İş E-postası Ele Geçirme (BEC) Dolandırıcılığı: Sahte Havale, CEO Fraud ve Adli Takip
İş E-postası Ele Geçirme (BEC), yönetici ya da tedarikçi kimliğine bürünen bir saldırganın şirketi sahte havaleye ikna etmesidir. CEO fraud, sahte fatura ve IBAN değiştirme senaryoları, para gönderildikten sonraki ilk 24 saat, adli bilişim analizi, KVKK 72 saat boyutu ve DMARC ile önleme. Ankara DSET, olay müdahalesi ve adli bilişim tek çatı altında.
Hızlı cevap: İş E-postası Ele Geçirme (BEC), bir saldırganın yönetici, tedarikçi ya da muhasebe kimliğine bürünerek şirketi sahte bir para transferine ikna ettiği hedefli bir dolandırıcılıktır. Para gönderdiyseniz saatler kritiktir. Önce bankanızı arayıp havaleyi geri çağırma (recall) talebi açın, alıcı bankaya iade ve blokaj isteyin, ardından Cumhuriyet Başsavcılığına suç duyurusunda bulunup USOM'a bildirin. E-posta kutusuna erişim ele geçtiyse bu aynı zamanda bir kişisel veri ihlali olabilir, KVKK'ya 72 saat içinde bildirim gerekebilir. Hiçbir logu silmeyin, e-posta başlıklarını ve oturum kayıtlarını koruyun. DSET, olay müdahalesi ve adli bilişim analizini tek çatı altında yürütür. Acil hat: +90 536 662 38 09.
İş E-postası Ele Geçirme (BEC) nedir
İş E-postası Ele Geçirme, İngilizce adıyla Business Email Compromise, teknik bir sızma değil bir güven istismarıdır. Saldırgan zararlı yazılım kullanmadan, sadece doğru kişiyi doğru anda ikna ederek şirketin parasını kendi hesabına yönlendirir. Fidye yazılımının aksine ekranınızda bir uyarı çıkmaz, dosyalar şifrelenmez. Genellikle olan biteni haftalar sonra, tedarikçi ödemesini alamadığını söylediğinde fark edersiniz.
BEC dünya genelinde en yüksek maddi kayba yol açan siber suç kategorilerinden biridir. Sebebi basittir. Bir fidye saldırısında ortalama zarar belli bir aralıktayken, tek bir başarılı sahte havale talimatı yüz binlerce, kimi zaman milyonlarca liralık transferi anında karşı tarafa taşır ve para çoğu zaman dakikalar içinde başka hesaplara dağıtılır.
BEC türleri
BEC tek bir senaryo değildir. Sahada en sık gördüğümüz beş biçimi vardır.
- CEO fraud (yönetici taklidi): Saldırgan genel müdür ya da yönetim kurulu üyesi gibi davranır, muhasebeye acil ve gizli bir transfer talimatı gönderir.
- Sahte tedarikçi faturası: Gerçek bir tedarikçinin e-postası araya girilerek fatura üzerindeki IBAN değiştirilir, ödeme saldırgana gider.
- Hukuk ve avukat baskısı: Sözde bir avukat ya da danışman, gizli bir satın alma ya da dava için acil ödeme ister, zaman baskısı kurar.
- Maaş yönlendirme: İnsan kaynaklarına çalışan gibi yazılıp maaş hesabının değiştirilmesi istenir.
- Veri talebi: Para yerine bordro, çalışan listesi ya da müşteri verisi istenir, bu veri sonraki saldırılarda kullanılır.
BEC saldırısı nasıl işler
Başarılı bir BEC saldırısı sabırlı bir hazırlık üzerine kuruludur. Zinciri anlamak, kırılacak halkayı da gösterir.
Önce keşif gelir. Saldırgan şirketin web sitesinden, LinkedIn profillerinden ve sızmış veri tabanlarından kimin kime ödeme talimatı verebileceğini öğrenir. Yöneticinin adını, muhasebecinin adını ve şirketin hangi tedarikçilerle çalıştığını çıkarır.
İkinci adım erişimdir ve iki yolu vardır. Birincisi gerçek ele geçirmedir. Oltalama ya da sızmış parola ile yöneticinin veya muhasebecinin e-posta kutusuna girilir, gelen kutusu haftalarca sessizce izlenir. İkincisi taklittir. Gerçek alan adına çok benzeyen bir alan adı alınır, örneğin bir harfi değiştirilmiş ya da uzantısı farklı bir adres kullanılır, gerçek kutuya hiç girilmeden mesaj gönderilir.
Üçüncü adım araya girmedir. Saldırgan gerçek bir yazışmanın ortasına dalar, cevap adresini kendi kontrolündeki bir kutuya çevirir ve tam ödeme anı geldiğinde sahte IBAN'ı devreye sokar. Talimat gerçek bir konuşmanın devamı gibi göründüğü için şüphe uyanmaz.
Yapay zeka BEC saldırısını neden daha tehlikeli yaptı
Eskiden sahte e-postaları bozuk dil ele verirdi. Bugün üretken yapay zeka, kusursuz ve şirketin üslubuna uygun Türkçe metinler yazıyor. Daha da önemlisi ses klonlama teknolojisi, yöneticinin sesini taklit eden bir telefon aramasıyla e-posta talimatını destekliyor. Çalışan hem yazıyı hem sesi tanıdık bulduğu için savunma refleksi zayıflıyor. Bu yüzden tek başına insan sezgisine güvenmek artık yeterli değil.
Gerçek bir senaryo: değiştirilen tek bir IBAN
Sahadaki vakalar hep aynı sessiz kalıbı izler. Bir üretim şirketi, yıllardır çalıştığı yurt dışı tedarikçisinden her ay düzenli fatura alır. Bir gün gelen fatura her zamanki gibi görünür, aynı antet, aynı imza, aynı ürün kalemleri. Tek fark faturanın altındaki banka bilgisidir. Kısa bir açıklama eklenmiştir, sözde tedarikçi hesap denetimi nedeniyle ödemeyi yeni bir IBAN'a istemektedir.
Muhasebe, yazışmanın gerçek bir konuşmanın devamı olduğunu gördüğü için şüphelenmez ve ödemeyi yapar. Tedarikçi haftalar sonra parayı alamadığını bildirince gerçek ortaya çıkar. İnceleme, tedarikçinin e-posta hesabının aylar önce ele geçirildiğini, saldırganın gelen kutusunu sessizce izlediğini ve tam fatura döneminde araya girip yalnızca IBAN satırını değiştirdiğini gösterir. Ne şirkette ne tedarikçide bir alarm çalmıştır, çünkü teknik olarak hiçbir sistem kırılmamış, sadece bir güven zinciri istismar edilmiştir.
Bu senaryodaki tek koruma, IBAN değişikliğini önceden bilinen bir telefondan sesli teyit etmek olurdu. Tek bir geri arama, transferi tümüyle durdururdu.
Kimler hedef olur
BEC yalnızca büyük şirketlerin sorunu değildir. Düzenli tedarikçi ödemesi yapan her işletme hedeftir. Özellikle ithalat ihracat yapan üreticiler, inşaat ve emlak firmaları, hukuk ve mali müşavir ofisleri, sık ve yüksek tutarlı transfer yaptıkları için önceliklidir. Karar veren kişinin muhasebeden fiziksel olarak uzak olduğu, onayların e-posta üzerinden verildiği yapılar en kırılgan olanlardır.
Uyarı işaretleri: sahte havale talimatını nasıl anlarsınız
Bir ödeme talimatında aşağıdaki işaretlerden biri bile varsa durup doğrulama yapın.
| Uyarı işareti | Ne anlama gelir |
|---|---|
| Ani aciliyet ve gizlilik vurgusu | Düşünmenizi ve teyit etmenizi engellemeye çalışır |
| IBAN veya banka değişikliği | Tedarikçi hesabı hiçbir zaman e-posta ile sessizce değişmez |
| Gönderen adında tek harf farkı | Benzer alan adı ile taklit edilen sahte kimlik |
| Cevap adresinin farklı çıkması | Saldırgan yanıtları kendi kutusuna yönlendirmiş olabilir |
| Olağandışı saat ve alışılmadık dil | Yurt dışı saat diliminden ya da otomatik metinden gelen izler |
| Telefonla teyit isteğinin reddi | Gerçek yönetici teyide karşı çıkmaz, dolandırıcı çıkar |
Para gönderildikten sonra ilk 24 saat
Zaman en değerli kaynağınızdır. Sırayla ve hızlı hareket edin.
- Bankanızı hemen arayın. Havaleyi geri çağırma (recall) talebini açın, gönderen ve alıcı bankalar arasında iade ve blokaj sürecini başlatın. Transfer ne kadar yeniyse geri dönme şansı o kadar yüksektir.
- Suç duyurusunda bulunun. Cumhuriyet Başsavcılığına başvurun, banka dekontları, e-posta yazışmaları ve IBAN bilgileriyle dosyayı destekleyin.
- USOM'a bildirin. Ulusal siber olay koordinasyonuna olayı raporlayın, saldırgan altyapısının engellenmesine katkı verin.
- Erişimleri kesin ve parolaları değiştirin. Ele geçmiş olabilecek e-posta hesaplarının oturumlarını kapatın, çok adımlı doğrulamayı zorunlu hale getirin.
- Delilleri dondurun. E-posta başlıklarını, sunucu loglarını, oturum açma kayıtlarını ve varsa güvenlik duvarı loglarını koruyun. Hiçbir mesajı silmeyin, hesabı sıfırdan kurmaya çalışmayın.
Bu adımların üçünü aynı anda yürütmek gerekir. Bankacılık tarafı parayı kurtarmaya, adli bilişim tarafı ise saldırının kapsamını ve KVKK yükümlülüğünü belirlemeye çalışır. İkisini ayrı ayrı ele almak değerli saatleri kaybettirir. Konuyla ilgili genel çerçeve için siber olay müdahale playbook rehberimize göz atabilirsiniz.
Adli bilişim: gerçekte ne oldu
Para kaybının ötesinde asıl soru şudur: saldırgan e-posta kutusuna gerçekten girdi mi, yoksa sadece benzer bir alan adından mı yazdı. Bu ayrım hem hukuki sorumluluğu hem de KVKK bildirim yükümlülüğünü belirler. DSET adli bilişim ekibi bu noktada devreye girer.
İncelemenin çekirdeği e-posta başlıklarıdır. Başlıktaki sunucu geçiş kayıtları, gönderen kimlik doğrulama sonuçları ve özgün IP izleri, mesajın gerçek kaynağını ortaya koyar. Buna e-posta sunucusunun oturum açma kayıtları eklenir. Yabancı bir ülkeden ya da olağandışı bir cihazdan başarılı bir giriş görülüyorsa, ele geçirme kanıtlanmış olur.
Ekip, saldırının zaman çizelgesini çıkarır. İlk erişim ne zaman oldu, hangi kurallar oluşturuldu, cevap adresi ne zaman değişti, hangi yazışmalar okundu. Bu kill chain, hem savcılık dosyasına delil olur hem de aynı açığın tekrar kullanılmasını önler. Süreç boyunca delil zinciri titizlikle korunur, çünkü mahkemede kabul görmesi buna bağlıdır. Delil zinciri ve rapor standardı için adli bilişim süreci rehberimizi inceleyebilirsiniz.
KVKK boyutu: bu bir veri ihlali olabilir
E-posta kutusu bir kişisel veri deposudur. İçinde çalışan, müşteri ve tedarikçi verileri bulunur. Bir saldırgan bu kutuya eriştiyse, sadece para kaybı değil bir kişisel veri ihlali de yaşanmış demektir. Bu durumda veri sorumlusunun, ihlali öğrendiği andan itibaren en kısa sürede ve makul olan en geç 72 saat içinde Kişisel Verileri Koruma Kurulu'na bildirim yapması gerekir.
Bildirimi atlamak, para kaybının üstüne idari para cezası riskini ekler. Doğru yaklaşım, adli bilişim bulgularıyla ihlalin kapsamını netleştirmek ve bildirimi bu bulgulara dayandırmaktır. Bildirim sürecinin adımları ve şablonu için KVKK 72 saat veri ihlali bildirimi rehberimize bakabilirsiniz.
Önleme: BEC saldırısını baştan durdurmak
BEC teknik bir açıktan çok bir süreç açığından beslenir. Bu yüzden en etkili savunma teknik önlemler ile insan süreçlerinin birlikte çalışmasıdır.
Teknik tarafta e-posta kimlik doğrulama kayıtları olan SPF, DKIM ve DMARC doğru yapılandırılmalıdır. DMARC'ı reddet moduna almak, alan adınızı taklit eden sahte e-postaların alıcıya hiç ulaşmamasını sağlar. Tüm e-posta hesaplarında çok adımlı doğrulama zorunlu olmalı, böylece sızmış bir parola tek başına yeterli olmamalıdır.
Süreç tarafında ise ödeme talimatları için ikinci bir kanaldan geri arama zorunluluğu getirilmelidir. Bir IBAN değişikliği ya da yüksek tutarlı transfer talebi geldiğinde, talep e-postayla değil, önceden bilinen bir telefon numarasından sesli olarak teyit edilmelidir. Tedarikçi IBAN değişiklikleri için ayrı bir onay prosedürü tanımlanmalıdır. Çalışan farkındalık eğitimleri bu refleksi canlı tutar. E-postadaki sahtekârlık işaretlerini tanımak için oltalama e-postası nasıl anlaşılır rehberimiz iyi bir başlangıçtır.
E-posta altyapınızın ve genel dış saldırı yüzeyinizin gerçek durumunu görmek isterseniz, sızma testi hizmetimiz SPF, DKIM, DMARC yapılandırmasını ve taklit edilebilir alan adı risklerini de kapsar.
Sık sorulan sorular
BEC ile normal oltalama arasındaki fark nedir? Oltalama genellikle geniş kitleye atılan ve parola ya da tıklama peşinde koşan toplu bir saldırıdır. BEC ise tek bir şirkete odaklanır, kimlik taklidiyle doğrudan para transferini hedefler ve çoğu zaman hiç zararlı bağlantı içermez, bu yüzden klasik filtreleri aşabilir.
Gönderdiğim para geri gelir mi? İhtimal, hızınızla doğru orantılıdır. Transferden sonraki ilk saatlerde bankaya ulaşıp geri çağırma ve blokaj süreci başlatılırsa geri dönme şansı ciddi biçimde artar. Saatler geçtikçe para başka hesaplara dağıldığı için şans azalır. Bu yüzden ilk telefon bankaya olmalıdır.
Saldırganın e-postama girip girmediğini nasıl anlarım? E-posta başlıkları ve sunucu oturum açma kayıtları bunu gösterir. Yabancı bir konumdan başarılı giriş, oluşturulmuş yönlendirme kuralları ya da değiştirilmiş cevap adresleri ele geçirmeye işaret eder. Bu analiz bir adli bilişim uzmanı tarafından yapılmalıdır.
Bu olay için KVKK bildirimi yapmam gerekir mi? E-posta kutusuna erişim sağlandıysa, kutu kişisel veri içerdiği için bir ihlal söz konusu olabilir. Bu durumda 72 saat içinde Kurula bildirim yükümlülüğü doğar. Kapsamı adli bilişim bulgularıyla netleştirmek en doğru yaklaşımdır.
Adli inceleme için hangi kayıtları saklamalıyım? E-posta başlıklarını, e-posta sunucusu oturum açma ve denetim kayıtlarını, güvenlik duvarı ve VPN loglarını, banka dekontlarını ve tüm ilgili yazışmaları saklayın. Hiçbir mesajı silmeyin ve hesabı sıfırlamadan önce uzmanla görüşün.
Kaynaklar
- FBI Internet Crime Complaint Center (IC3), Business Email Compromise raporları: https://www.ic3.gov
- Türkiye USOM, Ulusal Siber Olaylara Müdahale Merkezi: https://www.usom.gov.tr
- Kişisel Verileri Koruma Kurumu, veri ihlali bildirimi: https://www.kvkk.gov.tr
- MITRE ATT&CK, Phishing ve kimlik taklidi teknikleri: https://attack.mitre.org
- CISA, Business Email Compromise rehberi: https://www.cisa.gov
BEC şüphesi ya da gerçekleşmiş bir sahte havale olayı yaşadıysanız, olay müdahalesi ve adli bilişim analizini geciktirmeyin. DSET ile iletişime geçin, Ankara Hacettepe Teknokent laboratuvarımızdan 7/24 destek verelim.
Kimliğinizi doğrulayın
Yetkilendirilmiş erişim alanı. Tüm giriş denemeleri kayıt altına alınır.