Balina avı atakları yöneticileri amaç alıyor

Balina avı siber saldırısı, kurumsal idare takımının üst seviye bir üyesini maksat alan bir atak çeşidi. Başka siber hücum sistemlerinden en kritik farkı gayede olanların üst seviye yöneticiler olmaları. Siber güvenlik şirketi ESET, balina avı hücumlarına karşı üst seviye yöneticilerin nasıl inançta olabileceğini inceledi, tekliflerini paylaştı.  

Balinalar avı hücumlarında mağdur edebilecek kişi sayısı sıradan çalışanlara nazaran daha az olduğu için siber saldırganlar için ilgi cazip bir alan hâline geliyor.  Üst seviye yöneticiler (C-suite dâhil) çoklukla üç temel özelliğiyle öne çıkıyorlar.  Zamanları kısıtlıdır yani kimlik avı e-postasına tıklayabilir, makus hedefli bir eki açabilir yahut düzmece bir transfer talebini düzgün bir biçimde incelemeden onaylayabilirler. Vakit kazanmak için çok faktörlü kimlik doğrulama (MFA) üzere güvenlik denetimlerini kapatabilir yahut atlayabilirler. Çevrimiçi ortamda epeyce görünürler. Bu, tehdit aktörlerinin, astlarından yahut asistanlarından geliyormuş üzere görünen e-postalar üzere ikna edici toplumsal mühendislik taarruzları oluşturmak için bilgi toplamasına imkan tanır. Son derece hassas ve çıkarlı kurumsal bilgilere erişme ve büyük ölçülü para transferlerini onaylama yahut talep etme yetkisine sahiptir.

Tipik bir balina avı saldırısı nasıl görünür?

Normal bir spearphishing yahut BEC saldırısı üzere, balina avı saldırısının da başarılı olması için makul bir hazırlık gerekir. Bu, tehdit aktörlerinin maksatları hakkında detaylı keşif yapma mümkünlüğünün yüksek olduğu manasına gelir. Toplumsal medya hesapları, şirket web sitesi, medya röportajları ve kritik görüntüler dâhil olmak üzere, onlara yardımcı olacak kamuya açık bilgilerin eksiği olmamalıdır.  Temel bilgilerin yanı sıra kilit alt çalışanlar ve meslektaşlar hakkında bilgiler yahut toplumsal mühendislik için mazeret olarak kullanılabilecek kurumsal bilgiler, örneğin birleşme ve satın alma faaliyetleri yahut şirket aktiflikleri hakkında bilgiler de öğrenmek isteyeceklerdir. Bu, tehdit aktörünün ferdî çıkarlarını ve son gaye “balina”yı taklit etmekse tehdit aktörünün ferdî ilgi alanlarını ve hatta bağlantı stilini anlamasına da yardımcı olabilir.

Sosyal mühendislik usulleri kullanılıyor

Bu bilgileri elde ettikten sonra, saldırgan ekseriyetle bir spearphishing yahut BEC e-postası hazırlar. Bu, büyük olasılıkla muteber bir kaynaktan gönderilmiş üzere görünen, uydurma bir e-posta olacaktır. Ayrıyeten alıcının karar verme sürecini hızlandırması için klasik toplumsal mühendislik taktiği olan aciliyet yaratma sistemi kullanılacaktır.  Nihai amaç bazen kurbanı, giriş bilgilerini ifşa etmeye yahut farkında olmadan bilgi hırsızlığı gayeli makus maksatlı yazılım ve casus yazılım yüklemeye ikna etmektir. Bu kimlik bilgileri, paraya çevrilebilir kurumsal sırlara erişmek için ya da balina kimliğine bürünerek daha küçük balıkları büyük para transferleri yapmaya ikna etmek için astlarına BEC akınları başlatarak e-posta hesaplarını ele geçirmek için kullanılabilir. Alternatif olarak dolandırıcı, fon transferini onaylamaları için onları kandırmak hedefiyle “balina”nın işvereni üzere davranabilir.   

Yapay zekâ balina avı kurallarını değiştiriyor

Ne yazık ki yapay zekâ bu vazifeleri makus niyetli bireyler için daha da kolaylaştırıyor. Kurbanları keşfetmek için gayeler hakkında büyük ölçüde bilgi toplamak üzere yapay zekâ araçlarından yararlanabilirler. Kusursuz doğal lisanda ikna edici e-postalar yahut metinler oluşturmak için üretken yapay zekâ (GenAI) kullanabilirler. Bu araçlar, faydalı bağlam eklemek yahut gönderenin yazım tarzını taklit etmek için bile kullanılabilir. GenAI, amaçları para transferi yapmaya ikna etmek için derin sahtecilik teknolojisini son derece ikna edici vishing hücumlarında kullanmak hatta üst seviye yöneticileri taklit eden görüntüler oluşturmak için kullanılabilir.  Büyük bir BEC saldırısı, milyonlarca dolarlık gelir kaybına neden olabilir. Hassas kurumsal bilgilerin ihlali ise yasal cezalar, toplu davalar ve operasyonel aksaklıklara yol açabilir.  Şirketler için prestij kaybı daha da makus olabilir. Daha ferdî bir açıdan bakıldığında bu tıp olayların akabinde kandırılan yöneticiler çoklukla üstleri tarafından günah keçisi ilan edilir.

Saldırıların önüne nasıl geçilebilir?

Güvenlik takımları, spearphishing ve BEC taarruzlarının risklerini azaltmaya yardımcı olmak için çeşitli yollar kullanabilir. Fakat kuralların kendileri için geçerli olmadığını düşünen üst seviye yöneticilerle karşı karşıya kaldıklarında bu formüller her vakit başarılı olmaz. Bu nedenle, simülasyonları içeren yöneticiye özel eğitim alıştırmaları çok kritikdir. Bu alıştırmalar, son derece kişiselleştirilmeli ve deepfake görüntü yahut ses dâhil olmak üzere en son tehdit aktörlerinin TTP’lerini içeren kısa ve yönetilebilir dersler biçiminde olmalıdır. Bunlar, güzelleştirilmiş güvenlik denetimleri ve süreçleriyle desteklenmelidir. Buna, büyük meblağlı fon transferleri için sıkı bir onay süreci dâhil edilebilir; bu süreçte iki kişinin imzası yahut alternatif bir emniyetli kanal aracılığıyla doğrulama gerekebilir.

Yapay zekâ savunma stratejisinin bir kesimi olabilir 

Yapay zekâ araçları da ağ savunucularına yardımcı olabilir. Kuşkulu irtibat kalıplarını, gönderenleri ve içeriği tespit etmek için tasarlanmış yapay zekâ tabanlı e-posta güvenliğini göz önünde bulundurun. Ayrıyeten potansiyel olarak makus niyetli aramaları gerçek vakitli olarak işaretlemek için deepfake algılama yazılımları da mevcut. Sıfır İtimat yaklaşımı da faydalı bir direnç mümkün kılabilir. En az ayrıcalık ve tam zamdakikalar içinde erişim uygulayarak yöneticilerin erişebileceği bilgileri en aza indirir ve oturum açma bilgilerinin varsayılan olarak asla sağlam olmamasını sağlar. Kuruluşunuz kamuya açık olarak paylaştığı kurumsal bilgilerin çeşidini sınırlamaya başlamak isteyebilir. Yapay zekânın her yerde olduğu bir dünyada, bu cins bilgileri bulma ve silah olarak kullanma araçları artık azınlığın değil, çoğunluğun elindedir.

Kaynak: (BYZHA) Beyaz Haber Ajansı