Nijerya polisi, Interpol’ün yardımıyla, dünya çapında 50.000’den fazla hedefle bağlantılı ticari e-posta güvenliği (BEC) dolandırıcılığına karıştıkları iddiasıyla ülkede 11 kişiyi tutukladı.
Tutuklananlardan altısının, dünya çapında binlerce şirkete zarar verdiği düşünülen ve beş yıldan fazla bir süredir kovuşturmadan başarıyla kurtulan bilinen bir BEC çetesi olan SilverTerrier’in üyeleri olduğu belirlendi.
BEC ajanı olduğu iddia edilen 11 kişiden birine ait bir dizüstü bilgisayar, potansiyel mağdur kuruluşlara ait yaklaşık 800.000 kullanıcı adı ve kimlik bilgilerini içeriyordu. Tutuklanan bir başka kişinin de 16 şirket ile müşterileri arasındaki konuşmaları izlediği ve aralarında işlem yapılmak üzereyken SilverTerrier hesaplarına para aktarmaya çalıştığı tespit edildi. Interpol Çarşamba dedi.
Tutuklamalar Aralık ayında gerçekleşti ve Nijerya Polis Gücü’nün (NPF) Lagos ve Asaba şehirlerindeki şüphelileri yakalamak için Interpol tarafından sağlanan bilgileri kullandığı Falcon II Operasyonu adlı 10 günlük operasyonun doruk noktası oldu. Operasyonun bir parçası olarak, NPF, Nijerya’daki BEC faaliyetlerini aktif olarak araştıran çeşitli ülkelerdeki kolluk kuvvetleriyle çalıştı. Ayrıca Palo Alto Networks’ün 42. Birimi ve Group-IB’nin APAC Siber Soruşturma Ekibi de çabaya katkıda bulundu.
Interpol’ün siber suçlar direktörü Craig Jones, “Falcon II Operasyonu, siber suçun ticari e-posta güvenliği dolandırıcılığına karışanlar için ciddi sonuçları olacağına dair net bir mesaj gönderiyor” dedi. “INTERPOL, ‘SilverTerrier’ gibi çetelere karşı saflarını kapatıyor; soruşturmalar açılmaya devam ettikçe, bu tür grupların nasıl işlev gördüğüne ve mali kazanç için nasıl yozlaştığına dair çok net bir tablo oluşturuyoruz.”
Bu, son yıllarda Nijerya’da BEC aktörlerine karşı Interpol tarafından koordine edilen ikinci büyük operasyon. Kasım 2020’de NPF, Interpol ve Group-IB’den gelen bilgilere dayanarak, 150’den fazla ülkede şaşırtıcı bir şekilde 500.000 organizasyonu tehlikeye attığı düşünülen TMT adlı bir grubun üç üyesini tutukladı.
BEC dolandırıcılıklarında, sahte veya çalıntı e-posta hesapları kullanan saldırganlar, genellikle başka bir ülkede bulunan saldırgan kontrollü banka hesaplarına havale yapmak için kurban kuruluştaki hedeflenen yetkilileri kandırır. Örneğin, bir saldırgan, bir kuruluşu sahte bir fatura ödemesi için kandırmak için meşru bir tedarikçi veya satıcı gibi davranabilir. Bu dolandırıcılıklar, dolandırıcıların genellikle üst düzey bir yönetici veya hedef şirkette banka havalesi ödemeleriyle uğraşan biri gibi davrandığı çok sayıda hedefli kimlik avı ve sosyal mühendislik içerir.
Çok sayıda kamu ve özel sektör kuruluşu bu dolandırıcılıklara on ila yüz binlerce dolar kaybetti. Geçen Mart ayında FBI, 2020’de kurbanlara toplamda 1,9 milyar dolara veya o yılki tüm siber suç türlerinden kaynaklanan toplam 4,1 milyar dolarlık toplam zararın neredeyse yarısına mal olan 19.369 BEC ile ilgili şikayet aldığını bildirdi.
Armorblox’un güvenlik şefi Brian Johnson, tehdit aktörlerinin BEC dolandırıcılıklarına olan ilgisinin, bu saldırıların diğer vektörlerle karşılaştırıldığında ne kadar etkili olabileceği nedeniyle yüksek kaldığını söylüyor.
“Mevcut iş ortamında, her çalışanın halka açık bir e-posta adresi var” diyor. “Şirket içindeki diğer altyapılardan farklı olarak, e-posta sistemleri kamu erişimine açık ve herkes ve herkes tarafından erişilebilir olması gerekiyor.”
Bu gerçek, saldırganların bir kuruluşun iş akışını anlamasının genellikle ne kadar önemsiz olduğuyla birleştiğinde, BEC saldırılarının tasarlanmasını ve yürütülmesini kolaylaştırır. Ek olarak, Johnson, BEC’nin genellikle diğer saldırı biçimlerine açılan kapı olduğunu söylüyor.
“Bir BEC vektörü olarak başlayan birçok tehdidin hızla fidye yazılımı gibi diğer siber saldırı biçimlerine dönüştüğünü gördük” diyor.
Palo Alto Networks’ün 42. Biriminin baş araştırmacısı Pete Renals, şirketinin telemetri, kötü amaçlı yazılım analizi ve altı SilverTerrier üyesinin tutuklanmasıyla sonuçlanan adli destek sağladığını söyledi.
“Daha önce, Kasım 2020’deki tutuklamaların ardından Birim 42, aktörler ve ortakları hakkında SilverTerrier üyelerini kovuşturma çabalarına yardımcı olacak tarihsel adli ayrıntılara sahip olduğumuzu belirledi” diyor.
Renals, Falcon II Operasyonunu, para katırlarını ve BEC dolandırıcılıklarından doğrudan parasal olarak yararlanan diğerlerini hedef alan olağan kanun uygulama taktiğinden farklı bir yaklaşım benimsediğini açıklıyor.
“Bunun yerine, bu şemalarda kullanılan kötü amaçlı yazılım ve etki alanı altyapısını oluşturmak ve dağıtmak için beceri ve bilgiye sahip aktörleri hedefleyerek ağırlıklı olarak BEC operasyonlarının teknik omurgasına odaklandı” diyor.
Cezai Kaldırmaların Etkisi
Tutuklamalar ve siber suç faaliyetinin kolluk kuvvetleri tarafından ortadan kaldırılmasında sıklıkla olduğu gibi, Falcon II Operasyonunun BEC ortamında nasıl ve ne şekilde etki yapıp yapmayacağı belirsizdir.
Bir faktör, faaliyete katılan çok sayıda siber suçludur. Renals’a göre, Palo Alto Networks şu anda yalnızca SilverTerrier operasyonuyla bağlantılı 500’den fazla tehdit aktörünü izliyor.
Önceki tutuklamalar, suçluları BEC dolandırıcılığına geri dönmekten caydırmak için çok az şey yaptı. Örneğin, Palo Alto Networks’ün Falcon II Operasyonunun bir parçası olarak tutuklanmasına yardım ettiği bir kişi olan Darlington Ndukwu, daha önce 2018’de WireWire adlı bir FBI operasyonunun parçası olarak tutuklanmıştı. Palo Alto Networks, o zamandan beri SilverTerrier operasyonunun bir parçası olarak çalışmaya devam ettiğini ve ilk kovuşturmanın etkisiz olduğunu öne sürdü. Benzer şekilde, son kolluk eyleminde engellenen başka bir SilverTerrier çalışanı olan Onuegwu Ifeanyi Ephraim, daha önce Nijerya’daki Kasım 2020 kolluk eyleminde üç ortakla birlikte tutuklandı.
Armorblox’tan Johnson, BEC etkinliği için küresel bir sıcak nokta olan Nijerya’nın da gelişen bir teknoloji altyapısına ve çok teknoloji meraklısı bir yetenek havuzuna sahip olduğunu söylüyor. 100 milyondan fazla Nijeryalının yüksek hızlı geniş bant internete erişimi var ve bu sayı katlanarak artıyor. Ülkenin ayrıca çok yetenekli siber güvenlik yeteneklerinden oluşan geniş bir tabanı olduğunu söylüyor.
Johnson, “Doğu Avrupa, Rusya ve Kuzey Kore, BEC etkinliği için diğer ilk üç sıcak nokta” diyor. “BEC ve fidye yazılımı ve kripto dahil olmak üzere diğer saldırı biçimleriyle el ele gidiyorlar.”