Kurumsal E-Postaları Ele Geçiren: BEC Saldırısı Nedir?

 

Covid-19 nedeniyle, geleneksel ofis sisteminden, dijitalleşmeye dönmenin güvenilir ve kolay yöntemlerini arayan işletmeler, Google hizmetlerini (Forms, Firebase ve Docs) sıklıkla kullanmaya başladı. Bu durumdan haberdar olan siber saldırganlar da Google hizmetlerini kimlik avı saldırıları ve BEC saldırıları için kullanmaya başladılar.


BEC (Business E-mail Compromise), yabancı tedarikçilerle çalışan ve banka havalesi yapan şirketleri hedef alan siber dolandırıcılık çeşididir.

Saldırgan, bir şirket yöneticisini veya finansal işlemlerden sorumlu bir çalışanın, kurumsal veya kamuya açık e-posta adresini bir şekilde açığa çıkmış veritabanlarından, zararlı yazılım yoluyla ele geçirir. Sonrasında ise e-posta mesajlarının arasında istek, ödeme, transfer ve acil gibi kelimeleri tespit ederek ava çıkar. Sonrasında ise para transferini kendi hesabına yönlendirmek suretiyle sistemi çalıştırır.

BEC Saldırısı Örnekleri


1) Bir phishing (oltalama) kampanyasında hedefledikleri kişilerin kritik bilgileri girmesini sağlamak için Google Forms ve American Express logoları kullanılmıştır:

BEC Saldırısı Nedir ? Nasıl Yapılır ? - Cemal Mete Hayırlı

2) Servetini miras olarak bırakabileceğini, çocuksuz ve dul bir kadın olduğunu belirten sahte bir e-posta kullanılmıştır:

BEC Saldırısı Nedir ? Nasıl Yapılır ? - Cemal Mete Hayırlı

Gelen e-postadaki bağlantı sonucunda aşağıdaki gibi bir Google formu açılır ve bu sayede böyle bir senaryo için kullanılabilecek kişiler tespit edilmiş olur. Bu yaygın kullanılan bir keşif tekniğidir.

BEC Saldırısı Nedir ? Nasıl Yapılır ? - Cemal Mete Hayırlı

 

3) Saldırganlar bir firmanın IT biriminde çalışan yönetici kimliğine bürünür. Kota sorunu nedeniyle, önemli e-postaları alamadıklarını ve bu e-postaları alabilmeleri için bir sahte link gönderirler:

BEC Saldırısı Nedir ? Nasıl Yapılır ? - Cemal Mete Hayırlı

E-postadaki link ile bir Google Firebase formuna yönlendirilir. Firebase form linkleri Https bağlantısı olduğundan dolayı herhangi bir güvenlik engeline de takılmayacaktır.

BEC Saldırısı Nedir ? Nasıl Yapılır ? - Cemal Mete Hayırlı

4) Saldırganlar bu sefer Microsoft Teams kimlik bilgilerini almak için Google hizmetlerini kullanıyor. Bir kuruluşun IT ekibinden geldiği senaryosunu kullanan saldırganlar, e-posta içerisindeki bağlantı ile Microsoft Teams’e benzeyen bir sayfaya yönlendiriliyor. Buradan da Office 365 oturum açma portalına benzeyen sahte kimlik avı sitesine yönlendiriliyorlar:

BEC Saldırısı Nedir ? Nasıl Yapılır ? - Cemal Mete Hayırlı

Yukarıda kullanılan yöntem, Google’ın bir web sitesi oluşturma aracı olan Google Sites üzerinde barındırılan meşru görünümlü bir kimlik avı sitesi.

Bir Google sözcüsü tarafından yapılan açıklamada “Bu saldırı yöntemlerinden haberdar olduklarını ve engellemeler için önlemler almaya çalıştıkları” belirtiliyor. Ayrıca açıklamada, gerçekleştirilen saldırıların kullanıcılar tarafından kötüye kullanım olarak bildirilebileceği ifade edildi.

Google Hizmetlerini Kullanan Saldırganlar için Alınabilecek Önlemler Nelerdir ?


  • Tüm kuruluş ve kişisel hesaplarda iki faktörlü kimlik doğrulama (2FA) nın kullanılması
  • Güvenli parola yönetici uygulamalarının kullanılması
  • Tahmin edilebilir parolalar kullanılmaması
  • Hassas e-postalar, özellikle finans ve verilerle ilgili e-postaların dikkatli şekilde incelenmesi
  • Gönderenin adını, e-posta adresini, e-posta adresi içindeki kullanım dilini ve mantıksız e-postaları (Örneğin, yukarıda belirtilen çocuksuz bir dul kadın neden bana milyonlarca dolar göndermek istiyor?) risk grubunda değerlendirmek ve belirtilen direktiflere uymamak

 

Yazımızı Nasıl Buldunuz?

İlk yorum yapan olun

Bir yanıt bırakın

E-posta hesabınız yayımlanmayacak.


*