Toplulukların hızlı dijitalleşmesiyle kişisel ve ticari ilişkilerin derinden değiştiği bir sır değil. 2024 yılında, çevrimiçi dolandırıcılıklardan kaynaklanan mali kayıpların 10,1 milyar R$ TL'ye ulaştığı ve bir önceki yıla göre % arttığı çalışmalar gösteriyor.
Bu dönüşüm, öte yandan, siber suçlular için saldırı yüzeyini de genişletti; zira sofistike dolandırıcılık planlarını uygulamada giderek daha fazla sosyal mühendislik yöntemlerine bağımlı hale geldiler.
En yaygın olanlar arasında phishing, smishing ve vishing bulunur – kullanılan yöntemler farklı olsa da ortak amaçları, özellikle erişim kimlik bilgileri gibi hassas bilgileri çalmak için kurbanları kandırmaktır. Geleneksel olarak tüketicilere yönelik dolandırıcılık ile ilişkilendirilse de bu sosyal mühendislik yöntemleri kurumsal ortamda da son derece etkilidir. Dolandırıcılar, iç sistemlere erişmek, tedarik zincirlerini tehlikeye atmak ve büyük ölçekli finansal dolandırıcılıkları gerçekleştirmek için şirketleri hedef almaktadır.
Phishing, Smishing ve Vishing aynı tehditler midir?
Açıklamayı başlatmak için, sosyal mühendislik teriminin, dolandırıcıların kurbanları duygusal ve sosyal olarak manipüle ederek kendi çıkarlarına aykırı hareket etmelerine ve güvenliklerini tehlikeye atmalarına yol açan bir dizi teknik anlamına geldiğini anlamak önemlidir.
Phishing, bu tür dolandırıcılığın en bilinen türüdür. E-posta phishing kitleri dark web'te bulunabilir. Bu konuda uzman olmayan dolandırıcılar için, hizmetlerini yerine getiren kişiler vardır. Genellikle bankalar, perakendeciler veya online servisler gibi güvenilir kurumlarmış gibi görünen e-postalar veya mesajlar göndermeyi içerir.
Hedef, alıcının sahte sitelere yönlendiren kötü niyetli bağlantıları tıklatmasıyla dolandırmaktır. Sahte siteler, asıllarına son derece benzemektedir ve şifreler ile kimlik bilgileri, belge numaraları veya kredi kartı bilgileri gibi hassas bilgileri ele geçirmeyi amaçlamaktadır. Serpro'nun verilerine göre, sahtekarlık, Brezilya'da hala en sık görülen dolandırıcılık türlerinden biridir ve suçlular, daha ikna edici ve kişiselleştirilmiş içerikler oluşturmak için yapay zekâ (YZ) ve deepfake teknolojilerini kullanarak stratejilerini geliştirmektedir. Yakın zamanda, deepfake teknolojisiyle manipüle edilmiş, sunucu Marcos Mion'un görüntüsü ve sesi kullanılarak hazırlanmış videolar kullanan bir suç örgütüne katılım nedeniyle bir adam tutuklandı.
Sahtekarlar ayrıca, çalışanları para transfer etmeye veya kimlik bilgilerini vermeye yönlendirmek için yöneticiler gibi görünen e-postalarla İş Elektronik Postası Dolandırıcılığı (BEC) ve Sahte CEO dolandırıcılığı gibi dolandırıcılıkları da gerçekleştiriyorlar.
Öte yandan, smishing (SMS ve phishing'in birleşimi), kurbanları kandırmak için metin mesajları kullanır. WhatsApp ve Telegram gibi mesajlaşma uygulamalarının yaygınlaşmasıyla bu yöntem güç kazandı ve insanlar acil veya önemli görünen mesajlara hızlı yanıt verme eğilimini kullanıyor.
Vishing (ses olarak dolandırma), dolandırıcıların şirket veya kurum temsilcisi kılığına girdiği telefon görüşmeleri aracılığıyla gerçekleştirilir. İkna edici bir ton, daha önceki veri sızıntılarından elde edilen verilerin kullanımıyla birlikte, kurbanları telefonla gizli bilgileri paylaşmaya daha yatkın hale getirir. Bu tür dolandırıcılık, özellikle büyük şirketler olmak üzere giderek daha fazla Brezilya şirketini etkiliyor.
Eski hesaplar suçlular için en değerli varlıklardır.
Bu dolandırıcılıkların büyümesi, hesap tabanlı ekosistemlerin sahip olduğu değere doğrudan bağlıdır. Eski ve güvenilir bir hesap, suçlular için doğrudan para çalmaya göre daha değerlidir. Bunun nedeni, meşru aktivite geçmişi olan hesapların geleneksel dolandırıcılık tespit sistemleri tarafından otomatik olarak tespit edilme olasılığının daha düşük olmasıdır.
Sahteciler, hesaplara erişmek için phishing ve farklı varyasyonlarını bir arada kullanıyorlar; bu hesaplar, itibarlarını doğrulayan yıllarca süren ilişkiler ve işlemlere sahip olabilir. Bir kez giriş sağlandığında, suçlu satın alma geçmişini, davranış kalıplarını inceleyebilir ve bazı durumlarda, hesabın gerçek sahibinin olduğunu iddia ederek müşteri hizmetleriyle bile etkileşime girebilir.
Nethone raporuna göre, bazı dolandırıcılar destek ekip üyeleriyle ilişki kurarak, hesaptaki değişiklikleri manipüle ederek dolandırıcılık faaliyetlerini gerçekleştirmeyi kolaylaştırıyorlar; bu olaya hesap ele geçirme (account takeover) deniyor. Bu tür saldırılar sadece doğrudan mali kayıplara sebep olmakla kalmıyor, aynı zamanda dijital platform ve hizmetlere duyulan güveni de zedeliyor.
Yapay zekâ ve otomasyonun sahtekarlıklar üzerindeki etkisi
Tarihsel olarak, sosyal mühendislik kampanyaları planlama, zaman ve belirli bir dereceye kadar elle kişiselleştirme gerektiriyordu. Ancak, büyük ölçekli dil modeli (LLM) benimsenmesi, bu durumu tamamen değiştirdi.
Bugün, jeneratif yapay zekâ tabanlı otomatik araçlar ile suçlular, birkaç dakika içinde phishing kampanyaları oluşturabiliyor ve başlatabiliyorlar. Daha önce akıcılık veya zaman gerektiriyorken, iyi yazılmış metinler artık yüksek sofistikelik seviyesinde otomatik olarak oluşturuluyor. Sonuç olarak, bu saldırıların hacmi ve sıklığı endişe verici bir şekilde arttı.
Bu büyüme, yalnızca dolandırıcılık kampanyalarının daha geniş bir kapsama ulaşmasını değil, aynı zamanda yapay zeka ve otomasyona dayalı yeni tekniklerin etkinliğini de yansıtıyor.
Phishing, smishing ve vishing'in sadece bireysel tüketiciler için birer risk olduğu düşüncesi yanıltıcıdır. Şirketler de, özellikle kurumsal kimlik bilgileri karanlık ağda ortaya çıktığında, bu dolandırıcılıklara sıklıkla maruz kalmaktadır. Nethone'ın bir analizine göre, dolandırıcılar sızdırılmış çalışan verilerini edinebilir ve bu sayede iç sistemlere ve hassas veritabanlarına yetkili erişim sağlayabilirler.
Bundan sonra, incelikli hareketler yaparlar: şirketin satın alma veya işlem davranışını incelerler, teknik veya ticari destekle etkileşim kurarlar ve aşamalı olarak iç süreçleri manipüle ederek, derhal şüphe uyandırmadan dolandırıcılık işlemleri gerçekleştirirler. Bu uygulama, yalnızca kuruluşun güvenliğini değil, aynı zamanda müşteriler ve ortaklarla olan güven ilişkilerini de zedeler.
Bu tehditlerden nasıl korunabilirsiniz?
Phishing, smishing ve vishing'e karşı koruma, teknoloji, süreçler ve farkındalık kombinasyonunu içerir.
Eğitim ve farkındalık: İlk savunma hattı her zaman kişidir. Hem şirketlerin hem de kullanıcıların bu dolandırıcılıkların ortak işaretlerini, örneğin imla hataları, mesajlardaki aşırı acelecilik, hassas bilgiler için talepler ve alışılmadık iletişim kanalları, tanımaları için eğitilmeleri gerekir.
Çok Faktörlü Kimlik Doğrulama (MFA): Kimlik bilgileri çalınmış olsa bile, çoklu kimlik doğrulama katmanı kullanımı yetkisiz erişimi zorlaştırır.
Kimlik Doğrulama İzlemeleri: Karanlık web'te kimlik bilgisi ifşalarını izleyen araçlar, şirketlerin ve bireylerin sızıntılar hakkında hızlı bir şekilde uyarılmaları için çok önemlidir.
Yapay Zeka Tabanlı Dolandırıcılık Tespit Sistemleri Suçularlar gibi, şirketler de olası saldırılar veya dolandırıcılık girişimlerini gösteren anormal davranış kalıplarını tespit etmek için yapay zekaya başvurmalıdır.
Güvenin değerli bir para birimi olduğu bir dönemde, kimlik doğrulama bilgilerini korumak ve tetikte kalmak, bireylerin ve şirketlerin dijital bütünlüğünü korumak için elzemdir.
