Trace Id is missing

Değişen taktikler, iş e-postaların ele geçirilmesindeki artışı körüklüyor

İndir
Paylaş

Siber Sinyaller Sayı 4: Özgüven oyunu

Federal Araştırma Bürosu’nun (FBI) raporunda açıklanan toplamda 2.7 milyar USD kayba yol açan 21.000 şikayetebakılırsa iş e-postalarındaki dolandırıcılık artmaya devam ediyor. Microsoft, saldırı kampanyalarının yerel olarak oluşturulmuş gibi görünmesini sağlamak için konut internet protokolü (IP) adreslerinden yararlanmak da dahil olmak üzere, iş e-postalarının ele geçirilmesi (BEC) konusunda uzmanlaşmış tehdit aktörlerinin karmaşıklığında ve taktiklerinde bir artış gözlemledi.

Bu yeni taktik, suçluların Hizmet Olarak Siber Suçlardan (CaaS) daha fazla para kazanmasına yardımcı oluyor. Siber suçluların, anormal oturum açma girişimlerini ve diğer şüpheli hesap etkinliklerini belirlemek ve engellemek için kullanılan "imkansız yolculuk" uyarılarından kaçmasına olanak tanıdığı için de federal kolluk kuvvetlerinin dikkatini çekti.

Hepimiz siber güvenlik savunucularıyız.
Microsoft'un Dijital Suçlar Birimi, 2019 ve 2022 yılları arasında iş e-postalarını hedef alan Hizmet Olarak Siber Suçlarda yüzde 38'lik bir artış gözlemledi.

BulletProftLink'in endüstriyel ölçekli BEC hizmetinin yükselişinin iç yüzü

İş e-postalarının ele geçirilmesine yönelik siber suç faaliyetleri giderek hız kazanıyor. Microsoft, saldırganların, endüstriyel ölçekte kötü amaçlı posta kampanyaları oluşturmak için BulletProofLink gibi popüler platformları kullanımında önemli bir artış gözlemledi. BulletProftLink; BEC için şablonlar, barındırma ve otomatikleştirilmiş hizmetler dahil olmak üzere uçtan uca bir hizmet satar. Bu CaaS'ı kullanan saldırganlar, kurbanın kimlik bilgilerini ve IP adresini alır.

BEC tehdit aktörleri daha sonra kurbanın konumuyla eşleşen konut IP hizmetlerinden IP adresleri satın alarak siber suçluların kökenlerini maskelemelerini sağlayan konut IP proxy'leri oluşturur. Bunun ardından kullanıcı adları ve şifrelere ek olarak kötü niyetli faaliyetlerini desteklemek için yerelleştirilmiş adres alanına da sahip olan BEC saldırganları; hareketlerini gizleyebilir, "imkansız yolculuk" bayraklarını atlatabilir ve daha fazla saldırı gerçekleştirmek için bir ağ geçidi açabilirler. Microsoft, bu taktiğin en sık Asya ve bir Doğu Avrupa ülkesindeki tehdit aktörleri tarafından kullanıldığını gözlemlemiştir.

İmkansız yolculuk, bir kullanıcı hesabının ele geçirilmiş olabileceğini belirtmek için kullanılan bir tespittir. Bu uyarılar, bir görevin, bir konumdan diğerine seyahat etmesine yetecek kadar süre olmadığı halde iki konumda birden gerçekleştirildiğini gösteren fiziksel kısıtlamaları işaretler.

Bu siber suç ekonomisi sektöründe sağlanan uzmanlaşma ve konsolidasyon, tespit edilmekten kaçınmak için konut IP adreslerinin kullanımını artırabilir. Ölçeklendirilmiş konumlarla eşlenmiş konut IP adresleri sayesinde siber suçlular, çok sayıda kimlik bilgisini ele geçirme ve çok sayıda hesaba erişme fırsatını elde eder. Tehdit aktörleri, bu saldırıları ölçeklendirmek için pazarlamacıların ve diğerlerinin araştırma amacıyla kullanabileceği IP/proxy hizmetlerini kullanır. Örneğin bir IP hizmet sağlayıcısının her saniye döndürülebilen veya değiştirilebilen 100 milyon IP adresi vardır.

Tehdit aktörleri; kimlik avı kampanyaları düzenlemek ve kimlik bilgilerini ele geçirmek için Evil Proxy, Naked Pages ve Caffeine gibi hizmet olarak kimlik avı servislerini kullanırken BulletProftLink; kimlik avı ve BEC sitelerini barındırmak için Internet Computer halka açık blok zinciri düğümlerini içeren dağınık bir ağ geçidi tasarımı sunarak bozulması çok daha zor olan, daha da karmaşık bir merkezi olmayan web teklifi oluşturur. Bu sitelerin altyapısını, karmaşık ve giderek büyüyen halka açık blok zincirleri arasında dağıtmak, tanımlanmalarını ve alınan önlemlerin hizalanmasını daha karmaşık hale getirir. Bir kimlik avı bağlantısını kaldırabilirsiniz ancak içerik çevrimiçi kalır ve siber suçlular, mevcut CaaS içeriğine yeni bir bağlantı oluşturmak için geri döner.

Başarılı BEC saldırıları, kurumlara yılda yüz milyonlarca dolara mal oluyor. Bu yüzden 2022'de FBI’ın Varlık Kurtarma Ekibi, potansiyel kayıpları 590 milyon USD’den fazla olan 2.838 BEC şikayetiyle ilgili Finansal Dolandırıcılık Kesme Zincirini başlattı.

Finansal sonuçlar önemli olsa da uzun vadeli, daha geniş çaplı zararlar arasında; kişisel verilerin (PII) ele geçirilmesi halinde kimlik hırsızlığı ya da hassas yazışmalar veya fikri mülkiyetlerin, kötü niyetli e-posta ve mesaj trafiğinde ifşa edilmesi halinde gizli verilerin kaybedilmesi yer alabilir.

Türlere göre kimlik avı e-postaları

İş E-postası Ele Geçirme saldırılarında kullanılan farklı kimlik avı e-posta türlerinin yüzde dağılımını gösteren pasta grafik. En yaygın olan %62.35 ile Olta olup onu Bordro (%14,87), Fatura (%8,29), Hediye Kartı (%4,87), Ticari Bilgiler (%4,4) ve Diğer (%5,22) takip etmektedir.
Veriler, Ocak 2023 ile Nisan 2023 arasındaki BEC kimlik avlarının türlerine göre anlık görüntüsünü göstermektedir.  Tam raporun 4.sayfasında bu görüntü ile ilgili daha fazla bilgi edinebilirsiniz

BEC saldırılarında en çok Sosyal Güvenlik numaraları, vergi beyannameleri veya diğer kişisel veriler gibi çalışan kayıtlarına erişimi olan yöneticiler ve diğer üst düzey liderler, finans yöneticileri ve insan kaynakları personeli hedef alınır. Tanıdık olmayan e-posta isteklerini doğrulamada daha başarısız olması muhtemel olan yeni çalışanlar da hedefler arasında bulunabilir. Şu anda neredeyse tüm BEC saldırı türlerinde bir artış gözlemliyoruz. Hedeflenen BEC saldırıları arasında en yaygın olanlarsa yem, maaş bordrosu, fatura, hediye kartı ve iş bilgileri.

BEC saldırıları, sosyal mühendisliğe ve aldatma sanatına olan vurgusuyla siber suç endüstrisinde farklı bir yere sahiptir. BEC operatörleri, yamalanmamış cihazlardaki güvenlik açıklarından yararlanmak yerine, günlük e-posta trafiğinden ve diğer mesajlardan yararlanarak kurbanları finansal bilgi vermeye veya suçluların hileli para transferleri gerçekleştirmesine yardımcı olan para kuryesi hesaplarına, bilmeden para göndermek gibi doğrudan bir eylemde bulunmaya ikna etmeye çalışırlar

Yıkıcı şantaj mesajları içeren "gürültülü" bir fidye yazılımı saldırısının aksine, BEC operatörleri, dikkati dağılmış veya bu tür acil taleplere alışkın olabilecek alıcıları teşvik etmek için uydurma son tarihler ve aciliyet kullanarak sessiz bir güven oyunu oynarlar. BEC saldırganları, yeni kötü amaçlı yazılımlar yerine kötü amaçlı mesajların ölçeğini, inandırıcılığını ve gelen kutusundaki başarı oranını artıracak araçlara odaklanacak taktikler geliştirir

Konut IP adreslerinden faydalanan çok sayıda yüksek profilli saldırı gerçekleştirilmiş olsa da Microsoft, kolluk kuvvetlerinin ve diğer kuruluşların, bu eğilimin hızla ölçeklenebileceği ve geleneksel alarmlar veya bildirimlerle, bu tür faaliyetlerin tespit edilmesini zorlaştıracağı yönündeki endişelerini paylaşmaktadır.

Giriş yerlerindeki farklılıklar, her zaman kötü bir amaca hizmet etmez. Örneğin bir kullanıcı, bir dizüstü bilgisayar aracılığıyla yerel Wi-Fi üzerinden iş uygulamalarına erişirken aynı anda akıllı telefonu üzerinden de bir hücresel ağ aracılığıyla aynı iş uygulamalarına giriş yapmış olabilir. Bu nedenle, organizasyonlar imkansız yolculuk bayrak eşiklerini, risk toleranslarına göre özelleştirebilir. Bununla birlikte BEC saldırıları için yerelleştirilmiş IP adreslerinin endüstriyel ölçeği; uyarlanabilir BEC saldırganları ve diğer saldırganlar, kötü amaçlı postaları ve diğer etkinlikleri, hedeflerine yakın adres alanı üzerinden yönlendirme seçeneğini giderek daha fazla kullandığından, işletmeler için yeni riskler yaratmaktadır.

Öneriler:

  • Gelen kutunuzu koruyan güvenlik ayarlarını en üst düzeye çıkarın:  Kurumlar, posta sistemlerini dış kaynaklardan gönderilen mesajları işaretleyecek şekilde yapılandırabilir. Ayarlarınızı, e-posta gönderenler doğrulanmadığında bildirim alacak şekilde yapılandırın. Bağımsız olarak doğrulayamadığınız kimliklere sahip gönderenleri engelleyin ve e-posta uygulamalarında bu mailleri kimlik avı veya gereksiz olarak bildirin.
  • Güçlü bir doğrulama ayarlayın: Oturum açmak için parolanın yanı sıra bir kod, PIN veya parmak izi gerektiren çok faktörlü kimlik doğrulamasını açarak e-postanızın güvenliğinin ihlal edilmesini zorlaştırın. MFA’nın etkinleştirildiği hesaplar, saldırganların kullandığı adres alanından bağımsız olarak, ele geçirilmiş kimlik bilgileri ve deneme yanılma ile yapılan giriş denemeleri risklerine karşı daha dayanıklıdır.
  • Çalışanları uyarı işaretlerini fark etmeleri için eğitin: Çalışanlarınızı eğitin ve etki alanı ve e-posta adreslerindeki uyuşmazlıklar gibi dolandırıcı ve diğer kötü niyetli e-postaları tanımalarını sağlayın. Ayrıca başarılı BEC saldırılarıyla ilişkili riskler ve maliyetler konusunda da bilgilendirin.

İş e-postalarının ele geçirilmesiyle mücadele etmek için dikkatli ve bilinçli olmak gerekir

Her ne kadar tehdit aktörleri BEC'i kolaylaştırmak için kimlik avı kitleri ve C-Suite liderlerini, potansiyel borç hesaplarını ve diğer belirli rolleri hedefleyen doğrulanmış e-posta adresleri listeleri gibi özel araçlar yaratmış olsalar da işletmeler, saldırıları önleyecek ve riski azaltacak yöntemler kullanabilirler.

Örneğin etki alanı tabanlı ileti doğrulama, raporlama ve uygunluk (DMARC) politikası olan "reddet", sahte e-postalara karşı en güçlü korumayı sağlar ve kimliği doğrulanmamış iletilerin, teslim dahi edilmeden önce posta sunucusunda reddedilmesini sağlar. Ayrıca DMARC raporları, kurumların, belirgin sahtekarlıkların kaynağını öğrenebilmesini sağlar ki bu, normalde almayacakları bir bilgidir.

Kurumlar hibrit veya tamamen uzaktan çalışan iş gücünü yönetmeye başlayalı birkaç yıl olmasına rağmen hala hibrit çalışma çağında güvenlik farkındalığını yeniden düşünmemiz gerekiyor. Çalışanlar daha fazla satıcı ve yüklenici ile çalıştığından ve bu sebeple daha fazla sayıda "ilk kez görülen" e-posta aldığından, çalışma ritimlerindeki ve yazışmalardaki bu değişikliklerin saldırı yüzeyiniz için ne anlama geldiğinin bilincinde olmanız gerekir.

Tehdit aktörleri; telefon aramaları, kısa mesajlar, e-postalar veya sosyal medya mesajları dahil olmak üzere pek çok farklı şekilde BEC girişiminde bulunabilir. Kimlik doğrulama talebi mesajlarını veya bireyleri ve şirketleri taklit etmek de yaygın kullanılan taktiklerdir.

Muhasebe, iç kontrol, bordro veya insan kaynakları departmanlarının; ödeme araçları, bankacılık veya banka havaleleri ile ilgili değişiklik talepleri veya bildirimleri alındığında nasıl yanıt verileceğine ilişkin politikalarını güçlendirmek, iyi bir ilk savunma adımıdır. Şüpheli bir şekilde politikalara uymayan talepleri bekletmek için geri adım atmak veya talepte bulunan kurumlarla meşru sitesi ve temsilcileri aracılığıyla iletişime geçmek, kurumları sarsıcı kayıplardan kurtarabilir.

BEC saldırıları; siber riskin neden yöneticiler ve liderler, finans çalışanları, insan kaynakları yöneticileri ve Sosyal Güvenlik numaraları, vergi beyannameleri, iletişim bilgileri ve çizelgeler gibi çalışan kayıtlarına erişimi olan diğer kişilerle birlikte BT, uyum ve siber risk görevlilerinin de masada olduğu, tüm işlevleri kapsayacak şekilde ele alınması gerektiğine dair harika bir örnek sunmaktadır.

Öneriler:

  • Güvenli bir e-posta çözümü kullanın: Günümüzün e-posta bulut platformları, savunmayı geliştirmek için makine öğrenimi gibi yapay zeka yetenekleri kullanarak gelişmiş kimlik avı koruması ve şüpheli yönlendirme tespiti gibi ek özellikler sunuyor. E-posta ve üretkenlik için bulut uygulamaları; sürekli, otomatik yazılım güncellemeleri ve merkezi güvenlik politikaları yönetiminin avantajlarını da sunar.
  • Yanal hareketi engellemek için kimlikleri güvence altına alın: Kimliklerin korunması, BEC ile mücadelenin önemli bir ayağıdır.  Sıfır Güven ve otomatik kimlik idaresi ile uygulamalara ve verilere erişimi denetleyin.
  • Güvenli bir ödeme platformu kullanın: Faturaları e-postayla göndermek yerine ödemeleri doğrulamak için özel olarak tasarlanmış bir sisteme geçmeyi değerlendirin.
  • Duraklatın ve finansal işlemleri doğrulamak için bir telefon görüşmesi yapın: Hırsızlığa yol açabilecek hızlı bir yanıt veya tıklama ile varsaymak yerine, bir şeyin yasal olduğunu onaylamak için hızlı bir telefon görüşmesi yapmak, ayırdığınız zamana değer. Çalışanlara, mali talepleri ve diğer talepleri iki kez kontrol etmek için kurumlar veya kişilerle doğrudan iletişime geçmelerinin ve şüpheli mesajlarda verilen bilgileri kullanmamalarının önemli olduğunu hatırlatan politikalar ve beklentiler oluşturun.

Kıdemli Tehdit Analisti Simeon Kakpovi'nin içgörüleriyle BEC ve İranlı tehdit aktörleri hakkında daha fazla bilgi edinin.

Nisan 2022 ile Nisan 2023 arasında Microsoft Tehdit Analizi tarafından algılanan ve araştırılan, yıllık ve günlük, ortalama BEC girişimi sayısını gösteren anlık görüntü verisi. Microsoft'un Dijital Suçlar Birimi tarafından yönetilen, benzersiz kimlik avı URL'si kaldırma işlemleri, Mayıs 2022 ile Nisan 20231 arasında gerçekleştirilmiştir.1

  • 35 milyon yıllık
  • 156.000 günlük
  • 417.678 kimlik avı URL’si kaldırıldı
  1. [1]

    Metodoloji: Anlık görüntü verileri için, Office için Microsoft Defender, Microsoft Tehdit Analizi ve Microsoft Dijital Suçlar Birimi (DCU) gibi Microsoft platformları, cihaz güvenlik açıkları hakkında anonimleştirilmiş veriler ve tehdit aktörü etkinliği ve eğilimleri hakkında veriler sağlamıştır. Araştırmacılar bunlara ek olarak Federal Soruşturma Bürosu (FBI) 2022 İnternet Suç Raporu ve Siber Güvenlik & Altyapı Güvenlik Ajansı (CISA) gibi kamu kaynaklarından elde edilen verileri de kullanmıştır. Kapak istatistiği, 2019'dan 2022'ye kadar Microsoft DCU iş e-postası Hizmet olarak Siber Suç etkileşimlerine dayanmaktadır. Anlık görüntü verileri, tespit edilen ve araştırılan düzeltilmiş yıllık ve ortalama günlük BEC girişimlerini temsil eder.

İş e-postalarının ele geçirilmesi Siber sinyaller Kimlik güvenliği Kimlik avı

İlgili makaleler

İranlı tehdit aktörleri uzmanı Simeon Kakpovi'den içgörüler

Kıdemli tehdit analisti Simeon Kakpovi; yeni nesil siber savunucuları eğitmek ve İran tehdit aktörlerinin sarsılmaz azmini aşmak konusundaki görüşlerini paylaşıyor.
Daha fazla bilgi edinin

IoT/OT cihazlarının benzersiz güvenlik riski

Bu son raporumuzda, artan IoT/OT bağlantısının, organize siber tehdit aktörlerinin kötü amaçla yararlanabileceği daha büyük ve ciddi güvenlik açıklarına nasıl yol açtığını keşfediyoruz.
Daha fazla bilgi edinin

Modern bir saldırı yüzeyinin anatomisi

Giderek karmaşık bir hal alan saldırı yüzeyini yönetmek için kurumların kapsamlı bir güvenlik duruşu geliştirmesi gerekir. Altı önemli saldırı yüzeyi alanının ele alındığı bu rapor, doğru tehdit analizi sayesinde, oyunun nasıl savunmanın lehine çevrilebileceğini gösterir.
Daha fazla bilgi edinin

Microsoft Güvenlik'i takip edin