Balina avı siber saldırısı, kurumsal idare grubunun üst seviye bir üyesini amaç alan bir hücum tipi. Başka siber taarruz prosedürlerinden en değerli farkı amaçta olanların üst seviye yöneticiler olmaları. Siber güvenlik şirketi ESET, balina avı akınlarına karşı üst seviye yöneticilerin nasıl inançta olabileceğini inceledi, tekliflerini paylaştı.
Balinalar avı taarruzlarında mağdur edebilecek kişi sayısı sıradan çalışanlara nazaran daha az olduğu için siber saldırganlar için ilgi cazip bir alan hâline geliyor. Üst seviye yöneticiler (C-suite dâhil) çoklukla üç temel özelliğiyle öne çıkıyorlar. Zamanları kısıtlıdır yani kimlik avı e-postasına tıklayabilir, makûs gayeli bir eki açabilir yahut düzmece bir transfer talebini düzgün bir biçimde incelemeden onaylayabilirler. Vakit kazanmak için çok faktörlü kimlik doğrulama (MFA) üzere güvenlik denetimlerini kapatabilir yahut atlayabilirler. Çevrimiçi ortamda epeyce görünürler. Bu, tehdit aktörlerinin, astlarından yahut asistanlarından geliyormuş üzere görünen e-postalar üzere ikna edici toplumsal mühendislik taarruzları oluşturmak için bilgi toplamasına imkan tanır. Son derece hassas ve yararlı kurumsal bilgilere erişme ve büyük ölçülü para transferlerini onaylama yahut talep etme yetkisine sahiptir.
Tipik bir balina avı saldırısı nasıl görünür?
Normal bir spearphishing yahut BEC saldırısı üzere, balina avı saldırısının da başarılı olması için muhakkak bir hazırlık gerekir. Bu, tehdit aktörlerinin maksatları hakkında detaylı keşif yapma mümkünlüğünün yüksek olduğu manasına gelir. Toplumsal medya hesapları, şirket web sitesi, medya röportajları ve kıymetli görüntüler dâhil olmak üzere, onlara yardımcı olacak kamuya açık bilgilerin eksiği olmamalıdır. Temel bilgilerin yanı sıra kilit alt çalışanlar ve meslektaşlar hakkında bilgiler yahut toplumsal mühendislik için mazeret olarak kullanılabilecek kurumsal bilgiler, örneğin birleşme ve satın alma faaliyetleri yahut şirket aktiflikleri hakkında bilgiler de öğrenmek isteyeceklerdir. Bu, tehdit aktörünün ferdî çıkarlarını ve son gaye “balina”yı taklit etmekse tehdit aktörünün şahsî ilgi alanlarını ve hatta irtibat stilini anlamasına da yardımcı olabilir.
Sosyal mühendislik formülleri kullanılıyor
Bu bilgileri elde ettikten sonra, saldırgan ekseriyetle bir spearphishing yahut BEC e-postası hazırlar. Bu, büyük olasılıkla sağlam bir kaynaktan gönderilmiş üzere görünen, geçersiz bir e-posta olacaktır. Ayrıyeten alıcının karar verme sürecini hızlandırması için klasik toplumsal mühendislik taktiği olan aciliyet yaratma prosedürü kullanılacaktır. Nihai amaç bazen kurbanı, giriş bilgilerini ifşa etmeye yahut farkında olmadan bilgi hırsızlığı maksatlı berbat gayeli yazılım ve casus yazılım yüklemeye ikna etmektir. Bu kimlik bilgileri, paraya çevrilebilir kurumsal sırlara erişmek için ya da balina kimliğine bürünerek daha küçük balıkları büyük para transferleri yapmaya ikna etmek için astlarına BEC hücumları başlatarak e-posta hesaplarını ele geçirmek için kullanılabilir. Alternatif olarak dolandırıcı, fon transferini onaylamaları için onları kandırmak gayesiyle “balina”nın işvereni üzere davranabilir.
Yapay zekâ balina avı kurallarını değiştiriyor
Ne yazık ki yapay zekâ bu misyonları berbat niyetli bireyler için daha da kolaylaştırıyor. Kurbanları keşfetmek için maksatlar hakkında büyük ölçüde bilgi toplamak üzere yapay zekâ araçlarından yararlanabilirler. Kusursuz doğal lisanda ikna edici e-postalar yahut metinler oluşturmak için üretken yapay zekâ (GenAI) kullanabilirler. Bu araçlar, faydalı bağlam eklemek yahut gönderenin yazım tarzını taklit etmek için bile kullanılabilir. GenAI, maksatları para transferi yapmaya ikna etmek için derin sahtecilik teknolojisini son derece ikna edici vishing taarruzlarında kullanmak hatta üst seviye yöneticileri taklit eden görüntüler oluşturmak için kullanılabilir. Büyük bir BEC saldırısı, milyonlarca dolarlık gelir kaybına neden olabilir. Hassas kurumsal dataların ihlali ise yasal cezalar, toplu davalar ve operasyonel aksaklıklara yol açabilir. Şirketler için prestij kaybı daha da makûs olabilir. Daha şahsî bir açıdan bakıldığında bu cins olayların akabinde kandırılan yöneticiler ekseriyetle üstleri tarafından günah keçisi ilan edilir.
Saldırıların önüne nasıl geçilebilir?
Güvenlik grupları, spearphishing ve BEC ataklarının risklerini azaltmaya yardımcı olmak için çeşitli metotlar kullanabilir. Fakat kuralların kendileri için geçerli olmadığını düşünen üst seviye yöneticilerle karşı karşıya kaldıklarında bu usuller her vakit başarılı olmaz. Bu nedenle, simülasyonları içeren yöneticiye özel eğitim alıştırmaları çok değerlidir. Bu alıştırmalar, son derece kişiselleştirilmeli ve deepfake görüntü yahut ses dâhil olmak üzere en son tehdit aktörlerinin TTP’lerini içeren kısa ve yönetilebilir dersler formunda olmalıdır. Bunlar, güzelleştirilmiş güvenlik denetimleri ve süreçleriyle desteklenmelidir. Buna, büyük meblağlı fon transferleri için sıkı bir onay süreci dâhil edilebilir; bu süreçte iki kişinin imzası yahut alternatif bir emniyetli kanal aracılığıyla doğrulama gerekebilir.
Yapay zekâ savunma stratejisinin bir kesimi olabilir
Yapay zekâ araçları da ağ savunucularına yardımcı olabilir. Kuşkulu irtibat kalıplarını, gönderenleri ve içeriği tespit etmek için tasarlanmış yapay zekâ tabanlı e-posta güvenliğini göz önünde bulundurun. Ayrıyeten potansiyel olarak makus niyetli aramaları gerçek vakitli olarak işaretlemek için deepfake algılama yazılımları da mevcut. Sıfır İnanç yaklaşımı da faydalı bir direnç sağlayabilir. En az ayrıcalık ve tam vaktinde erişim uygulayarak yöneticilerin erişebileceği bilgileri en aza indirir ve oturum açma bilgilerinin varsayılan olarak asla sağlam olmamasını sağlar. Kuruluşunuz kamuya açık olarak paylaştığı kurumsal bilgilerin tipini sınırlamaya başlamak isteyebilir. Yapay zekânın her yerde olduğu bir dünyada, bu tıp bilgileri bulma ve silah olarak kullanma araçları artık azınlığın değil, çoğunluğun elindedir.
Kaynak: (BYZHA) Beyaz Haber Ajansı