E-posta Dolandırıcılığı ve CEO Sahtekarlığı (BEC): Nasıl Anlaşılır, Önlenir ve Kanıtlanır

Hızlı Cevap: İş e-postası ele geçirme (Business Email Compromise, BEC), saldırganın bir yöneticiyi ya da tedarikçiyi taklit ederek, çoğu zaman aciliyet ve gizlilik baskısıyla, şirkete sahte bir hesaba para ya da fatura ödetmesidir. Saldırgan ya gerçek posta kutusunu ele geçirir ya da gönderen adını taklit eder. FBI, Ekim 2013 ile Aralık 2023 arasında BEC kaynaklı küresel açık zararın 55,5 milyar doları ve 305 binden fazla olayı aştığını bildirdi. En etkili savunma, ödeme talimatı değişikliklerini her zaman ikinci bir kanaldan, örneğin bilinen numaradan telefonla doğrulamak, SPF DKIM DMARC kurmak ve şüphede e-posta başlığını adli olarak incelemektir.

BEC, gürültülü bir saldırı değildir; çoğu zaman tek bir e-posta ve iyi kurgulanmış bir sosyal mühendislikle milyonlarca lira kayba yol açar. FBI'ın İnternet Suçları Şikayet Merkezi (IC3), BEC'i "saldırganın sosyal mühendislik ya da bilgisayar saldırısıyla meşru iş e-posta hesaplarını ele geçirip yetkisiz para transferine yol açtığı sofistike bir dolandırıcılık" olarak tanımlar. Hedef, finans, satın alma ve yönetici asistanlığı gibi ödeme yetkisi olan herkestir.

BEC nasıl işler

1. Yönetici taklidi (CEO sahtekarlığı). Saldırgan, genel müdürü taklit eden bir e-postayla finans çalışanından acil ve gizli bir transfer ister. "Toplantıdayım, bu işi bugün halletmen lazım, kimseyle konuşma" baskısı klasik kalıptır.
2. Fatura yönlendirme. Saldırgan, gerçek bir tedarikçiyi taklit edip "banka hesabımız değişti, yeni IBAN'a ödeyin" der. Şirket düzenli bir faturayı sahte hesaba öder.
3. Posta kutusu ele geçirme. Saldırgan, oltalamayla bir çalışanın hesabına girer, gerçek yazışmaları izler ve tam ödeme anında araya girer.
4. Gönderen adı taklidi ve benzer alan adı. İki yöntem vardır: görünen adı doğru ama adresi sahte yapmak, ya da gerçek alan adına çok benzeyen bir alan adı (örneğin bir harf değiştirilmiş) kaydetmek. M3AAWG, DMARC'ın "From" alanındaki alan adı taklidini engellediğini ama "benzer" ya da "kuzen" alan adlarını engellemediğini vurgular.

Savunma 1: E-posta kimlik doğrulama (SPF, DKIM, DMARC)

İngiltere NCSC'nin tanımıyla SPF, alan adınız için güvenilecek IP adreslerini yayımlamanızı; DKIM, gönderdiğiniz e-postayı kriptografik olarak imzalamanızı; DMARC ise SPF ya da DKIM'i geçemeyen e-postaların nasıl işleneceğine dair bir politika belirlemenizi sağlar. Üçü birlikte, alan adınızın gönderen olarak taklit edilmesini büyük ölçüde engeller. Kurulum için kurumsal e-posta güvenliği: SPF, DKIM, DMARC rehberimize bakın. Ancak DMARC, benzer alan adlarını durdurmaz; bu yüzden süreç savunması şarttır.

Savunma 2: Süreç ve doğrulama

1. Bant dışı doğrulama. Ödeme ya da IBAN değişikliği talebini asla e-postayı yanıtlayarak değil, bilinen ve önceden kayıtlı bir numaradan telefonla doğrulayın. FBI, hesap bilgisi değişikliklerini ikincil kanal ya da iki faktörle doğrulamayı önerir.
2. Çift onay. Belirli tutarın üzerindeki transferler için iki kişinin onayını zorunlu kılın ve ödeme yetkisi olan kişi sayısını sınırlayın.
3. Aciliyet ve gizlilik bayrağı. "Acil, gizli, kimseye söyleme" dili bir uyarı işaretidir; bu tür talepleri yavaşlatın ve doğrulayın.
4. Çalışan farkındalığı. Ekibi CEO sahtekarlığı senaryosuna karşı eğitin; oltalama simülasyonu ile düzenli test edin.

Savunma 3: E-posta başlığı adli analizi

Bir e-postanın sahte olup olmadığını teknik olarak kanıtlamanın yolu, e-posta başlığını incelemektir. Microsoft'un belgelediği gibi, SPF DKIM DMARC sonuçları gelen iletinin "Authentication-Results" başlığına işlenir. Adli incelemede üç şeye bakılır: alıcının gördüğü "From" adresi ile zarf gönderici (Return-Path, smtp.mailfrom) arasındaki uyumsuzluk, "Reply-To" alanının gerçek gönderenden farklı bir adrese işaret edip etmediği ve "Received" zincirinin iletinin gerçekten beklenen sunuculardan geçip geçmediği. Bu uyumsuzluklar, sahtekarlığın delilidir. Bir uyuşmazlıkta delil zinciriyle korunmuş başlık kayıtları, mahkemede kullanılabilir; süreç için adli bilişim süreci, KVKK ve delil zinciri yazımıza bakın.

Dolandırıldıysanız ne yapmalı

İlk saatler kritiktir. Bankanızı arayıp transferi geri çağırmaya çalışın, olayı USOM ve Cumhuriyet Başsavcılığına bildirin, ele geçirilmiş hesabın tüm oturumlarını kapatıp şifresini değiştirin ve e-posta başlıklarını, yazışmaları silmeden adli olarak saklayın. Kişisel veri ihlali de varsa KVKK, ihlalin öğrenildiği andan itibaren en geç 72 saat içinde bildirim ister; ayrıntı için KVKK veri ihlali bildirimi yazımıza bakın.

Sıkça Sorulan Sorular

BEC ile klasik oltalama farkı nedir? Oltalama geniş kitleye atılan oltadır; BEC, belirli bir şirketi ve ödeme sürecini hedefleyen, kişiye özel ve genelde bağlantısız, ikna temelli bir dolandırıcılıktır.

SPF DKIM DMARC her sahteyi durdurur mu? Hayır. Kendi alan adınızın taklidini büyük ölçüde durdurur ama benzer alan adlarını ve ele geçirilmiş gerçek hesapları durdurmaz; süreç doğrulaması şarttır.

Sahteliği nasıl kanıtlarım? E-posta başlığındaki kimlik doğrulama sonuçları ve From, Reply-To, Return-Path, Received uyumsuzlukları teknik delildir.

Kaynaklar

• FBI IC3, Business Email Compromise kamu duyurusu (11 Eylül 2024, 55,5 milyar dolar küresel zarar): https://www.ic3.gov/PSA/2024/PSA240911
• FBI IC3, BEC bilgi sayfası: https://www.ic3.gov/CrimeInfo/BEC
• NCSC (İngiltere), e-posta güvenliği ve sahteciliğe karşı koruma: https://www.ncsc.gov.uk/collection/email-security-and-anti-spoofing
• M3AAWG, DMARC özeti (benzer alan adı uyarısı): https://www.m3aawg.org/TechnologySummaries/DMARC
• Microsoft, e-posta başlığı kimlik doğrulama sonuçları: https://learn.microsoft.com/en-us/defender-office-365/message-headers-eop-mdo
• KVKK, veri ihlali bildirimi (72 saat): https://www.kvkk.gov.tr/Icerik/5362/Veri-Ihlali-Bildirimi

Şirketinizin e-posta güvenliğini ve BEC dayanıklılığını denetlemek için DSET ile iletişime geçin.