Aralık ayı geldi, Noel müziği her yerde ve tatil sezonu tüm hızıyla devam ediyor. İnsanlar sevdiklerine hediye almak isterken her köşede ‘kaçırılmayacak fırsatlar’ var. Ne yazık ki, bu tekliflerden yararlanmak isteyenler yalnızca alışveriş yapanlar değil; dolandırıcılar da bu fırsatlardan yararlanmak istiyor.
Yakın zamanda yayınlanan bir rapor, tatil sezonunda gerçekleştirilen çeşitli ve geniş kapsamlı dolandırıcılıkları ortaya çıkardı. Siber suçlular tanınmış markaların kimliğine bürünüyor ve hiçbir şeyden haberi olmayan kişilere karşı konulmaz fırsatlar sunuyor. Bu dolandırıcılıklar daha da derinleşiyor; sahte web sitelerinin tamamı, daha sonraki dolandırıcılıklarla toplanan kişisel bilgilere dayanarak belirli demografik grupları hedeflemek için oluşturuluyor. Çevrimiçi alışverişin popülaritesi artmaya devam ederken, sosyal medya birçok tüketicinin alışveriş için tercih ettiği seçenek haline geliyor. Dolandırıcılar, daha geniş bir kitleye ulaşmak için TikTok gibi popüler siteler aracılığıyla bu patlamadan yararlanıyor.
Siber suçlular, bu dolandırıcılıkları gerçekleştirmek için ilgili kişisel bilgileri elde etmek amacıyla bu verileri toplayacak markaları ve perakendecileri hedef alıyor. Cyware Uluslararası Teknik Direktörü Dan Bridges, “Perakendecilerin büyük miktarda veriyi nasıl topladığını ve sakladığını açıklıyor; bunların çoğu, saldırganlar için bir hazine hazinesi olan kredi kartı ayrıntıları ve kişisel olarak tanımlanabilir bilgiler (PPI) gibi hassas müşteri verileridir. Kötü niyetli aktörler genellikle Kara Cuma, Siber Pazartesi ve tatil alışveriş sezonu gibi en yoğun oldukları dönemde işletmeleri hedef alıyor.”
HackerOne Personel Çözümleri Mimarı Shobhit Gautam da bu uyarıyı yineleyerek şunu ortaya koyuyor: “Perakendeciler zaten kötü aktörlerin başlıca hedefidir ve geçtiğimiz yıl siber saldırılarda artış olmuştur. Bu yıl perakendeciler ayrıca ödeme ayrıntıları, isimler ve adresler de dahil olmak üzere büyük miktarda hassas, kişisel bilgiyi işleyecek. Tatiller ve boş zaman nedeniyle artan çevrimiçi satış faaliyetleri ve güvenlik ekiplerinin tükenmesi, siber saldırı olasılığını artırıyor ve tüketici verilerini toplanmaya hazır hale getiriyor.”
Geçen yıl perakende siber saldırılarının %41’i güvenlik açıklarından ve %22’si de ele geçirilen kimlik bilgilerinden kaynaklandığından, perakendecilerin sezonluk trafik artışlarına hazırlanırken güvenlik önlemlerinin mümkün olduğunca sağlam olması kritik önem taşıyor.
Festival döneminde perakendeciler ağır saldırılara maruz kalacak ve tatil telaşı sırasında personel sayısının azalması gibi önemli sorunlarla zaten karşı karşıya oldukları için ek baskılar artacak. Bunun ışığında perakendeciler çok geç olmadan bu savunmaları güçlendirmek için adımlar atmaya başlıyor.
HackerOne’dan Gautam’ın gözlemlediği gibi: “Bazı perakendeciler, ekiplerindeki beceri boşluklarını doldurmaya ve proaktif olarak güvenlik açıklarını bulmaya yardımcı olmak için hata ödül programları ve güvenlik araştırmacısı topluluğunu kullanıyor; bu da tatil telaşı sırasında siber suçlular için başarılı bir hedef haline gelme şanslarını azaltabilir.”
“Proaktif olmak ve güvenlik kontrollerini uygulamak hayati önem taşırken, kuruluşların aynı zamanda en kötü durum senaryolarını planlamaları ve bunlara hazırlanmaları da gerekir” diye ekliyor. Denenmiş ve test edilmiş bir olay müdahale planının kullanışlı olması ve işler kötüye giderse yedeklerin hazır olduğundan emin olunması önemlidir. Yalnızca perakendeci tarafında değil, sosyal mühendislik saldırıları (kimlik avı ve vishing gibi) için yapay zeka kullanımının artmasıyla birlikte tüketicilerin satış bağlantılarına ve URL’lere tıklarken dikkatli olması gerekiyor.”
Cyware’s Bridges, siber suçlulardan gelen çok çeşitli saldırılara karşı savunma söz konusu olduğunda işbirliğinin önemli olduğunu açıklıyor. “Tehdit istihbaratı kuruluşların saldırıların önüne geçmesine yardımcı oluyor, ancak ‘tek bir gerçek kaynağı’ oluşturmak için mevcut büyük hacimli tehdit verilerini ayırmak, ilişkilendirmek ve önceliklendirmek kolay değil. Yalnızca tehdit istihbaratını eklemek yeterli değildir. Noktaları birleştirmeliyiz.
“Genellikle siber füzyon olarak adlandırılan bu yeni nesil siber güvenlik yaklaşımı, tehdit istihbaratı, güvenlik otomasyonu, tehdit yanıtı, güvenlik orkestrasyonu, olay yanıtı ve diğerleri gibi tüm güvenlik işlevlerini tespit eden, yöneten ve yöneten tek bir bağlantılı platformda birleştiriyor. Tehditlere entegre ve işbirliğine dayalı bir şekilde yanıt verir.
“Kuruluş içinde ve dışında işbirliğinin önemi abartılamaz. Toplu savunma, siz istihbaratı yönetirken, tespit ve müdahale planları geliştirirken ve tehditlere yanıt verirken güvenlik ekiplerinin güvenilir topluluk meslektaşlarıyla çok daha yakın çalışma yetkisine sahip olduğu açık, güvenilir bir ekosisteme odaklanır.
Bridges sözlerini şöyle bitiriyor: “Günün sonunda, tehdit istihbaratı yalnızca ilgili verileri doğru kişilere doğru zamanda iletebildiğinde ve böylece hızlı bir şekilde anlamlı eylemler gerçekleştirebildikleri zaman işe yarar.” “Birçok kez yazıldığı gibi, ister gerçek bir hata ister kasıtlı, hedefli bir saldırı olsun, siber suçlarla mücadelede sihirli bir çözüm yoktur; ancak siber güvenlik yığınının farklı unsurlarını birleştirerek kurban olma riski ortadan kalkacaktır. azaltılabilir.”
Sir Cliff Richard’ın sözleriyle, Noel verme ve alma zamanıdır. Ancak bu Noel’de perakendecilerin ve tüketicilerin dolandırıcılara karşı mücadelede aldıklarından daha fazlasını vermeleri çok önemli.