Dünya genelinde artan siber saldırıların ardından kişisel e-posta adreslerine gelen “hediye”, “bedava tatil” içerikli maillere daha temkinli yaklaşan kullanıcılar, kurumsal e-posta adreslerinde ise sınıfta kaldı. Kurumsal e-posta güvenliği konusundaki açığı fark eden hackerlar da rotalarını bu alana çevirdi. Bu kapsamda hackerların kurumsal e-posta adresleri ile neredeyse aynı olan yeni hesaplar oluşturarak gerçekleştirdikleri saldırılar, dünya genelinde hızlı bir yükselişe geçti.
Kurumsal e-posta adresleri üzerinden yapılan siber saldırılar dünya genelinde hızlı bir yükselişe geçti. FBI 2021 siber suç raporuna göre; işletmelerin, kamu kurumlarının, sivil toplum kuruluşlarının karşı karşıya olduğu en önemli tehditler arasında yer alan kurumsal e-posta dolandırıcılığı; en sinsi ve finansal olarak en fazla zarar veren çevrimiçi suçlar arasında bulunuyor.
E-postalarda aciliyet duygusu ön planda
Siber saldırganlar, öncelikle kurumsal e-posta hesapları ile neredeyse aynı olan yeni hesaplar oluşturuyor. Kurumsal e-posta hesaplarının sahiplerinin kimliğine bürünen saldırganlar, daha sonra da hedefledikleri kişiden gizli bilgileri paylaşmasını, bir banka hesabına para transfer etmesini, fidye yazılımı veya başka kötü amaçlı yazılım içeren bir dosyaya tıklamasını istiyor. Saldırganlar, başarı şanslarını artırmak adına da bu saldırıları gizli tutması için kurbanlarını ikna etmeye çalışıyor. Saldırganlar aciliyet duygusunun yaratıldığı bu e-postalarda, çalışanların yetkili kişileri sorgulamamasını sağlayacak ifadeler kullanmaya da özen gösteriyor. Kişisel e-posta ve sosyal medya hesaplarına gelen hediye, indirim, ücretsiz tatil, ödül gibi cezbedici sahte iletilere karşı daha bilinçli olan kullanıcıların bu tür mailleri güvenilir bulmaları nedeniyle de kurumsal e-posta dolandırıcılığı siber saldırılar arasında en üst sıralarda yer alıyor.
Amerika’da 1,8 milyar doların üzerinde zarara neden oldu
Kurumsal e-posta saldırıları konusunda kullanıcıların yeterince bilinçli olmadığına dikkat çeken İnfrasis Siber Mühendislik Genel Müdürü Can Sobutay, “FBI 2021 siber suç raporunda; işletmelerin, kamu kurumlarının, sivil toplum kuruluşlarının karşı karşıya olduğu, hızla yaygınlaşan kurumsal e-posta dolandırıcılığının ciddi bir tehdit oluşturulduğu vurgulanıyor. Bu saldırıların geçen yıl yalnızca işletmelerde sadece Amerika’da 1,8 milyar doların üzerinde zarara neden olduğunu açıkladı” diye konuştu.
CEO’dan gelen beklenmedik e-postalar…
“Kurumsal e-posta saldırılarında, siber suçlu; bir kuruluştaki belirli bölümlerin ve rollerin peşinden gider” açıklamasını yapan Can Sobutay, “En çok hedeflenen departman sırasıyla finans, CEO ve ardından BT grubu. Bu tür saldırıların önümüzdeki yıl yüzde 40 oranında yükselişe geçeceğini düşünüyoruz” dedi. Kurumsal e-posta saldırılarına yönelik, şirket yöneticilerinin hem kendilerini hem çalışanlarını eğitmesi gerektiğinin altını çizen Can Sobutay, “Bu tür saldırıların önüne geçmek için siber farkındalığın geliştirilmesi şart. Çalışanların CEO’dan ‘Bugün afet bölgesine 10.000 TL bağış yapmak istiyorum ve verdiğim hesap numarasına ödemeyi gönder’ yazılı beklenmedik bir e-posta geldiğinde şüphelenmeyi öğrenmesi lazım” diye konuştu.
Şirketlerin kurumsal işleyiş sürecinde önleyici tedbirler ve politikalar uygulanması gerektiğini belirten Can Sobutay, “Tek katmanlı ‘kimlik avı önleme’ çözümlerine değil, derinlemesine savunmaya odaklanılması lazım. İstatistiksel analiz, sıfır gün saldırılarını ve kimlik bilgisi hırsızlığı girişimlerini ele almak için ek bir kontrol katmanı burada yardımcı olabilir. Bu saldırılarla ilişkili kayıpları önlemenin en etkin yolu; şirketlerin sistemlerine gereken güvenlik önlemlerini eklemesinden ve şirket içinde siber farkındalık oluşturulmasından geçiyor” dedi.