Kuruluşunuzun üst düzey yöneticileri balina avı saldırılarına karşı savunmasız mı? Onları nasıl güvende tutabileceğinizi öğrenin.
Bir hedge fon yöneticisi zararsız görünen bir Zoom toplantı davetini açtığında ardından gelecek olan kurumsal felaketten habersizdi. Bu davet, tehdit aktörlerinin e-posta hesabını ele geçirmesini sağlayan kötü amaçlı yazılımla donatılmıştı. Ardından hızlıca harekete geçerek, Fagan adına hedge fonuna gönderdikleri sahte faturalar için para transferlerini yetkilendirdiler.
Toplamda, bu şekilde 8,7 milyon dolar değerinde fatura onayladılar. Bu olay, şirketin en büyük müşterilerinden birinin ayrılmasına neden olarak Levitas Capital’in sonunu getirdi.
Ne yazık ki üst düzey yöneticileri hedef almak bu tür olaylarda sıkça rastlanan bir durumdur. Büyük servetler elde edebilecek balinalar varken neden küçük balıklarla uğraşasın ki?
Balina avı nedir?
Basitçe söylemek gerekirse balina avı siber saldırısı, kurumsal yönetim ekibinin üst düzey bir üyesini hedef alan bir saldırıdır. Bu saldırı, phishing/smishing/vishing veya iş e-postası dolandırıcılığı (BEC) girişimi şeklinde olabilir. Tipik bir spearphishing veya BEC saldırısından en önemli farkı, hedeftir.
“Balinalar” neden çekici hedeflerdir? Sonuçta, mağdur edebileceklir kişi sayısı sıradan çalışanlara göre daha az. Üst düzey yöneticiler (C-suite dâhil) genellikle üç temel özelliğiyle öne çıkmaktadır:
- Zamanları kısıtlıdır, yani kimlik avı e-postasına tıklayabilir, kötü amaçlı bir eki açabilir veya sahte bir transfer talebini düzgün bir şekilde incelemeden onaylayabilirler. Ayrıca zaman kazanmak için çok faktörlü kimlik doğrulama (MFA) gibi güvenlik kontrollerini kapatabilir veya atlayabilirler.
- Çevrimiçi ortamda oldukça görünürler. Bu, tehdit aktörlerinin, astlarından veya asistanlarından geliyormuş gibi görünen e-postalar gibi ikna edici sosyal mühendislik saldırıları oluşturmak için bilgi toplamasına olanak tanır.
- Son derece hassas ve kazançlı kurumsal bilgilere (ör. IP ve finansal veriler) erişme ve büyük miktarlı para transferlerini onaylama veya talep etme yetkisine sahiptir.
Tipik bir balina avı saldırısı nasıl görünür?
Normal bir spearphishing veya BEC saldırısı gibi, balina avı (whaling) saldırısının da başarılı olması için belirli bir hazırlık gerekir. Bu, tehdit aktörlerinin hedefleri hakkında ayrıntılı keşif yapma olasılığının yüksek olduğu anlamına gelir. Sosyal medya hesapları, şirket web sitesi, medya röportajları ve önemli videolar dâhil olmak üzere, onlara yardımcı olacak kamuya açık bilgilerin eksiği olmamalıdır.
Temel bilgilerin yanı sıra kilit alt çalışanlar ve meslektaşlar hakkında bilgiler veya sosyal mühendislik için bahane olarak kullanılabilecek kurumsal bilgiler, örneğin birleşme ve satın alma faaliyetleri veya şirket etkinlikleri hakkında bilgiler de öğrenmek isteyeceklerdir. Bu, tehdit aktörünün kişisel çıkarlarını ve nihai hedef “balina”yı taklit etmekse tehdit aktörünün kişisel ilgi alanlarını ve hatta iletişim tarzını anlamasına da yardımcı olabilir.
Bilgileri elde ettikten sonra, saldırgan genellikle bir spear phishing veya BEC e-postası hazırlar. Bu, büyük olasılıkla güvenilir bir kaynaktan gönderilmiş gibi görünen, sahte bir e-posta olacaktır. Ayrıca alıcının karar verme sürecini hızlandırması için klasik sosyal mühendislik taktiği olan aciliyet yaratma yöntemi kullanılacaktır.
Nihai hedef bazen kurbanı, giriş bilgilerini ifşa etmeye veya farkında olmadan bilgi hırsızlığı amaçlı kötü amaçlı yazılımve casus yazılım yüklemeye ikna etmektir. Bu kimlik bilgileri, paraya çevrilebilir kurumsal sırlara erişmek için kullanılabilir. Ya da balina kimliğine bürünerek daha küçük balıkları büyük para transferleri yapmaya ikna etmek için astlarına BEC saldırıları başlatarak e-posta hesaplarını ele geçirmek için kullanılabilir. Alternatif olarak dolandırıcı, fon transferini onaylamaları için onları kandırmak amacıyla “balina”nın patronu gibi davranabilir.
Yapay zekâ balina avı kurallarını değiştiriyor
Ne yazık ki yapay zekâ bu görevleri kötü niyetli kişiler için daha da kolaylaştırıyor. Jailbreak yapılmış LLM’ler veya açık kaynaklı modeller kullanarak kurbanları keşfetmeye yardımcı olmak için hedefler hakkında büyük miktarda veri toplamak üzere yapay zekâ araçlarından yararlanabilirler. Ardından kusursuz doğal dilde ikna edici e-postalar veya metinler oluşturmak için üretken yapay zekâ (GenAI) kullanabilirler. Bu araçlar, yararlı bağlam eklemek ve/veya gönderenin yazım stilini taklit etmek için bile kullanılabilir.
GenAI, hedefleri para transferi yapmaya ikna etmek için derin sahtecilik teknolojisini son derece ikna edici vishing saldırılarında kullanmak hatta üst düzey yöneticileri taklit eden videolar oluşturmak için kullanılabilir. Yapay zekâ ile sofistike yetenekler daha fazla tehdit aktörüne demokratikleştikçe balina avı saldırılarının ölçeği ve etkinliği artmaktadır.
Büyük kazanç
Burada neyin söz konusu olduğu açıktır. Büyük bir BEC saldırısı, milyonlarca dolarlık gelir kaybına neden olabilir. Hassas kurumsal verilerin ihlali ise yasal cezalar, toplu davalar ve operasyonel aksaklıklara yol açabilir.
Levitas Capital’in de fark ettiği gibi, itibar kaybı daha da kötü olabilir. Hedge fonu, sonunda onaylanan işlemlerin çoğunu engelleyebildi. Ancak bu, en büyük müşterilerinden birinin ayrılmasını engellemeye yetmedi ve bu süreçte 75 milyon dolarlık fonu kaybetti. Daha kişisel bir açıdan bakıldığında bu tür olayların ardından kandırılan yöneticiler genellikle üstleri tarafından günah keçisi ilan edilir.
Balinaları ortadan kaldırmak
Güvenlik ekipleri, spearphishing ve BEC saldırılarının risklerini azaltmaya yardımcı olmak için çeşitli yöntemler kullanabilir. Ancak kuralların kendileri için geçerli olmadığını düşünen üst düzey yöneticilerle karşı karşıya kaldıklarında bu yöntemler her zaman başarılı olmaz. Bu nedenle, simülasyonları içeren yöneticiye özel eğitim alıştırmaları çok önemlidir. Bu alıştırmalar, son derece kişiselleştirilmeli ve deepfake video/ses dâhil olmak üzere en son tehdit aktörlerinin TTP’lerini içeren kısa ve yönetilebilir dersler şeklinde olmalıdır.
Bunlar, iyileştirilmiş güvenlik kontrolleri ve süreçleriyle desteklenmelidir. Buna, büyük meblağlı fon transferleri için sıkı bir onay süreci dâhil edilebilir; bu süreçte iki kişinin imzası ve/veya alternatif bir güvenilir kanal aracılığıyla doğrulama gerekebilir.
Yapay zekâ araçları da ağ savunucularına yardımcı olabilir. Şüpheli iletişim kalıplarını, gönderenleri ve içeriği tespit etmek için tasarlanmış yapay zekâ tabanlı e-posta güvenliğini göz önünde bulundurun. Ayrıca potansiyel olarak kötü niyetli aramaları gerçek zamanlı olarak işaretlemek için deepfake algılama yazılımları da mevcut. Sıfır Güven yaklaşımı da yararlı bir direnç sağlayabilir. En az ayrıcalık ve tam zamanında erişim uygulayarak yöneticilerin erişebileceği bilgileri en aza indirir ve oturum açma bilgilerinin varsayılan olarak asla güvenilir olmamasını sağlar.
Daha genel olarak, kuruluşunuz kamuya açık olarak paylaştığı kurumsal bilgilerin türünü sınırlamaya başlamak isteyebilir. Yapay zekânın her yerde olduğu bir dünyada, bu tür bilgileri bulma ve silah olarak kullanma araçları artık azınlığın değil, çoğunluğun elindedir.
Windows Görüntüleme Bileşeninde kritik bir güvenlik açığı
