Successfully reported this slideshow.
We use your LinkedIn profile and activity data to personalize ads and to show you more relevant ads. You can change your ad preferences anytime.

Business E-Mail Compromise (BEC) Nedir?

740 views

Published on

BEC (Business E-mail Comprimise / İş e-postasının ele geçirilmesi) olayları FBI raporuna göre her ay yaklaşık 6000 işletmeyi tehdit ediyor.
Ekim 2013’ten Mayıs 2018’e kadar kuruluşların kaybettiği toplam tutar 12 Milyar Dolardan fazla.
2017 yılından 2018 yılına yaşanan kayıpların %90 artmış olması da riskin büyüklüğü hakkında ciddi bir gösterge.

Bu sunumda BEC’nin ne olduğu, nasıl saldırı düzenlendiği, korunmak için kolay uygulanabilir önlemler ve yaşanmış örnek bir olay bulunuyor.

Kolay okunabilen, akılda kalıcı ve uygulanabilir olmasına dikkat etmeye çalıştığımız bu dokümanın faydalı olmasını dileriz.

Published in: Internet
  • To get professional research papers you must go for experts like ⇒ www.WritePaper.info ⇐
       Reply 
    Are you sure you want to  Yes  No
    Your message goes here

Business E-Mail Compromise (BEC) Nedir?

  1. 1. BEC NEDİR? (BUSINESS E-MAIL COMPROMISE) www.sparta.com.tr BEC SALDIRILARINDAN KORUNMAK İÇİN KOLAY UYGULANABİLİR YÖNTEMLER
  2. 2. www.sparta.com.tr
  3. 3. BEC NEDİR? www.sparta.com.tr BEC: BUSINESS E-MAIL COMPROMISE «İŞ E-POSTASININ ELE GEÇİRİLMESİ YOLUYLA YAPILAN DOLANDIRICILIK» ANLAMINA GELMEKTEDİR.
  4. 4. FBI, Business Email Compromise’ı (BEC); tedarikçilerle çalışan ve/veya düzenli olarak banka ödemeleri yapan işletmeleri hedefleyen, karmaşık bir dolandırıcılık yöntemi olarak tanımlamaktadır.
  5. 5. BEC saldırıları ülkemizdeki firmaları da hedef alıyor ve bu saldırılarda özetle aşağıdaki gibi bir yol izleniyor; www.sparta.com.tr Hedef firmanın iş yaptığı şirketlerden birinden üst düzey yönetici veya bir finans birimi çalışanının e-posta hesabı ele geçiriliyor. Bu hesaptan hedef firmaya “banka hesaplarımız değişti, lütfen artık ödemelerinizi bu hesaba gönderin” içerikli bir e-posta gönderiliyor. Bu e-postadaki banka hesapları siber suçluların banka hesapları oluyor. Hedef firma düzenli olarak iş yaptığını düşündüğü bir firmadan geldiğini sandığı bu e-postadaki talimata uygun olarak ödemeyi suçlunun hesabına yapıyor.
  6. 6. FBI’ın İnternet Şikayet Merkezi (Internet Crime Report) IC3 verilerine göre: Yetkisiz para transferleri yapmak için resmi ticari e-posta hesaplarının kullanıldığı bu yöntem ile Ekim 2013’ten Mayıs 2018’e kadar kuruluşların BEC sonucu kaybettiği toplam tutar 12 Milyar Dolardan fazla. www.sparta.com.tr
  7. 7. www.sparta.com.tr FBI’ın İnternet Şikayet Merkezi (Internet Crime Report) IC3 verilerine göre: BEC Dolandırıcılıklarından doğan kayıplar 2018 yılında 1.3 Milyar Dolara ulaştı. Küresel olarak, siber suçlular ABD dışındaki ülkelerdeki kurbanların 50 milyon Dolarını çaldı. BEC Saldırıları her ay yaklaşık 6 Bin işletmeyi tehdit ediyor.
  8. 8. 2018 yılında BEC ile ilgili kayıplar 2017 yılına göre 90.8% artarak 1,3 Milyon Dolardan 2,7 Milyon Dolara yükseldi. www.sparta.com.tr
  9. 9. İş e-postasının bir başkası tarafından ele geçirilmesi veya taklit edilmesi olayları genellikle sosyal mühendislik saldırıları ile başlıyor. Oltalama e-postaları (phishing), telefonları (vishing) veya her ikisinin birleşimi ile hassas dosyaların veya bilgilerin ele geçirilmesi sonucu kişilere hatalı banka transferleri yaptırılması şeklinde gerçekleşiyor. www.sparta.com.tr
  10. 10. BEC SALDIRILARINDAN KORUNMAK İÇİN KOLAY UYGULANABİLİR YÖNTEMLER  Herkesin BEC konusunda bilgisi olduğunu varsaymayın  Kuruluş çalışanlarının BEC yaşanan durumlarda korkmadan, hemen rapor etmelerini sağlayabilecek bir ortam yaratın  BEC farkındalık eğitimi için uzun dönem planları yapın  Politika ve prosedürler tanımlayın  Teknolojiden nasıl yardım alabileceğinizi öğrenin  Mevcut programlarınızın güvenlik özelliklerini öğrenin  Siber Sigortanız BEC saldırılarını kapsıyor mu kontrol edin  Yüksek mevki çalışanların sosyal medya hesaplarını kısıtlayın  Para transferleri için kuruluşa özel prosedürler belirleyin  Sadece e-posta kullanmayın
  11. 11. Herkesin BEC konusunda bilgisi olduğunu varsaymayın Social-Engineer Inc. firmasının kurucusu Chris Hadnagy güvenlik uzmanlarının genellikle herkesin BEC’nin ne olduğunu bildiğini zannettiğini söylüyor ancak maalesef durum böyle değil. Birçok kuruluş çalışanı oltalama saldırısı (phishing) ile hedefli oltalama saldırısının (targeted spear phishing) arasındaki farkı bilmiyor, bir de bunların üzerine eklenen “vishing” kavramı var yani BEC’lerin sesli olarak yapılanı.
  12. 12. Saldırganların tüm yöntemleri birlikte kullanarak, gönderdikleri sahte e-posta üzerine telefonla da arayıp, çalışan üzerinde hızla baskı kurarak istedikleri transferi yaptırdıkları durumlar da söz konusu. Kuruluşlar mutlaka çalışanlarını oltalama saldırıları, hedefli oltalama saldırıları ve vishing saldırıları konusunda bilgilendirmeli ve bir saldırı ile karşılaştıklarında nasıl davranmaları gerektiğini bilmeleri sağlamalı. www.sparta.com.tr
  13. 13. Kuruluş çalışanlarının BEC yaşanan durumlarda korkmadan, hemen rapor etmelerini sağlayabilecek bir ortam yaratın Çalışanlar BEC sebebiyle dolandırıldıklarında işlerini kaybetmek, kanunla ilgili başlarının belaya girmesi gibi hususlarda korku duymamalı. Açık bir iletişim ortamı yaratılması, kime ve nereye bilgi/rapor verileceğinin bilinmesi ve hatta çalışanların pozitif şekilde ödüllendirilmesi daha sonra yaşanabilecek benzeri durumların önlenmesi için önem kazanıyor.
  14. 14. Sosyal mühendislik saldırılarını tespit eden ve durduran çalışanlara maddi bir ödül ile karşılık verilmesi durumunda kuruluşlara binlerce dolarlık fayda sağlanabildiği tespit edilmiş. Kuruluş içerisinde herkesin yaşanan olayı ve BEC’yi durduran personeli duyacağı bir e-posta gönderilmesi veya herkese açık bir toplantı yapılarak duyurulması da etkili oluyor. www.sparta.com.tr
  15. 15. BEC eğitimi için uzun dönem planları yapın BEC eğitimleri için uzun dönem yatırım planı yapılması gerekiyor. BEC konusu çalışanların eline bir «check list» vermek kadar kolay değil, gerçekten sonuç alabilmek için tutarlı bir eğitim süreci gerçekleştirilmeli. Yalnızca eğitim videoları sunmak veya yazılı materyallerin okunmasını sağlamak yerine aylık veya üç aylık dönemlerde phishing ve vishing testlerinin yapılması, çalışanların birkaç ayda bir nasıl performans gösterdiğine dair değerlendirilme yapılması gerçek bir fayda sağlıyor.
  16. 16. « Bu uygulamayı hayata geçiren kuruluşların çalışanları 1 ila 3 yıl içerisinde %70 oranında bir iyileşme göstererek BEC olaylarını rapor eder hale geliyor ve yalnız %10’u oltalama saldırılarına yakalanıyor» Social-Engineer Inc. firmasının kurucusu Chris Hadnagy
  17. 17. Politika ve prosedürler tanımlayın Kuruluşta yeni bir personel çalışmaya başladığında verilecek olan oryantasyon ve eğitim programı dahilinde siber güvenlik farkındalığı konusunun yer alması gerekiyor. Sosyal mühendislik tehditleri ve bunlar karşısında nasıl davranılacağının belirlenmesi ve çalışanlara açıklanması önemli. Para transferlerinin nasıl ve ne zaman gerçekleşebileceği konusunda net prosedürler oluşturulmalı, mümkünse yalnız e-posta ile değil telefonla da onay alınmalı.
  18. 18. Çalışanları para transferi yapılması istenen e-postalar sonucu acele hareket etmemek konusunda eğitmek gerekiyor. Saldırganlar genellikle sahte bir aciliyet durumu yaratarak kurbanları acele düşünmek, hatayı anlayamayacak kadar hızlı davranmak konusunda zorluyor. www.sparta.com.tr
  19. 19. Önceden belirlenmiş ve spesifik iletişim politikaları anahtar rolde. Çalışanlar bir BEC saldırısı durumunda hangi IT personeli ile görüşeceklerini bilmeli. Eğer büyük bir miktarda bir para kaybı söz konusuysa finans departmanı ile iletişim kurularak yapılacak işlemler (örneğin polise veya sigortaya haber vermek gibi) konusunda bir yol haritası çizmek gerekiyor. www.sparta.com.tr
  20. 20. Teknolojiden nasıl yardım alabileceğinizi öğrenin BEC’ler için hızlı bir sorun çözücü uygulama bulunmamasına karşın bunları tespit edebilecek faydalı teknolojiler var. Örneğin; davranış analizi araçları genellikle kullanıcı kimlik bilgilerini çalmak amacıyla gönderilen, kötü amaçlı yazılımlar içeren e-postalardaki ekleri ve URL’leri analiz edebiliyor.
  21. 21. Mevcut Programlarınızın Güvenlik Özelliklerini Öğrenin Kuruluşların genellikle birden fazla güvenlik programı bulunuyor ancak bunların mevcut güvenlik özelliklerinden gerektiği gibi faydalanılamıyor. Örneğin; e-posta güvenlik programı bulunuyor ancak oltalama saldırıları ile ilgili ayarları yapılmamış veya devreye sokulmamış oluyor. Farklı bir cihaz veya program satın almadan önce elinizdeki mevcut araçların neler yapabildiğini iyice öğrenmek bu nedenle önemli. Ayrıca kuruluşlar eğitim modülleri, videolar, oltalama testleri ve bunlara ait raporlamalar için de teknolojiden faydalanabilir.
  22. 22. Siber Sigortanız BEC saldırılarını kapsıyor mu kontrol edin Birçok siber sigorta poliçesi kurbanın kandırılarak para transferi yaptığı durumları kapsamıyor. Eğer sigorta firmanız BEC’i otomatik olarak kapsamıyor ise bir avukat yardımıyla bunun da poliçeye eklenmesini talep edin.
  23. 23. Yüksek mevki çalışanların sosyal medya hesaplarını kısıtlayın Yüksek mevki çalışanların sosyal medya hesaplarını ve diğer online verilerini kontrol edin/ettirin ve bu kişilerin mümkün olduğunca “gizli” hale geldiğinden emin olun. CFO (Finans Yöneticisi) gibi önemli pozisyonlarda yer alan kişilerin online izlerini tamamen yok edemeseniz bile olabildiğince gizli ve güvenli hale getirebilirsiniz. Bu şekilde saldırganların şirket organizasyon şeması hakkında mümkün olduğunca az bilgi toplayabilmesini sağlayabilirsiniz.
  24. 24. Para transferleri için kuruluşa özel prosedürler belirleyin CEO, CFO gibi pozisyonlarda yer alan kişilerin yetkileri kilit önem taşıyor. Büyük para transferlerinin onay sürecinde kuruluşa özel bir işlem yürütülmesi, e- posta tercih edilmemesi, iletişim için güvenli ve size özel bir yöntem seçilmesi, iki kademe kimlik doğrulama gibi yöntemlerin tercih edilmesi çok önemli. Eğer çok sayıda ofisiniz varsa ve farklı departmanlar para transferleri yapıyorsa yine onay süreci için size özel, e-posta üzerinden olmayan, sabit bir yöntem bulup tüm ofislerde bunu uygulayın.
  25. 25. Sadece e-posta kullanmayın Mümkünse yazılı iletişime ilave olarak sözlü iletişim tercih edin, telefon kullanın. Bu yöntem saat farkı nedeniyle sorunlara yol açabilecek de olsa büyük miktarlı para kayıplarının önüne geçebilecektir.
  26. 26. Örnek Olay: Bir E-posta ile 21.5 Milyon Dolar Dolandırılmak Avrupa’nın zincir sinema kuruluşu Pathé, Mart 2018’de BEC nedeniyle 21.5 Milyon Dolar dolandırıldı. Fransa Merkez Ofis’ten gönderilmiş gibi yapılan bir sahte e-posta ile Hollanda’da yer alan yönetime “Şu anda Dubai merkezli yabancı şirket alımına yönelik bir finansal işlem yürütüyoruz. İşlem kesinlikle gizli kalmalıdır. Rakiplerimiz karşısında bize avantaj sağlamak için başka kimse bundan haberdar edilmemelidir. ” denilmiş. Hollanda CFO ve CEO’su durumu garip bulsa da ilk olarak 800.000EUR ardından da diğer istenen tutarları ödemiş. www.sparta.com.tr
  27. 27. SİZE NASIL YARDIMCI OLABİLİRİZ? www.sparta.com.tr OLAY ÖNCESİ OLAY SONRASI PROAKTİF SİBER GÜVENLİK • Farkındalık eğitimleri • Sosyal mühendislik testleri • İş süreçleri analizi • Siber risk sigortası • Olay müdahale hizmetleri • Süreç iyileştirme çalışmaları • Güvenlik seviyesi iyileştirme • Sürekli izleme • Güncel tehditlere karşı koruma • Saldırı tespit
  28. 28. www.sparta.com.tr sparta@sparta.com.tr 0 312 909 33 02 www.sparta.com.tr

×