Business Email Compromise (BEC) Müdahale: CEO Dolandırıcılığı ve Dijital Savunma Rehberi
Günümüz siber tehdit ortamında Business Email Compromise (BEC) müdahale süreçleri, şirketlerin finansal bütünlüğünü korumak adına kritik bir önem taşımaktadır. İş E-postası Güvenliğinin İhlali (BEC), 2026 yılında da sofistike yöntemlerle karşımıza çıkan ve özellikle CEO Dolandırıcılığı senaryosuyla milyarlarca dolarlık kayba neden olan sinsi bir saldırı türüdür.
Bir sabah işe geldiğinizi ve muhasebe departmanınızın, bizzat CEO’nuzdan geldiğini sandığı bir talimatla “çok gizli bir satın alma” için yurt dışındaki bilinmeyen bir hesaba milyonlarca dolar transfer ettiğini öğrendiğinizi hayal edin. Bu, bir film senaryosu değil; her gün yüzlerce şirketin başına gelen gerçek bir Business Email Compromise (BEC) müdahale senaryosudur. Bu tür saldırılar teknik açıklardan ziyade insan psikolojisindeki zafiyetleri hedefler.
- Maliyet: Ortalama bir BEC saldırısının kurumsal maliyeti 5 milyon doları aştı.
- Yöntem: Saldırıların %85’i sosyal mühendislik ve sahte domainler üzerinden gerçekleşiyor.
- strong>Hız: Fonların transferi genellikle ilk 2 saat içinde tamamlanıyor.
1. Business Email Compromise (BEC) ve CEO Dolandırıcılığı Nedir?
Business Email Compromise (BEC) müdahale süreçlerini anlamak için öncelikle saldırının doğasını kavramak gerekir. BEC, bir saldırganın bir işletmenin çalışanlarını, tedarikçilerini veya müşterilerini dolandırmak amacıyla meşru bir e-posta hesabına erişmesi veya bu hesabı taklit etmesi durumudur. FBI ve Emniyet Genel Müdürlüğü Siber Suçlarla Mücadele birimleri, bu tür vakaların fidye yazılımlarından daha fazla finansal hasara yol açtığını belirtmektedir.
CEO Dolandırıcılığı (Whaling) Kavramı
BEC saldırılarının en popüler ve yıkıcı alt türü CEO Dolandırıcılığıdır. Burada saldırgan, şirketin üst düzey yöneticisinin (CEO, CFO veya Genel Müdür) kimliğine bürünür. Hedef genellikle finans departmanındaki alt düzey bir çalışan veya muhasebe müdürüdür. Saldırgan, yöneticinin otoritesini kullanarak çalışanı baskı altına alır ve hızlıca bir ödeme yapılmasını sağlar. Profesyonel bir Business Email Compromise (BEC) müdahale ekibi, bu baskı anında yapılan hataları analiz ederek kök nedeni saptar.
2. Bir BEC Saldırısının Anatomisi: Adım Adım İhlal
Profesyonel bir siber suç çetesi, bir sabah uyanıp rastgele bir e-posta atmaz. Etkili bir Business Email Compromise (BEC) müdahale raporu, saldırganların aylar süren hazırlık aşamasını ortaya koyar. İşte o sinsi süreç:
1. Keşif ve Hedefleme
Saldırganlar LinkedIn, şirket web siteleri ve basın bültenleri üzerinden şirketin organizasyon şemasını çıkarır. Kimin ödeme yetkisi var? CEO şu an nerede? (Tatil paylaşımları saldırganlar için altın değerindedir).
2. Hazırlık ve Domain Taklidi
Şirket domaininin (alan adı) çok benzeri satın alınır. Örneğin, nesilteknoloji.com yerine nesil-teknoloji.com gibi fark edilmesi zor domainler üzerinden CEO dolandırıcılığı başlatılır.
3. Sızma veya Hesap Ele Geçirme
Ya yönetici e-posta şifresi çalınır (Account Compromise) ya da taklit yöntemleriyle doğrudan iletişime geçilir. Saldırganlar e-posta yazışma dilini ve imza stilini birebir kopyalayarak güven telkin eder.
4. İnfaz ve Transfer
Mali işler birimine sahte fatura veya “acil transfer” talimatı gönderilir. Para, saldırganın kontrolündeki paravan hesaplara aktarılır ve saniyeler içinde kripto paraya dönüştürülür.
3. Teknik Analiz ve Olay Müdahale Adımları
Eğer bir ihlalden şüpheleniyorsanız, ilk 24 saat “altın saatler”dir. Bir Business Email Compromise (BEC) müdahale planı şu teknik adımları içermelidir:
3.1. İlk Müdahale (Containment)
- Şifreleri Sıfırlayın: Sadece şüphelenilen hesabın değil, tüm yönetim kadrosunun şifrelerini derhal sıfırlayın.
- Oturumları Kapatın: Microsoft 365 veya Google Workspace panellerinden “Tüm aktif oturumları sonlandır” komutunu verin.
- MFA Kontrolü: Çok faktörlü kimlik doğrulama (MFA) ayarlarını kontrol edin.
3.2. Adli Analiz (Forensics)
Saldırının nasıl gerçekleştiğini anlamadan savunma yapamazsınız. Business Email Compromise (BEC) müdahale sürecinde şu kayıtları inceleyin:
| İncelenecek Veri | Neye Bakılmalı? |
|---|---|
| Mail Logları | Gelen maillerin kaynak IP adresleri ve SPF/DKIM/DMARC doğrulama sonuçları. |
| Yönlendirme Kuralları | Saldırganlar genellikle gelen maillerin bir kopyasını dış hesaplarına yönlendiren sinsi kurallar oluşturur. |
| Giriş Kayıtları | Alışılmadık konumlardan yapılan başarılı giriş denemeleri. |
4. Finansal Kurtarma ve Hukuki Süreçler
Para hesaptan çıktıysa her şey bitmiş sayılmaz. Ancak zamanla yarışıyorsunuz. CEO Dolandırıcılığı vakalarında paranın dondurulması için uluslararası bir iş birliği gerekebilir.
Finansal Acil Durum Planı
- Bankanızı Arayın: “Fraud” (Dolandırıcılık) birimiyle doğrudan iletişime geçin.
- Karşı Bankayı Bilgilendirin: Paranın gittiği bankanın hukuk birimlerine ulaşın.
- Emniyet Bildirimi: Siber Suçlarla Mücadele Şube Müdürlüğüne giderek suç duyurusunda bulunun.
Hukuki süreçte, Business Email Compromise (BEC) müdahale raporu en büyük kanıtınızdır. KVKK kapsamında veri ihlali bildirimi gerekip gerekmediği de hukuk birimlerince değerlendirilmelidir.
5. Gelecekteki Saldırıları Önleme Stratejileri
Siber güvenlik sadece teknoloji değil, aynı zamanda bir kültürdür. Nesil Teknoloji olarak Business Email Compromise (BEC) müdahale tecrübelerimizden süzülen “Altın Kurallar” şunlardır:
Teknik Önlemler
- MFA Şart: Şifre çalınsa bile girişi engeller.
- DMARC/SPF/DKIM: E-posta sahteciliğini önler.
- AI Destekli Gateway: Anomali tespiti yapar.
Süreçsel Önlemler
- Çift Onay Mekanizması: Sesli veya yüz yüze teyit alınmalıdır.
- IBAN Doğrulama: Mail ile gelen yeni IBAN bilgilerine asla güvenmeyin.
6. Sıkça Sorulan Sorular
BEC saldırısı ile Phishing (Oltalama) arasındaki fark nedir?
Phishing genel ve toplu bir saldırıdır (oltayı denize atmak gibi). BEC ise kişiye veya kuruma özel, üzerinde çalışılmış ve hedef odaklı bir saldırıdır (zıpkınla avlanmak gibi).
Ücretsiz e-posta servisleri (Gmail, Outlook) kullananlar daha mı çok risk altında?
Evet, çünkü kurumsal güvenlik duvarları ve özelleştirilmiş SPF/DMARC ayarlarından yoksundurlar. Ayrıca saldırganlar için [email protected] gibi bir hesap açmak çok kolaydır.
Yapay zeka (AI) BEC saldırılarını artırdı mı?
Kesinlikle. Saldırganlar artık Deepfake ses teknolojisiyle CEO’nun sesini taklit edebiliyor veya mükemmel bir Türkçe ile ikna edici mailler yazabiliyorlar. Savunmada da AI tabanlı sistemler kullanmak artık bir tercih değil, zorunluluktur.
Paramızı geri alabilir miyiz?
Eğer ilk 24-48 saat içinde fark edilirse ve uluslararası iş birliği sağlanırsa şansınız var. Ancak süre uzadığında paranın izini sürmek imkansız hale gelir.
Saldırganlar şirket içi yazışma dilini nasıl bu kadar iyi taklit edebiliyor?
Bu durum genellikle “E-posta Hesabı Ele Geçirme” (Account Takeover) sonrası gerçekleşir. Saldırganlar sisteme sızdıktan sonra aylarca sessiz kalıp geçmiş yazışmaları okurlar. Kimin kime nasıl hitap ettiğini, onay süreçlerinin nasıl işlediğini ve kullanılan özel terimleri öğrenirler. Bu hazırlık evresi, saldırının inandırıcılığını %100’e çıkarır.
BEC saldırısına uğradığımızı fark ettiğimizde IT personeli dışında kimlere haber vermeliyiz?
Hiyerarşik olarak; Üst Yönetim (CEO/CFO), Hukuk Departmanı, Finans/Muhasebe Müdürü ve eğer varsa KVKK/DPO (Veri Koruma Görevlisi) derhal bilgilendirilmelidir. Eğer kişisel veriler de sızdıysa, 72 saat içinde KVKK kurumuna bildirim yapma yükümlülüğümüz doğabilir.
Sigorta şirketleri BEC saldırısı kaynaklı finansal kayıpları karşılar mı?
Standart poliçeler genellikle bu tür “sosyal mühendislik” vakalarını kapsam dışı bırakabilir. Ancak Siber Risk Sigortası yaptırdıysanız ve poliçenizde “Sosyal Mühendislik Dolandırıcılığı” klozeti varsa, zararın bir kısmını tazmin edebilirsiniz. Sigorta şirketleri genellikle bu noktada şirketin aldığı teknik önlemleri (MFA vb.) sorgular.
Deepfake ses saldırılarını (Sesli CEO Dolandırıcılığı) nasıl engelleyebiliriz?
Yapay zeka ile taklit edilen sesler çok ikna edici olabilir. Bunu engellemenin en garantili yolu, telefonla gelen “acil ödeme” talimatlarında bile “Geri Arama” (Call-back) prosedürünü uygulamaktır. Yöneticiyi daha önce rehberinizde kayıtlı olan numaradan arayarak teyit almalısınız.
Siber saldırganlar parayı çekmek için neden genellikle Cuma günlerini seçer?
Bu çok yaygın bir taktik! Cuma günü mesai bitimine yakın gönderilen paralar, bankalar arası hafta sonu tatili nedeniyle askıda kalır veya transferin fark edilmesi Pazartesiye sarkar. Bu da saldırganlara parayı onlarca farklı hesaba dağıtıp izlerini kaybettirmek için yaklaşık 60-72 saatlik devasa bir zaman kazandırır.
Şirketimizdeki hangi departmanlar en büyük risk altında?
İstatistiksel olarak Finans, Muhasebe, İnsan Kaynakları ve Tedarik Zinciri birimleri birinci derecede hedeftir. İK departmanları, yönetici adına sahte “bordro değişikliği” veya “banka bilgisi güncelleme” talepleriyle sıkça hedef alınmaktadır.
Bir e-postanın sahte (spoofing) olduğunu teknik olarak nasıl anlarım?
E-posta istemcinizde (Outlook/Gmail) “Mesaj Kaynağını Görüntüle” (View Original) diyerek Return-Path ve Reply-To adreslerini kontrol edin. Eğer görünen isim CEO’nuz ama Return-Path adresi bambaşka bir domain ise, bu kesinlikle bir saldırıdır. Ayrıca Authentication-Results kısmında SPF ve DKIM değerlerinin “Fail” olup olmadığına bakın.
Siber Saldırılara Karşı Reaktif Değil, Proaktif Olun
Şirketinizin dijital varlıklarını ve finansal geleceğini şansa bırakmayın. Nesil Teknoloji’nin uzman analiz kadrosuyla Business Email Compromise (BEC) müdahale stratejinizi bugünden oluşturun.
