Otomatik e-posta gelen kutusu kuralları çoğu e-posta programının kullanışlı ve tanıdık bir özelliğidir. E-postaları belirli klasörlere taşımanıza, uzaktayken iş arkadaşlarınıza iletmenize veya otomatik olarak silmenize olanak tanıyarak, gelen kutunuzu ve günlük aranan ve istenmeyen mesaj akışını yönetmenize yardımcı olurlar.
Bununla birlikte, bir hesap ele geçirildiğinde saldırganlar, örneğin iletme yoluyla ağdan gizlice bilgi sızdırma, kurbanın güvenlik uyarılarını görmemesini sağlama ve belirli mesajları silme gibi başka saldırıları gizlemek için gelen kutusu kurallarını kötüye kullanabilir.
Birincil saldırı vektörü olarak e-posta
E-posta güvenliğinin gelişmesine ve makine öğreniminin kullanılması şüpheli gelen kutusu kuralları oluşturmayı tespit etmeyi kolaylaştırmasına rağmen, saldırganlar bu tekniği başarıyla kullanmaya devam ediyor. Bu, güvenliği ihlal edilmiş bir hesap gerektirdiğinden, bu tehdidin genel sayısı muhtemelen düşüktür, ancak yine de bir kuruluşun verilerinin ve varlıklarının bütünlüğüne yönelik ciddi bir tehdit oluşturmaktadır - özellikle de bir saldırgan tarafından kural oluşturmanın bir teknik olması nedeniyle. zaten ağdadır ve acil karşı önlemler gereklidir.
E-posta tabanlı saldırıların başarı oranı yüksektir ve diğer birçok siber saldırı için ortak bir giriş noktasıdır. Barracuda araştırması, dünya çapında ankete katılan şirketlerin yüzde 75'inin 2022'de en az bir e-posta güvenliği ihlali yaşadığını ortaya çıkardı. Bu saldırılar, basit kimlik avı saldırılarından ve kötü amaçlı bağlantılardan veya eklerden, İş E-postasının Güvenliğinin Aşılması (BEC), Konuşma Ele Geçirilmesi ve Hesap Devralma gibi gelişmiş sosyal mühendislik tekniklerine kadar uzanır. En gelişmiş türlerden bazıları kötü amaçlı e-posta kurallarıyla ilişkilidir.
Otomatik e-posta kuralları
Kötü amaçlı e-posta kuralları oluşturmak için saldırganların, örneğin başarılı bir kimlik avı e-postası yoluyla veya daha önceki bir ihlalde elde edilen çalıntı kimlik bilgilerini kullanarak hedef hesabın güvenliğini ihlal etmiş olması gerekir. Saldırgan, kurbanın e-posta hesabının kontrolünü ele geçirdiğinde, bir veya daha fazla otomatik e-posta kuralı ayarlayabilir.
Saldırganlar, "ödeme", "fatura" veya "gizli" gibi hassas ve potansiyel olarak kazançlı anahtar kelimeler içeren tüm e-postaları harici bir adrese iletmek için bir kural oluşturabilir. Ayrıca, belirli gelen e-postaları gizlemek için bu iletileri nadiren kullanılan klasörlere taşıyarak, e-postaları okundu olarak işaretleyerek veya yalnızca silerek e-posta kurallarını kötüye kullanabilirler. Örneğin, güvenliği ihlal edilmiş hesaptan gönderilen güvenlik uyarılarını, komut ve kontrol mesajlarını veya dahili hedef odaklı kimlik avı e-postalarına verilen yanıtları gizlemek veya aynı anda kullanılan hesabı kullanması muhtemel hesap sahibinden izlerini gizlemek için Davetsiz misafirleri bilmeden. Ayrıca saldırganlar, mağdurun faaliyetlerini izlemek ve daha sonraki saldırılarda veya operasyonlarda kullanmak üzere mağdur veya mağdurun kuruluşu hakkında bilgi toplamak için e-posta iletme kurallarını da kötüye kullanabilir.
BEC (İşletme E-postası Güvenliğinin Tehlikeye Atılması) saldırıları
BEC saldırılarında siber suçlular, şirketi, çalışanlarını, müşterilerini veya ortaklarını dolandırmak amacıyla kurbanlarını e-postanın meşru bir kullanıcıdan geldiğine ikna etmeye çalışır. Örneğin saldırganlar, Finans Direktörü (CFO) gibi belirli bir çalışandan veya yöneticiden gelen tüm e-postaları silen bir kural oluşturabilir. Bu, suçluların bir CFO'yu taklit etmesine ve çalışanları şirket fonlarını saldırganlar tarafından kontrol edilen bir banka hesabına aktarmaya ikna etmek için sahte e-postalar göndermesine olanak tanıyor.
Kasım 2020'de FBI, siber suçluların e-posta yönlendirme kurallarını belirlemek için web tabanlı ve masaüstü e-posta istemcileri arasındaki senkronizasyon ve güvenlik görünürlüğü eksikliğinden nasıl yararlandığına ve başarılı bir BEC saldırısı olasılığını artırdığına dair bir rapor yayınladı.
Ulus devlet e-posta saldırıları
Hedefli ulus devlet saldırılarında da kötü amaçlı e-posta kuralları kullanılıyor. MITRE ATT&CK® Düşman Taktikleri ve Teknikleri Çerçevesi, kötü amaçlı e-posta yönlendirme tekniğini (T1114.003) kullanan üç APT'yi (Gelişmiş Kalıcı Tehdit Grupları) adlandırır. Bunlar, bir ulus devlet siber casusluk tehdit grubu olan Kimsuky, gasp ve kesinti saldırılarıyla tanınan LAPSUS $ ve fikri mülkiyet hırsızlığı ve araştırma hırsızlığıyla bağlantılı başka bir ulus devlet grubu olan Silent Librarian'dır.
MITRE, e-posta gizleme kurallarını (T1564.008) güvenlik savunmalarını atlamak için kullanılan bir teknik olarak sınıflandırır. Bu tekniği kullandığı bilinen APT'lerden biri, kurbanların hesaplarında "saldırıya uğramış", "kimlik avı" ve "kötü amaçlı yazılım" içeren e-postaları otomatik olarak silmek için kurallar oluşturan, finansal motivasyona sahip bir tehdit aktörü olan FIN4'tür; bu, muhtemelen kurbanın BT saldırılarını engeller. Ekibin çalışanları ve diğerlerini faaliyetleri hakkında bilgilendirmesini engellemek.
Etkin olmayan güvenlik önlemleri
Kötü amaçlı bir kural tespit edilmezse, kurbanın şifresi değiştirilse, çok faktörlü kimlik doğrulama etkinleştirilse, diğer katı koşullu erişim politikaları uygulansa veya bilgisayar tamamen yeniden oluşturulsa bile bu kural yürürlükte kalacaktır. Kural yürürlükte kaldığı sürece geçerliliğini korur.
Şüpheli e-posta kuralları bir saldırının iyi bir göstergesi olsa da, bu kurallara tek başına bakmak bir hesabın ele geçirildiğine dair yeterli bir işaret değildir. Savunma birimleri bu nedenle ilgisiz bilgileri azaltmak ve güvenlik ekibini başarılı bir e-posta saldırısına karşı uyarmak için birden fazla sinyal kullanmalıdır. Saldırganların karmaşık taktikler kullanması da dahil olmak üzere siber saldırıların dinamik ve gelişen doğası, tespit ve müdahale konusunda çok katmanlı bir yaklaşım gerektirir.
Etkili savunma önlemleri
Gelen kutusu kuralları oluşturmak bir uzlaşma sonrası teknik olduğundan, en etkili koruma önlemedir, yani saldırganların ilk etapta hesabı ele geçirmesini önlemektir. Ancak kuruluşların, ele geçirilen hesapları belirlemek ve bu saldırıların etkisini azaltmak için etkili olay tespit ve müdahale önlemlerine de ihtiyacı var. Buna, her çalışanın gelen kutusunda gerçekleştirilen tüm eylemlerin ve hangi kuralların oluşturulduğu, nelerin değiştirildiği veya nelere erişildiği, kullanıcının oturum açma geçmişi, gönderilen e-postaların zamanı, konumu ve içeriği ve çok daha fazlası hakkında tam görünürlük dahildir. Gelişmiş yapay zeka tabanlı e-posta güvenliği çözümleri, bu verileri her kullanıcı için akıllı bir hesap profili oluşturmak ve ne kadar küçük olursa olsun herhangi bir anormalliği anında işaretlemek için kullanır. Kimlik hırsızlığı koruması ayrıca hesap ele geçirme saldırısını tespit etmek için oturum açma kimlik bilgileri, e-posta verileri ve istatistiksel modeller gibi birden fazla sinyali ve kuralları kullanır.
Son olarak, genişletilmiş algılama ve yanıt (XDR) ve bir güvenlik operasyon merkezi (SOC) tarafından 24/7 izleme, derinlemesine gizlenmiş ve karartılmış etkinliklerin bile tespit edilip etkisiz hale getirilmesine yardımcı olabilir. Gelen kutusu kurallarını kötüye kullanmak, siber suçluların kullandığı en kalleş taktiklerden biridir. Ancak yukarıdaki önlemlerle şirketler, hassas verilerini ve varlıklarını korumak için kendilerini bu tehdide karşı yeterince savunabilirler.
Daha fazlası Barracuda.com'da
Barracuda Ağları Hakkında Barracuda, dünyayı daha güvenli bir yer haline getirmek için çabalıyor ve her işletmenin satın alması, devreye alması ve kullanması kolay, bulut özellikli, kurumsal çapta güvenlik çözümlerine erişimi olması gerektiğine inanıyor. Barracuda, müşteri yolculuğu boyunca büyüyen ve uyum sağlayan yenilikçi çözümlerle e-postayı, ağları, verileri ve uygulamaları korur. Dünya çapında 150.000'den fazla şirket, işlerini büyütmeye odaklanabilmek için Barracuda'ya güveniyor. Daha fazla bilgi için www.barracuda.com adresini ziyaret edin.