Regula’nın yeni bir raporuna göre kimlik doğrulama, sanayileşmiş dolandırıcılığa karşı mücadelede son cephe haline geldi. Değişim, bir zamanlar öngörülebilir doğrulama rutinlerine dayanan sektörler arasında görülebilir. Suçlular kimlik adımının kendisini hedef almayı öğrendiler ve etki finansal hizmetler, sağlık hizmetleri, telekomünikasyon, kripto platformları ve havacılık aracılığıyla yayılıyor.
Deepfake kimliğine bürünme birincil tehdit haline geliyor
Yapay zeka odaklı kimliğe bürünme ana akım haline geldi. Deepfake’ler ve sentetik kimlikler, özellikle hâlihazırda ciddi mali kayıplarla karşı karşıya olan kuruluşlarda, saldırganların sıklıkla kullandığı araçlar haline geldi. Bu teknikler, suçluların, hem otomatik kontrollerden hem de insan incelemecilerden kaçan ikna edici yüzler, sesler ve videolar kullanarak katılım ve hesap kurtarma akışlarından geçmesine olanak tanır.
Dolandırıcılar artık sahte belgelere veya basit sahtekarlığa güvenmiyor. Doğrulama sırasında sentetik kişilikler ortaya koyuyorlar, ardından meşruluk görünümü altında faaliyet gösteriyorlar. Bu onları, kullanıcının başlangıçta doğru bir şekilde doğrulandığını varsayan daha sonraki sahtekarlık kontrollerinden uzak tutar.
Regula Kimlik Doğrulama Çözümleri Başkan Yardımcısı Henry Patishman, “Şu andaki zorluk, yalnızca kimliğin değil gerçek zamanlı olarak orijinalliğin doğrulanmasıdır” dedi.
Dava hacimleri düşük olan kuruluşlar çoğunlukla belge sahtekarlığıyla uğraşmaktadır. Vaka hacimleri arttıkça saldırganlar biyometrik dolandırıcılığa ve sosyal mühendisliğe yöneliyor. Yüksek hacimlerde kimlik sahteciliği ve derin sahtekarlıklar hakimdir. Saldırganlar yöntemlerini otomatikleştirebildikleri anda uyum sağlarlar.
Kağıt üzerinde güçlü görünen araçlar geride kalıyor
Birçok kuruluş hâlâ MFA’ya, davranışsal biyometriye ve temel biyometrik kontrollere bağımlıdır. Bunlar yaygın tehditler için kullanışlıdır ancak gelişmiş kimliğe bürünme için uygun değildir. Rapor, şirketlerin kullandıkları ile kullanmaları gerektiğine inandıkları arasındaki farkı gösteriyor.
Biyometri istisnadır. Hem benimsenme hem de talep açısından büyümeye devam ediyorlar. Havacılık ve sağlık gibi sektörler biyometrik sistemlere yöneliyor çünkü bu ortamlardaki kimlik kontrollerinin hızlı ve güvenilir olması gerekiyor. Bankacılık ve fintech de sentetik kimliklere karşı biyometriye yöneliyor.
Bazı firmalar gelecek planlarında davranışsal biyometriden geri adım atıyor, denetlenmesi ve açıklanması daha kolay araçları tercih ediyor. Sıkı uyumluluk kültürlerine sahip belirli bölgelerde insan incelemeleri artıyor ancak daha geniş eğilim, daha fazla manuel gözetim yerine daha fazla otomasyona işaret ediyor.
Otomasyon ortada duruyor
Dolandırıcılık ekipleri, ters ibraz oranları ve dolandırıcılığın maliyeti gibi gecikmeli göstergelerle ölçülmeye devam ediyor. Bu ölçümler ne kadar hasar meydana geldiğini ortaya koyuyor ancak önleyici sistemlerin iyileşip iyileşmediğini ortaya koymuyor.
Liderler ileriye dönük ölçümler için baskı yapıyor. Önlemenin işe yarayıp yaramadığını, tespitin daha hızlı olup olmadığını ve müşterilerin sürece güvenip güvenmediğini bilmek istiyorlar. Bu göstergeler olmadan, saldırılar daha karmaşık hale gelse bile dolandırıcılık ekipleri bütçelerini korumakta veya ilerleme göstermekte zorlanır.
Çoğu kuruluş, doğrulama sürecinin bir kısmını otomatikleştiriyor ancak birçoğu orta aralıkta kalıyor. Rapor, firmaların daha ileri gitmek istediğini ancak tereddütlerin devam ettiğini gösteriyor.
Sağlık sektörü daha yüksek otomasyona doğru en fazla baskıyı yapıyor. Fintech, büyümeyi desteklemek için tam otomatik akışları hedefliyor. Bankacılık, ihtiyatlı yerleşikler ve agresif rakipler arasında bölünmüş durumda. Telekomünikasyon şirketleri, yüksek hacimli kimlik saldırılarıyla baş edebilmek için daha fazla otomasyona yöneliyor.
Kısmi otomasyon boşluklar bırakır. Saldırganlar makine hızında çalışır ve manuel olarak atılan her adım onlara hareket alanı sağlar. Yavaş incelemeler ve parçalanmış iş akışları görünürlüğü artırır.
Eğitim programları yetersiz kalıyor
Çalışan eğitimi kağıt üzerinde güçlü görünüyor. Uygulamada çoğu program farkındalıkla sonlanır. Personel deepfake’lerin ne olduğunu öğreniyor ancak bir sistemden geçtiğinde nasıl tepki vereceğini öğrenmiyor.
Daha küçük bir grup, çekişmeli tatbikatlar veya makine öğrenimi odaklı alıştırmalar kullanıyor. Başka bir grubun hiçbir yapılandırılmış eğitimi yoktur. Her iki durumda da ekipler, hızlı hareket eden yapay zeka tarafından oluşturulan tehditlere karşı hazırlıksız kalıyor.
Ekipler tam tersine ihtiyaç duyduklarını söylüyor: simülasyonlar, gelişen saldırı yöntemlerine sürekli maruz kalma ve pasif farkındalık yerine refleksleri geliştiren eğitim.
Kimlik doğrulama daha büyük bir role doğru ilerliyor
Kimlik doğrulama teknik bir kontrol noktasının ötesine geçiyor. Firmalar bunun müşteri hizmetleri, pazarlama, operasyonlar ve ürün ekiplerine entegre olmasını bekliyor. Doğrulama, müşteri deneyiminin ve şirketlerin güveni yönetme biçiminin bir parçası haline geliyor.
Rapor, dağınık araçlardan koordineli sistemlere geçişe işaret ediyor. Kuruluşlar çok fazla satıcıyla ve birbiriyle bağlantısı olmayan çok fazla iş akışıyla hokkabazlık yapıyor. Entegrasyon boşlukları, eşit olmayan kullanıcı deneyimleri ve yavaş geçişler, saldırganlara saklanacak yerler sağlar. Birleşik bir orkestrasyon katmanı, endüstriler arasında en tutarlı gereksinim olarak ortaya çıkıyor.
Kimlik doğrulama, güven altyapısında yeniden oluşturuluyor. Dolandırıcılık ve risk liderleri, düzenleyici beklentilere uyum sağlarken sistemleri birleştirme ve otomasyonu geliştirme göreviyle karşı karşıyadır. Bunu ilk başaran kuruluşlar dijital güvenin bir sonraki aşamasını şekillendirecek.