Tüm Detayları ile Genel Müdür Dolandırıcılığı

Genel Müdür Dolandırıcılığı, küçük-orta veya büyük ölçekli şirketlerin tamamını hedef alan ve her geçen gün daha fazla tehlikeli olmaya başlayan bir siber saldırı yöntemi.

Söz konusu yöntem, 2018 yılında küresel şirketlere 1,1 milyar Euro zarar verdiğinde siber güvenlik dünyasının ana gündem maddelerinden biri haline gelmişti. Saldırının adı, özellikle C-seviyesi yöneticiler olarak bilinen CEO (yönetim müdürü), CTO (teknoloji müdürü) ve COO (operasyon müdürü) pozisyonlarını hedef almasından ileri geliyor. Bu sebepler Genel Müdür Dolandırıcılığı’na “Şirket e-posta saldırıları” adı da veriliyor.

Siber saldırganlar, üst düzey yöneticilerin e-posta hesaplarına sızmaları halinde çalışanlara şirketin standart prosedürlerinin dışına çıkan acil ve özel direktifler verebiliyor. Bu şekilde gerçekleştirilen finansal işlemlerle şirket dolandırılmış oluyor.

Siber saldırganlar, e-posta yazışmaları üzerinden güven temin edebilmek için kamuya açık bilgileri kullanıyor, böylelikle direktif verdikleri çalışanlarda şüphe uyandırmamayı başarıyor.

Güvenlik uzmanlarının yaptığı analizler, bu dolandırıcılık türünün dört ana basamaktan oluştuğuna işaret ediyor:

1- Hedefin belirlenmesi 

Şirketler her gün sayfalarında ve sosyal medya kanallarında yakın gelecekte gerçekleştirilecek etkinlikler, sponsorluklar ve günlük aktiviteler hakkında bilgiler sunuyor. Bu tür duyurular, etkinliklere katılacak şirket yöneticilerinin ne zaman erişilebilir olup olmayacakları konusunda siber saldırganlara ipucu veriyor.

Siber saldırganlar hedef kişiyi belirledikten ardından şirketin bulunduğu sektörü, bağlantıları, iş ortaklarını, finansal işlemlerini ve muhtemel şirket birleşmesi gibi süreçleri inceliyor. Buradaki temel amaç, hedef belirlenen yöneticinin yakın geçmişte katıldığı etkinlikleri ve gerçekleştirdiği finansal işlemleri anlamlandırmak. En nihayetinde elde edilen bilgiler ile hedeflenen yöneticiyi taklit edebilmek için gerekli bilgiler ediliyor.
Örnek olarak;

– Şirketin belli bir pozisyonunda çalışan, bilgilerine internet üzerinden ulaşılabilen bir yetkilisi ile sahte yönetici temasa geçiyor ve acilen belirttiği hesap numarasına (normalde kullanılmayan) para transferi yapılması gerektiğini bildiriyor.

– Sahte bir şirket birleşimi yönetimi ve satın alım yönetimi firması, yöneticinin şirketi tarafından gerçekleştirilecek işlem için sahte bir işlem yapılmasını talep ediyor. Sahte yönetici kılığındaki siber suçlu, tekrar bir çalışan ile temas kuruyor ve sürmekte olan şirket satın alımı veya birleşimi için para transferi emri veriyor. Bunu yaparken de ilgili işlemin “gizli tutulması gerektiğini” belirtiyor.

2- Çalışanın manipüle edilmesi 

Bu basamakta sosyal mühendislik devreye giriyor. Sahte işlemi gerçekleştirmek için gerekli mazeret üretildiğinde (alım/satım gibi), tekrar bir çalışan ile telefon veya e-posta üzerinden temas kurularak finansal işlem yaptırılıyor veya hassas bilgilere erişim sağlanıyor. E-posta, orijinaline çok yakın bir alan adından gönderiliyor. Ancak imza kullanılmıyor veya orijinaline yakın bir imzaya yer veriliyor.

Dolandırıcılık yapılmasını sağlayan e-posta genelde şu içeriğe sahip oluyor: 

– Çok acil ve gizli tutulması gereken bir işlem açıklanıyor; meslektaşlara veya üst düzey yöneticilere neden açıklanmaması gerektiği ifade ediliyor,

– Şirket hakkındaki hassas bilgiler talep ediliyor veya normalin dışında (o güne dek kullanılmamış) bir hesap numarasına para transferi yapılması gerektiği ifade ediliyor,

– E-postanın sonunda gizlilik vurgusu yapılıyor.

Bazen, siber saldırganlar sadece e-posta göndermekle kalmayıp dolandırıcılık işlemlerini garanti altına almak istiyorlar.

Bunun için:

– Dolandırıcılık işleminin yapılacağı e-postadan önceki telefon aramaları/e-posta yazışmalarında, istenen e-postanın gönderilmesinin ardından çalışanın işlemlerine normal olarak devam edebileceği belirtiliyor (şüphe uyandırmamaya çalışılıyor),

– E-posta ile gizlilik anlaşmasını temsil eden sahte dokumanlar gönderiliyor,

– Önceden yapılan araştırmalar ışığında, şirketin finansal işlemlerine ait spesifik prosedürler ve basamaklardan bahsediliyor. Böylece sahte işlemi yapacak çalışanın güveni kazanılıyor.

3- Çalışanın tepkisi 

Dolandırıcılık işlemini gerçekleştirmesi için seçilen çalışan, tüm istenenleri sorgulamadan yerine getirebiliyor. Bu genelde kendisine gönderilen mesajda altı çizilen “çok acil” talebinden kaynaklanıyor.

Çalışanlar aynı zamanda sıkça e-postanın gönderildiği adresi ve imzasını dikkatle kontrol etmiyor. Çalışanın güveni kazanılmış ise şüphe duymuyor, yaptığı işlem öncesi ve sonrasında “gizlilik vurgusu” yüzünden diğer hiçbir yöneticiye danışmıyor.

4- Nihai etki 

Siber suçluların para transferinin yapılmasını talep ettiği hesap numaraları, farklı bir ülkede yer alıyor. Geçmişte yaşanan Genel Müdür Dolandırıcılığı vakalarında öne çıkan bölgeler arasında Çin, Afrika ile Avrupa ülkelerinden farklı ekonomik politikalar izleyen vergi cenneti ülkeler bulunuyor. Zira farklı yasal prosedürlerin uygulandığı ve farklı dillerin hâkim olduğu bölgelere gönderilen paranın izini takip etmek zorlaşıyor.

Güvenlik uzmanları Genel Müdür Dolandırıcılığı’na karşı güvenlik sistemlerinden çok bilinçli olmanın önemli olduğuna dikkat çekiyor.

Şirketlerin boyutları ne olursa olsun bu tehditkâr dolandırıcılık türüne karşı dikkatli olması ve yöntemin nasıl gerçekleştirildiğini analiz ederek çalışanlarını eğitmesi öneriliyor.