Kurumsal veri ihlalleri kimlik sahtekarlığına bir kapıdır, ancak tek kişi onlar değildir. İşte kişisel verilerinizin nasıl çalınabileceğine ve nasıl olmadığından emin olabileceğiniz konusunda bir düşüş.
08 Nis 2025
•
–
5 dk. Okumak
Veri ihlalleri şirketler için artan bir tehdit ve müşterileri için bir kabus. En son rakamlara göre, 2024 ABD’de herkese açık olarak bildirilen 3.158 olaylara tanık oldu-tüm zamanların en yüksek seviyesinden kısa. Sonuç olarak 1,3 milyardan fazla veri ihlali bildirim mektubunun kurbanlara gönderilmesi gerekiyordu ve bunlardan bir milyardan fazla beş mega ihlal yakalandı.
Kötü haber şu ki, bu buzdağının sadece görünen kısmı. Şahsen tanımlanabilir bilgilerinizin (PII) yanlış ellere girebilmesinin başka birçok yolu vardır. Yeraltında siber suçta dolaştıktan sonra, kimlik sahtekarlığı girişimlerinde kullanılmadan önce sadece bir zaman meselesidir.
Söz konusu ne var?
Hangi verilerden bahsediyoruz? Şunları içerebilir:
- İsimler ve Adresler
- Kredi/Ödeme Kartı Numaraları
- Sosyal Güvenlik veya Devlet Kimliği Numaraları
- Banka Hesap Numaraları
- Sağlık sigortası detayları
- Pasaport/ehliyet
- Kurumsal ve kişisel çevrimiçi hesaplara giriş
Kişisel verileriniz, büyük bir veri ihlali veya aşağıda listelenen birçok yöntemden biri aracılığıyla çalındıktan sonra, bu veriler muhtemelen çeşitli dolandırıcılık planlarında kullanılmak üzere satılacak veya başkalarına verilecektir. Bu, yasadışı alımlardan hesap devralma (ATO), yeni hesap sahtekarlığı veya daha da hassas bilgiler ortaya çıkarmak için tasarlanmış kimlik avı programlarına kadar değişebilir. Bazı durumlarda, gerçek detaylar, sahtekarlık filtrelerinin engellenmesi daha zor olan sentetik kimlikler oluşturmak için makine tarafından oluşturulanlarla karıştırılır.
Bu büyük bir iş. Cirit Strateji ve Araştırmaya göre, kimlik sahtekarlığı ve dolandırıcılık Amerikalılara sadece 2024’te 47 milyar dolara mal oldu.
Kimlik hırsızlığı nasıl çalışır?
Kimlik sahtekarlığı sonuçta verilere geliyor. Peki siber suçlular tipik olarak sizinkini nasıl alabilir? İş yaptığınız üçüncü taraf organizasyonlardan büyük bir şekilde çalmıyorlarsa, bireylere karşı daha fazla hedeflenen saldırı için en iyi vektörler şunlardır:
- Kimlik avı/smaching/vishing: Klasik sosyal mühendislik saldırıları, geleneksel e -posta kimlik avından, metinlere (smaching) ve hatta telefon görüşmelerine (Vishing) kadar çeşitli kanallardan gelebilir. Tehdit oyuncusu genellikle tekliflerini yapmak için sizi kandırmak için bağlı ve test edilmiş teknikler kullanacaktır, bu da genellikle kötü niyetli bir bağlantıyı tıklatır, kişisel bilgileri doldurur veya kötü niyetli bir ek açar. Bunlar arasında, tanınmış bir şirketi veya kurumu taklit etmek için resmi marka kullanımı ve arayan kimliği veya alan taklit etme gibi püf noktaları bulunmaktadır.
- Dijital sıyırma: Kart bilgilerinizi ele geçirmek için, tehdit aktörleri popüler bir e-ticaret veya benzeri sitenin web sayfalarına kötü niyetli sıyırma kodu ekleyebilir. Tüm süreç kurban için tamamen görünmez.
- Kamu Wi-Fi: Teminatsız kamu Wi-Fi ağları, kişisel bilgilerinizin ele geçirildiği ortadaki insan saldırılarını kolaylaştırabilir. Bilgisayar korsanları ayrıca veri toplamak ve kurbanları kötü niyetli sitelere yönlendirmek için haydut sıcak noktalar kurabilir.
- Kötü amaçlı yazılım: Infostealer kötü amaçlı yazılım hem kurumsal kullanıcılar hem de tüketiciler için büyüyen bir sorundur. Bilmeden, kimlik avı mesajları, enfekte web sitelerinden sürücü, çatlak oyunlar, Google reklamları ve hatta sahte toplantı yazılımı da dahil olmak üzere meşru görünümlü uygulamalar dahil olmak üzere çeşitli mekanizmalar yoluyla yüklenebilir. Çoğu Infostealers dosyaları, veri akışlarını, kart detaylarını, kripto varlıklarını, şifreleri ve tuş vuruşlarını hasat eder.
- Kötü niyetli: Kötü niyetli reklamlar, bazen kullanıcı etkileşimi bile talep etmeden bilgi çalacak şekilde programlanabilir.
- Kötü amaçlı web siteleri: Kimlik avı siteleri, gerçek bir şeymiş gibi görünecek şekilde, sahte alan adına taklit edilebilir. Drive-by Lowers durumunda, bir kullanıcının tek yapması gereken kötü amaçlı bir sayfayı ziyaret etmek ve gizli bir kötü amaçlı yazılım yüklemesi başlayacaktır. Genellikle, kötü niyetli web siteleri arama sıralamasının en üstüne itilir, böylece daha fazla maruz kalırlar.
- Kötü amaçlı uygulamalar: Bankacılık Truva atları ve Infostealers da dahil olmak üzere kötü amaçlı yazılım, yasal uygulamalar olarak gizlenebilir ve özellikle Google Play gibi resmi uygulama mağazaları riskleri.
- Cihazların Kayıp/Hırsızlığı: Cihazınız kaybolursa ve yeterli korumaya sahip değilse, bilgisayar korsanları kişisel ve finansal veriler için baskın yapabilir.
Kimlik Sahtekarlığı Nasıl Önlenir
Kimlik dolandırıcılığını önlemenin en belirgin yolu, kötü adamların ilk etapta kişisel ve finansal bilgilerinize girmesini durdurmaktır. Birlikte uygulandığında, sadece bunu başarmak için iyi bir iş çıkarabilecek bir dizi adım gerektirir. Aşağıdakileri düşünün:
- Güçlü, benzersiz şifreler: Her site/uygulama/hesap için farklı bir şifre seçin ve bunları sizin için sorunsuz bir şekilde hatırlayacak bir şifre yöneticisinde saklayın. Çevrimiçi hesaplarınızda iki faktörlü kimlik doğrulama (2FA) değiştirerek bunu geliştirin. Bu, bir tehdit oyuncusu şifrenizi alsa bile, onu kullanamayacakları anlamına gelir. Bir kimlik doğrulama uygulaması veya donanım güvenlik tuşu 2FA için en iyi seçenektir.
- Güvenlik Yazılımını Yükle: Tüm cihazlarınız ve PC’leriniz için saygın bir satıcıdan güvenlik yazılımı kullanın. Bu, kötü amaçlı uygulamaları tarar ve engeller ve diğer birçok şeyin yanı sıra, kimlik avı web sitelerini algılamak ve engelleyecektir.
- Şüpheci olun: Daima kimlik avı uyarı işaretlerini arayın: tıklanabilir bağlantılar veya ekleme içeren istemi eylemi çağıran istenmeyen bir mesaj. Gönderen, zamana duyarlı ödül çekilişleri veya en kısa zamanda cevap vermedikçe para cezası alınacağı uyarıları gibi hileler kullanabilir.
- Yalnızca meşru sitelerden uygulamalar kullanın: Kötü amaçlı uygulamalara maruz kalmanızı sınırlamak için mobil dünyadaki Apple App Store ve Google Play’e sadık kalın. İndirmeden önce daima incelemeleri ve izinleri kontrol edin.
- Kamu Wi-Fi’ye karşı dikkatli olun: Kamu Wi-Fi’den uzak durun veya bundan kaçınamazsanız, oturum açarken hassas hesap açmamaya çalışın. Her iki durumda da, daha güvenli kalmak için bir VPN kullanın.
Bir ihlale cevap vermek
Üçüncü taraf veri ihlalleri hakkında yapabileceğiniz çok şey yok, öğe satın alırken ödeme kartınızı ve kişisel bilgilerinizi kaydetmemeyi seçmenin yanı sıra. Bu, tehdit aktörlerinin iş yaptığınız bir şirketi ihlal etmeyi başarırlarsa çalması daha az olduğu anlamına gelecektir. Bununla birlikte, proaktif bir yaklaşım benimsemek de öder. Bazı kimlik koruma ürünleri, örneğin, zaten ihlal edilip edilmediklerini görmek için detaylarınız için Karanlık Web’i temizler. Bir eşleşme varsa, kartları iptal etmeniz, şifreleri değiştirmeniz ve diğer önlemleri almanız için zaman verebilir. Ayrıca, banka hesaplarınızdaki şüpheli etkinlikler için göze açık tutmak da öder.
Diğer ihlal sonrası adımlar şunları içerebilir:
- Kredinizi dondurmak: Bunu üç ana kredi bürosunun her birinde yapın. Bu, kredi raporunuzu üçüncü taraflarla paylaşmalarını engeller, yani dolandırıcılar adınıza yeni hesaplar açamaz.
- Bankanıza söyle: Kartlarınızı dondurun (bu, çoğu bankacılık uygulaması aracılığıyla yapılabilir), sahtekarlığı bildirin ve yedek kartlar isteyin.
- Bir rapor dosyası: Polise ve potansiyel olarak FTC’ye (ABD’de) söyleyin. Kendi mağduriyetinizi yayınlayarak, başkalarına yardımcı olabilir. Ayrıca ilgili ajanslarla dosyalama; IE, ehliyet hırsızlığı DMV’ye bildirilmelidir.
- Oturum açılarınızı değiştirin: Geri ihlal edilen kimlik bilgilerini değiştirin ve 2FA’yı açın.
Kimlik sahtekarlığı bir tehdit olmaya devam ediyor çünkü tehdit aktörlerinin sağlıklı kar elde etmeye başlaması nispeten kolay. Kişisel bilgilerimizi çıkarmak için kullanabilecekleri yolları azaltarak, rakiplerimizi rahatsız edebilir ve umarım kendi dijital hayatlarımızı güvenli ve güvenli tutabiliriz.