Dijital devrim, tüketici deneyimlerinde inanılmaz yeniliklere yol açtı, ancak aynı yenilik, ticaretin karanlık tarafında çalışan iki ucu keskin bir kılıç yaratıyor.
Gelişmiş bilgi işlem, açık bankacılık, giriş engellerini azaltan hizmet olarak yazılım (SaaS) modellerinin evrimi ve kripto ile blok zincirinin yükselişi, dolandırıcılar için yeni fırsatlar yarattı. Ek olarak, ChatGPT’nin ve halka açık diğer büyük dil modeli uygulamalarının kullanıma sunulması, siber suçlular için gelişmiş araçlara daha da fazla erişim sağlıyor.
Visa’da araştırmacılarımız, tehdit aktörlerinin köklü saldırı yöntemleri üzerinde yenilik yaptıkları ve yenilerini ele geçirdikleri yeni yollar için en önemli ödeme ekosistemi tehditlerini izliyor ve analiz ediyor. Dijital ticaret ortamı, siber suçlular için en zengin hedef olmaya devam ediyor, ancak ATM’lerde ve satış noktası terminallerinde fiziksel inceleme gibi kartlı tehditler devam ediyor. Aşağıdakileri göz önünde bulundur.
Denenmiş ve Doğru Olana Yeni Yaklaşımlar
EMV çipleri sayesinde satış noktası terminallerinde yüz yüze dolandırıcılık tarihi düşük seviyelerde olsa da, kurnaz dolandırıcılar için hala hareket alanı var. Örneğin, ABD’li perakendeciler, kasada sahte bir kart sunan ve büyük olasılıkla kartın manyetik şeridinin geri dönüş okuması kullanılarak işlemin gerçekleştirilmesine neden olan kusurlu bir çip içeren tehdit aktörleri tarafından hedef alındı. Mag-stripe işlemi, işlemi yeniden denemek için kartı veren bankadan bir yanıt oluşturur ve alıcı veya işleyici bunu uygunsuz bir şekilde onay olarak yorumlar. Sonuç: Tehdit aktörü, bir işlemde uygun yanıt kodlarını sunmanın ve kullanmanın önemini yeniden teyit ederek, hileli bir şekilde satın alınan malları alıp uzaklaşır.
Kuantum Çağı İçin Bir Yuva Yumurtası Toplamak
Yapay zeka, büyük miktarda işlem verisini analiz ederek dolandırıcılığı gerçek zamanlı olarak tespit etmek için kullanılabilir, ancak dolandırıcılar aynı teknolojiden yararlanarak günümüzün şifreleme güvenliğini tehdit edebilir. Kuantum bilişim daha az bilim kurgu ve daha erişilebilir ve ölçeklenebilir hale geldikçe, tehdit aktörleri, kuantum bilişim yoluyla belirgin bir şekilde kullanılan şifreleme yöntemlerinin dökümünü beklerken, çok miktarda şifrelenmiş kişisel olarak tanımlanabilir bilgi (PII) biriktiriyor.
Bugün bile, maksimum para kazanma, orijinal bir veri ihlalinin gerçekleşmesinden neredeyse beş yıl sonra gerçekleşir. Daha geçen yıl, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kuantum dirençli kriptografik algoritmalar için ilk standart setini yayınladı. Dünya Ekonomik Forumu’na göre, önümüzdeki 20 yıl içinde yaklaşık 20 milyar cihaz, kuantum güvenli şifreleme algoritmalarını kullanmak için yükseltme veya değiştirme ile karşı karşıya kalacak.
PII, Sentetik Kimlik Dolandırıcılığının Altın Biletidir
E-ticaret güvenliği, kart sahibi kimlik doğrulaması, tokenizasyon, güvenli ödeme sayfaları ve daha fazlasındaki ilerlemelerle gelişmeye devam ederken, giderek artan yüksek oranlarda veri üretimi, açık bankacılık çağında bunun güvenliğini sağlama konusunda zorluklar getiriyor. Örneğin dolandırıcılar, Dark Web’de çalınan müşteri kimlik bilgilerini satın alıyor ve var olmayan bir kişi yaratmak için ayrı ayrı meşru veri öğelerini bir araya getiren sentetik kimlik dolandırıcılığı yoluyla sahte hesaplar açıyor. Son altı ayda, ödemeler ekosistemi, neredeyse her küresel bölgede tek seferlik parola (OTP) baypas şemalarında artan bir eğilim yaşadı.
SaaS’a Geçişten Yararlanma
Hizmet olarak yazılım dünyasında, etkileşimde bulunduğunuz ekosistemdeki her düğüm, tehdit aktörleri tarafından giderek daha fazla hedef alınan bir güvenlik açığı noktasıdır. Yalnızca bir örnekte, yalnızca dijital bir banka kendi dahili sunucularından değil, bir API aracılığıyla bağlandığı bir hizmet sağlayıcıdan veri ihlali yaşadı. Bu ortamda, güçlü bir üçüncü taraf izleme programına sahip olmak önem kazanır çünkü zayıf bir güvenlik profiline sahip herhangi bir sağlayıcı kendi veri ortamınıza giriş noktası olabilir.
Kripto ve Blockchain Dolandırıcılıkları
Blockchain teknolojisi, kuruluşların işlerini daha etkin bir şekilde yürütmesine yardımcı olabilirken, dolandırıcıların kriptoyla ilgili dolandırıcılıklar, sosyal mühendislik ve fidye yazılımı saldırıları yoluyla kullanıcıları hedeflemesi için bir kaynak da olabilir. Yakın tarihli bir kripto kimlik avı kampanyasında, bir hesap sahibi kripto borsasından geliyormuş gibi görünen bir e-posta alacaktı. Kötü amaçlı bir bağlantıya tıklamak, kurbanı hesap ayrıntılarını girmesi için sahte bir web sitesine yönlendirdi ve bu da hesaptaki varlıkların çalınmasına yol açtı. ChatGPT gibi araçlar, sizi çok daha fazla hedef almalarını sağlayan, halka açık bilgileri dahil ederek, kimlik avı e-posta mesajlarının karmaşıklığını daha da artırabilir.
Hangi İnovasyonlar Sizi Risk Altına Alır?
Bir güvenlik uzmanı olarak, yeni ürünler ve yeteneklerle hayatımızı kolaylaştıran gelişmelere her baktığımda, ilk düşüncem şu oluyor: Tehdit aktörleri aynı yeniliği daha karmaşık, daha sofistike dolandırıcılık saldırıları gerçekleştirmek için nasıl kullanacak? Bu, kendinize de sormanız gereken bir soru. Güvenlik kontrollerinizin ne kadar sağlam ve kapsamlı olduğunu değerlendirmek için kendi yeteneklerinizi hackleyin. İç paydaşları ve müşterileri oynadıkları rol konusunda eğitin. Onları bilgiyle güçlendirin, araçlar ön saflarda olduklarını anlamalarına yardımcı olacaktır.