Geçtiğimiz dönemde sadece büyük ölçekli şirketleri hedef alan BEC (Şirket E-postası Dolandırıcılığı) saldırıları artık her büyüklükte işletme için önemli bir tehdit haline geldi.
İskoçya’daki bir medya şirketi çalışanına, şirketi tarafından BEC (Şirket E-postası Dolandırıcılığı) sahtekarlığı kurbanı olduğu için dava açıldı. Çalışan, yöneticisinden gönderilmiş gibi görünen ve para transferi isteyen e-postalar almıştı. İlk transferden önce bölüm müdüründen onay alan çalışan, ardından bölüm müdürü tatildeyken 3 ödeme daha gerçekleştirmişti. Toplamda 190 bin sterlinden fazla bir meblağ sahtekarların gönderilmesini istediği hesaplara havale edilmişti. Şirket, 85 bin sterlini bankadan geri aldıktan sonra işten çıkartılan çalışan da geri kalan meblağdan dolayı dava edilmişti. Dava edilmesinin nedeni ise bankanın para transferi dolandırıcılığına karşı standart olarak uyguladığı güvenlik uyarısı kutucuğunu görmezden gelmesiydi.
Artık şirketler bu tür sahtekarlıkların kurbanlarını suçlamak yerine kullanıcı eğitimleri, güvenlik kontrolleri ve süreç kontrolleriyle bu tür dolandırıcılıkları engellemeliler.
İlk adım: Çalışanların eğitimi
Bu davaya konu olan çalışan daha önce online sahtekarlıkları fark etmelerine ve önlemelerine yardımcı olacak hiçbir eğitim almadıklarını belirtti. Trend Micro Türkiye ve Yunanistan Ülke Müdürü Hasan Gültekin birçok çalışanın yöneticisinden mail aldığında cevap vermeye çok fazla odaklandığını ve mailin gerçek olup olmadığını kontrol etmeyi düşünmediğini belirtiyor. “Burada önemli olan, çalışanların bu tür saldırılar hakkında bilgi sahibi olması ve sahte e-posta olup olmadığını anlayabilecekleri belirtileri kontrol etmeleridir. Çalışanlar, şüpheli ya da beklenmedik bir e-posta aldıklarında cevap vermemek, eki açmamak ya da gönderilen bağlantıyı tıklamamak üzere eğitilmelidir.”
Hasan Gültekin kullanıcı eğitimleri ve güvenlik kontrollerine ek olarak kurumların para havale prosedürlerini de iyi incelemelerini ve özellikle çiftli onay sistemi kullanmalarını öneriyor. “Bugüne kadar BEC sahtekarlıkları sonucunda dünya çapında 12 milyar dolara yakın bir kayıp meydana geldi. Kullanıcı eğitimi, güvenlik ve süreç kontrolleri birlikte uygulanarak gelecek dönemde daha da artması beklenen bu tür saldırılar önlenebilir.”