Kurumsal e-posta dolandırıcılarına karşı koymanın altı yolu

BEC saldırıları 12,5 milyar dolar zarara yol açtı

Dikkatli ve araştırmacı siber saldırganların uyguladığı ve tespit etmesinin oltalama saldırılarına göre daha zor olduğu kurumsal mail dolandırıcılığı saldırıları (BEC), çalışanları onlara tanıdık gelen bir kimlik üzerinden kandırarak ekiplerine bu konuda yeterli eğitim vermeyen şirketlere büyük sorun yaratıyor. 2018 sonu itibariyle yarattığı toplam global zararın 12,5 milyon doları aştığı BEC saldırılarına karşı kullanıcı eğitimlerinin, düzenli test ile raporlamaların ve yapay zeka tabanlı tespit teknolojilerinin uygulanması gerektiğini belirten Komtera Teknoloji güvenlik uzmanları, şirketlerin BEC’den etkilenmemesi için 6 önemli tavsiye paylaşıyor.

1. Herkesin e-posta dolandırıcılığının (BEC) ve telefon dolandırıcılığının (vishing) farkında olduğunu sanmayın. Güvenlik uzmanlarının çoğu e-posta dolandırıcılığının kullanıcılar arasında bilindiğini düşünse de, durum aslında hiç de öyle gözükmüyor. Oltalama ve hedefli oltalama saldırılarını birbirinden ayırt edemeyen çalışanlar, BEC’in telefon versiyonu olan vhishing’in de genelde farkında olmuyor. Ayrıca, bu iki saldırının kombinasyonları da siber saldırganlar tarafından uygulanıyor. Siber saldırganlar, dolandırıcılık amacıyla yolladıkları bir e-postanın ardından hedefledikleri kişiyi telefonla da arayarak çalışanın üzerinde baskı yaratmaya çalışabiliyor. Bu nedenle şirketlerin kullanıcıları eğiterek onların tehlikenin farkında olmalarını ve birbirine benzeyen ama farklı olan bu saldırıları ayırt etmelerini sağlaması gerekiyor.
2. Çalışanların güvende hissedeceği bir ortam yaratarak vakaları anlatmalarını sağlayın.  E-posta dolandırıcılığına kurban giden çalışanlar, genelde işlerini kaybetmekten ya da yasal süreçlerle başlarının belaya girmesinden korktuklarından dolayı durumu anlatmaktan çekiniyor. Şirketlerin öncelikle çalışanlara problem anında kime ve nereye vakayı raporlayabileceklerini öğretmesi ilk adımı oluşturuyor.

3. Eğitimleri uzun dönemlere yayın. Şirketlerin BEC ve vishing saldırılarına karşı çalışanlarına uzun dönemli bir eğitim programı uygulaması, onların kurbana dönüşmesini büyük oranda engelliyor. Yıl boyunca aylık ya da birkaç ayda bir video ya da diğer materyaller ile sunumlar, oltalama, BEC ve vishing simulasyon testleri ile eğitim ve alıştırma sağlanması bu anlamda önlem taşırken, çalışanların bu testlerde nasıl performans gösterdiğine dair verilerin saklanması da yararlı oluyor. Testler aracılığıyla her bir kişinin gelişmesinin takip edilmesi de hangi konularda daha yüksek bir risk profili bulunduğunu belirleyerek eğitimlerde o alana daha fazla odaklanılmasına imkan veriyor.

4. Açık kurallar ve prosedürler yaratın. Kurumsal e-posta veya telefon dolandırıcılığı gibi sosyal mühendislik tehditlerine karşı ne yapılması istenildiğinin net bir şekilde belirlenerek anlatıldığı ve özellikle yeni çalışanlara kısa sürede öğretildiği bir sistem, BEC saldırılarına karşı soru işaretlerini engelliyor. Bu kuralların, nasıl ve ne zaman bir fon transferinin belli bir çalışandan istenebileceğine dair bir kılavuz içermesi, kurbanların kendilerine para gönderilmesini sağlamaya çalışan siber saldırganlara karşı koruyor.
5. Teknolojinin nerede yardımcı olabileceğini bilin. BEC’i anında önleyecek bir saldırı bulunmasa da, teknolojiden alınabilecek yardımlar neyse ki bulunuyor. Davranışsal analiz araçları gibi araçlar, maillere yerleştirilerek kullanıcı bilgilerini çalmayı amaçlayan zararlı ek ile bağlantılarını kontrol ediyor. E-posta adresi ve içeriği üzerinde gerçeklik analizi yapan makine öğrenme teknolojileri büyük fark yaratırken, eğitim videoları, oltalama testleri ve takip raporları alanlarında da teknolojik araçlar destek sağlayabiliyor.
6. Siber güvenlik sigortanızın BEC’i kapsadığından emin olun. Güvenlik sigortası şirketlerinden bazılarının hizmetleri, BEC ve vishing sonrası oluşan kayıpları karşılamayı kapsamıyor. Bazıları ise sadece bilgisayar üzerinden yapılan dolandırıcılıkların zararını karşılamayı kabul ederek telefon dolandırıcılıklarını kapsamları dışında tutuyor. Şirketlerin sigorta firmalarıyla anlaşma yaparken bu hususa da dikkat etmesi ve gerekirse bir avukat yardımıyla anlaşmaya böyle bir madde ekletmeye çalışması, ileriki kayıplardan oluşan zararları önlüyor.