Balinalar avı saldırılarında mağdur edebilecek kişi sayısı sıradan çalışanlara göre daha az olduğu için siber saldırganlar için ilgi çekici bir alan hâline geliyor.  Üst düzey yöneticiler (C-suite dâhil) genellikle üç temel özelliğiyle öne çıkıyorlar.  Zamanları kısıtlıdır yani kimlik avı e-postasına tıklayabilir, kötü amaçlı bir eki açabilir veya sahte bir transfer talebini düzgün bir şekilde incelemeden onaylayabilirler. Zaman kazanmak için çok faktörlü kimlik doğrulama (MFA) gibi güvenlik kontrollerini kapatabilir veya atlayabilirler. Çevrimiçi ortamda oldukça görünürler. Bu, tehdit aktörlerinin, astlarından veya asistanlarından geliyormuş gibi görünen e-postalar gibi ikna edici sosyal mühendislik saldırıları oluşturmak için bilgi toplamasına olanak tanır. Son derece hassas ve kazançlı kurumsal bilgilere erişme ve büyük miktarlı para transferlerini onaylama veya talep etme yetkisine sahiptir.

Tipik bir balina avı saldırısı nasıl görünür?

Normal bir spearphishing veya BEC saldırısı gibi, balina avı saldırısının da başarılı olması için belirli bir hazırlık gerekir. Bu, tehdit aktörlerinin hedefleri hakkında ayrıntılı keşif yapma olasılığının yüksek olduğu anlamına gelir. Sosyal medya hesapları, şirket web sitesi, medya röportajları ve önemli videolar dâhil olmak üzere, onlara yardımcı olacak kamuya açık bilgilerin eksiği olmamalıdır.  Temel bilgilerin yanı sıra kilit alt çalışanlar ve meslektaşlar hakkında bilgiler veya sosyal mühendislik için bahane olarak kullanılabilecek kurumsal bilgiler, örneğin birleşme ve satın alma faaliyetleri veya şirket etkinlikleri hakkında bilgiler de öğrenmek isteyeceklerdir. Bu, tehdit aktörünün kişisel çıkarlarını ve nihai hedef “balina”yı taklit etmekse tehdit aktörünün kişisel ilgi alanlarını ve hatta iletişim tarzını anlamasına da yardımcı olabilir.

Sosyal mühendislik yöntemleri kullanılıyor

Bu bilgileri elde ettikten sonra, saldırgan genellikle bir spearphishing veya BEC e-postası hazırlar. Bu, büyük olasılıkla güvenilir bir kaynaktan gönderilmiş gibi görünen, sahte bir e-posta olacaktır. Ayrıca alıcının karar verme sürecini hızlandırması için klasik sosyal mühendislik taktiği olan aciliyet yaratma yöntemi kullanılacaktır.  Nihai hedef bazen kurbanı, giriş bilgilerini ifşa etmeye veya farkında olmadan bilgi hırsızlığı amaçlı kötü amaçlı yazılım ve casus yazılım yüklemeye ikna etmektir. Bu kimlik bilgileri, paraya çevrilebilir kurumsal sırlara erişmek için ya da balina kimliğine bürünerek daha küçük balıkları büyük para transferleri yapmaya ikna etmek için astlarına BEC saldırıları başlatarak e-posta hesaplarını ele geçirmek için kullanılabilir. Alternatif olarak dolandırıcı, fon transferini onaylamaları için onları kandırmak amacıyla “balina”nın patronu gibi davranabilir.   

Yapay zekâ balina avı kurallarını değiştiriyor

Ne yazık ki yapay zekâ bu görevleri kötü niyetli kişiler için daha da kolaylaştırıyor. Kurbanları keşfetmek için hedefler hakkında büyük miktarda veri toplamak üzere yapay zekâ araçlarından yararlanabilirler. Kusursuz doğal dilde ikna edici e-postalar veya metinler oluşturmak için üretken yapay zekâ (GenAI) kullanabilirler. Bu araçlar, yararlı bağlam eklemek veya gönderenin yazım stilini taklit etmek için bile kullanılabilir. GenAI, hedefleri para transferi yapmaya ikna etmek için derin sahtecilik teknolojisini son derece ikna edici vishing saldırılarında kullanmak hatta üst düzey yöneticileri taklit eden videolar oluşturmak için kullanılabilir.  Büyük bir BEC saldırısı, milyonlarca dolarlık gelir kaybına neden olabilir. Hassas kurumsal verilerin ihlali ise yasal cezalar, toplu davalar ve operasyonel aksaklıklara yol açabilir.  Şirketler için itibar kaybı daha da kötü olabilir. Daha kişisel bir açıdan bakıldığında bu tür olayların ardından kandırılan yöneticiler genellikle üstleri tarafından günah keçisi ilan edilir.

Saldırıların önüne nasıl geçilebilir?

Güvenlik ekipleri, spearphishing ve BEC saldırılarının risklerini azaltmaya yardımcı olmak için çeşitli yöntemler kullanabilir. Ancak kuralların kendileri için geçerli olmadığını düşünen üst düzey yöneticilerle karşı karşıya kaldıklarında bu yöntemler her zaman başarılı olmaz. Bu nedenle, simülasyonları içeren yöneticiye özel eğitim alıştırmaları çok önemlidir. Bu alıştırmalar, son derece kişiselleştirilmeli ve deepfake video veya ses dâhil olmak üzere en son tehdit aktörlerinin TTP’lerini içeren kısa ve yönetilebilir dersler şeklinde olmalıdır. Bunlar, iyileştirilmiş güvenlik kontrolleri ve süreçleriyle desteklenmelidir. Buna, büyük meblağlı fon transferleri için sıkı bir onay süreci dâhil edilebilir; bu süreçte iki kişinin imzası veya alternatif bir güvenilir kanal aracılığıyla doğrulama gerekebilir.

Yapay zekâ savunma stratejisinin bir parçası olabilir 

Yapay zekâ araçları da ağ savunucularına yardımcı olabilir. Şüpheli iletişim kalıplarını, gönderenleri ve içeriği tespit etmek için tasarlanmış yapay zekâ tabanlı e-posta güvenliğini göz önünde bulundurun. Ayrıca potansiyel olarak kötü niyetli aramaları gerçek zamanlı olarak işaretlemek için deepfake algılama yazılımları da mevcut. Sıfır Güven yaklaşımı da yararlı bir direnç sağlayabilir. En az ayrıcalık ve tam zamanında erişim uygulayarak yöneticilerin erişebileceği bilgileri en aza indirir ve oturum açma bilgilerinin varsayılan olarak asla güvenilir olmamasını sağlar. Kuruluşunuz kamuya açık olarak paylaştığı kurumsal bilgilerin türünü sınırlamaya başlamak isteyebilir. Yapay zekânın her yerde olduğu bir dünyada, bu tür bilgileri bulma ve silah olarak kullanma araçları artık azınlığın değil, çoğunluğun elindedir.

Balina avı saldırıları yöneticileri hedef alıyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.

FBI’a göre, finansal dolandırıcılık 6,6 milyar dolar ile birkaç yıldır siber suçluların en büyük gelir kaynağı. Bu tür dolandırıcılıkla ilişkili birçok taktik, teknik ve prosedür olmasına karşın çoğu, sosyal medyada dolaşan kötü niyetli veya yanıltıcı reklamlarla başlıyor. Bunlar genellikle kurbanı kişisel bilgilerini vermeye ikna etmek veya doğrudan bir yatırım dolandırıcılığına yönlendirmek için yem olarak kullanılır.

Bu tür kampanyaların bir örneği, Haziran 2025’te Instagram reklamlarında meşru bankaların kimliğine bürünülmesiyle gözlemlendi. Bazıları, kurbanı tıklayıp banka giriş bilgilerini girmeye ikna etmek için yüksek faizli hesaplar gibi cazip teklifler kullandı. Diğerleri ise banka yatırım stratejistlerini içeren derin sahte Instagram hikâyeleri kullanarak kişisel bilgileri toplamak veya kurbanları yatırım dolandırıcılığı temalı WhatsApp gruplarına çekmek için kullandı. Başka bir örnek, ESET tarafından 2024 yılında gözlemlenen Nomani Truva Atı kampanyasıdır. Reklamların içeriği ve bağlantı verdikleri kimlik avı web siteleri, yerel haber medyasını ve diğer kuruluşları taklit etmek için tasarlanmıştır. Ya da “Quantum Bumex, Immediate Mator veya Bitcoin Trader” gibi sık sık değişen isimlerle genel finans temalı görseller olabilir.

Nomani kampanyasının ve diğer benzer kampanyaların özellikleri arasında şunlar yer alıyor: Belirli bölgelerdeki kurbanları çekmek için son derece yerelleştirilmiş içerik; Facebook, Instagram, X, YouTube, Messenger ve Threads’te sahte reklamlar aracılığıyla dağıtım; genellikle düşük kaliteli videolarda gösterilen ve anahtar kelimelerin doğal olmayan bir şekilde tekrarlandığı, potansiyel olarak ünlü kişilerin kullanıldığı deepfake video referansları; reklamları yayımlamak için sahte ve hacklenmiş hesapların kullanılması ve aynı barındırma altyapısına yönlendiren paylaşılan şablonlar ve geri aramalar. Bu kampanyada amaç, kurbanı kişisel bilgilerini vermeye ikna etmektir. Bu bilgiler dolandırıcılar tarafından kurbanları doğrudan aramak için kullanılır. Bu yöntemi kullanarak kurbanları yatırım dolandırıcılığına kaydolmaya, kredi almaya veya hatta cihazlarına uzaktan erişim yazılımı yüklemeye ikna ederler. ESET, 2024’ün ilk yarısı ile ikinci yarısı arasında Nomani tehditlerinde yüzde 335 artış gözlemledi ve 8 bin 500’den fazla ilgili etki alanını engelledi. 

Neden bu dolandırıcılıklara sürekli kanıyoruz?

Sahte finans reklamları gibi dolandırıcılıklara sürekli kanmamızın nedenleri arasında şunlar yer alıyor:

• Çoğumuz için zor zamanlar ve hızlı ve kolay finansal kazançlar cazip geliyor.
• Dikkat süremiz azalıyor, özellikle mobil cihazlarda; bu nedenle uyarı işaretleri zamanında fark edilmeyebilir.
• Çoğumuz, deepfake videoların kullanımı gibi en son tehdit TTP’lerine aşina değiliz, bu da bizi daha savunmasız hâle getiriyor.
• Bu tehditlerin çoğu yerelleştirilmiştir, meşru (ele geçirilmiş) hesaplar kullanır ve arama sıralamalarında üst sıralarda görünebilir.
• Bankaların geleneksel dolandırıcılık önleme mekanizmaları, telefonla sosyal mühendislik yoluyla sahte bir plana yatırım yapmaya ikna edildiğimizde genellikle işe yaramaz.

Finansal dolandırıcılık için güvenliğinizi nasıl sağlayabilirsiniz?

• Gerçek olamayacak kadar iyi getiriler veya olağan dışı yüksek faiz oranları sunan, gösterişli reklamlar (meşru markaları kullanıyor olabilir),
• Ünlülerin reklamlarında yer alması- her zaman resmî duyurularda reklamın meşru olup olmadığını kontrol edin,
• Görsel hatalar, ses ve görüntü senkronizasyonu bozukluğu, düşük çözünürlük veya robotik veya aşırı düzgün sesler gibi normal görünmeyen videolar,
• Hızlı hareket ederek yatırımı garantilemek için baskı,
• Garantili yatırım getirisi.

Kişisel bilgilerinizi ve finansal bilgilerinizi güvende tutmak için aşağıdaki adımları izleyin:

• Meşru markalar ve kişiler tarafından tanıtılıyor gibi görünseler bile finans ve yatırım reklamlarına tıklama dürtüsüne karşı koyun,
• Belirli bir yatırım planı veya grubu hakkında çevrimiçi yorumları araştırarak doğruluğunu kontrol edin,
• Nasıl çalıştığını ve paranızı nasıl geri alacağınızı anlamadan hiçbir finansal ürüne yatırım yapmayın,
• Üçüncü tarafların istenmeyen yaklaşımlarını görmezden gelin,
• Çevrimiçi bir reklamdan tıkladıktan sonra kişisel ve/veya finansal bilgilerinizi asla paylaşmayın. Tanınmış bir finans kurumuysa sağlayıcıyla ayrı olarak iletişime geçin,
• ESET gibi güvenilir bir sağlayıcıdan tüm cihazlarınızda güvenlik yazılımı kullanmayı düşünün. Bu, kötü amaçlı yazılımları ve dolandırıcılıkları engellemede çok yardımcı olacaktır.

Sahte yatırımlar gerçek zararlara yol açıyor yazısı ilk önce En Gazete üzerinde ortaya çıktı.