BEC (Business E-mail Comprimise / İş e-postasının ele geçirilmesi) olayları FBI raporuna göre her ay yaklaşık 6000 işletmeyi tehdit ediyor.
Ekim 2013’ten Mayıs 2018’e kadar kuruluşların kaybettiği toplam tutar 12 Milyar Dolardan fazla.
2017 yılından 2018 yılına yaşanan kayıpların %90 artmış olması da riskin büyüklüğü hakkında ciddi bir gösterge.
Bu sunumda BEC’nin ne olduğu, nasıl saldırı düzenlendiği, korunmak için kolay uygulanabilir önlemler ve yaşanmış örnek bir olay bulunuyor.
Kolay okunabilen, akılda kalıcı ve uygulanabilir olmasına dikkat etmeye çalıştığımız bu dokümanın faydalı olmasını dileriz.
4. FBI, Business Email Compromise’ı (BEC);
tedarikçilerle çalışan ve/veya düzenli olarak
banka ödemeleri yapan işletmeleri hedefleyen,
karmaşık bir dolandırıcılık yöntemi olarak
tanımlamaktadır.
5. BEC saldırıları ülkemizdeki firmaları da hedef alıyor ve
bu saldırılarda özetle aşağıdaki gibi bir yol izleniyor;
www.sparta.com.tr
Hedef firmanın iş yaptığı şirketlerden birinden üst düzey
yönetici veya bir finans birimi çalışanının e-posta hesabı
ele geçiriliyor.
Bu hesaptan hedef firmaya “banka hesaplarımız değişti, lütfen artık
ödemelerinizi bu hesaba gönderin” içerikli bir e-posta gönderiliyor.
Bu e-postadaki banka hesapları siber suçluların banka hesapları oluyor.
Hedef firma düzenli olarak iş yaptığını düşündüğü bir
firmadan geldiğini sandığı bu e-postadaki talimata uygun
olarak ödemeyi suçlunun hesabına yapıyor.
6. FBI’ın İnternet Şikayet Merkezi (Internet Crime Report)
IC3 verilerine göre:
Yetkisiz para transferleri yapmak için resmi ticari e-posta
hesaplarının kullanıldığı bu yöntem ile Ekim 2013’ten
Mayıs 2018’e kadar kuruluşların BEC sonucu kaybettiği
toplam tutar 12 Milyar Dolardan fazla.
www.sparta.com.tr
7. www.sparta.com.tr
FBI’ın İnternet Şikayet Merkezi (Internet Crime Report)
IC3 verilerine göre:
BEC
Dolandırıcılıklarından
doğan kayıplar 2018
yılında 1.3 Milyar
Dolara ulaştı.
Küresel olarak, siber
suçlular ABD
dışındaki ülkelerdeki
kurbanların
50 milyon Dolarını
çaldı.
BEC Saldırıları
her ay yaklaşık
6 Bin işletmeyi
tehdit ediyor.
8. 2018 yılında BEC ile ilgili kayıplar 2017 yılına göre
90.8% artarak
1,3 Milyon Dolardan 2,7 Milyon Dolara yükseldi.
www.sparta.com.tr
9.
10. İş e-postasının bir başkası tarafından ele geçirilmesi
veya taklit edilmesi olayları genellikle sosyal
mühendislik saldırıları ile başlıyor.
Oltalama e-postaları (phishing), telefonları (vishing)
veya her ikisinin birleşimi ile hassas dosyaların veya
bilgilerin ele geçirilmesi sonucu kişilere hatalı banka
transferleri yaptırılması şeklinde gerçekleşiyor.
www.sparta.com.tr
11. BEC SALDIRILARINDAN KORUNMAK İÇİN
KOLAY UYGULANABİLİR YÖNTEMLER
Herkesin BEC konusunda bilgisi olduğunu varsaymayın
Kuruluş çalışanlarının BEC yaşanan durumlarda korkmadan,
hemen rapor etmelerini sağlayabilecek bir ortam yaratın
BEC farkındalık eğitimi için uzun dönem planları yapın
Politika ve prosedürler tanımlayın
Teknolojiden nasıl yardım alabileceğinizi öğrenin
Mevcut programlarınızın güvenlik özelliklerini öğrenin
Siber Sigortanız BEC saldırılarını kapsıyor mu kontrol edin
Yüksek mevki çalışanların sosyal medya hesaplarını kısıtlayın
Para transferleri için kuruluşa özel prosedürler belirleyin
Sadece e-posta kullanmayın
12. Herkesin BEC
konusunda bilgisi
olduğunu varsaymayın
Social-Engineer Inc. firmasının kurucusu
Chris Hadnagy güvenlik uzmanlarının
genellikle herkesin BEC’nin ne olduğunu
bildiğini zannettiğini söylüyor ancak
maalesef durum böyle değil.
Birçok kuruluş çalışanı oltalama saldırısı
(phishing) ile hedefli oltalama
saldırısının (targeted spear phishing)
arasındaki farkı bilmiyor, bir de bunların
üzerine eklenen “vishing” kavramı var
yani BEC’lerin sesli olarak yapılanı.
13. Saldırganların tüm yöntemleri birlikte kullanarak, gönderdikleri sahte e-posta
üzerine telefonla da arayıp, çalışan üzerinde hızla baskı kurarak istedikleri
transferi yaptırdıkları durumlar da söz konusu.
Kuruluşlar mutlaka çalışanlarını oltalama saldırıları, hedefli oltalama
saldırıları ve vishing saldırıları konusunda bilgilendirmeli ve bir saldırı ile
karşılaştıklarında nasıl davranmaları gerektiğini bilmeleri sağlamalı.
www.sparta.com.tr
14. Kuruluş çalışanlarının BEC yaşanan
durumlarda korkmadan, hemen
rapor etmelerini sağlayabilecek bir
ortam yaratın
Çalışanlar BEC sebebiyle dolandırıldıklarında
işlerini kaybetmek, kanunla ilgili başlarının
belaya girmesi gibi hususlarda korku
duymamalı.
Açık bir iletişim ortamı yaratılması, kime ve
nereye bilgi/rapor verileceğinin bilinmesi ve
hatta çalışanların pozitif şekilde
ödüllendirilmesi daha sonra yaşanabilecek
benzeri durumların önlenmesi için önem
kazanıyor.
15. Sosyal mühendislik saldırılarını tespit eden ve durduran çalışanlara
maddi bir ödül ile karşılık verilmesi durumunda kuruluşlara binlerce
dolarlık fayda sağlanabildiği tespit edilmiş. Kuruluş içerisinde herkesin
yaşanan olayı ve BEC’yi durduran personeli duyacağı bir e-posta
gönderilmesi veya herkese açık bir toplantı yapılarak duyurulması da
etkili oluyor.
www.sparta.com.tr
16. BEC eğitimi için uzun
dönem planları yapın
BEC eğitimleri için uzun dönem yatırım planı
yapılması gerekiyor.
BEC konusu çalışanların eline bir «check list»
vermek kadar kolay değil, gerçekten sonuç
alabilmek için tutarlı bir eğitim süreci
gerçekleştirilmeli.
Yalnızca eğitim videoları sunmak veya yazılı
materyallerin okunmasını sağlamak yerine
aylık veya üç aylık dönemlerde phishing ve
vishing testlerinin yapılması, çalışanların
birkaç ayda bir nasıl performans gösterdiğine
dair değerlendirilme yapılması gerçek bir
fayda sağlıyor.
17. « Bu uygulamayı hayata geçiren kuruluşların
çalışanları 1 ila 3 yıl içerisinde %70 oranında bir
iyileşme göstererek BEC olaylarını rapor eder hale
geliyor ve yalnız %10’u oltalama saldırılarına
yakalanıyor»
Social-Engineer Inc. firmasının kurucusu Chris Hadnagy
18. Politika ve prosedürler
tanımlayın
Kuruluşta yeni bir personel çalışmaya
başladığında verilecek olan oryantasyon ve
eğitim programı dahilinde siber güvenlik
farkındalığı konusunun yer alması gerekiyor.
Sosyal mühendislik tehditleri ve bunlar
karşısında nasıl davranılacağının belirlenmesi
ve çalışanlara açıklanması önemli.
Para transferlerinin nasıl ve ne zaman
gerçekleşebileceği konusunda net prosedürler
oluşturulmalı, mümkünse yalnız e-posta ile
değil telefonla da onay alınmalı.
19. Çalışanları para transferi yapılması istenen e-postalar sonucu acele
hareket etmemek konusunda eğitmek gerekiyor.
Saldırganlar genellikle sahte bir aciliyet durumu yaratarak
kurbanları acele düşünmek, hatayı anlayamayacak kadar hızlı
davranmak konusunda zorluyor.
www.sparta.com.tr
20. Önceden belirlenmiş ve spesifik iletişim politikaları anahtar rolde.
Çalışanlar bir BEC saldırısı durumunda hangi IT personeli ile
görüşeceklerini bilmeli. Eğer büyük bir miktarda bir para kaybı söz
konusuysa finans departmanı ile iletişim kurularak yapılacak
işlemler (örneğin polise veya sigortaya haber vermek gibi)
konusunda bir yol haritası çizmek gerekiyor.
www.sparta.com.tr
21. Teknolojiden nasıl
yardım alabileceğinizi
öğrenin
BEC’ler için hızlı bir sorun çözücü
uygulama bulunmamasına karşın bunları
tespit edebilecek faydalı teknolojiler var.
Örneğin; davranış analizi araçları
genellikle kullanıcı kimlik bilgilerini çalmak
amacıyla gönderilen, kötü amaçlı
yazılımlar içeren e-postalardaki ekleri ve
URL’leri analiz edebiliyor.
22. Mevcut Programlarınızın
Güvenlik Özelliklerini
Öğrenin
Kuruluşların genellikle birden fazla güvenlik
programı bulunuyor ancak bunların mevcut
güvenlik özelliklerinden gerektiği gibi
faydalanılamıyor.
Örneğin; e-posta güvenlik programı bulunuyor
ancak oltalama saldırıları ile ilgili ayarları
yapılmamış veya devreye sokulmamış oluyor.
Farklı bir cihaz veya program satın almadan önce
elinizdeki mevcut araçların neler yapabildiğini iyice
öğrenmek bu nedenle önemli. Ayrıca kuruluşlar
eğitim modülleri, videolar, oltalama testleri ve
bunlara ait raporlamalar için de teknolojiden
faydalanabilir.
23. Siber Sigortanız BEC
saldırılarını kapsıyor
mu kontrol edin
Birçok siber sigorta poliçesi kurbanın
kandırılarak para transferi yaptığı
durumları kapsamıyor. Eğer sigorta
firmanız BEC’i otomatik olarak kapsamıyor
ise bir avukat yardımıyla bunun da
poliçeye eklenmesini talep edin.
24. Yüksek mevki çalışanların
sosyal medya hesaplarını
kısıtlayın
Yüksek mevki çalışanların sosyal medya
hesaplarını ve diğer online verilerini
kontrol edin/ettirin ve bu kişilerin
mümkün olduğunca “gizli” hale
geldiğinden emin olun.
CFO (Finans Yöneticisi) gibi önemli
pozisyonlarda yer alan kişilerin online
izlerini tamamen yok edemeseniz bile
olabildiğince gizli ve güvenli hale
getirebilirsiniz.
Bu şekilde saldırganların şirket
organizasyon şeması hakkında mümkün
olduğunca az bilgi toplayabilmesini
sağlayabilirsiniz.
25. Para transferleri için
kuruluşa özel
prosedürler belirleyin
CEO, CFO gibi pozisyonlarda yer alan
kişilerin yetkileri kilit önem taşıyor. Büyük
para transferlerinin onay sürecinde
kuruluşa özel bir işlem yürütülmesi, e-
posta tercih edilmemesi, iletişim için
güvenli ve size özel bir yöntem seçilmesi,
iki kademe kimlik doğrulama gibi
yöntemlerin tercih edilmesi çok önemli.
Eğer çok sayıda ofisiniz varsa ve farklı
departmanlar para transferleri yapıyorsa
yine onay süreci için size özel, e-posta
üzerinden olmayan, sabit bir yöntem
bulup tüm ofislerde bunu uygulayın.
26. Sadece e-posta
kullanmayın
Mümkünse yazılı iletişime ilave olarak
sözlü iletişim tercih edin, telefon kullanın.
Bu yöntem saat farkı nedeniyle sorunlara
yol açabilecek de olsa büyük miktarlı para
kayıplarının önüne geçebilecektir.
27. Örnek Olay:
Bir E-posta ile 21.5
Milyon Dolar
Dolandırılmak
Avrupa’nın zincir sinema kuruluşu Pathé,
Mart 2018’de BEC nedeniyle 21.5 Milyon
Dolar dolandırıldı.
Fransa Merkez Ofis’ten gönderilmiş gibi
yapılan bir sahte e-posta ile Hollanda’da yer
alan yönetime “Şu anda Dubai merkezli
yabancı şirket alımına yönelik bir finansal
işlem yürütüyoruz. İşlem kesinlikle gizli
kalmalıdır. Rakiplerimiz karşısında bize
avantaj sağlamak için başka kimse bundan
haberdar edilmemelidir. ” denilmiş.
Hollanda CFO ve CEO’su durumu garip bulsa
da ilk olarak 800.000EUR ardından da diğer
istenen tutarları ödemiş.
www.sparta.com.tr
28. SİZE NASIL YARDIMCI OLABİLİRİZ?
www.sparta.com.tr
OLAY ÖNCESİ OLAY SONRASI
PROAKTİF SİBER
GÜVENLİK
• Farkındalık eğitimleri
• Sosyal mühendislik testleri
• İş süreçleri analizi
• Siber risk sigortası
• Olay müdahale hizmetleri
• Süreç iyileştirme çalışmaları
• Güvenlik seviyesi iyileştirme
• Sürekli izleme
• Güncel tehditlere karşı koruma
• Saldırı tespit