir e-posta gönderilmesi veya herkese açık bir toplantı yapılarak duyurulması da etkili oluyor. www.sparta.com.tr
  • 16. BEC eğitimi için uzun dönem planları yapın BEC eğitimleri için uzun dönem yatırım planı yapılması gerekiyor. BEC konusu çalışanların eline bir «check list» vermek kadar kolay değil, gerçekten sonuç alabilmek için tutarlı bir eğitim süreci gerçekleştirilmeli. Yalnızca eğitim videoları sunmak veya yazılı materyallerin okunmasını sağlamak yerine aylık veya üç aylık dönemlerde phishing ve vishing testlerinin yapılması, çalışanların birkaç ayda bir nasıl performans gösterdiğine dair değerlendirilme yapılması gerçek bir fayda sağlıyor.
  • 17. « Bu uygulamayı hayata geçiren kuruluşların çalışanları 1 ila 3 yıl içerisinde %70 oranında bir iyileşme göstererek BEC olaylarını rapor eder hale geliyor ve yalnız %10’u oltalama saldırılarına yakalanıyor» Social-Engineer Inc. firmasının kurucusu Chris Hadnagy
  • 18. Politika ve prosedürler tanımlayın Kuruluşta yeni bir personel çalışmaya başladığında verilecek olan oryantasyon ve eğitim programı dahilinde siber güvenlik farkındalığı konusunun yer alması gerekiyor. Sosyal mühendislik tehditleri ve bunlar karşısında nasıl davranılacağının belirlenmesi ve çalışanlara açıklanması önemli. Para transferlerinin nasıl ve ne zaman gerçekleşebileceği konusunda net prosedürler oluşturulmalı, mümkünse yalnız e-posta ile değil telefonla da onay alınmalı.
  • 19. Çalışanları para transferi yapılması istenen e-postalar sonucu acele hareket etmemek konusunda eğitmek gerekiyor. Saldırganlar genellikle sahte bir aciliyet durumu yaratarak kurbanları acele düşünmek, hatayı anlayamayacak kadar hızlı davranmak konusunda zorluyor. www.sparta.com.tr
  • 20. Önceden belirlenmiş ve spesifik iletişim politikaları anahtar rolde. Çalışanlar bir BEC saldırısı durumunda hangi IT personeli ile görüşeceklerini bilmeli. Eğer büyük bir miktarda bir para kaybı söz konusuysa finans departmanı ile iletişim kurularak yapılacak işlemler (örneğin polise veya sigortaya haber vermek gibi) konusunda bir yol haritası çizmek gerekiyor. www.sparta.com.tr
  • 21. Teknolojiden nasıl yardım alabileceğinizi öğrenin BEC’ler için hızlı bir sorun çözücü uygulama bulunmamasına karşın bunları tespit edebilecek faydalı teknolojiler var. Örneğin; davranış analizi araçları genellikle kullanıcı kimlik bilgilerini çalmak amacıyla gönderilen, kötü amaçlı yazılımlar içeren e-postalardaki ekleri ve URL’leri analiz edebiliyor.
  • 22. Mevcut Programlarınızın Güvenlik Özelliklerini Öğrenin Kuruluşların genellikle birden fazla güvenlik programı bulunuyor ancak bunların mevcut güvenlik özelliklerinden gerektiği gibi faydalanılamıyor. Örneğin; e-posta güvenlik programı bulunuyor ancak oltalama saldırıları ile ilgili ayarları yapılmamış veya devreye sokulmamış oluyor. Farklı bir cihaz veya program satın almadan önce elinizdeki mevcut araçların neler yapabildiğini iyice öğrenmek bu nedenle önemli. Ayrıca kuruluşlar eğitim modülleri, videolar, oltalama testleri ve bunlara ait raporlamalar için de teknolojiden faydalanabilir.
  • 23. Siber Sigortanız BEC saldırılarını kapsıyor mu kontrol edin Birçok siber sigorta poliçesi kurbanın kandırılarak para transferi yaptığı durumları kapsamıyor. Eğer sigorta firmanız BEC’i otomatik olarak kapsamıyor ise bir avukat yardımıyla bunun da poliçeye eklenmesini talep edin.
  • 24. Yüksek mevki çalışanların sosyal medya hesaplarını kısıtlayın Yüksek mevki çalışanların sosyal medya hesaplarını ve diğer online verilerini kontrol edin/ettirin ve bu kişilerin mümkün olduğunca “gizli” hale geldiğinden emin olun. CFO (Finans Yöneticisi) gibi önemli pozisyonlarda yer alan kişilerin online izlerini tamamen yok edemeseniz bile olabildiğince gizli ve güvenli hale getirebilirsiniz. Bu şekilde saldırganların şirket organizasyon şeması hakkında mümkün olduğunca az bilgi toplayabilmesini sağlayabilirsiniz.
  • 25. Para transferleri için kuruluşa özel prosedürler belirleyin CEO, CFO gibi pozisyonlarda yer alan kişilerin yetkileri kilit önem taşıyor. Büyük para transferlerinin onay sürecinde kuruluşa özel bir işlem yürütülmesi, e- posta tercih edilmemesi, iletişim için güvenli ve size özel bir yöntem seçilmesi, iki kademe kimlik doğrulama gibi yöntemlerin tercih edilmesi çok önemli. Eğer çok sayıda ofisiniz varsa ve farklı departmanlar para transferleri yapıyorsa yine onay süreci için size özel, e-posta üzerinden olmayan, sabit bir yöntem bulup tüm ofislerde bunu uygulayın.
  • 26. Sadece e-posta kullanmayın Mümkünse yazılı iletişime ilave olarak sözlü iletişim tercih edin, telefon kullanın. Bu yöntem saat farkı nedeniyle sorunlara yol açabilecek de olsa büyük miktarlı para kayıplarının önüne geçebilecektir.
  • 27. Örnek Olay: Bir E-posta ile 21.5 Milyon Dolar Dolandırılmak Avrupa’nın zincir sinema kuruluşu Pathé, Mart 2018’de BEC nedeniyle 21.5 Milyon Dolar dolandırıldı. Fransa Merkez Ofis’ten gönderilmiş gibi yapılan bir sahte e-posta ile Hollanda’da yer alan yönetime “Şu anda Dubai merkezli yabancı şirket alımına yönelik bir finansal işlem yürütüyoruz. İşlem kesinlikle gizli kalmalıdır. Rakiplerimiz karşısında bize avantaj sağlamak için başka kimse bundan haberdar edilmemelidir. ” denilmiş. Hollanda CFO ve CEO’su durumu garip bulsa da ilk olarak 800.000EUR ardından da diğer istenen tutarları ödemiş. www.sparta.com.tr
  • 28. SİZE NASIL YARDIMCI OLABİLİRİZ? www.sparta.com.tr OLAY ÖNCESİ OLAY SONRASI PROAKTİF SİBER GÜVENLİK • Farkındalık eğitimleri • Sosyal mühendislik testleri • İş süreçleri analizi • Siber risk sigortası • Olay müdahale hizmetleri • Süreç iyileştirme çalışmaları • Güvenlik seviyesi iyileştirme • Sürekli izleme • Güncel tehditlere karşı koruma • Saldırı tespit