Şirket e-posta adresinize gelen bir gönderinin ekindeki belgeye tıkladığınızda o belgenin sizin ve şirkette bulunan sunucu sisteminizin evraklarını kilitlediğini, bu kilidi kaldırmak için kriptopara başta olmak üzere fidye istendiğini çokça duymuşsunuzdur. Ransomware atakları o kadar yaygınlaştı ki, dünyada kolluk kuvvetleri artık bu konuda uzmanlaştı ve engelleyici yazılımlar da gelişti; ve dolayısıyla Ransomware yoluyla fidye isteme şeklindeki dolandırıcılığın adeta “kârlılığı” azaldı. Ancak, şuan globalde siber saldırganların en çok kâr ettiği yöntem artık Ransomware değil.
“Business Email Compromise” olarak uluslararası siber güvenlik ve hukuk sözlüğüne eklenen terim; bir ticari alım-satım işinde, siber saldırganların alıcıya sanki satıcıdan geliyormuş gibi görünen bir eposta gönderip “banka hesap adresimiz değişti, yeni adres ektedir, o adrese ödeme yapın” demesi, ve bu e-posta gönderisinin tıpkı satıcının önceki epostalarındakinin aynı formatında olması inandırıcılığıyla alıcının ödemeyi siber saldırganın hesabına yapması, bu hesabın genelde üçüncü bir ülkede olması ile birlikte paravan şirketler aracılığıyla paranın dolaştırılması ve sonunda paranın satıcıya değil siber saldırganlara gitmesidir.
BEC olarak kısaltılan bu dolandırıcılık yöntemi, FBI’ın İnternet Suçları Şikayet Merkezi yıllık raporunda belirttiği üzere, Ransomware ataklarından çok daha fazla doğrudan zarara yol açmış durumda. Rapora göre sadece üç senede şirketlerin toplam dolandırılma miktarı 26 milyar dolar. Bu rapor ve pek çok örnek vakaya göre, siber saldırganların çıkış merkezi genelde Batı Afrika ve özellikle Nijerya oluyor. Interpol ve FBI, düzenli aralıklarla operas-yon gerçekleştiriyor. Ancak genelde 3-4 farklı ülkenin kanun ve hukuk düzenini içeren karışık bir olay olduğu için, süreç epey zaman ve emek gerektiriyor.
İngiltere, ABD ve Kanada’ dan örnek mahkeme kararları var. Bu kararlarda olay çoğunlukla aynı: Tedarikçi şirketin eposta sistemine sızan hackerlar, mail silsilesine erişiyor ve gönderilen epostayı da gizleyerek Alıcı şirkete “yeni banka hesabımız ektedir” diyerek, eposta imzasını ve faturayı da taklit ediyorlar. Alıcı şirket bunu teyit etmeyip gönderiyor. Sonunda alıcı şirket ödemeyi hackerların kontrol ettiği üçüncü bir ülkedeki banka hesabına yapıyor. Kararlarda mahkemeler, bankaları sorumlu bulmuyor; çünkü bankanın müşterileriyle yaptıkları sözleşmelerde sorumluluklar detaylıca belirtilmiş ve bankanın üçüncü bir ülkedeki alıcıyı kontrol etme yükümlülüğü bulunmadığına karar veriliyor. Emsal mahkeme kararlarında yargıçlar, taraflar arasında işlemi düzenleyen bir sözleşme olup olmadığına, sızıntıyı engellemek için saldırı öncesinde şirketlerce alınan siber güvenlik önlem ve testlerine, ödeme esnasındaki e-posta silsilesinin inandırıcılığına ve hangi tarafın bunu engellemek için daha iyi bir pozisyonu olduğuna bakmışlar.
Emsal kararlar incelendiğinde şu husus ortaya çıkıyor: Böyle bir işlemde taraflar arasında bir tedarik sözleşmesi olsa ve sözleşmenin içinde, böyle bir dolandırıcılığı engelleyecek şekilde, ödeme bilgisi değişikliklerinin teyit alınmasına yönelik bir mekanizma kurulsa, sorumluyu tespit etmek çok kolay. Özellikle birden fazla yargı sistemini dahil eden hukuk uyuşmazlıklarında, sadece uluslararası tebligatın yapılması bile bir seneyi bulabiliyor. Kısa-uzun fark etmeksizin, risklere göre hazırlanmış hukuka uygun ticari sözleşmeler, bu nedenle işletmeleri dertlerden kurtarıyor.
