Balina avı akınları yöneticileri maksat alıyor

0

BEĞENDİM

ABONE OL

News

0

Balina avı siber saldırısı, kurumsal idare grubunun üst seviye bir üyesini gaye alan bir hücum çeşidi. Öbür siber taarruz formüllerinden en değerli farkı gayede olanların üst seviye yöneticiler olmaları. Siber güvenlik şirketi ESET, balina avı taarruzlarına karşı üst seviye yöneticilerin nasıl inançta olabileceğini inceledi, tekliflerini paylaştı.  

Balinalar avı hücumlarında mağdur edebilecek kişi sayısı sıradan çalışanlara nazaran daha az olduğu için siber saldırganlar için ilgi cazibeli bir alan hâline geliyor.  Üst seviye yöneticiler (C-suite dâhil) çoklukla üç temel özelliğiyle öne çıkıyorlar.  Zamanları kısıtlıdır yani kimlik avı e-postasına tıklayabilir, makus gayeli bir eki açabilir yahut uydurma bir transfer talebini düzgün bir formda incelemeden onaylayabilirler. Vakit kazanmak için çok faktörlü kimlik doğrulama (MFA) üzere güvenlik denetimlerini kapatabilir yahut atlayabilirler. Çevrimiçi ortamda epey görünürler. Bu, tehdit aktörlerinin, astlarından yahut asistanlarından geliyormuş üzere görünen e-postalar üzere ikna edici toplumsal mühendislik atakları oluşturmak için bilgi toplamasına imkan tanır. Son derece hassas ve çıkarlı kurumsal bilgilere erişme ve büyük ölçülü para transferlerini onaylama yahut talep etme yetkisine sahiptir.

Tipik bir balina avı saldırısı nasıl görünür?

Normal bir spearphishing yahut BEC saldırısı üzere, balina avı saldırısının da başarılı olması için belli bir hazırlık gerekir. Bu, tehdit aktörlerinin amaçları hakkında detaylı keşif yapma mümkünlüğünün yüksek olduğu manasına gelir. Toplumsal medya hesapları, şirket web sitesi, medya röportajları ve değerli görüntüler dâhil olmak üzere, onlara yardımcı olacak kamuya açık bilgilerin eksiği olmamalıdır.  Temel bilgilerin yanı sıra kilit alt çalışanlar ve meslektaşlar hakkında bilgiler yahut toplumsal mühendislik için mazeret olarak kullanılabilecek kurumsal bilgiler, örneğin birleşme ve satın alma faaliyetleri yahut şirket aktiflikleri hakkında bilgiler de öğrenmek isteyeceklerdir. Bu, tehdit aktörünün şahsî çıkarlarını ve son maksat “balina”yı taklit etmekse tehdit aktörünün şahsî ilgi alanlarını ve hatta bağlantı usulünü anlamasına da yardımcı olabilir.

Sosyal mühendislik sistemleri kullanılıyor

Bu bilgileri elde ettikten sonra, saldırgan ekseriyetle bir spearphishing yahut BEC e-postası hazırlar. Bu, büyük olasılıkla muteber bir kaynaktan gönderilmiş üzere görünen, düzmece bir e-posta olacaktır. Ayrıyeten alıcının karar verme sürecini hızlandırması için klasik toplumsal mühendislik taktiği olan aciliyet yaratma prosedürü kullanılacaktır.  Nihai maksat bazen kurbanı, giriş bilgilerini ifşa etmeye yahut farkında olmadan bilgi hırsızlığı emelli berbat emelli yazılım ve casus yazılım yüklemeye ikna etmektir. Bu kimlik bilgileri, paraya çevrilebilir kurumsal sırlara erişmek için ya da balina kimliğine bürünerek daha küçük balıkları büyük para transferleri yapmaya ikna etmek için astlarına BEC akınları başlatarak e-posta hesaplarını ele geçirmek için kullanılabilir. Alternatif olarak dolandırıcı, fon transferini onaylamaları için onları kandırmak hedefiyle “balina”nın işvereni üzere davranabilir.   

Yapay zekâ balina avı kurallarını değiştiriyor

Ne yazık ki yapay zekâ bu vazifeleri makûs niyetli bireyler için daha da kolaylaştırıyor. Kurbanları keşfetmek için maksatlar hakkında büyük ölçüde bilgi toplamak üzere yapay zekâ araçlarından yararlanabilirler. Kusursuz doğal lisanda ikna edici e-postalar yahut metinler oluşturmak için üretken yapay zekâ (GenAI) kullanabilirler. Bu araçlar, faydalı bağlam eklemek yahut gönderenin yazım tarzını taklit etmek için bile kullanılabilir. GenAI, amaçları para transferi yapmaya ikna etmek için derin sahtecilik teknolojisini son derece ikna edici vishing ataklarında kullanmak hatta üst seviye yöneticileri taklit eden görüntüler oluşturmak için kullanılabilir.  Büyük bir BEC saldırısı, milyonlarca dolarlık gelir kaybına neden olabilir. Hassas kurumsal dataların ihlali ise yasal cezalar, toplu davalar ve operasyonel aksaklıklara yol açabilir.  Şirketler için prestij kaybı daha da berbat olabilir. Daha şahsî bir açıdan bakıldığında bu cins olayların akabinde kandırılan yöneticiler çoklukla üstleri tarafından günah keçisi ilan edilir.

Saldırıların önüne nasıl geçilebilir?

Güvenlik takımları, spearphishing ve BEC ataklarının risklerini azaltmaya yardımcı olmak için çeşitli usuller kullanabilir. Lakin kuralların kendileri için geçerli olmadığını düşünen üst seviye yöneticilerle karşı karşıya kaldıklarında bu usuller her vakit başarılı olmaz. Bu nedenle, simülasyonları içeren yöneticiye özel eğitim alıştırmaları çok kıymetlidir. Bu alıştırmalar, son derece kişiselleştirilmeli ve deepfake görüntü yahut ses dâhil olmak üzere en son tehdit aktörlerinin TTP’lerini içeren kısa ve yönetilebilir dersler formunda olmalıdır. Bunlar, uygunlaştırılmış güvenlik denetimleri ve süreçleriyle desteklenmelidir. Buna, büyük meblağlı fon transferleri için sıkı bir onay süreci dâhil edilebilir; bu süreçte iki kişinin imzası yahut alternatif bir sağlam kanal aracılığıyla doğrulama gerekebilir.

Yapay zekâ savunma stratejisinin bir modülü olabilir 

Yapay zekâ araçları da ağ savunucularına yardımcı olabilir. Kuşkulu irtibat kalıplarını, gönderenleri ve içeriği tespit etmek için tasarlanmış yapay zekâ tabanlı e-posta güvenliğini göz önünde bulundurun. Ayrıyeten potansiyel olarak berbat niyetli aramaları gerçek vakitli olarak işaretlemek için deepfake algılama yazılımları da mevcut. Sıfır İnanç yaklaşımı da faydalı bir direnç sağlayabilir. En az ayrıcalık ve tam vaktinde erişim uygulayarak yöneticilerin erişebileceği bilgileri en aza indirir ve oturum açma bilgilerinin varsayılan olarak asla emniyetli olmamasını sağlar. Kuruluşunuz kamuya açık olarak paylaştığı kurumsal bilgilerin tipini sınırlamaya başlamak isteyebilir. Yapay zekânın her yerde olduğu bir dünyada, bu tıp bilgileri bulma ve silah olarak kullanma araçları artık azınlığın değil, çoğunluğun elindedir.

Kaynak: (BYZHA) Beyaz Haber Ajansı