Küçük ve orta ölçekli işletmeler (KOBİ), sınırlı güvenlik bütçeleri nedeniyle saldırganların radarında olsa da asıl tehdit her zaman zararlı bir yazılımla gelmiyor Bazen sadece iyi yazılmış bir e-posta felakete yol açabiliyor. Siber saldırganlar, hedef aldıkları şirketin sistemlerine sızdıktan sonra aylarca sessiz kalarak tedarikçilerle olan yazışmaları, fatura tarihlerini ve ödeme alışkanlıklarını adım adım izliyor. Tam ödeme zamanı geldiğinde ise devreye girerek, “Muhasebe departmanımız değişti”, “Mevcut hesabımız denetimde” veya “Acil nakit akışı düzenlemesi” gibi son derece makul ve profesyonel bahanelerle yeni bir IBAN paylaşıyorlar.
Şüphe uyandırmayan bu değişiklik talebi, genellikle şirketin güvendiği bir ismin e-posta adresinden veya tek bir harf farkıyla oluşturulmuş kopyasından geldiği için muhasebe çalışanları tarafından sorgulanmadan işleme alınıyor. Bitdefender Türkiye Distribütörü Laykon Bilişim Operasyon Direktörü Alev Akkoyunlu, bu yöntemin teknik bir sızıntıdan çok psikolojik bir manipülasyon içerdiğini, bu yüzden geleneksel güvenlik duvarlarını kolayca aşabildiğini vurguladı.
“Bu e-postayı aldığınızda klavyeyi bırakın ve telefonu açın”
Bu dolandırıcılık türünün tamamen sosyal mühendisliğe dayandığını belirten Akkoyunlu, “Bir sabah yıllardır çalıştığınız toptancınızdan veya iş ortağınızdan bir e-posta alırsınız. Logo aynıdır, imza aynıdır, hitap şekli tanıdıktır. Sadece, ‘Ödemeyi lütfen ekteki yeni hesabımıza yapın’ yazar. İşte o an, işletmeniz büyük bir risk altındadır. Saldırganlar ya tedarikçinizin mailini hacklemiştir ya da gözle fark edilemeyecek kadar benzer sahte bir alan adı (örn: laykonbilisim yerine laykonbiilisim) almıştır. Bu tuzağa düşen işletmeler, parayı kendi elleriyle dolandırıcılara gönderir ve durumu fark ettiklerinde iş işten geçmiş olur” dedi.
Alev Akkoyunlu, işletmelerin binlerce liralık zarara uğramaması ve ticari ilişkilerinin zedelenmemesi için alması gereken önlemleri şöyle sıraladı: “Farklı kanaldan teyit edin. E-posta adreslerini harf harf kontrol edin. “Acil” baskısına aldanmayın. Çalışanlarınızı eğitin. E-posta güvenliğini sıkılaştırın.
