İçeriğe geçmek için "Enter"a basın

İş Dünyasının Salgını: Business E-mail Comprimise ve Korunmak İçin 6 Basit Yöntem

İş e-postasının ele geçirilmesi (Business E-mail Comprimise – BEC) olayları en az oltalama saldırıları kadar sık karşımıza çıkmaya başladı ve kuruluşların en büyük belalarından bir tanesi haline geldi.

BEC Nedir?

FBI, Business Email Compromise’ı (BEC), yabancı tedarikçilerle çalışan işletmeleri ve düzenli olarak banka havalesi ödemeleri yapan işletmeleri hedefleyen karmaşık bir dolandırıcılık yöntemi olarak tanımlamaktadır. Yetkisiz para transferleri yapmak için resmi ticari e-posta hesaplarının kullanıldığı bu yöntem ile FBI’ın İnternet Şikayet Merkezi IC3 raporuna göre Ekim 2013’ten Mayıs 2018’e kadar kuruluşların bu şekilde kaybettiği toplam tutar 12.5 Milyar Dolar (Türkçesi: 68 Milyar 288 Milyon 750 Bin Türk Lirası). Küresel olarak, siber suçlular ABD dışındaki ülkelerdeki kurbanların 50 milyon dolarını çaldı.

Rakam öyle büyük ki insan düşünürken bile zorlanıyor ancak aynı zamanda konu hakkında acil ve ciddi önlemler alınması gerektiğini de açıkça gösteriyor.

E-posta yoluyla kuruluşlar arası dolandırıcılık yapan kişiler gittikçe profesyonelleşirken, aynı şekilde çalışanların da bu saldırılar konusunda mutlaka iyi eğitim alması ve bilgilendirilmesi korunmak için en başta alınacak önlem.

Birçok kuruluş siber güvenlik farkındalığı programlarına BEC konusunun eklenmesini de dikkate almaya başladı. İş e-postasının bir başkası tarafınca ele geçirilmesi veya taklit edilmesi konusu genellikle sosyal mühendislik saldırılarının oltalama e-postaları, telefon veya her ikisinin birleşimi ile hassas dosyaların ele geçirilmesi, kişilere hatalı banka transferleri yaptırılması şeklinde gerçekleşiyor.

Hazırlıklı olmak, nasıl yanıt verileceğini bilmek veya en az zarar ile kurtulmak için alınabilecek ilk akla gelen 6 önlem ise şöyle:

1. Herkesin BEC konusunda bilgisi olduğunu varsaymayın

Social-Engineer Inc. firmasının kurucusu Chris Hadnagy güvenlik uzmanlarının genellikle herkesin BEC’nin ne olduğunu bildiğini zannettiğini söylüyor ancak maalesef durum böyle değil. Birçok kuruluş çalışanı oltalama saldırısı (phishing) ile hedefli oltalama saldırısının (targeted spear phishing) arasındaki farkı bilmiyor, bir de bunların üzerine eklenen “vishing” kavramı var yani BEC’lerin sesli olarak yapılanı. Hatta saldırganların tüm yöntemleri birlikte kullanarak, gönderdikleri sahte e-posta üzerine telefonla da arayıp çalışan üzerinde hızla baskı kurarak istedikleri transferi yaptırdıkları durumlar da söz konusu.

Kuruluşlar mutlaka çalışanlarını bu konularda bilgilendirmeli, bu tehditler ve çeşitleri konusunda yeterli bilgiye sahip olmalarını sağlamalı.

2. Kuruluş çalışanlarının BEC yaşanan durumlarda korkmadan, hemen rapor etmelerini sağlayabilecek bir ortam yaratın

Çalışanlar BEC sebebiyle dolandırıldıklarında işlerini kaybetmek, kanunla ilgili başlarının belaya girmesi gibi hususlarda korku duymamalı. Açık bir iletişim ortamı yaratılması, kime ve nereye bilgi/rapor verileceğinin bilinmesi ve hatta çalışanların pozitif şekilde ödüllendirilmesi daha sonra yaşanabilecek benzeri durumlar için önem kazanıyor.

Sosyal mühendislik saldırılarını tespit eden ve durduran çalışanlara maddi bir ödül ile karşılık verilmesi durumunda kuruluşlara binlerce dolarlık fayda sağlanabildiği tespit edilmiş. Kuruluş içerisinde herkesin yaşanan olayı ve BEC’yi durduran personeli duyacağı bir e-posta gönderilmesi veya herkese açık bir toplantı yapılarak duyurulması da etkili oluyor.

BEC sebebiyle dolandırılan bir çalışanı işten çıkartmak ise her zaman son çare olmalı.

Mimecast firmasının siber güvenlik iş geliştirme stratejisti Bob Adams, bir çalışanın BEC’ye bir kereden fazla mağdur olması durumunda ise bunun bir yaptırımı olması gerektiğine inanıyor. Çalışanı görevden almanın son çare olması gerektiğini ancak bu kişinin yoğun bir ek eğitim alması ve uyarı cezası alması gerektiğini söylüyor. Bu çalışanın ikinci kere kurban haline geldiği durumda, o kuruluşun çalışanlarına yeterli eğitimi vermediği için kendini de suçlaması gerektiği bir gerçek.

3. BEC eğitimi için uzun dönem planları yapın

Social-Engineer Inc. firmasının kurucusu Hadnagy kuruluşların BEC eğitimleri için uzun dönem yatırım planı yapması gerektiğini vurguluyor. BEC konusunun çalışanların eline bir check list vermek kadar kolay olmadığını, gerçekten sonuç alabilmek için tutarlı bir eğitim sürecinin yapılması gerektiğini de belirtiyor. Yalnızca eğitim videoları sunmak veya yazılı materyallerin okunmasını sağlamak yerine aylık veya üç aylık dönemlerde phishing ve vishing testlerinin yapılması, çalışanların birkaç ayda bir nasıl performans gösterdiğine dair değerlendirilme yapılması gerektiğini de belirtiyor.

Bu uygulamayı hayata geçiren kuruluşların çalışanlarının bir ila üç yıl içerisinde %70 oranında bir iyileşme göstererek BEC olaylarını rapor eder hale geldiğini ve yalnız %10’undan oltalama saldırılarına yakalanan olduğunu söylüyor.

Eğitimler ve kurum kültürü açısından bu noktaya gelinmesinin zaman aldığı bir gerçek. Genellikle test programlarına ilk başlandığında çalışanların %70’i oltalama saldırı maillerine tıklıyor.

Mimecast firmasından Adams ise eğitimlerin her bir çalışanın gelişimi konusunda da bilgi vermesi gerektiğini belirtiyor. Alınan puanlara göre kuruluşlar hangi personelin en yüksek riski taşıdığını ve ekstra eğitime ihtiyacı olduğunu bu şekilde tespit edebilecektir.

4. Politika ve prosedürler tanımlayın

Lastline firmasının yöneticisi Andy Norton, kuruluşta yeni bir personel çalışmaya başladığında verilecek olan oryantasyon ve eğitim programı dahilinde siber güvenlik farkındalığı konusunun yer alması gerektiğini ve sosyal mühendislik tehditleri ve bunlar karşısında nasıl davranılacağının belirlenmesinin önemini vurguluyor.

Kuruluşlar para transferlerinin nasıl ve ne zaman gerçekleşebileceği konusunda da net prosedürler oluşturmalı, gerekli görülen durumlarda yalnız e-posta ile değil telefonla da onay alınmalı.

Çalışanları para transferi yapılması istenen e-postalar sonucu acele hareket etmemek konusunda eğitmek gerekiyor. Saldırganlar genellikle sahte bir aciliyet durumu yaratarak kurbanları acele düşünmek, hatayı anlayamayacak kadar hızlı davranmak konusunda zorluyor.

Önceden belirlenmiş ve spesifik iletişim politikaları da anahtar rolde. Çalışanlar bir BEC saldırısı durumunda hangi IT personeli ile görüşeceklerini bilmeli. Eğer büyük bir miktarda bir para kaybı söz konusuysa finans departmanı ile iletişim kurularak yapılacak işlemler (örneğin polise veya sigortaya haber vermek gibi) konusunda bir yol haritası çizmek gerekiyor.

5. Teknolojiden nasıl yardım alabileceğinizi öğrenin

Lastline’ın yöneticisi Norton, BEC’ler için hızlı bir sorun çözücü uygulama bulunmamasına karşın bunları tespit edebilecek faydalı teknolojilerin olduğunu belirtiyor. Örneğin davranış analizi araçları, genellikle kullanıcı kimlik bilgilerini çalmak amacıyla gönderilen, kötü amaçlı yazılımlar içeren e-postalardaki ekleri ve URL’leri analiz edebiliyor.

Kuruluşların genellikle birden fazla güvenlik programı bulunuyor ancak bunların mevcut tüm özelliklerinden gerektiği gibi faydalanılamıyor. Örneğin, e-posta güvenlik programı bulunuyor ancak oltalama saldırıları ile ilgili ayarları yapılmamış veya devreye sokulmamış oluyor. Farklı bir alet veya program satın almadan önce elinizdeki mevcut araçların neler yapabildiğini iyice öğrenmek bu nedenle önemli. Ayrıca kuruluşlar eğitim modülleri, videolar, oltalama testleri ve bunlara ait raporlamalar için de teknolojiden faydalanabilir.

6. Siber Sigortanız BEC saldırılarını kapsıyor mu kontrol edin

Birçok siber sigorta poliçesi kurbanın kandırılarak para transferi yaptığı durumları kapsamıyor. Eğer sigorta firmanız BEC’i otomatik olarak kapsamıyor ise bir avukat yardımıyla bunun da poliçeye eklenmesini talep edin.

İlk yorum yapan siz olun

    Bir cevap yazın

    E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir