Son yıllarda kurumsal e-posta gizliliği ihlali (BEC) saldırıları daha sık görülmeye başladı. Bu saldırılar, finansal sahtekarlık yapmak, gizli bilgileri elde etmek veya şirketin itibarına zarar vermek amacıyla ticari yazışmaların gizliliğini ihlal etmeyi hedefler. BEC türleri ve bunlarla başa çıkma yolları hakkındaki önceki yazımızda e-posta hacklemelerinden bahsetmiştik. Ancak bugün, en tehlikeli BEC saldırısı türü olan şirket içi BEC’den bahsedeceğiz. Kısa süre önce bu özel tehdide karşı yeni bir teknoloji geliştirdik ve uygulamaya koyduk.
Şirket içi BEC, dışarıdan gelen bir BEC’den neden daha tehlikelidir?
Şirket içi BEC saldırıları, hileli e-postaların şirket içindeki meşru bir adreslerden gönderilmesi nedeniyle diğer saldırı senaryolarından farklıdır. Başka bir deyişle, saldırganın bir iç saldırı başlatması için çalışanlardan birinin posta hesabına erişmiş olması gerekir. Bu, BEC saldırısını önlemek için e-posta kimlik doğrulama mekanizmalarına (DKIM, SPF, DMARC) güvenemeyeceğiniz anlamına gelir. Teknik başlıklarda veya değiştirilen adreslerde tutarsızlıklar arayan standart otomatik kimlik avı ve spam önleme araçları da yardımcı olmayacaktır.
Genellikle güvenliği ihlal edilmiş posta kutusundaki mektup, (bir tedarikçiye, yükleniciye, vergi dairesine) para aktarma veya gizli bilgi gönderme talebini içerir. Hepsi de oldukça standart sosyal mühendislik hileleriyle donatılmıştır. Siber suçlular alıcıyı acele ettirmeye çalışır (“Eğer faturayı bugün ödemezsek şirket para cezasına çarptırılacak!”), tehdit eder (“Ödemeyi yapmanı geçen ay istedim, hala neyi bekliyorsun?!”), hiçbir gecikmeyi kabul etmeyen yetkili bir ton benimser veya sosyal mühendislik oyun kitabındaki diğer hileleri kullanır. Tüm bunlar meşru bir adresle birleşince çok inandırıcı bir izlenim yaratabilir.
Şirket içi BEC saldırıları, URL’leri hedef işletmenin adresinden veya güvenilen başka bir sayfadan yalnızca bir veya iki harfi değişik olan sahte sitelere bağlantılar içeren e-postalar da gönderebilir (örneğin küçük harf “l” yerine büyük harf “ı” veya tam tersi gibi). Site, gizli bilgileri isteyen bir ödeme formu veya anket barındırıyor olabilir. Patronunuzun adresinden “Sizi konferansa göndermeye karar verdik. Erken kayıt indirimi alabilmemiz için en kısa sürede hesabımızdan bilet rezervasyonu yapın,” gibi bir e-posta aldığınızı düşünün. Böyle bir e-posta, sektörünüzdeki en önemli etkinliğin sitesine benzeyen bir bağlantıyla birlikte gönderildiğinde oldukça inandırıcı görünür. E-posta imzasına kadar her şey yolunda görünüyorsa konferans adının her harfini dikkatlice incelemeye kim zaman ayırır?
Şirket içi BEC saldırılarına karşı nasıl korunulur
Bu e-postalar teknik olarak kesinlikle gerçektir. Bu yüzden sahte bir e-postayı tanımanın tek yolu içeriği değerlendirmektir. Makine öğrenme algoritmaları yoluyla birçok hileli mesajı elden geçirerek, bir mesajın gerçek mi yoksa bir BEC saldırısının parçası mı olduğunu belirlemeye yardımcı olabilecek özellik kombinasyonlarını tanımlamak mümkündür.
Maalesef, örnek konusunda hiç sıkıntı çekmiyoruz. Posta tuzaklarımız her gün dünya çapında milyonlarca spam mesajı yakalıyor. Şirket içi BEC olmasa da aynı hileleri kullanan ve aynı hedeflere sahip olan çok sayıda kimlik avı e-postası da bunlara dahil. Bu sayede bu e-postaları öğrenme için kullanabiliyoruz. İlk olarak, bu büyük hacimdeki örnekler içinde sahtekarlık belirtileri içeren iletileri tanımlamak üzere bir sınıflandırıcı eğitiyoruz. Makine öğrenimi sürecinin bir sonraki aşaması ise doğrudan metin üzerinde çalışıyor. Algoritmalar, şüpheli iletileri tespit edecek deyişleri seçiyor. Biz de bunlar üzerinden ürünlerimizin saldırıları tanımlamak için kullanabileceği buluşsal yöntemler ve kurallar geliştiriyoruz. Tüm makine öğrenimi sınıflandırıcılarından oluşan bir topluluk sürece dahil oluyor.
Yine de bu, arkanıza yaslanıp rahatlayabileceğiniz anlamına gelmiyor. Ürünlerimiz artık eskisinden çok daha fazla BEC saldırısı tespit edebiliyor, ancak bir çalışanın e-posta hesabına erişen davetsiz bir misafir, çalışanın yazım tarzını inceleyerek saldırı sırasında bu benzersiz tarzı taklit etmeye çalışabilir. Dikkatli olmak hala kritik önem taşıyor.
Finansal aktarım veya gizli verilerin ifşa edilmesini isteyen mesajları uzun uzadıya ve titiz bir şekilde incelemenizi öneririz. Söz konusu iş arkadaşınızı arayarak veya güvenilir bir hizmet üzerinden mesajlaşarak ya da ayrıntıları açıklığa kavuşturmak için onlarla yüz yüze konuşarak ekstra bir kimlik doğrulama katmanı ekleyin.
Biz Kaspersky Security for Microsoft Office 365 çözümümüzde üretilen yeni BEC karşıtı teknolojimizin buluşsal yöntemlerini kullanıyoruz ve bunları diğer çözümlerde de uygulamaya yönelik planlarımız var.