Web Sitelerinde Dolandırıcılık Artıyor. Web sitesi kimliğine bürünme dolandırıcılıkları giderek büyüyen bir sorun haline geldi, ancak çoğu işletme bunları çözmek için sahip oldukları araçlardan memnun değil.

Dijital risk koruma çözümleri şirketi Memcyco tarafından Salı günü yayınlanan bir araştırma , işletmelerin yaklaşık dörtte üçünün çevrimiçi dolandırıcılıkları önlemek için bir dijital kimliğe bürünme koruma çözümü kullandığını, ancak bu kuruluşların yalnızca %6’sının kendilerini ve müşterilerini koruduğu konusunda tatmin olduğunu ortaya çıkardı. Memcyco CMO’su Eran Tsur, TechNewsWorld’e “Bu gerçekten şok edici” dedi.

Araştırmaya göre işletmelerin üçte ikisinden fazlası (%68) web sitelerinin taklit edildiğini biliyor ve neredeyse yarısı (%44) bunun müşterilerini doğrudan etkilediğini biliyor. Araştırma, Amerika Birleşik Devletleri ve Birleşik Krallık’ta güvenlik, dolandırıcılık, dijital ve web sektörlerinde direktörden C seviyesine kadar 200 tam zamanlı çalışanın katıldığı bir ankete dayanıyor.

Küresel bir güvenlik, uyumluluk ve araştırma firması olan Guidepost Solutions’ın genel müdürü Matthew Corwin, “Sahte bir web sitesi, oturum açma kimlik bilgilerini veya hassas kişisel bilgilerini vermeleri için kandırılırlarsa müşteriler için önemli mali kayıplara yol açabilir” dedi .

TechNewsWorld’e şunları söyledi: “Müşteriler, taklit edilmiş bir web sitesi aracılığıyla gerçekleştirilen dolandırıcılıkların kurbanı olursa, marka itibarı ciddi şekilde zarar görebilir ve bu da şirkete olan güveni zedeleyebilir.”

Bir web sitesi kimliğine bürünme dolandırıcılığı, bir şirketin itibarından daha fazla zarar verebilir. Küresel bir mobil uygulama güvenliği şirketi olan Approov Mobile Security’nin CEO’su Ted Miracco, TechNewsWorld’e şöyle konuştu: “Dolandırıcılıktan doğrudan mali kayıpların yanı sıra düzeltme, yasal ücretler ve muhtemelen bir miktar müşteri tazminatıyla ilgili dolaylı maliyetler de olabilir.”

Tespit için Müşteri Raporlarına Dayanma

Çalışma aynı zamanda ankete katılan şirketlerin üçte ikisinin (%66) web sitesi kimliğine bürünme saldırılarından haberdar olmasının en yaygın yolunun, etkilenen müşterilerden gelen olay raporları aracılığıyla olduğunu ortaya çıkardı. Tsur, “Bu inanılmaz” dedi. “Kurulu çözümler bu saldırılara karşı koruma sağlamadığı veya engellemediği gibi, kuruluşların bu saldırıların gerçekleşip gerçekleşmediğine dair hiçbir fikri yok.”

Guidepost Solutions’dan Corwin, kimliğe bürünme dolandırıcılıklarını tespit etmek için öncelikle müşteri raporlarına güvenen işletmelerin önemli erken uyarıları ve ortaya çıkan tehditlere karşı proaktif bir şekilde savunma fırsatını kaçırabileceğini belirtti. “Reaktif bir yaklaşım, müşteri ilişkilerine ve güvenine zarar verebilecek yükü müşterilere yüklüyor” dedi.

Approov’dan Miracco, “Müşterilerden dolandırıcılık olaylarını öğrenmek, saldırının zaten bireyleri etkilemiş olduğu ve hafifletme işlemi başlamadan önce zarara yol açtığı anlamına geliyor” diye ekledi. “Düzenli taramalar, bir markayı taklit eden sahte web sitelerini çökertebilecek tek alternatiftir, ancak olayları gerçekleşmeden önce tahmin etmeniz gerektiğinden bu zorlayıcıdır.”

“Müşteri raporlarından çalışmak proaktif değil, reaktif bir yaklaşımdır” dedi. Henüz yeterli bir savunmanın mevcut olduğundan emin değilim, bu nedenle kullanıcıların meşru görünen e-postalara yanıt vermeden önce eğitilmeleri ve daha dikkatli olmaları gerekiyor.”

Araştırmanın daha da endişe verici bir bulgusu, işletmelerin %37’sinden fazlasının, sahte web sitelerinden ilk olarak kimlik avı ile ilgili dolandırıcılıklardan etkilenen müşteriler deneyimlerini sosyal medyada duyurduklarında farkına vardıklarını söylemesidir; bu, “marka utandırma” olarak bilinen bir uygulamadır.

Çalışma, giderek kullanıma hazır hale gelen yapay zeka ve kimlik avı kitleri ile işletmelerin ana tehdit istihbaratı kaynağı olarak müşterilere güvenmeye ne kadar daha fazla dayanabileceklerini sorguladı.

Memcyco’dan Tsur, “Bu kitlerle her şey tamamen otomatikleşiyor” dedi. “Onu çalıştırıp unutabilirsin.”

Siber güvenliğin en kötü kabusu

Corwin, yapay zeka destekli araçların ve önceden paketlenmiş kimlik avı kitlerinin erişilebilirliğinin, teknik açıdan daha az beceriye sahip kişilerin bile ikna edici kimliğe bürünme saldırıları gerçekleştirebileceği anlamına geldiğini açıkladı. “Yapay zekayla geliştirilmiş kimlik avı araçları, meşru web sitelerini daha doğru şekilde taklit edebilir, en dikkatli kullanıcıları bile aldatabilir ve tehdit ortamını genişletebilir” dedi.

“Çoğunlukla” diye devam etti, “siber suçlular aynı zamanda bir şirketin veya markanın meşru adresiyle hemen hemen aynı görünen ancak ‘birleşik ekleme’ veya ‘yazım hatası’ olarak bilinen küçük değişiklikler veya hatalar içeren alan adlarından da yararlanır.”

Miracco, “Yapay zeka çok tehlikeli” diye ekledi. “Bu araçların kullanımı, teknik beceriye sahip olmayan kişiler için bile çok kolay ve neredeyse herkesin karmaşık kimlik avı kampanyaları oluşturmasına olanak tanıyor. Yapay zekanın ne kadar harika olacağından bahseden şirketler tarafından elden teslim edilen bu, en kötü siber güvenlik kabusumuz gerçek oluyor. Ne yazık ki çoğu teknolojiyi ilk benimseyenler kötü oyunculardır.”

Pleasanton, California’da bir ağ güvenliği şirketi olan SlashNext’in CEO’su Patrick Harr, web sitesi taklitlerinin web’in doğduğundan beri var olduğunu belirtti.

“Bunları hemen hemen her kullanıcı tarafından fark etmek genellikle kolaydı” dedi. “Son zamanlarda değişen iki şey var; kimlik avı yapanlar meşru alan adlarını işgal ediyor ve kimlik avı yapanlar mükemmele yakın web sitesi sayfaları oluşturmak için kimlik avı kitleri ve yapay zeka kullanıyor.”

“Yapay zeka bilgisayar görüşü karşı önlemleri olmadan bunların fark edilmesi çok zordur ve tehdit aktörlerini daha az değil, daha başarılı hale getirecektir” diye devam etti.

Web Sitesi Kimliğe Bürünme Dolandırıcılıklarıyla Mücadele Stratejileri

Clearwater, Fla.’da bir güvenlik farkındalığı eğitim sağlayıcısı olan KnowBe4’ün savunma savunucusu Roger Grimes, e-posta gönderen her şirketin küresel kimlik avı önleme standartları olan DMARC, SPF ve DKIM’yi uygulamasını tavsiye etti. TechNewsWorld‘e “Onlar, meşru gönderen alandan geldiğini iddia eden kötü amaçlı e-postaları ve bağlantıları engellemeye çalışıyorlar” dedi.

“Örneğin,” diye açıkladı, “Microsoft’tan geldiğini iddia eden bir e-posta alırsam, alıcının e-posta sunucusu/istemcisi, e-postanın gerçekten Microsoft’tan gelip gelmediğini görmek için DMARC, SPF ve DKIM’yi kullanabilir.”

Miracco, saldırganların iletişimleri ele geçirmesini ve sahtekarlık yapmasını zorlaştırmak için şirket web sitelerinin tüm web trafiğinin SSL/TLS sertifikalarıyla şifrelenmesini sağlamasını önerdi.

Mobil uygulamaların bütünlüklerini doğrulamak ve arka uç API’leriyle etkileşimlerin yalnızca uygulamanın meşru, değiştirilmemiş örneklerinden kaynaklandığından emin olmak için doğrulama mekanizmaları uygulaması gerektiğini ekledi. Ayrıca kimlik avı kitlerini, sahte alan adlarını ve diğer kimliğe bürünme göstergelerini izleyebilecek tehdit istihbarat servislerini de işe almaları gerekir.

Yazım hatası gibi taktiklere karşı Corwin, şirketlerin tireli adlar, diğer popüler alan adı uzantıları ve biraz bozuk karakterler de dahil olmak üzere mevcut alan adlarının bariz varyasyonlarını veya olası yazım hatalarını kaydedebileceğini belirtti.

“Kimlik avı sitelerini ve şirketin fikri mülkiyetini içeren yeni alan adlarını izleyecek marka izleme hizmetleri var ve hatta bazıları otomatik alan adı kaldırma hizmetlerine bile yardımcı olacak” dedi. “Bunlar bazı şirketlere yardımcı olabilir, ancak ne yazık ki alan adlarının çok fazla potansiyel varyasyonu olduğundan ve mevcut araçlar bu kimlik avı sitelerini oluşturmayı çok kolaylaştırdığından riskin devam etmesi muhtemeldir.”

Miracco, şirketlerin yalnızca teknolojik savunmaya odaklanmaması gerektiğini, aynı zamanda çalışanlar ve müşteriler arasında bir güvenlik farkındalığı kültürü geliştirmesi gerektiğini de sözlerine ekledi.

“Web sitesi kimliğine bürünme dolandırıcılıkları, çok yönlü bir yaklaşım gerektiren, hızla gelişen bir tehdittir” dedi. Yapay zeka bu sorunu mümkün kıldı ve umarız yakın gelecekte kullanıcıların sahte bir siteyle yüksek maliyetli hatalar yapmasını engelleyebilecek yapay zeka destekli çözümler uygulayacağız.”