Blog

Balina Avı: Nedir, Nasıl Çalışır, Nasıl Korunabiliriz?

“Oltalama” adını verdiğimiz ve bir sosyal mühendislik türü olan siber saldırıların alt kollarından biri de balina avı (whaling) olarak adlandırılır. 

Adından da anlaşılacağı gibi saldırganların buradaki amacı büyük balığı yani şirketlerin CEO, CFO gibi C seviyesi yöneticilerini avlamaktır. Klasik oltalama saldırılarından farkı belirli bir hedefin olmasıdır. Saldırının amacı genellikle kısa yoldan para elde etmek olsa da bazı durumlarda kurumsal espiyonaj amacı taşıyan uzun soluklu çalışmaların ön aşaması olarak da görülür. Bu uzun soluklu çalışmalar Gelişmiş Kalıcı Tehditler (APT) olarak adlandırılırlar ve aylarca hatta yıllarca sürdürülebilirler. Tabi saldırı süresince kurumun durumdan haberi olmaz, ta ki zarar oluşana kadar.   

Balina avları, hedeflenen kişi ile iletişim kurmadan önce görece kısa bir çalışma gerektirir. Saldırgan hedeflediği firmanın çalışanları, iştirakları, müşterileri ve tedarikçileri ile ilgili bilgi toplar. Bu bilgiler genellikle kısa bir internet araştırması ile kolayca edinilebildiği gibi firmada çalışmakta olan veya daha önce çalışmış kişilerden de edinilebilir. Balina avı e-posta, sosyal medya veya telefon ile yapıldığı için kurgu sırasında hedefin güvenini sağlayacak bilgilerin (yemlerin) siber dünya dışından sağlanması dolandırıcılığı çok daha inandırıcı kılacaktır. 

En sık görülen dolandırıcılıklardan biri şirket içi yazışma ile yapılandır. Bildiğimiz gibi e-postaların aynen gerçek postalarda olduğu gibi bir göndericisi ve de bir alıcısı olur.  Postadan farkı ise göndericinin ve alıcının kimliğinin her zaman gerçek olmayacağıdır, tabi şifreleme gibi özel teknikler kullanılmadıysa ki çok az firma ve kişi bu tür teknolojiler kullanıyor. E-postanın göndericisini alıcının göz aldanması sonucu fark edemeyeceği şekilde değiştirmek çok basit bir işlemdir.

Outlook gibi e-posta araçları kullanıcılara kolaylık olsun diye sadece isim gösteriyor, bu durumda örneğin “Serdar AK” ismi verilmiş herhangi adresten gönderilen e-posta yoğun bir iş gününde pekâlâ firmanın CEO’su “Serdar AK” ile karıştırılabilir. Özellikle de e-posta içeriği alıcıya tanıdık gelen olaylar ve cümleler içeriyorsa. 

Yukarıda da bahsettiğimiz gibi hedeflenen firma ile ilgili ön araştırma yapıldıysa ve yemler doğru kullanıldıysa CEO’dan gelen ve para transferini bir an önce yapmasını söyleyen e-postayı alan muhasebe bölümü muhtemelen transferi yapacaktır. 

Olur mu öyle şey!

Olur mu öyle şey, bir e-posta ile para gönderilir mi dediniz? 

Gönderildi! 2016 yılında FAAC adlı Avusturyalı uçak üreticisinin CEO’su Walter Stephan’dan gelmiş gibi görünen bir e-posta nedeni ile finans departmanı yaklaşık 50 Milyon Doları bilinmeyen bir hesaba transfer etti. CEO ve CFO birlikte işten çıkarıldılar!

Yine 2016 yılında Seagate IK departmanına şirketin CEO’su Stephen Luczo’dan gelen bir e-posta çalışanların vergi formların bir kopyasını istiyordu. Ne oldu dersiniz? IK departmanı gelmiş geçmiş yaklaşık 10 Bin çalışana ait isim, sosyal güvenlik numarası, maaş ve ev adresi dâhil bilgiyi içeren dokümanları saldırganlara sorgusuz sualsiz teslim etti. 

Oltalamadan Nasıl korunabiliriz?

Çalışanları oltalama saldırıları gibi sosyal mühendislik tekniklerine karşı eğitmek yapılması gerekenlerin başında geliyor. Özellikle üst düzey yöneticilerin dolandırıcılık teknikleri hakkında bilgi sahibi olması böyle bir olayla karşılaştıklarında saldırganların beklediği tepkiyi vermemelerini sağlayacaktır. 

Yöneticilerin balina avı kurbanı olmamaları için kendileri ve firmaları hakkında sosyal medya hesaplarında gereğinden fazla bilgi vermemeleri gerektiğini anlatın. Örneğin çalıştığı firmanın adı, adresi, pozisyonu, doğum tarihi gibi bilgiler saldırganlar tarafından rahatlıkla kullanılabilir. 

Sosyal mühendislik teknikleri insan hatasından faydalanır. Para transferi, çek, senet gibi kritik emirlerin mutlaka ikinci defa ve farklı kanaldan doğrulanması gerekir. 

Özel teknikler kullanılarak e-posta adreslerinin göndericileri gerçeği ile gözle ayırt edilemeyecek şekilde değiştirilebilir veya internet bağlantıları olmaması gereken yerlere yönlendirebilir. Firmanın tüm cihazlarında güvenlik yazılımı bulunması bu tür saldırıların kullanıcılara hiç ulaşmamasını ağlar. İşini doğru yapan güvenlik yazılımları sosyal mühendislik tehditlerini insan gözüne veya hislerine kıyasla çok daha hızlı ve doğru ayırt edebilir. 

İlgili Makaleler

Bir Yorum

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu