Majestelerinin Gelir ve Gümrükleri’nde (HMRC), dolandırıcıların yaklaşık 47 milyon sterlin üzerinden halka açık çantayı aldattığını gören önemli bir siber ihlal, saldırının, meşru vergi borsalarına yönelik hesap devralma girişimleri yoluyla ortaya çıkan saldırının basitliği sayesinde güvenlik uzmanlarından dehşete düştü.
HMRC, bu hafta bir Hazine Seçim Komitesi’ne ihlali açıkladı ve bilgisayar korsanlarının kimlik avı saldırıları yoluyla yaklaşık 100.000 kişinin çevrimiçi hesaplarına eriştiğini ve durdurulmadan önce vergi indirimlerinde önemli miktarda para talep etmeyi başardığını açıkladı.
Etkilenen kişilerle HMRC tarafından temasa geçildikleri anlaşılmaktadır – kişisel olarak parayı kaybetmediler ve kendileri herhangi bir sorun içinde değiller. Davadaki tutuklamalar zaten yapılmıştır.
Bildiriler sırasında HMRC ayrıca, olayla ilgili daha önceki bir haber raporunu öğrenmiş olan komitenin başkanı Meg Hillier tarafından olay üzerinde temizlenecek süre boyunca eleştiri için geldi.
Yaygın sonuçlar
Dolandırıcılar için ilk saldırı vektörü olarak tanımlanan farkında olmayan vergi mükelleflerine gönderilen kimlik avı e -postaları ile HMRC, olay için tam suçtan kaçtığını rahatlatabilir.
Ancak, vergi bürosu kendi sistemlerini vurgulamak için acılara gitmiş olsa da, hukuk bürosunda veri ve siber anlaşmazlıklarda uzmanlaşmış bir ortak olan Will Richmond-Coggan’a göre, olay siber saldırıların sonuçlarının ne kadar yaygın olabileceğini vurguladı-basit orijinlerden multimilyon kilo kaybına kartopu.
Richmond-Coggan, “HMRC’nin açıklamasından, HMRC’ye karşı suçun ancak daha önceki veri ihlalleri ve siber saldırılar nedeniyle mümkün olduğu açıktır” dedi.
“Bu daha önceki saldırılar, kişisel verileri suçluların eline tuttu ve bu da vergi mükelleflerini taklit etmelerini ve geri vergi talep etmek için başarılı bir şekilde başvurmalarını sağladı.”
AI sayesinde kimlik avı değişiyor
Bu arada, bir e -posta güvenlik sağlayıcısı EasyDmarc’ın CEO’su Gerasim Hovhannisyan, hem özel bireylere hem de işletmelere ve diğer kuruluşlara karşı kimlik avının uzun zaman önce şanslarını savunan dolandırıcıların alanının ötesine geçtiğine dikkat çekti.
Bu tür bir dağılım sahtekarlığı, özellikle siber güvenlik meseleleri hakkında bilgilendirilmeyecek tüketiciler için güçlü bir tehdit olmaya devam etse de-HMRC Phish’in ölçeği, kendi kendine değerlendirme vergilerlerini hesaplarını teslim etmek için cezbetmek için tasarlanmış, HMRC’nin kendisini temsil etmek için tasarlanmış dikkatle hazırlanmış e-posta kullanılarak hedefli bir operasyon önermektedir.
Sadece bu değil, aynı zamanda üretken yapay zeka (genai), hedeflenen kimlik avı operasyonlarının çok kısa bir sürede katlanarak daha tehlikeli hale geldiği anlamına geliyor.
“[It] yaptı [phishing] ölçeklenebilir– cilalı ve tehlikeli bir şekilde ikna edici, genellikle meşru iletişimden ayırt edilemez. Birçok kuruluş güvenlik çevrelerini güçlendirirken, e -posta en tutarlı bir şekilde sömürülen ve hafife alınmış saldırı vektörü olmaya devam ediyor ”dedi.
“Bu dolandırıcılıklar insan güvenini, aciliyet, otorite ve giderek daha gerçekçi kimliğe bürünme taktiklerini kullanarak kullanıyor. Eğer HMRC taklit edilebilirse, herkes yapabilir.”
Hovhannisyan ekledi: “Daha endişe verici olan, Hazine Seçim Komitesi’nin sadece haberler aracılığıyla ihlalleri öğrenmesidir. Taklit yoluyla 47 milyon sterlin çalındığında, kurumlar sessiz kalmayı göze alamaz. Gecikmeli açıklama güvenini aşar, tepkiyi durdurur ve saldırganlara manevraya oda verir.”
Kullanıcılar güvenilmez bir ilk savunma hattıdır
Bir kez daha bir hizmetin son kullanıcıları siber bir saldırının kaynağı olduğu ortaya çıktı ve bu nedenle, ister iç veya-bu durumda-dışsal olsun, genellikle bir kuruluşun ilk savunma hattı olarak kabul edilir.
Bununla birlikte, bu yaklaşımı benimsemek her zaman akıllıca değildir ve HMRC gibi günlük halk üyeleriyle etkileşime giren bir kuruluş için de gerçekten mümkün değildir. Güvenlik eğitimi en iyi zamanlarda zor bir öneridir ve İngiltere’nin Ulusal Siber Güvenlik Merkezi (NCSC), tüketiciler için kimlik avı e -postalarını tespit etmek ve ele alma konusunda kapsamlı tavsiye ve rehberlik sunsa da – Nisan 2025 itibariyle 41 milyondan fazla dolandırıcılık raporu almış bir kimlik avı raporlama hizmeti işletiyor – HMRC gibi cesetlerin NCSC’nin web sitesini ziyaret ettiği herkese dayanamıyor.
Bu nedenle, Kimlik Avı, Sosyal Mühendislik ve Hesap Devralma Önleme Uzmanı olan Anormal AI’daki Baş Bilgi Sorumlusu (CIO) Mike Britton, HMRC’nin teknik bir perspektiften daha fazlasını yapabileceğini ve yapması gerektiğini savundu.
“Hükümetler, sahip oldukları değerli bilgiler nedeniyle siber suçlular için her zaman yüksek katmanlı bir hedef olacak. Aslında, bu sektöre yönelik saldırılar artıyor” dedi.
“Bu durumda, kullanılan suçluların dolandırıcılık yapmak için ele alındığı gibi görünüyor. Bununla mücadele etmek için çok faktörlü kimlik doğrulama (MFA) anahtardır, ancak saldırılar daha karmaşıklaştıkça daha fazla adım atılmalıdır.”
Britton, HMRC gibi kuruluşların sadece MFA dahil olmak üzere değil, aynı zamanda BT sistemlerine daha geniş görünürlük ve birleşik kontroller de dahil etmeyi düşünmeleri gerektiğini söyledi.
Bu olayda görülenler gibi hesap devralma saldırıları hızlı bir şekilde ortaya çıkabilir, bu nedenle siber işlevinin, uzlaşmış hesapları anında tanımlamak ve düzeltmek için araçlarla donatılması gerektiğini de sözlerine ekledi.