Siber suçlular, küçük ve orta büyüklükteki işletmeleri (KOBİ'ler) hedef alarak, banka hesap numaralarının değiştiği yönünde sahte e-postalarla tuzağa düşürüyor. Bilişim sektörünün son raporları, işletmelerin en büyük endişesinin artık fidye yazılımları değil, güvenilir tedarikçi süsü veren fatura dolandırıcıları olduğunu ortaya koyuyor.
Siber Saldırganların Yeni Yöntemi: Aylarca Gözlem ve Manipülasyon
Siber saldırganlar, hedef aldıkları şirketin sistemlerine sızdıktan sonra aylarca sessiz kalarak, tedarikçilerle yapılan yazışmaları, fatura tarihlerini ve ödeme alışkanlıklarını titizlikle takip ediyor. Ardından, tam ödeme zamanı geldiğinde, "Muhasebe departmanımız değişti", "Mevcut hesabımız denetimde" veya "Acil nakit akışı düzenlemesi" gibi son derece makul ve profesyonel görünen bahanelerle yeni bir IBAN numarası paylaşıyorlar. Bu değişiklik talebi, genellikle şirketin güvendiği bir ismin e-posta adresinden veya tek bir harf farkıyla oluşturulmuş taklit bir adresten geldiği için muhasebe çalışanları tarafından sorgulanmadan işleme alınıyor.
Dolandırıcılığın Psikolojik Boyutu ve Korunma Yöntemleri
Bitdefender Türkiye Distribütörü Laykon Bilişim Operasyon Direktörü Alev Akkoyunlu, bu yöntemin teknik bir sızıntıdan ziyade psikolojik manipülasyona dayandığını ve bu nedenle geleneksel güvenlik duvarlarını kolayca aşabildiğini belirtiyor. Tamamen sosyal mühendisliğe dayanan bu dolandırıcılık türünden korunmak için Akkoyunlu, işletmelere şu 5 önemli noktaya dikkat etmelerini öneriyor: 1. **Farklı Kanaldan Teyit Edin:** Ödeme bilgilerinin değiştiğine dair bir e-posta aldığınızda, asla sadece e-posta ile yanıt vermeyin. Mutlaka karşı tarafı telefonla arayarak güvendiğiniz bir yetkiliye durumu sözlü olarak doğrulayın. 2. **E-posta Adreslerini Harf Harf Kontrol Edin:** Gelen iletinin "Gönderen" kısmını dikkatlice inceleyin. Kurumsal alan adlarında yapılan küçük harf oyunları (örneğin 'm' yerine 'rn' yazılması veya '.com' yerine '.co' kullanılması) en sık kullanılan yöntemlerdir. 3. **"Acil" Baskısına Aldanmayın:** Dolandırıcılar, düşünmenize fırsat vermemek için "Ödeme bugün yapılmazsa sevkiyat duracak" gibi aciliyet ifadeleri kullanır. Finansal işlemlerde aciliyet talebi genellikle bir dolandırıcılık belirtisidir; sakin olun ve standart prosedürlerinizi uygulayın. 4. **Çalışanlarınızı Eğitin:** Muhasebe ve finans departmanındaki çalışanlarınızı bu tür sosyal mühendislik yöntemlerine karşı bilinçlendirin. "Banka değişikliği" taleplerinin, standart bir onay sürecinden geçmeden işleme alınmayacağı bir şirket politikası oluşturun. 5. **E-posta Güvenliğini Sıkılaştırın:** Şirket e-postalarınızda mutlaka İki Faktörlü Kimlik Doğrulama (2FA) kullanın. Ayrıca, oltalama (phishing) girişimlerini ve sahte e-postaları gelen kutusuna düşmeden engelleyen, Bitdefender GravityZone gibi kurumsal güvenlik çözümlerinden faydalanın.
