Ticari E-posta Güvenliğinin İhlali (BEC), medyada genellikle yalnızca bir e-posta dolandırıcılığı olarak tanımlanır, ancak gerçekte organize, geniş bir operasyonun parçasıdır. E-postanın kendisi saldırı zincirinin yalnızca bir parçasıdır. E-posta dolandırıcılığından başarılı bir şekilde para kazanılmasını desteklemek için saldırganların sabırlı olması, kuruluştaki satın alma süreci hakkında bilgi sahibi olması ve tüm altyapıyı ve operasyonu inşa etmesi veya kiralaması gerekir.
Tek bir BEC genellikle hedeflenen işe erişim sağlamayı, ham verileri toplamayı, posta kutusu bağlamını analiz etmeyi, güvenilir iletişim kanalı oluşturmayı, güvenilir ödeme altyapısına erişmeyi, her şeyi doğru zamanlamada düzenlemeyi ve çalındıktan sonra parayı taşımanın bir yolunu bulmayı içerir.
İşaret fişeği araştırmacıları geçen yıl BEC ile ilgili yer altı direklerini örnekledi ve analiz etti; Bulgular arasında öne çıkanlar şöyle:
Yapay zeka destekli BEC popüler hale geliyor, öğrenme süresini kısaltıyor ve dolandırıcılığın "kalitesini" artırıyor.
Aktörler esas olarak SaaS hesaplarıyla (O365 gibi) ilgileniyor. Kurumsal liderlik ve finans çalışanları en çok arzu edilen hedeflerdir.
Hileli ödemeyi sonuçlandırmak için hedeflenen işletmeye baskı uygulamak üzere tasarlanmış özel çağrı merkezleri bulunmaktadır.
Nakit çıkışı BEC'nin en büyük darboğazıdır; bilgisayar korsanlarının ilgili ticari banka hesaplarını veya nakit çıkışı ortaklarını bulmaları gerekir ki bu da nispeten zor bir görev olarak kabul edilir.
BEC E-postanın Sınırlarını Aşıyor
BEC, kurumsal bir posta kutusuna veya işletme SaaS hesabına erişimle başlar. Tehdit aktörleri, içeri girdikten sonra genellikle hesabı analiz eder, ardından esas olarak organizasyonel yapıyı ve özellikle finansal ayrıcalıkları, satın alma sürecini, dahili görüşmeleri, satıcılarla iletişimi ve faturaları anlayarak organizasyonu inceler ve haritasını çıkarır.
Her şey toplandıktan sonra tehdit aktörleri sahte bir talepte bulunma girişiminde bulunabilir.
BEC sürecini açıklayan resim
BEC'in tespit edilmesini zorlaştıran şey budur. Bilinmeyen bir gönderenden gelen şüpheli bir e-posta bir şeydir. Ancak, güvenliği ihlal edilmiş bir posta kutusundan, mevcut bir konuşmanın içinde, gerçek isimler, gerçek fatura referansları ve tanıdık ifadeler kullanılarak gönderilen bir mesajın çalışanlar tarafından sorgulanması çok daha zordur.
Şaşırtıcı olmayan bir şekilde Flare verileri, tehdit aktörlerinin finans departmanı çalışanlarının e-posta hesaplarına, finansal operasyonları anlamaya yönelik araçlar oldukları için oldukça değer verdiğini gösteriyor.
Tehdit aktörleri, bu hesapların içinde referans verilen alacak hesaplarını, borç hesaplarını, maaş bordrolarını, faturaları, vadesi geçmiş ödemeleri ve müşteri ödeme ilişkilerini arıyor.
Doğrudan finans işlevlerine bağlı kurumsal e-posta hesaplarına olan ilgiyle ilgili Flare platformundan alınan ekran görüntüsü.
Zaten müşteri değilseniz erişmek için ücretsiz denemeye kaydolun.
Vaka Çalışması: BEC Üzerine Hacker Tartışmaları
Bigjack adlı bir tehdit aktörünün Ocak 2026'da oluşturduğu "İş E-postası Güvenliği (BEC) - Deneyimler ve Tartışma" adlı başlık, bu operasyonun nasıl çalıştığını açıkça gösteriyor.
Bigjack'in forumdaki gönderisinden alınan ekran görüntüsü
Bigjack, ilk erişim elde etmek için uzaktan erişim kötü amaçlı yazılımını nasıl kullandığını, ardından şirket posta kutularının güvenliğini ihlal ettiğini ve bunları fatura göndermek için nasıl kullandığını anlattı. Aktörün soruları teknik izinsiz girişten ziyade deneyime dayalı pratik dolandırıcılık yönlerine odaklandı:
Fatura ne zaman gönderilecek
Aciliyet nasıl oluşturulur?
Şüphe uyandırmadan büyük miktarda para nasıl istenir?
Hangi posta kutusu bilgileri yeniden kullanılmalıdır?
Sorgulanırsa ne tür bir kanıt sunulabilir?
Hangi hatalar operasyonu mahvedebilir?
Yanıtlar, diğer tehdit aktörlerinin BEC ve oradaki deneyimlere nasıl baktığını gösterdi. Bir tehdit aktörü, fatura ödeme sürecini engellemenin önemini vurguladı. Bir diğeri, ödeme taleplerini kimin doğruladığını tespit etmenin ve onu dolandırmanın en önemli husus olduğunu söyledi. Diğer tehdit aktörleri, güvenilir işbirliği ve desteğin en kritik husus olduğunu söyleyerek para çekmenin önemini vurguluyor.
Bu tek yazışma, tehdit aktörlerinin zihniyetini açıkça ortaya koyuyor
BEC'i buldum. Tehdit aktörleri, etkili sahte faturalar göndermeye başlayabilmeleri için satın alma sürecini (doğru zamanlama, doğru baskı, doğru mali bağlam ve doğru alıcı hesap) tam olarak anlamaları gerektiğini deneyimlerinden öğrenirler.
BEC Saldırılarının Yeraltında Belge İzini Var Tehdit aktörleri, ele geçirilen finans hesaplarından para çekme ağlarına ve çağrı merkezi işe alımlarına kadar BEC operasyonlarını suç forumlarında açıkça planlıyor. Flare bu tartışmaları izler, böylece saldırının faturadan önce geldiğini görebilirsiniz. BEC Yeraltı Sinyallerini Ücretsiz Keşfedin
Nakit Çıkış Kısmı Bir Darboğazdır
Güvenilir ve uygun bir alıcı hesap olmadan BEC'den para kazanmak neredeyse imkansızdır. Tehdit aktörleri katır ağlarına bağlanıyor ve para çekme hizmetlerini kullanıyor. Bu zor bir iştir çünkü tehdit aktörlerinin dolandırıcılığı sonuçlandırmak için güvenilir, operasyonel, "temiz" ve ilgili bir banka hesabı bulması gerekir.
Neoresu adlı tehdit aktörü, yalnızca hedef banka hesabının değil, ödemeyi doğrulayan kişinin de özel bakıma ihtiyacı olduğunu vurguluyor. Hizmetlerini sundu ve başarı oranını artırmak için çağrı merkezi kullanmaktan da bahsetti.
"Capita" adlı başka bir tehdit aktörü, altı yıldır Avrupa'da (özellikle Almanya, Finlandiya ve Avusturya'da) BEC faaliyeti yürüttüğünü iddia etti ve şirketlere daha hızlı ödeme yapma konusunda baskı yapmak için eşler arası para hareketi ve bir çağrı merkezi kullandığını açıkladı.
Ayrıca bir BEC planı için para katırlarını işe almak isteyen gönderiler de var. Özellikle ticari banka hesaplarını ve hızlı para transferini içerir.
Flare platformundan "BEC operasyonu için katırlarla" ilgili ekran görüntüsü.
Zaten müşteri değilseniz erişmek için ücretsiz denemeye kaydolun.
Baskı Uygulamak İçin Çağrı Merkezlerine Destek
Bazı gönderilerde BEC sürecinin bir parçası olarak çağrılara da atıfta bulunuldu. Bigjack başlığında aktör, faturayı gönderdikten sonra ne zaman arayacağını sorarken, başka bir katılımcı, şirketleri daha hızlı ödeme yapmaya zorlamak için kullanılan bir çağrı merkezi işlettiğini iddia etti.
Bu önemlidir çünkü BEC her zaman yalnızca e-posta dolandırıcılığı değildir. Bir takip araması, talebin daha meşru ve acil olduğunu hissettirebilir. Savunmacılar için, talep edenin o kanalı tanıtması veya kontrol etmesi durumunda ikinci bir kanal orijinalliğin kanıtı olarak değerlendirilmemelidir.
Yapay Zeka Destekli BEC Saldırıları
Yeraltı tartışmaları, BEC kampanyalarının etkinliğini ve ölçeklenebilirliğini artırmak için yapay zekanın giderek daha fazla benimsendiğini gösteriyor.
Blackhatpakistan'ın aşağıdaki gönderisinde tehdit aktörleri, gerçekçi iş yazışmaları oluşturmak, yönetici ve çalışanların yazma tarzlarını taklit etmek ve meşru iletişimle harmanlanan bağlama duyarlı ödeme talepleri veya fatura dolandırıcılığı e-postaları üretmek için yapay zekayı kullanmayı anlatıyor.
Yapay zeka, tek bir şablona güvenmek yerine binlerce benzersiz e-posta varyasyonunun oluşturulmasına olanak tanıyarak kampanyaların geleneksel içerik tabanlı algılama sistemleri tarafından tanımlanmasını zorlaştırır.
Saldırganların mevcut iş tartışmalarını ele geçirmesine ve sahte ödeme taleplerini daha yüksek bir doğrulukla enjekte etmesine olanak tanıyan, tüm e-posta konuşma zincirlerini oluşturmaya yönelik özel yeraltı araçları da tanıtılıyor.
Bilgisayar korsanlarının BEC saldırılarında yapay zekayı nasıl kullandığını anlatan Flare platformundan ekran görüntüsü.
Zaten müşteri değilseniz erişmek için ücretsiz denemeye kaydolun.
Savunmacılar için Pratik Tavsiyeler
Yeraltı tartışmaları, BEC savunmalarını artırmamız gerektiğini açıkça gösteriyor. Güvenlik duruşu, ilk sahte fatura gelmeden çok önce başlamalı. Saldırganlardan öğrendiklerimiz:
Saldırganlar kuruluştaki belirli personeli hedef alır. Savunmacılar potansiyel hedefleri belirlemeli ve liderlere, finans departmanına ve satın alma sürecinde yer alan kişilere ek eğitim uygulamalıdır.
Saldırganlar artık e-postalar, faturalar, belgeler ve mesajlar gibi yapay zeka destekli yapıları kullanıyor. Savunmacıların yapay zeka tarafından oluşturulan içeriği ve derin sahte öğeleri tanımlaması gerekiyor.
Saldırganlar, finansal karar vericilere baskı yapmak ve bana ödeme yapmak için özel çağrı merkezlerinden yararlanıyor
Onaylayıcıların sahtekarlık işlemlerine izin vermesine izin verin. Savunmacılar istihbarat toplamalı ve bu merkezlerin ilgili çalışanlarını daha iyi eğitmek için hangi teknikleri kullandığını öğrenmelidir.
Saldırganlar, dolandırıcılık faaliyetlerinin başarı oranını artıracak diğer ipuçlarının yanı sıra, onaylayanların tatilde olmasını bekleyen belirli zaman noktalarının önemini vurgular. Savunmacılar bu özel belirteçleri öğrenmeli ve çalışanların tatilleri gibi belirli dönemlerde daha fazla savunma mekanizması uygulamalıdır.
Flare, güvenlik ekiplerine bu yer altı pazarlarında görünürlük sağlayarak ve açıkta kalan çalışan kimlik bilgilerini, kurumsal etki alanlarını, oturum açma portallarını, SaaS uygulamalarını ve derin ve karanlık web kaynaklarındaki ilgili göstergeleri izleyerek yardımcı olur.
Bu, kuruluşların erişim noktalarının kimlik bilgisi koleksiyonlarında veya arama hizmeti reklamlarında ne zaman göründüğünü tespit etmelerine, en ilgili risklere öncelik vermelerine ve parola sıfırlama, oturum iptali, MFA yaptırımı ve hesabın olası kötüye kullanımının araştırılmasıyla daha hızlı yanıt vermelerine olanak tanır.
Flare tarafından desteklenmiş ve yazılmıştır.