İsrail merkezli bir tehdit grubunun, öncelikli olarak yıllık ortalama geliri 10 milyar doları aşan büyük ve çok uluslu işletmeleri hedef alan bir iş e-postası ele geçirme (BEC) kampanyası yürüttüğü keşfedildi.
Buna göre saldırıları keşfeden Abnormal Security’deki araştırmacılar, grup, Şubat 2021’den bu yana altı kıtada 61 ülkeden çalışanları hedef alan e-posta saldırılarıyla 350 BEC kampanyası yürüttü.
Saldırganlar, hedef alınan çalışanın CEO’su kılığına giriyor. Daha sonra iletişimi, sorumluluğu ödeme sürecini denetlemek olan ikinci bir harici kişiye, genellikle bir birleşme ve devralma avukatına iletirler.
Bazı durumlarda, saldırı bu ikinci aşamaya ilerlediğinde, saldırganlar saldırıyı hızlandırmak ve geride kanıt izi bırakma olasılığını azaltmak için görüşmenin e-postadan WhatsApp’ta sesli aramaya kaydırılmasını ister.
Artık Sadece Nijerya Değil
Tarihsel olarak, Batı Afrika – ve özellikle Nijerya – BEC dolandırıcılığının merkez üssü olmuştur. Abnormal’in 2022’nin başından beri analiz ettiği tüm saldırıların %74’ü Nijerya kaynaklı. BEC saldırganlarıyla en sık ilişkilendirilen bir sonraki ülke, BEC aktörlerinin %5,8’inin yerleşik olduğu Birleşik Krallık, ardından Güney Afrika (%5,7) ve Amerika Birleşik Devletleri’dir (%3,6).
Nispeten, İsrail’in bulunduğu Asya ve Orta Doğu bölgelerindeki ülkeler, BEC aktörlerinin sırasıyla %1,2 ve %0,5’i için ana üs olarak hizmet vererek listenin en sonunda yer alıyor.
“Maalesef, araştırmamız tehdit aktörlerinin İsrailli olduğunu kesin olarak söyleyemiyor, sadece İsrail dışında faaliyet yürüttüklerine güveniyoruz” diyor. Anormal Güvenlik’te CISO’dan Mike Britton.
Siber suçlular, maaş günlerini genel kimlik avı kampanyaları dağıtarak elde edebiliyorlardı, ancak kuruluşlar savunmalarını güçlendirip çalışanlar arasında güvenlik bilincini artırdıkça, suçlular da buna göre uyum sağladı ve saldırı tekniklerinde daha da bilgili hale geldi.
Britton, “Artık genel kimlik avı e-postaları yerine, pek çok kuruluşta tespit edilmekten kaçabilen, son derece karmaşık, sosyal olarak tasarlanmış BEC saldırılarının yükselişini görüyoruz” diyor. İsrail merkezli grubun saldırı yöntemi buna güzel bir örnek” dedi.
E-postalarına bir meşruiyet duygusu vermek için çeşitli taktikler uyguladılar ve insan gözüyle veya geleneksel e-posta güvenlik çözümleriyle tespit edilmekten kaçınma yeteneklerini geliştirdiler. suçlular bahane olarak kullandı.
Bir CEO ve harici bir avukat olmak üzere iki kişi kullanmalarına ek olarak, gerçek etki alanlarını kullanarak sahte e-posta adresleri kullandılar.
Hedef kuruluşun e-posta sahteciliğini önleyecek bir DMARC politikası varsa, BEC grubu gönderen görünen adı güncelleyerek e-postaların CEO’dan geliyormuş gibi görünmesini sağladı.
Grup ayrıca, e-postaları esas olarak hedeflenen kuruluş tarafından kullanılan dile çevirir.
BEC Büyüyor
Rapor, BEC saldırılarının, Abnormal Security tarafından ortaya çıkarılan bunun gibi çok aşamalı saldırılar gibi, yaygınlık, coğrafi ve karmaşıklık açısından nasıl büyümeye devam ettiğine ışık tutuyor.
BEC saldırıları ayrıca kurbanları üzerinde daha ciddi mali yıkıma yol açıyor.
“Bu saldırılarda gördüğümüz gibi, talep edilen para miktarı tarihsel olarak gördüğümüzden çok daha yüksekti, 700.000 dolar aralığındaydı” diyor.
Ve e-postanın siber suçlular için her zaman kazançlı bir saldırı vektörü olduğunu (ve olmaya devam edeceğini) belirtiyor. Ayrıca BEC benzeri saldırıların diğer iletişim ve işbirliği araçlarına yayılmasını da öngörüyor.
“Slack, Zoom ve Microsoft Teams gibi araçlarda artık yüz milyonlarca aktif kullanıcı var” diyor. “Bu uygulamalar, bir kuruluşa başka giriş noktaları arayan siber suçlular için giderek daha çekici hedefler haline geliyor.”
BEC’e Karşı Güvenlik Eğitimi
Britton, son kullanıcılar için güvenlik farkındalığı eğitiminin güvenlik stratejisinin ayrılmaz bir parçası olmaya devam etmesi gerektiğini açıklıyor.
“Çalışanlar, gayretli kalmak için BEC risklerini ve bunların neye benzediğini anlamalıdır, ancak insanların dikkatlerinin dağıldığını ve hatalara açık olduğunu unutmamak önemlidir” diyor.
Bir saldırıyı önlemenin en iyi yolu, kötü niyetli saldırıların en başta gelen kutularına inmesini önleyecek savunmaların yürürlükte olduğundan emin olmaktır.
E-posta ortamındaki normal davranışı temel almak için davranışsal yapay zekayı kullanan yeni çözümler, anormallikleri daha yüksek bir hassasiyetle algılayıp engelleyebilir ve karmaşık BEC saldırılarının kullanıcılara ulaşmasını daha iyi önleyebilir.
Britton, “İşbirliği uygulamalarında ortaya çıkan tehditleri hesaba katmak için, tüm iletişim araçlarında görünürlüğü birleştirmek, güvenlik ekiplerinin şüpheli ve kötü niyetli etkinlikleri tespit etme becerisini önemli ölçüde artıracaktır – saldırılar nereden kaynaklanırsa kaynaklansın,” diyor.