Balina avı siber saldırısı, kurumsal idare grubunun üst seviye bir üyesini maksat alan bir atak tipi. Başka siber taarruz sistemlerinden en değerli farkı gayede olanların üst seviye yöneticiler olmaları. Siber güvenlik şirketi ESET, balina avı akınlarına karşı üst seviye yöneticilerin nasıl inançta olabileceğini inceledi, tekliflerini paylaştı.
Balinalar avı akınlarında mağdur edebilecek kişi sayısı sıradan çalışanlara nazaran daha az olduğu için siber saldırganlar için ilgi alımlı bir alan hâline geliyor. Üst seviye yöneticiler (C-suite dâhil) ekseriyetle üç temel özelliğiyle öne çıkıyorlar. Zamanları kısıtlıdır yani kimlik avı e-postasına tıklayabilir, makûs emelli bir eki açabilir yahut uydurma bir transfer talebini düzgün bir formda incelemeden onaylayabilirler. Vakit kazanmak için çok faktörlü kimlik doğrulama (MFA) üzere güvenlik denetimlerini kapatabilir yahut atlayabilirler. Çevrimiçi ortamda epeyce görünürler. Bu, tehdit aktörlerinin, astlarından yahut asistanlarından geliyormuş üzere görünen e-postalar üzere ikna edici toplumsal mühendislik akınları oluşturmak için bilgi toplamasına imkan tanır. Son derece hassas ve çıkarlı kurumsal bilgilere erişme ve büyük ölçülü para transferlerini onaylama yahut talep etme yetkisine sahiptir.
Tipik bir balina avı saldırısı nasıl görünür?
Normal bir spearphishing yahut BEC saldırısı üzere, balina avı saldırısının da başarılı olması için makul bir hazırlık gerekir. Bu, tehdit aktörlerinin maksatları hakkında detaylı keşif yapma mümkünlüğünün yüksek olduğu manasına gelir. Toplumsal medya hesapları, şirket web sitesi, medya röportajları ve değerli görüntüler dâhil olmak üzere, onlara yardımcı olacak kamuya açık bilgilerin eksiği olmamalıdır. Temel bilgilerin yanı sıra kilit alt çalışanlar ve meslektaşlar hakkında bilgiler yahut toplumsal mühendislik için mazeret olarak kullanılabilecek kurumsal bilgiler, örneğin birleşme ve satın alma faaliyetleri yahut şirket aktiflikleri hakkında bilgiler de öğrenmek isteyeceklerdir. Bu, tehdit aktörünün ferdî çıkarlarını ve sonuncu maksat “balina”yı taklit etmekse tehdit aktörünün şahsî ilgi alanlarını ve hatta irtibat üslubunu anlamasına da yardımcı olabilir.
Sosyal mühendislik yolları kullanılıyor
Bu bilgileri elde ettikten sonra, saldırgan çoklukla bir spearphishing yahut BEC e-postası hazırlar. Bu, büyük olasılıkla sağlam bir kaynaktan gönderilmiş üzere görünen, uydurma bir e-posta olacaktır. Ayrıyeten alıcının karar verme sürecini hızlandırması için klasik toplumsal mühendislik taktiği olan aciliyet yaratma yolu kullanılacaktır. Nihai amaç bazen kurbanı, giriş bilgilerini ifşa etmeye yahut farkında olmadan bilgi hırsızlığı hedefli makus emelli yazılım ve casus yazılım yüklemeye ikna etmektir. Bu kimlik bilgileri, paraya çevrilebilir kurumsal sırlara erişmek için ya da balina kimliğine bürünerek daha küçük balıkları büyük para transferleri yapmaya ikna etmek için astlarına BEC atakları başlatarak e-posta hesaplarını ele geçirmek için kullanılabilir. Alternatif olarak dolandırıcı, fon transferini onaylamaları için onları kandırmak hedefiyle “balina”nın işvereni üzere davranabilir.
Yapay zekâ balina avı kurallarını değiştiriyor
Ne yazık ki yapay zekâ bu vazifeleri berbat niyetli bireyler için daha da kolaylaştırıyor. Kurbanları keşfetmek için gayeler hakkında büyük ölçüde bilgi toplamak üzere yapay zekâ araçlarından yararlanabilirler. Kusursuz doğal lisanda ikna edici e-postalar yahut metinler oluşturmak için üretken yapay zekâ (GenAI) kullanabilirler. Bu araçlar, faydalı bağlam eklemek yahut gönderenin yazım tarzını taklit etmek için bile kullanılabilir. GenAI, maksatları para transferi yapmaya ikna etmek için derin sahtecilik teknolojisini son derece ikna edici vishing ataklarında kullanmak hatta üst seviye yöneticileri taklit eden görüntüler oluşturmak için kullanılabilir. Büyük bir BEC saldırısı, milyonlarca dolarlık gelir kaybına neden olabilir. Hassas kurumsal dataların ihlali ise yasal cezalar, toplu davalar ve operasyonel aksaklıklara yol açabilir. Şirketler için prestij kaybı daha da berbat olabilir. Daha ferdî bir açıdan bakıldığında bu cins olayların akabinde kandırılan yöneticiler çoklukla üstleri tarafından günah keçisi ilan edilir.
Saldırıların önüne nasıl geçilebilir?
Güvenlik grupları, spearphishing ve BEC akınlarının risklerini azaltmaya yardımcı olmak için çeşitli prosedürler kullanabilir. Fakat kuralların kendileri için geçerli olmadığını düşünen üst seviye yöneticilerle karşı karşıya kaldıklarında bu formüller her vakit başarılı olmaz. Bu nedenle, simülasyonları içeren yöneticiye özel eğitim alıştırmaları çok değerlidir. Bu alıştırmalar, son derece kişiselleştirilmeli ve deepfake görüntü yahut ses dâhil olmak üzere en son tehdit aktörlerinin TTP’lerini içeren kısa ve yönetilebilir dersler biçiminde olmalıdır. Bunlar, güzelleştirilmiş güvenlik denetimleri ve süreçleriyle desteklenmelidir. Buna, büyük meblağlı fon transferleri için sıkı bir onay süreci dâhil edilebilir; bu süreçte iki kişinin imzası yahut alternatif bir emniyetli kanal aracılığıyla doğrulama gerekebilir.
Yapay zekâ savunma stratejisinin bir modülü olabilir
Yapay zekâ araçları da ağ savunucularına yardımcı olabilir. Kuşkulu bağlantı kalıplarını, gönderenleri ve içeriği tespit etmek için tasarlanmış yapay zekâ tabanlı e-posta güvenliğini göz önünde bulundurun. Ayrıyeten potansiyel olarak makûs niyetli aramaları gerçek vakitli olarak işaretlemek için deepfake algılama yazılımları da mevcut. Sıfır İnanç yaklaşımı da faydalı bir direnç sağlayabilir. En az ayrıcalık ve tam vaktinde erişim uygulayarak yöneticilerin erişebileceği bilgileri en aza indirir ve oturum açma bilgilerinin varsayılan olarak asla muteber olmamasını sağlar. Kuruluşunuz kamuya açık olarak paylaştığı kurumsal bilgilerin cinsini sınırlamaya başlamak isteyebilir. Yapay zekânın her yerde olduğu bir dünyada, bu çeşit bilgileri bulma ve silah olarak kullanma araçları artık azınlığın değil, çoğunluğun elindedir.
Kaynak: (BYZHA) Beyaz Haber Ajansı
