BEC NEDÝR? (BUSINESS E-MAIL COMPROMISE) www.sparta.com.tr BEC SALDIRILARINDAN KORUNMAK ÝÇÝN KOLAY UYGULANABÝLÝR YÖNTEMLER
2. www.sparta.com.tr
3. BEC NEDÝR? www.sparta.com.tr BEC: BUSINESS E-MAIL COMPROMISE «ÝÞ E-POSTASININ ELE GEÇÝRÝLMESÝ YOLUYLA YAPILAN DOLANDIRICILIK» ANLAMINA GELMEKTEDÝR.
4. FBI, Business Email Compromise?ý (BEC); tedarikçilerle çalýþan ve/veya düzenli olarak banka ödemeleri yapan iþletmeleri hedefleyen, karmaþýk bir dolandýrýcýlýk yöntemi olarak tanýmlamaktadýr.
5. BEC saldýrýlarý ülkemizdeki firmalarý da hedef alýyor ve bu saldýrýlarda özetle aþaðýdaki gibi bir yol izleniyor; www.sparta.com.tr Hedef firmanýn iþ yaptýðý þirketlerden birinden üst düzey yönetici veya bir finans birimi çalýþanýnýn e-posta hesabý ele geçiriliyor. Bu hesaptan hedef firmaya ?banka hesaplarýmýz deðiþti, lütfen artýk ödemelerinizi bu hesaba gönderin? içerikli bir e-posta gönderiliyor. Bu e-postadaki banka hesaplarý siber suçlularýn banka hesaplarý oluyor. Hedef firma düzenli olarak iþ yaptýðýný düþündüðü bir firmadan geldiðini sandýðý bu e-postadaki talimata uygun olarak ödemeyi suçlunun hesabýna yapýyor.
6. FBI?ýn Ýnternet Þikayet Merkezi (Internet Crime Report) IC3 verilerine göre: Yetkisiz para transferleri yapmak için resmi ticari e-posta hesaplarýnýn kullanýldýðý bu yöntem ile Ekim 2013?ten Mayýs 2018?e kadar kuruluþlarýn BEC sonucu kaybettiði toplam tutar 12 Milyar Dolardan fazla. www.sparta.com.tr
7. www.sparta.com.tr FBI?ýn Ýnternet Þikayet Merkezi (Internet Crime Report) IC3 verilerine göre: BEC Dolandýrýcýlýklarýndan doðan kayýplar 2018 yýlýnda 1.3 Milyar Dolara ulaþtý. Küresel olarak, siber suçlular ABD dýþýndaki ülkelerdeki kurbanlarýn 50 milyon Dolarýný çaldý. BEC Saldýrýlarý her ay yaklaþýk 6 Bin iþletmeyi tehdit ediyor.
8. 2018 yýlýnda BEC ile ilgili kayýplar 2017 yýlýna göre 90.8% artarak 1,3 Milyon Dolardan 2,7 Milyon Dolara yükseldi. www.sparta.com.tr
9. Ýþ e-postasýnýn bir baþkasý tarafýndan ele geçirilmesi veya taklit edilmesi olaylarý genellikle sosyal mühendislik saldýrýlarý ile baþlýyor. Oltalama e-postalarý (phishing), telefonlarý (vishing) veya her ikisinin birleþimi ile hassas dosyalarýn veya bilgilerin ele geçirilmesi sonucu kiþilere hatalý banka transferleri yaptýrýlmasý þeklinde gerçekleþiyor. www.sparta.com.tr
10. BEC SALDIRILARINDAN KORUNMAK ÝÇÝN KOLAY UYGULANABÝLÝR YÖNTEMLER Herkesin BEC konusunda bilgisi olduðunu varsaymayýn Kuruluþ çalýþanlarýnýn BEC yaþanan durumlarda korkmadan, hemen rapor etmelerini saðlayabilecek bir ortam yaratýn BEC farkýndalýk eðitimi için uzun dönem planlarý yapýn Politika ve prosedürler tanýmlayýn Teknolojiden nasýl yardým alabileceðinizi öðrenin Mevcut programlarýnýzýn güvenlik özelliklerini öðrenin Siber Sigortanýz BEC saldýrýlarýný kapsýyor mu kontrol edin Yüksek mevki çalýþanlarýn sosyal medya hesaplarýný kýsýtlayýn Para transferleri için kuruluþa özel prosedürler belirleyin Sadece e-posta kullanmayýn
11. Herkesin BEC konusunda bilgisi olduðunu varsaymayýn Social-Engineer Inc. firmasýnýn kurucusu Chris Hadnagy güvenlik uzmanlarýnýn genellikle herkesin BEC?nin ne olduðunu bildiðini zannettiðini söylüyor ancak maalesef durum böyle deðil. Birçok kuruluþ çalýþaný oltalama saldýrýsý (phishing) ile hedefli oltalama saldýrýsýnýn (targeted spear phishing) arasýndaki farký bilmiyor, bir de bunlarýn üzerine eklenen ?vishing? kavramý var yani BEC?lerin sesli olarak yapýlaný.
12. Saldýrganlarýn tüm yöntemleri birlikte kullanarak, gönderdikleri sahte e-posta üzerine telefonla da arayýp, çalýþan üzerinde hýzla baský kurarak istedikleri transferi yaptýrdýklarý durumlar da söz konusu. Kuruluþlar mutlaka çalýþanlarýný oltalama saldýrýlarý, hedefli oltalama saldýrýlarý ve vishing saldýrýlarý konusunda bilgilendirmeli ve bir saldýrý ile karþýlaþtýklarýnda nasýl davranmalarý gerektiðini bilmeleri saðlamalý. www.sparta.com.tr
13. Kuruluþ çalýþanlarýnýn BEC yaþanan durumlarda korkmadan, hemen rapor etmelerini saðlayabilecek bir ortam yaratýn Çalýþanlar BEC sebebiyle dolandýrýldýklarýnda iþlerini kaybetmek, kanunla ilgili baþlarýnýn belaya girmesi gibi hususlarda korku duymamalý. Açýk bir iletiþim ortamý yaratýlmasý, kime ve nereye bilgi/rapor verileceðinin bilinmesi ve hatta çalýþanlarýn pozitif þekilde ödüllendirilmesi daha sonra yaþanabilecek benzeri durumlarýn önlenmesi için önem kazanýyor.
14. Sosyal mühendislik saldýrýlarýný tespit eden ve durduran çalýþanlara maddi bir ödül ile karþýlýk verilmesi durumunda kuruluþlara binlerce dolarlýk fayda saðlanabildiði tespit edilmiþ. Kuruluþ içerisinde herkesin yaþanan olayý ve BEC?yi durduran personeli duyacaðý bir e-posta gönderilmesi veya herkese açýk bir toplantý yapýlarak duyurulmasý da etkili oluyor. www.sparta.com.tr
15. BEC eðitimi için uzun dönem planlarý yapýn BEC eðitimleri için uzun dönem yatýrým planý yapýlmasý gerekiyor. BEC konusu çalýþanlarýn eline bir «check list» vermek kadar kolay deðil, gerçekten sonuç alabilmek için tutarlý bir eðitim süreci gerçekleþtirilmeli. Yalnýzca eðitim videolarý sunmak veya yazýlý materyallerin okunmasýný saðlamak yerine aylýk veya üç aylýk dönemlerde phishing ve vishing testlerinin yapýlmasý, çalýþanlarýn birkaç ayda bir nasýl performans gösterdiðine dair deðerlendirilme yapýlmasý gerçek bir fayda saðlýyor.
16. « Bu uygulamayý hayata geçiren kuruluþlarýn çalýþanlarý 1 ila 3 yýl içerisinde %70 oranýnda bir iyileþme göstererek BEC olaylarýný rapor eder hale geliyor ve yalnýz %10?u oltalama saldýrýlarýna yakalanýyor» Social-Engineer Inc. firmasýnýn kurucusu Chris Hadnagy
17. Politika ve prosedürler tanýmlayýn Kuruluþta yeni bir personel çalýþmaya baþladýðýnda verilecek olan oryantasyon ve eðitim programý dahilinde siber güvenlik farkýndalýðý konusunun yer almasý gerekiyor. Sosyal mühendislik tehditleri ve bunlar karþýsýnda nasýl davranýlacaðýnýn belirlenmesi ve çalýþanlara açýklanmasý önemli. Para transferlerinin nasýl ve ne zaman gerçekleþebileceði konusunda net prosedürler oluþturulmalý, mümkünse yalnýz e-posta ile deðil telefonla da onay alýnmalý.
18. Çalýþanlarý para transferi yapýlmasý istenen e-postalar sonucu acele hareket etmemek konusunda eðitmek gerekiyor. Saldýrganlar genellikle sahte bir aciliyet durumu yaratarak kurbanlarý acele düþünmek, hatayý anlayamayacak kadar hýzlý davranmak konusunda zorluyor. www.sparta.com.tr
19. Önceden belirlenmiþ ve spesifik iletiþim politikalarý anahtar rolde. Çalýþanlar bir BEC saldýrýsý durumunda hangi IT personeli ile görüþeceklerini bilmeli. Eðer büyük bir miktarda bir para kaybý söz konusuysa finans departmaný ile iletiþim kurularak yapýlacak iþlemler (örneðin polise veya sigortaya haber vermek gibi) konusunda bir yol haritasý çizmek gerekiyor. www.sparta.com.tr
20. Teknolojiden nasýl yardým alabileceðinizi öðrenin BEC?ler için hýzlý bir sorun çözücü uygulama bulunmamasýna karþýn bunlarý tespit edebilecek faydalý teknolojiler var. Örneðin; davranýþ analizi araçlarý genellikle kullanýcý kimlik bilgilerini çalmak amacýyla gönderilen, kötü amaçlý yazýlýmlar içeren e-postalardaki ekleri ve URL?leri analiz edebiliyor.
21. Mevcut Programlarýnýzýn Güvenlik Özelliklerini Öðrenin Kuruluþlarýn genellikle birden fazla güvenlik programý bulunuyor ancak bunlarýn mevcut güvenlik özelliklerinden gerektiði gibi faydalanýlamýyor. Örneðin; e-posta güvenlik programý bulunuyor ancak oltalama saldýrýlarý ile ilgili ayarlarý yapýlmamýþ veya devreye sokulmamýþ oluyor. Farklý bir cihaz veya program satýn almadan önce elinizdeki mevcut araçlarýn neler yapabildiðini iyice öðrenmek bu nedenle önemli. Ayrýca kuruluþlar eðitim modülleri, videolar, oltalama testleri ve bunlara ait raporlamalar için de teknolojiden faydalanabilir.
22. Siber Sigortanýz BEC saldýrýlarýný kapsýyor mu kontrol edin Birçok siber sigorta poliçesi kurbanýn kandýrýlarak para transferi yaptýðý durumlarý kapsamýyor. Eðer sigorta firmanýz BEC?i otomatik olarak kapsamýyor ise bir avukat yardýmýyla bunun da poliçeye eklenmesini talep edin.
23. Yüksek mevki çalýþanlarýn sosyal medya hesaplarýný kýsýtlayýn Yüksek mevki çalýþanlarýn sosyal medya hesaplarýný ve diðer online verilerini kontrol edin/ettirin ve bu kiþilerin mümkün olduðunca ?gizli? hale geldiðinden emin olun. CFO (Finans Yöneticisi) gibi önemli pozisyonlarda yer alan kiþilerin online izlerini tamamen yok edemeseniz bile olabildiðince gizli ve güvenli hale getirebilirsiniz. Bu þekilde saldýrganlarýn þirket organizasyon þemasý hakkýnda mümkün olduðunca az bilgi toplayabilmesini saðlayabilirsiniz.
24. Para transferleri için kuruluþa özel prosedürler belirleyin CEO, CFO gibi pozisyonlarda yer alan kiþilerin yetkileri kilit önem taþýyor. Büyük para transferlerinin onay sürecinde kuruluþa özel bir iþlem yürütülmesi, e- posta tercih edilmemesi, iletiþim için güvenli ve size özel bir yöntem seçilmesi, iki kademe kimlik doðrulama gibi yöntemlerin tercih edilmesi çok önemli. Eðer çok sayýda ofisiniz varsa ve farklý departmanlar para transferleri yapýyorsa yine onay süreci için size özel, e-posta üzerinden olmayan, sabit bir yöntem bulup tüm ofislerde bunu uygulayýn.
25. Sadece e-posta kullanmayýn Mümkünse yazýlý iletiþime ilave olarak sözlü iletiþim tercih edin, telefon kullanýn. Bu yöntem saat farký nedeniyle sorunlara yol açabilecek de olsa büyük miktarlý para kayýplarýnýn önüne geçebilecektir.
26. Örnek Olay: Bir E-posta ile 21.5 Milyon Dolar Dolandýrýlmak Avrupa?nýn zincir sinema kuruluþu Pathé, Mart 2018?de BEC nedeniyle 21.5 Milyon Dolar dolandýrýldý. Fransa Merkez Ofis?ten gönderilmiþ gibi yapýlan bir sahte e-posta ile Hollanda?da yer alan yönetime ?Þu anda Dubai merkezli yabancý þirket alýmýna yönelik bir finansal iþlem yürütüyoruz. Ýþlem kesinlikle gizli kalmalýdýr. Rakiplerimiz karþýsýnda bize avantaj saðlamak için baþka kimse bundan haberdar edilmemelidir. ? denilmiþ. Hollanda CFO ve CEO?su durumu garip bulsa da ilk olarak 800.000EUR ardýndan da diðer istenen tutarlarý ödemiþ. www.sparta.com.tr
27. SÝZE NASIL YARDIMCI OLABÝLÝRÝZ? www.sparta.com.tr OLAY ÖNCESÝ OLAY SONRASI PROAKTÝF SÝBER GÜVENLÝK ? Farkýndalýk eðitimleri ? Sosyal mühendislik testleri ? Ýþ süreçleri analizi ? Siber risk sigortasý ? Olay müdahale hizmetleri ? Süreç iyileþtirme çalýþmalarý ? Güvenlik seviyesi iyileþtirme ? Sürekli izleme ? Güncel tehditlere karþý koruma ? Saldýrý tespit
Saldýrýlar Nasýl Çalýþýr?
BEC saldýrýlarýsýnda saldýrgan (korsan), alýcýnýn güvenmesi gereken bir birey gibi davranýr genel olarak bir iþ arkadaþý, patron veya satýcý diyebiliriz. Gönderen, alýcýdan bir banka havalesi yapmasýný, maaþ bordrosunu yönlendirmesini, gelecekteki ödemeler için banka ayrýntýlarýný deðiþtirmesini vb. þeyler ister.