“Suça bulaşmış bir
internet dünyasında yaşıyoruz, karteller para için kötü amaçlı yazılımlar geliştiriyorlar.
Halen bu suçluların yeraltı dünyasından geldiği ve arkadan dahasının da
geleceği anlaşılamıyor.”
Eugene
Kaspersky
Yaklaşık üç yıl kadar önce,
Facebook arkadaşlarımdan birinin yönlendirdiği mesajla başlayan bir süreç
sonunda cep telefonu faturamdan beklemediğim bir tutarın çekilmiş olduğunu gördüm.
Gerekli itirazı da yapmama rağmen bir sonuç alamadım. Neticede, ne kadar
bilinçli bir tüketici olursanız olun, bazen basiretiniz bağlanıyor ve
kanıveriyorsunuz işte. Çevremden de takip ettiğim kadarıyla halen benzer dolandırıcılık
vakaları inandırıcılıklarını da katlayarak devam ediyor.
Dolandırıcılar gelişen teknoloji
ve güvenlik altyapıları ile aynı platformda mücadele etmelerinin yanında tüketicilerin
zayıf noktalarını analiz ederek, farklı yöntemler geliştiriyorlar. Örneğin sigorta
pazarlamak için arayan bir çağrı merkezi temsilcisi tüketiciyi yalandan
yapılmış bir sigorta poliçesinin satışını iptal etmek için cep telefonuna
gönderilen 3D Secure şifresini vermeye ikna edebiliyor. Aslında bu esnada dolandırıcılığa
maruz kalan tüketicinin kartı ile internet üzerinden işlem yapılıyor. Tüketici
can havliyle doğru hamle yaptığını düşünerek 3D Secure şifresini kendi elleriyle
dolandırıcıya teslim etmiş oluyor…
Zamanımızın dolandırıcılık ve sahtekârlık
yöntemleri her zaman bu kadar naif olmuyor tabii, “man in the middle” gibi
yüksek teknoloji gerektiren pek çok yöntemin kullanıldığını da görüyoruz. Peki,
bunlar nelerdir ve önleyici tedbirleri nasıl alabiliriz, gelin biraz da bu
detayları inceleyelim.
Gelişen Dolandırıcılık
Teknikleri
Günümüzde tüketicilerin hayatını
kolaylaştırmak ve işlem hızlarını arttırmak için temassız ödemeler, kartsız
para çekme, görünmeyen ödemeler, e-ticaret ya da mobil ödemeler gibi farklı ve
üst düzey teknoloji içeren ödeme sistemleri kullanılıyor.
Bu arada dolandırıcılar da boş
durmuyor. Ödeme akışlarındaki güvenlik unsurları ve adımları ne kadar çok
azaltılırsa, işlemler de eskiye nazaran daha az veriyle gerçekleştiriliyor ve olası
dolandırıcılıkları engellemek aynı oranda zorlaşıyor.
Dolandırıcılar ödeme bilgilerini
ele geçirmek için zincirdeki en zayıf halkayı bulmakta çok başarılılar, çünkü
zaten onların işi bu. Zayıf noktaları keşfettikten sonra da, geniş ve etkili
ataklarla değerli ve yüksek kaliteli veriye doğrudan erişebiliyorlar.
Bu karanlık dünya ile başa çıkabilmek
için büyük, küçük tüm atakları hızlı biçimde tanımlayabilen ve otomatik olarak
önleyebilen akıllı, kendi kendine öğrenen sistemlere ihtiyaç olduğu bence çok
açık.
kurumsal Tespit yöntemleri
Finansal dolandırıcılık;
bankacılık, ödeme sistemleri ve e-ticaret
alanlarında görülüyor.
Bu alanlarda gelişen atakları
önleyebilmek için ise kurumların yapmaları gereken çalışmaları şöyle
sıralayabiliriz;
- Yürütülen
işlerin ve iş süreçlerin detaylı analizini yapmak
- Mevcut
ve olası dolandırıcılık senaryolarını tanımlamak
- Bu
senaryolara ilişkin işaret ve bulguları listelemek
- Bu
işaret ve bulguları tespit edebilecek yetenekteki teknolojileri bulmak ve kullanmak
- Çıkan
sonuçları analiz etmek, iş süreçlerini buna göre düzenlemek
- Bu
adımları düzenli gözden geçirerek, organizasyon ve sistem yapılarını uyarlamak
- Kuruma
özel güvenlik ve iç kontrol prosedürlerini yazılı hale getirerek, uygulanmasını sağlamak
Kurumsal yapılarda dolandırıcılık ve sahtekarlıkla
mücadele edebilmek için yukarıda belirttiğimiz yönetişim adımlarının
uygulanmasının yanında, gerekli
teknolojik altyapıların kurulması da önem taşıyor. Günümüzde büyük veri
analitiği, bulut bilişim servisleri, e-ticaret ve mobil servislerin artmasıyla
birlikte, gelişkin tespit ve önleyici sistemlerin kullanımı da artık bir
gereklilik.
Dolandırıcılık ve Sahtecilik
Trendleri
Biraz da dünyadaki ve ülkemizdeki
dolandırıcılık, sahtecilik trendlerine göz atalım.
Dünya çapında düzenli şekilde artan e-ticaret işlem hacimleri, haliyle dolandırıcıları da cezbediyor. Hatta o kadar ki; globalleşen e-ticaret, dolandırıcılık çetelerini de global oyuncu haline getiriyor. Gerek bankalar ve gerekse ödeme sağlayıcılar kötü niyetli girişimlere karşı şimdilerde daha teçhizatlı ve korunaklı.
Ülkemizde 6493 sayılı “Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun” ve bu kanunla ilişkili mevzuata bağlı olarak ödeme sağlayıcıları ve pazaryerleri de yükümlülükleri kapsamında gerekli altyapıları kurdular.
Ancak bu siteler üzerinden alınan hassas müşteri bilgilerinin güvenliğinin nasıl sağlandığına, statik bir güvenlik yapısıyla mı yoksa gerçek zamanlı bir kontrol sistemiyle mi risklerin yönetildiğine bakılması gerekiyor. Çünkü zaten zamane suçluları hangi şirketin hangi altyapıyı ve ürünü kullandığını ve bunun ne kadar caydırıcı olup olmadığını da önceden tespit edebiliyor. Kısacası bu tür ataklara karşı caydırıcı olabilecek sistemler kurmak da şart bana göre.
Siber suçlarda sıkça görülenlerden biri de gerçek kimlik hırsızlığı. Böylece dolandırıcılar sıfırdan yeni kimlik yaratmaya gerek kalmadan kişisel bilgileri ele geçirerek gerçek kişiler üzerinden suç işleyebiliyorlar. Bu tür durumlarda, kişinin şahsi e-posta hesabını da kırarak online işlemler için bu adresi kullanıyorlar. Internet alışveriş dolandırıcılıklarında ise farklı kişilere ait adresler vererek ödemelerin o kişiler tarafından yapılmasını sağlamaya çalışıyorlar.
Akıllı telefon ve tabletler masa üstünün yerini aldı. Dolayısıyla tüketiciler de işlemlerinin çoğunu bu ortamlardan gerçekleştiriyorlar. Ancak akıllı telefon ekranında sayfanın tamamının görüntülenememesinden ya da kötü amaçlı yazılımlar ve virüslerden ötürü dolandırıcılar tarafından kurulmuş olan sahte siteler yoluyla dolandırıcıların tuzağına düşmek mümkün.
Uzmanlara göre 2014 yılında 400 bin olan cep telefonu virüs çeşidi 2017 sonuna kadar 1.2 milyon adede çıkacak. Bu da demek oluyor ki, mobil ortamlarda artık çok daha dikkatli olmalıyız.
Tüketicilere tavsiyem, cep telefonlarından ya da tabletlerinden doğru düzgün görüntüleyemedikleri sitelere kişisel bilgilerini, şifrelerini ya da ödeme bilgilerini bırakmamaları yönünde. Ayrıca bilmedikleri sitelere girdiklerinde mobil cihazlarına virüs bulaşabileceğini de göz önünde bulundurmalılar.
Kötü Amaçlı Yazılımlar Şimdi Daha Akıllı
Mobil ortamların yanında kurumsal dünyada yaygın kullanılan masa üstü bilgisayarlar için geliştirilen virüs yazılımları da giderek kendini geliştiriyor. Hatta öyle ki, kapalı devre bayi alışverişlerinde bile dikkatli olunması gerekiyor. Kurumların kendi bilişim ağları üzerindeki tüm bilgisayarların virüs koruması altında olduğundan emin olmaları, e-posta ekleri, USB port, disk okuyucu, internet siteleri üzerinden bulaşabilecek tüm kötü amaçlı yazılımları kontrol altında tutmaları gerektiğine inanıyorum. Halen bu korumaları aktif hale getirmeyen kurumlar kaldı ise, en kısa zamanda bu çalışmalarını tamamlamalarını öneriyorum.
Müşteri Deneyimi
Bazen müşteri deneyimine öncelik verip güvenlikten vazgeçtiğiniz oluyordur. Bu tür düzenlemeleri yaparken iki kere düşünmenizi tavsiye ederim. Zira güvenlikten taviz verdiğinizde ortaya çıkabilecek finansal kayıpları da “müşteri deneyimi önemli” diyerek giderlerden karşılamak durumunda kalabilirsiniz günün birinde.
Hiç yorum yok:
Yorum Gönder