Senelerdir e-posta hesaplarını dolandırmak, özellikle Nijeryalı hackerlar kaynaklı olmuştu. Yeni bir haber ise  ‘’iş e-postalarını dolandırma’’ ‘Business Email Compromise’ kampanyası Rusya’daki bir suç grubuna işaret ediyor.

ÜST DÜZEY YÖNETİCİLERİ HEDEFLİYORLAR

E-posta güvenlik firması Agari’den araştırmacılara göre, özellikle 46 ülkedeki büyük kuruluşlarda ve şirketlerde üst düzey yöneticileri hedefleyen Cosmic Lynx grubu, Temmuz 2019’dan bu yana 200’den fazla BEC kampanyası gerçekleştirdi. Cosmic Lynx, birleşmeler ve satın almalarla ilişkili konularda dolandırıcılık yürütüp bunun karşılığında ise hedeflerinden milyonlarca dolar talep ediyor.

COSMİC LYNX NASIL DOLANDIRICILIK YAPIYOR?

Cosmic Lynx hedefleri aldatmak için alışılmadık derecede temiz ve güvenilir görünen mesajlar hazırlar. Grup, şirketin CEO’su gibi davranarak hedef çalışanlara “dış hukuk müşaviri” ihtiyacı hakkında bir e-posta gönderir. E-posta, bir aciliyet duygusu yaratmak amacıyla konunun zamana duyarlı olduğunu belirtir. Hedef çalışan e-postayı yanıtlarsa, gerçek bir avukatın kimliğine bürünen grup, avukatın e-posta hesabıyla işlemi tamamlamalarını ister. Daha sonra çalışandan, hukuk bürosuna bağlı olduğu ancak aslında grup tarafından kontrol edilen hesaplara para göndermesi istenir. Ödeme talepleri ise milyonlarca ABD dolarıdır.

Genelde BEC saldırganlarının daha düşük paralar peşinde koştuğunu söyleyen Agari araştırmacıları, Cosmic Lynx’in üst düzey yöneticileri ve milyon dolarları hedeflemesinin olağan dışı olduğuna dikkat çekiyor.

İZİNİ SÜRMEK ZOR

Cosmic Lynx ücretsiz hesaplar kullanmak yerine stratejik alan kodları kullanarak her bir BEC kampanyası için daha ikna edici e-posta hesapları oluşturuyor. Bununla birlikte grup, bu alan kodlarını korumayı çok iyi biliyor ve gerçek sahiplerinin izini sürmek neredeyse imkansız oluyor.

Batı Afrikalı dolandırıcılar, BEC kampanyalarını genellikle ücretsiz e-posta hesapları kullanarak kiralanmış veya ücretsiz bulut altyapısından yürütür. Ancak dolandırıcılar keylogger gibi kullanıma hazır hack araçlarını kullanarak ve sistemlerin arka kapılarını hedefleyerek daha fazla dallanıp budaklandılar. Kötü amaçlı yazılımlar burada büyük bir rol oynamadı. Kendi altyapınızı ve yazılımınızı geliştirmenize ihtiyacınız yoksa bu yol daha masrafsız. Bu da teknik becerilerini maliyet tasarrufuyla birleştiren Cosmic Lynx için iyi bir satış noktası.

COSMİC LYNX RUS MENŞEİLİ OLABİLİR

Agari’den araştırmacılar Cosmic Lynx grubunun Rus menşeili olduğuna dair birkaç veri sundu. Bu verilerden bazıları mail saatlerinin genel olarak Moskova saatine göre gönderildiği ( saatlerin de manipüle edilebildiğini ekliyorlar), Trickbot ve Emotet gibi Ruslarla bağlantıları olan kötü amaçlı yazılımlarla bağlantılı olduğu, sahte Rus belgeleri satan web siteleriyle bağlantılı oldukları gibi veriler bu grubun Rus olduğuna dair şüpheleri güçlendiriyor.

Rus hükümeti ile hacker arasındaki ilişki genel olarak flu olsa da Agari’den araştırmacılar Cosmic Lynx’in devlet destekli olduğuna dair herhangi bir ize rastlamadıklarını söylüyor.

‘BEC’ SALDIRILARI İLERİDE DAHA DA YOĞUNLAŞABİLİR

İş e-posta dolandırıcılığı, kötü amaçlı yazılım kullanılarak yapılan saldırılara oranla daha az teknik yatırım gerektirse de yine de teknik beceride uzmanlık gerektirir. Bu neden, çoğu hackerın bu yolu benimsememesini açıklayabilir. Ancak BEC saldırıları giderek arttıkça ve daha fazla para kazandırdıkça, bu saldırıların giderek daha cazip hale geleceği açıktır.

Güvenlik firması Digital Shadows’dan Alex Guirakhoo ‘’ Herkes başarılı bir e-posta dolandırıcılığında gerekli altyapıya veya bil-yap konusuna hakim değil. Bu tarz gruplar düşük seviyeli siber suçlu değiller. Bu gruplar çok fazla deneyime sahip organize gruplardır. Ve şurası açık ki saldırganların buna devam etmeleri için yeterli teşvik var’’ diyor.

Siber Bülten abone listesine kaydolmak için formu doldurunuz