İş Süreçlerini Hedef Alan siber Saldırılar

İş e-postalarının ele geçirilmesi (Business E-mail Compromise – BEC) konusuna zaman zaman değiniyoruz. Atlanmaması gereken bir diğer önemli ve artan siber saldırı konusu ise İş Süreçlerinin Ele Geçirilmesi (Business Process Compromise – BPC).

BPC olarak sınıflandırılabilecek siber saldırılar, siber saldırganların maddi kazanç sağlamak amacıyla belirli iş süreçlerinin parçalarını veya bu süreçleri gerçekleştirmeye yarayan sistemleri ele geçirmesi olarak açıklanabilir. Bu tür saldırılarda, işletmelerin “normal” kabul edilen davranışlardaki değişiklikleri kolay tespit edememesi en büyük sorundur. Saldırganlar, uzun süre kuruluş sisteminde dikkat çekebilecek herhangi bir davranışta bulunmadan gizlenip analiz yapabilir ve her zamanki sürece uyumlu bir şekilde saldırı gerçekleştirebilir.

Bu türde saldırılarda, saldırganlar kendilerine hedef olarak seçtikleri kuruluşun ağ yapısını, iç süreçlerin işleyişini, sistemlerini ve standartlarını derinlemesine inceler ve anlamaya çalışır. Bu sayede, üretim işlemleri, satın alma, hesap yönetimi, ödeme ve teslimat gibi iş akışlarına fark edilmeden sızmayı başarabilirler.

BPC saldırılarında dikkat çeken örneklerden bir tanesini 2016 yılında Bangladeş Merkez Bankası’nın 81 milyon dolar çaldırdığı olaydır. Siber saldırganlar bu olayda, SWIFT sisteminin ve bağlı iş süreçlerinin nasıl çalıştığını çok iyi kavradıklarını ve onu kullanan partner bankalardaki zayıf yanları tespit edebildiklerini gösterdiler. Bankanın bilgisayar ağını istismar ederek, transferlerin nasıl gerçekleştirildiğini takip edebilmişler ve yetkisiz işlemleri gerçekleştirebilmek için bankanın kullanıcı bilgilerini çalmışlardı. (Konu ile ilgili daha detaylı bir yazı http://alperbasaran.com/2444-2/ linkinde yer alıyor)

BPC ile ilgili olaylar sadece finansal işlemlerde yaşanmadı. 2013 yılında Hollanda merkezli bir uyuşturucu çetesi ile siber saldırganlar işbirliği yaptı. Belçika’nın Antwerp Limanı’ndaki liman yetkililerinin hesaplarını ve nakliye şirketlerinin sistemlerini hedefli oltalama saldırıları ve zararlı yazılım kullanarak ele geçirdiler. Konteyner teslim yerlerini ve teslim tarihlerini değiştirdiler ve uyuşturucu yüklü nakliye konteynerlerini alması için kendi nakliyecilerini yönlendirdiler. 1 ton kokain, 1 ton eroin ve içerisinde 1,3 milyon Euro bulunan bir çantanın kaçakçılığı yapılırken, nakliye şirketlerinin bir şeylerin ters gittiğini anlaması üzerine gerçekleşen polis operasyonu ile 9 kişi tutuklandı. Birkaç yıla bu olayın filmi çekilebilir, o zaman burayı hatırlarsınız.

Her ne kadar BPC ile hedefli oltalama saldırıları aynı araç ve teknikleri kullansa da BPC saldırılarında amaç sadece hassas verileri ele geçirmek değildir. Saldırganlar, iş süreçlerini ve hedef kuruluşun iş yapış biçimini hedef alıp kazançlarını buradan çıkartmayı amaçlar.

Her iki saldırgan türü de standart, normal görünen bir kuruluş işlemi vasıtasıyla hırsızlık yapma peşindedir ancak BEC saldırganları amaçlarına ulaşmak için iş süreçlerinin değiştirmekten ziyade sosyal mühendislik kullanır. BEC saldırılarında kuruluş çalışanlarından birinin e-posta bilgileri çalınarak veya taklit edilerek, o kişi gibi davranılır ve diğer kuruluş çalışanları istenen banka hesabına para transferi yapsın diye ikna etmeye çalışılır.

BPC Çeşitleri

  1. İlk grupta, kuruluşun nakit akış sistemindeki güvenlik boşluklarından yararlanan siber suçlular, meşru gibi görünen hesaplara para transferi gerçekleştirir. Bordro sahtekarlığı (bordro sistemine erişimi olan siber saldırganların, gerçek olmayan kişileri kuruluş çalışanı gibi göstererek kuruluştan para sızdırması), sahte banka havaleleri (bir bankanın para transfer sistemindeki boşluklar bulunup, saldırganlara ait hesaplara yönlendirmek için gerekli kodların değiştirilmesi), bankanın para transfer sisteminde açıklar bulunarak saldırganların kendi kontrollerindeki hesaplara para aktaracak kod veya zararlı yazılım kullanması gibi sahtekârlıklar bu gruba dahildir.  
  2. İkinci grupta yer alan BPC saldırganları sadece iş süreçlerinde değişiklik yaparak bunlardan faydalanır. Yukarıda verilen liman, konteyner ve nakliye şirketlerinin hacklenmesi ile uyuşturucu taşınmaya çalışılması bu gruba verilebilecek en iyi örnektir.
  3. Çeşitli finansal değerlerin değiştirilmesi ve/veya kuruluşu ilgilendirecek önemli kararları etkilemek/çarpıtmak sonucunda finansal kar elde etmeyi hedefleyen saldırılar üçüncü gruba girmektedir. Stok değerleri çarpıtılarak hisse senedi alım satımlarının manipüle edilmesi ile kar elde edilmesi bu gruba örnek olabilir.

BPC’ye Karşı Savunma Stratejileri:

  1. İş süreçlerinizin içerisine anomali tespiti sensörleri yerleştirin: İş süreçlerinizi kâğıda döküp, bir şeylerin ters gitmesi veya izinsiz değiştirilmesi halinde bunun hangi etkileri olacağına bakın. Bu etkileri tespit edecek kontrol noktaları yerleştirmek bir BPC saldırısını tespit etmenizi kolaylaştırır.
  2. OPSEC (Operation Security – Süreç Güvenliği) bakış açısıyla iş süreçlerinizi yeniden değerlendirin. Sparta Bilişim olarak bu konuda sunduğumuz Red Team hizmeti, iş süreçlerinizin güvenliğini objektif olarak değerlendirmenize imkan verir. Buna ayıracak bütçeniz yoksa en azından kendi içinizde nelerin değiştirilebileceğini veya nelere müdahale edilebileceğini değerlendirin.
  3. Otomasyona dikkat edin: süreçlerin otomatize edilmesi işlerimizi tabii ki kolaylaştırıyor ancak bunların istismar edilmesi durumunda bize uyarı verecek sistemlere ihtiyacımız var. Olay müdahalesine gittiğimiz bir yerde maaşların otomatik olarak banka sistemine aktarıldığı bir Excel dosyasındaki bütün banka hesap IBAN’larının saldırgana ait IBAN’larla değiştirildiğini görmüştük. Bu durumda ay başında kuruluşun ödediği 1.200’dan fazla maaş saldırgana gidecekti. Olay müdahalesi sürecinde bu değişiklik fark edilmeseydi, sürecin devamı otomatik olarak işlediği için fark edildiğinde çok geç olabilirdi.
  4. Görev ayrımlarına dikkat edin: Bir iş sürecinin tek bir çalışan tarafından başlatılması, takip edilmesi, onaylanması ve neticelendirilmesi mümkün olmamalıdır. Aksi takdirde, sadece suistimal değil, bir siber saldırganın bu kullanıcıyı ele geçirmesi halinde de iş süreçleri bundan olumsuz etkilenir.
  5. Kritik iş süreçleri en az 2 onaya bağlı olsun: Özellikle finans ve itibara etkisi olabilecek süreçlerin (ödemeler, web sayfasının değiştirilmesi, vb.) en az 2 kişi tarafından onaylanmalıdır.
  6. Sosyal mühendislik saldırıları konusunda farkındalığı arttırın: Özellikle BPC ve BEC saldırılarında sıkça kullanıldığını gördüğümüz sosyal mühendislik teknikleri konusunda personelimizin farkındalığının artırılması çok önemlidir. Bu sayede saldırı girişimleri zamanında fark edilir ve olumsuz sonuçlar yaşanmadan müdahale edilebilir.

1 yorum

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*