Pek çok siber taarruz riskiyle karşı karşıya olan şirketler, bilhassa husus insan kusuru olunca kendilerini tesirli bir biçimde garanti altına almakta zorlanıyor. İşveren dolandırıcılığı olarak da bilinen BEC (Business Email Compromise) taarruzlarında siber dolandırıcılar, düzmece bir e-posta aracılığıyla üst seviye bir yöneticiymiş üzere davranarak muhasebe ve finans departmanlarının uydurma bir fatura için acil ödeme yapmalarını istiyor. Kimi BEC hücumlarında dolandırıcıların fidye yazılımı hücumlarına oranla 62 kat daha fazla kar elde edebileceğini vurgulayan Bitdefender Antivirüs’ün Türkiye distribütörü Laykon Bilişim’in Operasyon Yöneticisi Alev Akkoyunlu, BEC taarruzları karşısında şirketlerin alabileceği tedbirleri paylaşıyor.
Siber hatalılar şirket datalarını ele geçirmek için sayısız usule başvuruyor. BEC ismiyle da bilinen patron/CEO dolandırıcılığında dolandırıcılar, şirketlerin bilhassa finans departmanlarına uydurma bir e-posta göndererek finansal yarar sağlamaya çalışıyor. Kurbanlarının itimadını kazanmak ve teyide başvurmadan acil para transferi yapması için e-postada kendilerini üst seviye bir yönetici olarak tanıtan siber hatalılar, çoklukla ödemesi geciken geçersiz bir fatura olduğunu belirtirler. BEC hücumlarının siber dolandırıcılar için en çıkarlı yol olduğunun ve bu nedenle hedefledikleri kurban ve şirket hakkında derin araştırmalar yapıldığının altını çizen Laykon Bilişim Operasyon Yöneticisi Alev Akkoyunlu, CEO yahut CFO isminden gelen bu e-postalar ile ilgili çalışanların dikkatli olması gerektiğini söz ediyor ve BEC taarruzları karşısında şirketlerin alabileceği tedbirleri sıralıyor.
BEC Hücumları Kimleri Amaç Alıyor?
Son günlerde pek çok kuruluş BEC hücumları karşısında büyük tehdit altında olsa da departmanlar ortasında kişisel irtibatın çok az olduğu büyük ölçekli şirketlerin bu cins bir akına uğrama ihtimali daha yüksek. Alev Akkoyunlu’ya nazaran büyük ölçekli şirketler, çoklukla çok fazla sayıda taşeron şirket çalıştırdığı için uydurma bir faturayı gerçek bir faturadan gerektiği üzere ayırt edemeyebiliyor. O denli ki büyük ölçekli şirketlerin tek bir fatura için ödeme onayını daha kolay vereceğini düşünen siber hatalılar, bu cins şirketleri gaye alarak gerçekleştirdikleri dolandırıcılık sonrası yakalanmalarının da uzun vakit alacağını bilerek hareket ediyor.
BEC Taarruzlarıyla Gayret Etmek İmkansız Değil!
Temelinde insan kusuru bulunan BEC hücumlarıyla uğraşta şirketlerin tesirli siber güvenlik tedbirleri alması sıkıntı olsa da imkansız değil. Şirketlerin işveren dolandırıcılığından etkilenme oranını en aza indirmek için alabileceği çeşitli siber güvenlik tedbirleri bulunuyor. Şirket çalışanlarının bu çeşit akınların potansiyel tesirini bilerek hareket etmesinin şirketler için büyük kıymet taşıdığını ve çalışanların bu atakların zararsız sayılabilecek bir spam saldırısından çok daha kritik bir atak olduğu konusunda bilinçlendirilmesi gerektiğini belirten Alev Akkoyunlu, BEC taarruzları karşısında şirketlerin alabileceği tedbirleri aktarıyor.
BEC Akınları Karşısında Alınacak Önlemler
BEC akınları karşısında şirket çalışanlarının en değerli savunma sınırı olarak görülmesi gerekiyor. Bu nedenle alınacak tedbirlerin her adımında çalışanların bilinçlendirilmesi konusunun dikkat edilmesi gerektiğini söz eden Laykon Bilişim Operasyon Yöneticisi Alev Akkoyunlu, BEC taarruzları karşısında önlemli olmak ismine şirketlerin izleyebileceği adımları 4 hususta sıralıyor.
1. Şirket çalışanlarına güvenlik eğitimi verin. Şirketlerin halihazırda bir güvenlik farkındalığı programı bulunmuyorsa çalışanların BEC akınları da dahil olmak üzere karşılaşabileceği öbür atak tipleri hakkında da eğitilmesi ataklarla uğraşta büyük ehemmiyet taşıyor. BEC akın riskinizin ne olduğunu daha âlâ anlamak için, bir BEC saldırısını simüle eden simülasyon eğitimi, daha fazla eğitime muhtaçlık duyabilecek bireyleri belirlemenize yardımcı olurken, kısmınızın genel hazırlığı hakkında net bir fikir verecektir.
2. Muhasebe ve finans departmanını bilgilendirin. BEC hücumları karşısında yüksek risk kümesini oluşturan departmanların başında muhasebe ve finans departmanı geliyor. Bu nedenle muhasebe departmanı başta olmak üzere risk altında olan departmanlarının BEC ataklarının ne olduğu, siber hatalıların BEC ataklarında hangi yolları izlediği konusunda farkındalık kazanmaları gerekiyor. Makul tarafların özel onayı olmadan faturaların ödenmesini durduran yahut engelleyen siyasetler belirlemek, kuşkulu bir faturayı yahut e-postayı ödenmeden evvel yakalayabilecek doğrulama adımları ekleyerek BEC ataklarına karşı korunmaya yardımcı olabilir.
3. Katmanlı bir savunma sistemi oluşturun. BEC atak senaryolarını öğrendikten sonraki basamakta atakları uygulama tabanlı çok faktörlü kimlik doğrulama (MFA) ve sanal özel ağlar (VPN) üzere IT denetimleri aracılığıyla önlemek şirketler için bir sonraki evre olacaktır.
4. Kurumsal bir güvenlik tahlili kullanın. BEC başta olmak üzere e-posta dolandırıcılıklarıyla gayret etmek için kurumsal güvenlik tahlilleri kullanmak gerekiyor. Bitdefender GravityZone’da yer alan E-posta Güvenliği özelliği ile şirketler, makûs emelli yazılımların ve istenmeyen posta, virüs, büyük ölçekli kimlik avı akınları ve berbat emelli URL’ler üzere öteki klasik tehditlerin ötesine geçen eksiksiz iş e-posta muhafazasından yararlanabildiği üzere BEC dolandırıcılığı dahil çağdaş, gayeli ve sofistike e-posta tehditleri durdurma konusunda da avantaj kazanıyor. Kuruluşunuzun risk toleransına bağlı olarak, sıkıntılı alanları yahut uydurma e-posta gönderenlerini filtreleyen izleme ve algılama araçları isteyebilirsiniz. Bu, otomatik atakları önleyecek ve çalışanlarınızın tehlikeli bir e-posta görme riskini bile azaltacaktır. (BSHA)
