Arayan kimliği sahteciliği, Avrupa’nın en kalıcı siber dolandırıcılık olanaklarından biri haline geldi. Europol’ün yeni bir görüş belgesi, manipüle edilmiş telefon kimliklerinin artık kıtadaki mali ve sosyal mühendislik suçlarının çoğunu tetiklediği ve kolluk kuvvetlerinin failleri takip etmesini zorlaştırdığı konusunda uyarıyor. Ajans, küresel kayıpların yılda yaklaşık 850 milyon Avro civarında olduğunu tahmin ediyor; rapor edilen dolandırıcılık vakalarının yaklaşık üçte ikisini telefon ve mesaj tabanlı dolandırıcılık oluşturuyor.
Sahte aramalarla dolu bir ağ
Saldırganlar, IP üzerinden Ses hizmetlerini veya özel uygulamaları kullanarak çağrıların bankalar, devlet kurumları ve hatta aile üyeleri gibi güvenilir kaynaklardan geliyormuş gibi görünmesini sağlayabilir. Amaç, para veya veri çalabilecek kadar uzun süre güvenilirlik oluşturmaktır.
Bunun bir örneği Finlandiya’dan geldi; burada telekom operatörü Elisa, yeni sahteciliğe karşı önlemler uygulanmadan önce hafta içi yurt dışından gelen aramaların %90’a yakınının hileli olduğunu bildirdi. Çoğunun, kullanıcılara mesai saatleri içinde ulaşacak şekilde zamanlanmış yerel Finlandiya numaralarından geldiği görülüyor. Bu olay, ulusal bir ağın yanıltıcı trafiğe ne kadar kolay doymuş hale gelebileceğini ve sadece bireyleri değil aynı zamanda iş operasyonlarını da sekteye uğratabileceğini gösterdi.
Kolluk kuvvetleri ayak uydurmakta zorlanıyor
Saldırganlar, teknik destek dolandırıcılıklarında meşru kuruluşların kimliğine bürünmek, mağdurları para aktarmaları için kandırmak veya “swatting” olarak bilinen sahte acil durum çağrıları düzenlemek için arayan kimliği sahtekarlığını kullanır. Bu suçlar genellikle sınırları aşarak organize grupların kovuşturma riskinin az olduğu ülkelerde faaliyet göstermesine olanak tanıyor.
Suçlular, ulusal otoritelerin önünde kalabilmek için yetki farklılıklarından yararlanıyor. Hatta bazıları, güvenilir varlıkların kimliğine bürünmek için gereken araçları kiralayan “hizmet olarak sahtecilik” operasyonları bile yürütüyor. Bu tür hizmetler, küçük grupların veya bireysel dolandırıcıların minimum teknik beceriyle ikna edici kampanyalar başlatmasını kolaylaştırır.
Sahteciliğin ne kadar kolay yapılabileceği ile izini sürmenin ne kadar zor olduğu arasındaki dengesizlik, araştırmacıları hayal kırıklığına uğratmaya devam ediyor. Ajans, bu durumun Avrupa kamu güvenliği açısından artık sürdürülebilir olmadığını savunuyor.
Koordinasyon ve politikadaki boşluklar
Europol, 23 AB üye ülkesinden bilgi topladı ve sahteciliğe karşı çabaların önünde yaygın engeller buldu. Kolluk kuvvetleri telekom operatörleri ve düzenleyicilerle zayıf işbirliğini, sınırlı kaynakları ve belirsiz yetkileri gerekçe gösterdi. Bulgular, kimlik sahtekarlığıyla ilgili dolandırıcılıklara maruz kalan yaklaşık 400 milyon insanı etkileyen koşulları yansıtıyor.
Müfettişler, çoğunlukla telekom firmalarıyla doğrudan temasta olmadıklarını ve aramaları takip etmek için gereken teknik verileri elde etmekte zorlandıklarını söyledi. Düzenleyici çerçeveler ülkeler arasında farklılık göstererek sınır ötesi soruşturma yürütme yeteneğini sınırlıyor. Bazı durumlarda operatörler, yasal sorumlulukların belirsiz olması nedeniyle bilgi paylaşmaktan çekinmektedir.
Birleşik bir Avrupa tepkisi oluşturmak
Belgede, sahte aramaların belirlenmesi ve engellenmesi için AB çapında teknik standartlar talep ediliyor ve ağlar arasındaki aramaların izlenmesi için tarafsız bir uluslararası geri izleme sistemi öneriliyor.
Politika düzeyinde, üye devletlerden yasal çerçevelerini, araştırmacıların kimin geri izleme talebinde bulunabileceğini ve hangi verilerin paylaşılabileceğini bilmesini sağlayacak şekilde uyumlu hale getirmeleri isteniyor. Meşru ve gayri meşru kimlik sahtekarlığının tanımları, telekomünikasyon sağlayıcılarının trafiği ne zaman engelleyeceklerini ve buna ne zaman izin vereceklerini anlamalarına yardımcı olacaktır. Bazı ülkeler STIR/SHAKEN gibi kimlik doğrulama sistemlerini test ederken, tek bir model Avrupa’daki her yasal veya gizlilik bağlamına uymayabilir.
Kimlik sahtekarlığı saldırılarının ulusötesi doğası, internet servis sağlayıcıları, telekom operatörleri, kolluk kuvvetleri ve düzenleyiciler arasında kesintisiz bilgi paylaşımını ve koordineli eylemi gerektirir.
Arayanın kimliğinin ötesinde
Europol, sahteciliğe karşı savunmalar gelişse bile suçluların taktik değiştirdiği konusunda uyarıyor. SIM tabanlı dolandırıcılıklar, anonim ön ödemeli hizmetler ve geri arama dolandırıcılıkları gelişmeye devam ediyor. Kurum, telekom operatörlerinin kimlikleri doğrulamak ve ağ kaynaklarının kötüye kullanımını tespit etmek için daha güçlü “Müşterinizi Tanıyın” ve “İşleminizi Bilin” kontrolleri uygulamasını öneriyor.
Smishing veya SMS kimlik avı, filtreleme ve tespit yöntemlerinde sürekli güncellemeler gerektirecek devam eden bir risk olmaya devam ediyor.
AB’nin güvenlik stratejisine uyum
Tavsiyeler, Birliğin organize suçla mücadele ve vatandaşları çevrimiçi ve çevrimdışı koruma kapasitesini güçlendirmeyi amaçlayan Avrupa Komisyonu’nun KorumaAB stratejisiyle uyumlu. Europol, arayan kimliği sahtekarlığını siber destekli dolandırıcılığın temel etkeni olarak tanımlıyor ve bunun azaltılmasının ortak bir Avrupa önceliği olarak ele alınması çağrısında bulunuyor.
Dolandırıcılar, iletişim sistemleri doğrulanmış kimlikler ve tutarlı gözetim üzerine yeniden inşa edilene kadar bu sistemlere duyulan güveni istismar etmeye devam edecek. Bunun başarılması kamu yetkilileri, telekom sağlayıcıları ve daha geniş siber güvenlik topluluğu arasındaki işbirliğine bağlı olacaktır.