İş e-postalarının güvenliğinin ihlal edilmesi (BEC) nedir?

İş e-postalarının güvenliğinin ihlal edilmesi (BEC), para veya kritik bilgileri çalma amacıyla kurumları hedefleyen bir tür kimlik avı saldırısıdır.

İş e-postalarının güvenliğinin ihlal edilmesine karşı korunun

İş e-postalarının güvenliğinin ihlal edilmesinin (BEC) tanımı

İş e-postalarının güvenliğinin ihlal edilmesi (BEC), dolandırıcının birisini para göndermesi veya gizli şirket bilgilerini ifşa etmesi için kandırma amacıyla e-posta kullandığı bir tür siber suçtur. Suçlu, güvenilir biriymiş gibi davranır ve ardından sahte bir faturanın ödenmesini ister veya başka bir dolandırıcılıkta kullanabilecekleri hassas veriler talep eder. Artan uzaktan çalışma nedeniyle BEC dolandırıcılığı artıyor. Geçen yıl FBI’a yaklaşık 20.000 BEC şikayeti yapıldı.¹

İş e-postalarının güvenliğinin ihlal edilmesi dolandırıcılığının türleri

E-posta, siber saldırıların yüzde 91’inin başlangıç noktasıdır.² Güvenliği ihlal edilmiş en yaygın e-posta türleri hakkında bilgi edinin.

Veri hırsızlığı

Bazen dolandırıcılar, İK departmanını hedef alarak ve birinin programı veya kişisel telefon numarası gibi şirket bilgilerini çalarak işe başlar. Bu şekilde diğer BEC dolandırıcılıklarından birini gerçekleştirmek ve daha inandırıcı görünmesini sağlamak daha kolaydır.

Yanlış fatura oyunu

Şirketinizin birlikte çalıştığı yasal bir satıcı gibi davranan dolandırıcı, e-postayla genellikle gerçek bir faturaya çok benzeyen sahte bir fatura gönderir. Hesap numarasının yalnızca bir rakamı farklı olabilir. Veya bankanızın denetimden geçtiğini iddia ederek farklı bir bankaya ödeme yapmanızı isteyebilirler.

CEO dolandırıcılığı

Dolandırıcılar, bir CEO’nun e-posta hesabını taklit eder veya ele geçirir, ardından e-postayla çalışanlara bir satın alma işlemi yapma veya banka havalesi yoluyla para gönderme talimatları gönderir. Dolandırıcı, bir çalışanından hediye kartı satın almasını ve ardından seri numaralarının fotoğraflarını göndermesini bile isteyebilir.

Avukat kimliğine bürünme

Bu dolandırıcılıkta saldırganlar bir hukuk firmasının e-posta hesabına yetkisiz erişim elde eder. Ardından e-postayla müşterilere çevrimiçi ödeme yapmaları için bir fatura veya bağlantı gönderirler. E-posta adresi gerçek olsa da banka hesabı değildir.

Hesap güvenliğinin ihlal edilmesi

Dolandırıcılar, kimlik avı veya kötü amaçlı yazılım kullanarak alacak hesapları yöneticisi gibi bir finans çalışanının e-posta hesabına erişim elde eder. Ardından dolandırıcı, şirketin tedarikçilerine e-postayla sahte bir banka hesabına ödeme yapmalarını talep eden sahte faturalar gönderir.

BEC dolandırıcılıkları nasıl çalışır?

Bir BEC dolandırıcılığında şunlar olur:

1. Dolandırıcılar hedefleriyle ilgili araştırma yapar kimliklerini nasıl taklit edeceklerini bulurlar. Bazen sahte web siteleri oluştururlar ve hatta başka bir ülkede sizinkiyle aynı ada sahip bir şirket kurarlar.

2. Dolandırıcılar e-postalara erişim sağladıktan sonra kimlerin para gönderip alabileceğini bulmak için araştırma yapar. Ayrıca rutin konuşmalara ve faturalara da bakarlar.

3. Bir e-posta yazışması sırasında dolandırıcı, e-posta etki alanını taklit ederek taraflardan birinin kimliğine bürünür. (E-posta adresi bir veya iki harf eksik olabilir veya farklı bir etki alanı “aracılığıyla” doğru e-posta adresi olabilir; örneğin fabrikam.com aracılığıyla chris@contoso.com.)

4. Dolandırıcı, hedefin güvenini kazanmaya çalışır ve ardından para, hediye kartı veya bilgi talebinde bulunur.

İş e-postalarının güvenliğinin ihlal edilmesi için hedefler

Herkes bir BEC dolandırıcılığının hedefi olabilir. İşletmeler, kamu kurumları, kar amacı gütmeyen kurumlar ve okullar, özellikle de şu rollerdeki çalışanlar hedeflenir:

1. Yöneticiler ve liderler: Bu kişilerle ilgili bilgiler genellikle şirketin web sitesinde herkese açık olarak bulunur ve böylece saldırganlar onları tanıyormuş gibi davranabilir.

2. Finans çalışanları: Banka bilgilerine, ödeme yöntemlerine ve hesap numaralarına erişimi olan denetleyiciler ve borç hesapları personelidir.

3. İK yöneticileri: Sosyal güvenlik numaraları, vergi beyannameleri, iletişim bilgileri ve zaman çizelgeleri gibi çalışan kayıtlarına sahiptir.

4. Yeni veya giriş seviyesi çalışanlar: E-postayı gönderen kişinin gerçek olup olmadığını anlayamayacak olan kişiler.

BEC’nin tehlikeleri

İş e-postalarının güvenliğinin ihlal edilmesi saldırısı başarılı olursa kurumunuz şu sonuçlarla karşı karşıya kalabilir:

1. Yüz binlerce, hatta milyonlarca dolar maddi kayıp yaşayabilir.

2. Kişisel bilgiler çalınırsa yaygın kimlik hırsızlığıyla karşı karşıya kalabilir.

3. Fikri mülkiyet gibi gizli veriler yanlışlıkla sızdırılabilir.

BEC planları geliştikçe tehdit koruması stratejileri de gelişir. Microsoft geçen yıl 32 milyar e-posta tehdidini engelledi.³ Microsoft’un e-posta tehdit koruması çözümleri hakkında daha fazla bilgi edinin.

İş e-postalarının güvenliğinin ihlal edilmesi örnekleri

Örnek 1: Bu acil faturayı hemen ödeyin

Diyelim ki şirketinizin finans departmanında çalışıyorsunuz. CFO’dan ödeme tarihi geçmiş bir faturayla ilgili acil bir talep içeren bir e-posta gelir ancak bunu gönderen kişi aslında CFO değildir. Veya dolandırıcı, onarım şirketiniz veya internet sağlayıcınız gibi davranır ve e-postayla ikna edici görünen bir fatura gönderir.

Örnek 2: Telefon numaran nedir?

Bir şirket yöneticisi size bir e-posta gönderir: “Ufak bir işle ilgili yardımınıza ihtiyacım var. Bana telefon numaranızı gönderirseniz mesajla gerekli bilgileri ileteyim.” Mesaj göndermek, e-postadan daha güvenli ve kişisel hissettirir. Bu nedenle dolandırıcı, ödeme bilgilerini veya diğer hassas bilgileri kısa mesaj olarak göndermenizi umar. Buna SMS (kısa mesaj) ile kimlik avı adı verilir.

Örnek 3: Kira süreniz doluyor

Bir dolandırıcı, bir emlak şirketinin e-postasına erişir ve ardından devam eden işlemleri bulur. Müşterilere “Ofis kiranızı bir yıl daha yenilemenin faturası” veya “Kira depozitonuzu ödemek için bağlantı” gibi bir e-posta gönderir. Dolandırıcılar kısa süre önce birisini bu şekilde 500.000 dolardan fazla dolandırdı.⁴

Örnek 4: Çok gizli satın alma

Patronunuz, rakiplerinizden birini satın almak için peşinat istiyor. E-postada “Bu aramızda kalsın” yazması, isteği doğrulama konusunda çekimser kalmanıza neden oluyor. Şirket birleşmeleriyle ilgili ayrıntılar genellikle her şey kesinleşene kadar gizli tutulduğundan, bu dolandırıcılık ilk başta şüpheli görünmeyebilir.

BEC’yi önlemek için ipuçları

İş e-postalarının güvenliğinin ihlal edilmesini durdurmak için şu beş en iyi yöntemi uygulayın:

Güvenli bir e-posta çözümü kullanın

Office 365 gibi e-posta uygulamaları, şüpheli e-postaları otomatik olarak işaretleyip siler veya gönderenin doğrulanmadığı konusunda sizi uyarır. Bu şekilde belirli gönderenleri engelleyebilir ve e-postaları istenmeyen posta olarak bildirebilirsiniz. Office 365 için Defender, gelişmiş kimlik avı koruması ve şüpheli yönlendirme algılama gibi daha da fazla BEC önleme özelliği ekler.

Çok faktörlü kimlik doğrulamasını (MFA) ayarlayın

Oturum açmak için parolanın yanı sıra bir kod, PIN veya parmak izi gerektiren çok faktörlü kimlik doğrulamasını açarak e-postanızın güvenliğinin ihlal edilmesini zorlaştırın.

Çalışanlara uyarı işaretlerini tespit etmeyi öğretin

Herkesin kimlik avı bağlantılarını, etki alanı ve e-posta adresi uyuşmazlığını ve diğer tehlike işaretlerini nasıl tespit edeceğini bildiğinden emin olun. BEC dolandırıcılığı tatbikatı yapın. Bu sayede insanlar bir dolandırıcılık gerçekleştiğinde bunu fark edebilir.

Güvenlik varsayılanlarını ayarlayın

Yöneticiler herkesin MFA kullanmasını zorunlu kılarak, kimlik doğrulaması ile yeni veya riskli erişime meydan okuyarak ve bilgi sızdırılırsa parolaları sıfırlamaya zorlayarak kurum genelinde güvenlik gereksinimlerini sıkılaştırabilir.

E-posta kimlik doğrulaması araçlarını kullanın

Sender Policy Framework (SPF), DomainKeys Identified Mail (DKIM) ve Etki Alanı Tabanlı İleti Doğrulama, Raporlama ve Uygunluk (DMARC) işlevlerini kullanarak gönderenlerin kimliğini doğrulayın ve e-postaların güvenliğinin ihlal edilmesini zorlaştırın.

Güvenli bir ödeme platformu kullanın

Faturaları e-postayla göndermek yerine ödemeleri doğrulamak için özel olarak tasarlanmış bir sisteme geçmeyi değerlendirin.

İş e-postalarının güvenliğinin ihlal edilmesi koruması

Şu özelliklere sahip olan Office 365 için Microsoft Defender gibi şüpheli e-postaları algılamaya yönelik çözümlerle kurumunuzun korunmasına yardımcı olun:

1. E-posta kimlik doğrulaması standartlarını otomatik olarak kontrol edin, kimlik sahtekarlığını tespit edin ve ilgili e-postaları karantinaya veya gereksiz posta klasörlerine gönderin.

2. Her kullanıcının normal e-posta desenlerini modellemek ve olağandışı etkinlikleri işaretlemek için yapay zekadan faydalanın.

3. Kullanıcı, etki alanı ve posta kutusuna göre e-posta korumasını yapılandırın.

4. Tehdit Gezgini’nde tehditleri araştırın, kimin hedef alındığını öğrenin, hatalı pozitifleri belirleyin ve dolandırıcıları tespit edin.

5. Kimlik Sahtekarlığı Analizi’ndeki gelişmiş algoritmalarla etki alanı çapında e-posta desenlerini denetleyin ve olağandışı etkinlikleri vurgulayın.

Microsoft Güvenlik hakkında daha fazla bilgi edinin

E-postayı daha güvenli hale getirmek için altı ipucu

BEC’ye karşı korunmaya yardımcı olmak için bu e-posta güvenliği en iyi yöntemlerini uygulayın.

İpuçlarını okuyun

Hediye kartı dolandırıcılığını anlayın

Hazırlıklı olmak için bir BEC dolandırıcılığı yapmaya çalışan dolandırıcılardan gelen gerçek e-postaları okuyun.

Taktiklerini keşfedin

Bir BEC saldırısının içine girin

Gerçek hayattan alınan bu iş e-postalarının güvenliğinin ihlal edilmesi dolandırıcılığında dolandırıcıların nasıl çalıştığını öğrenin.

Ayrıntıları öğrenin

Parola spreyi saldırılarını önleyin

Bu tür e-posta saldırılarını nasıl durduracağınızı ve kurumunuzda kimlerin buna karşı savunmasız olduğunu öğrenin.

Gönderiyi okuyun

CISO’ların bilmesi gerekenler

Güvenlik farkındalığı eğitiminin durumu ve ekibinizi kimlik avı konusunda nasıl eğiteceğiniz hakkında bilgi edinin.

Devamını okuyun

MFA, kimlik avını nasıl önler?

BEC dolandırıcılıklarını engellemek için en hızlı ve en kolay adımlardan birini atarak çok faktörlü kimlik doğrulamasını açın.

Daha fazla bilgi edinin

Dijital Suçlar Birimi ile tanışın

Microsoft’un siber suç ekibinin ürün yeniliği, araştırma ve yapay zeka ile BEC’ye nasıl karşı koyduğunu öğrenin.

DCU’yu keşfedin

Sık sorulan sorular

FBI’ın İnternet Suçları Şikayet Merkezi’ne (IC3) şikayette bulunun. E-postayı gereksiz veya istenmeyen posta olarak işaretleyerek e-posta sağlayıcınız aracılığıyla bildirin. E-postanızda bu seçenek yoksa durumu yöneticinize bildirin.
Kimlik avı, iş e-postalarının güvenliğinin ihlal edilmesinin yalnızca bir parçasıdır. BEC genellikle kimlik avı, kimlik sahtekarlığı, kimliğe bürünme ve sahte faturaları içeren saldırılar için kullanılan genel bir terimdir.
Güvenli bir e-posta sağlayıcısı kullanma, çok faktörlü kimlik doğrulamasını (MFA) açma, güçlü bir e-posta parolası seçme ve bunu sık sık değiştirme ve kişisel bilgileri çevrimiçi ortamlarda paylaşmama gibi e-posta güvenliğiyle ilgili en iyi yöntemleri uygulayarak iş e-postalarını koruyabilirsiniz. Yöneticiyseniz, Office 365 için Defender gibi e-posta güvenlik çözümlerini değerlendirin, güvenlik ayarlarını yapılandırın ve anormalliklere karşı etkinlikleri izleyin.
Mesai saatleri dışında gönderilen bir e-posta, yanlış yazılmış adlar, gönderen e-posta adresi ile yanıt adresi arasındaki uyumsuzluk, aciliyet duygusu, garip bağlantılar ve ekler veya ödeme ya da fatura bilgileri değişiklikleri gibi olağandışı durumları fark ederek BEC dolandırıcılığını tespit edebilirsiniz. Ayrıca hesabınızın güvenliğinin ihlal edilip edilmediğini görmek için e-posta hesabınızın silinmiş e-postalarını ve yönlendirme kurallarını kontrol ederek BEC dolandırıcılıklarını tespit edebilirsiniz. E-posta uygulamanız belirli e-postaları şüpheli veya doğrulanmamış olarak işaretliyorsa bu da BEC dolandırıcılıklarını tespit etmenin bir yoludur.
E-posta sahtekarlığı, bir e-posta adresinin değiştirilerek e-postanın başka birinden gelmiş gibi görünmesini sağlama girişimidir. Sahte e-postalar gerçek gibi görünebilir ancak yakından inceleyene kadar fark edemeyeceğiniz etki alanı değişiklikleri (fabrikam.com aracılığıyla chris@contoso.com) veya ufak yazım hataları (chris@cont0so.com) ya da tamamen farklı etki alanları (chris@fabrikam.com) söz konusu olabilir.

1. FBI. “İnternet Suçları Raporu 2021.” İnternet Suçları Şikayet Merkezi. 2021.

2. Ganacharya, Tanmay. “Koronavirüs temalı kimlik avı saldırılarından korunma”. Microsoft Güvenlik blogu. 20 Mart 2020.

3. Microsoft. “Dijital Savunma Raporu”. Ekim 2021.

4. ABD Adalet Bakanlığı. “Rhode Island Sakini Adam, Massachusetts’teki Avukatı Hedef Alan E-posta Güvenliğinin İhlal Edilmesi Dolandırıcılığı ile Elde Ettiği Paraları Akladığı Gerekçesiyle Suçlu Bulundu”. 15 Temmuz 2020.