BEC Türleri
- CEO Dolandırıcılığı (CEO Fraud): Saldırgan, bir CEO'nun veya üst düzey yöneticinin e-posta adresini taklit eder (spoofing) ve Finans departmanındaki bir çalışana acil ve gizli bir para transferi (örneğin, birleşme veya satın alma işlemi için) yapması talimatını verir.
- Sahte Fatura Yöntemi (Invoice Scheme): Saldırgan, uzun süredir çalıştığınız bir tedarikçi gibi görünerek, ödeme banka hesap bilgilerinin "güncellendiğini" bildirir ve bir sonraki ödemeyi kendi hesabına yönlendirir.
- Avukat Taklidi: Hukuk bürosundan veya avukattan acil bir yasal meseleyle ilgili gizli bir talimat gelmiş gibi gösterilir.
- Veri İstemi: İK veya diğer üst düzey yöneticiler taklit edilerek, çalışanların W-2 (vergi) formları gibi hassas kişisel verileri istenir.
BEC Nasıl Başarılı Olur?
BEC saldırılarının birkaç ana senaryosu vardır:
BEC, teknik saldırılardan çok sosyal mühendisliğe dayanır. Saldırganlar şunları kullanır:
Yetkiyi Kötüye Kullanma: Çalışanların, CEO'dan gelen acil bir talimatı sorgulamama eğilimini kullanmak.
Aciliyet: "Hemen şimdi yapılması gereken gizli bir işlem" algısı yaratmak.
İletişim Kanalı Değişikliği: E-postada talimat verildikten sonra, asıl teyidin telefonla değil, yine sahte bir e-posta üzerinden yapılmasını istemek.
Sonuç
BEC saldırıları genellikle e-posta doğrulama eksikliklerini ve kurumsal süreç zayıflıklarını kullanır. Finansal işlemlerin her zaman ikincil bir yöntemle (telefon veya yüz yüze) teyit edilmesi ve personelin CEO Dolandırıcılığı senaryolarına karşı eğitilmesi, en kritik savunma adımlarıdır.
BEC (Business Email Compromise): CEO Dolandırıcılığına Dikkat