O365 mailbox takeover + auto-forward · 11 ay tedarikçi BEC · 2.6M TL kayıp tespit
Bir hizmet firmasının muhasebe asistanının O365 mailbox'ı 11 ay önce phishing ile ele geçirildi. Saldırgan 'Inbox kuralı' ile tüm tedarikçi faturalarını kendine yönlendirdi, IBAN değiştirip sahte fatura oluşturup gönderdi. DSET 11 aylık zarar tespit etti, sigorta tazmin %58 onaylandı, KVKK ceza riski engellendi.
01 Karşılaşılan Durum
Tedarikçi 'paramız 11 aydır gelmiyor' diye aradı. Microsoft Defender 'anormal forwarding rule' alarmı 11 ay önceden vardı, kapatılmamıştı. Audit log: Nigeria Lagos IP'den giriş, asistan 'normal mail' olarak görüyordu. Saldırgan 280 sahte fatura göndermişti, IBAN'lar 4 mule hesap (Romanya, Letonya, Türkiye). Toplam 2.640.000 TL ödeme sahte hesaplara gitmiş.
02 DSET'in Yaklaşımı
T+0 · Containment
Tüm O365 tenant: MFA zorla + Conditional Access + tüm forwarding rule revoke. Saldırgan 24 saat içinde tüm hesaplardan kovuldu.
T+24h · Microsoft DART
Microsoft Detection and Response Team ortak iş, 4 günlük inceleme. 11 ay önceki saldırgan tüm IOC'leri ortaya çıktı.
T+72h · DSET adli inceleme
Mail header analizi: 280 sahte fatura, 4 mule hesap. Initial access: 'Microsoft password expired' sahte form (phishing kit Lagos'tan).
T+1 hafta · KVKK 72 saat
İhlal bildirimi yapıldı, ceza yok. Cyber sigorta poliçesi tazminat dosyası açıldı, tedarikçilere şeffaf bildirim.