Brian McDonald, Güvenlik Görevlisi, Mutare, Inc.
2022’de mütevazi telefonun operasyonları aksatmak, fidye yazılımları yerleştirmek, şantaj planlarını ilerletmek ve müşteri verilerini çalmak için yüksek profilli kuruluşlara sızmaya niyetli siber suçlular için favori bir silah haline geleceğini kim tahmin edebilirdi?
Sadece Twitter, Twilio, Cisco, Robinhood ve Uber’e sorun. Kendi tekliflerinin teknolojik gelişmişliğine rağmen hepsi, giriş noktası basit bir telefon görüşmesi olan suçlu ajanlar tarafından gerçekleştirilen zarar verici veri ihlallerinin kurbanı oldu. Ortaya çıkan bu tehdit vektörü, “sesli kimlik avı” veya kısaca vishing olarak bilinmeye başlandı.
Açıkçası, dolandırıcılık çağrıları hakkında yeni bir şey yok. Bununla birlikte, sesli kimlik avı giderek bir suç sanatına dönüştü.
En yaygın olarak saldırı, tek başına veya organize bir siber suç çetesinin parçası olarak çalışan ve önce veri madenciliği ve keşif çağrısı yoluyla savunmasız insan hedeflerini arayan bir düşman tarafından gerçekleştirilir.
Bir bağlantı kurulduğunda, sahtekar, korunan bilgileri veya hesap oturum açma kimlik bilgilerini çıkarmak için psikolojik manipülasyon (sosyal mühendislik) yoluyla güven kazanır.
Bazen arama, ilgili bir e-posta bildiriminin veya kısa mesajın hemen ardından gelir. Diğer zamanlarda, bir e-posta veya metin, kurbanı sosyal mühendislik teknikleri konusunda eğitim almış işbirlikçi ajanların bulunduğu bir çağrı merkezine bağlayan bir geri arama numarası içerebilir.
Her durumda amaç aynıdır: insan sesi bağlantısının gücüyle kurbanın direncini azaltmak.
Tüketicilerin aksine çalışanlar, bilinmeyen kaynaklardan gelen çağrıları görmezden gelemezler, bu da onları sosyal olarak tasarlanmış manipülasyonlara karşı özellikle savunmasız hale getirir.
Aslında, bu son araştırma, vishing girişimlerinin %37’sinden fazlasının, istenen eylemi şüphelenmeyen insan hedeflerinden çıkarmayı gerçekten başaracağını gösterdi. Bir kimlik avı e-postası (hibrit kimlik avı/vishing) ile birleştirildiğinde, başarı oranı %75’e yükseldi.
2022’de, tüm kuruluşların bildirildiğine göre %70’ini etkileyen kurumsal vishing saldırılarında %550’lik şaşırtıcı bir artış görüldü ve bu keskin ivmeyi besleyen birkaç faktör var.
İlk olarak, sahtekarlar, dijitalleştirilmiş kamu kaynakları, korumasız sosyal medya hesapları ve Dark Web’de bulunan çok sayıda çalıntı bilgi deposu sayesinde aldatma araçlarına erişimlerini genişletti. Bazıları aldatmalarını ilerletmek için derin sahte ses işleme teknolojisi ekleyebilir.
Son on yılda analog aramadan İnternet Protokolü Üzerinden Ses’e (VoIP) geçiş, yüksek kaliteli, düşük maliyetli, küresel sesli iletişim ve işbirliğini mümkün kılarken, aynı zamanda hain suç ajanlarının otomatik arama yapma yeteneğini de güçlendirdi. çok az çaba, harcama veya riskle hedeflenen binlerce kurbana ulaşmak için çeviriciler, önceden kaydedilmiş mesajlar, arayan kimliği sahtekarlığı, cömert VoIP bant genişliği ve ucuz, izlenemez denizaşırı çağrı merkezleri.
Diğer siber suç türlerinde olduğu gibi, çoğu vishing saldırısının arkasındaki itici güç mali ödüldür. Ama her zaman değil. Örneğin, Lapsus$ vishing çetesi, Uber, Cisco, Microsoft ve diğerlerini içeren hack’leri hakkında açıkça övünüyor, kanıt olarak sosyal medyada ekran görüntüleri yayınlıyor ve ardından çalınan verilerinin bir kısmını basına sızdırıyor.
Kurbanları, bu saldırıların mali zararlarıyla uğraşırken aynı zamanda bir güvenlik ihlalinin halka açık bir şekilde ortaya çıkmasından kaynaklanan marka zararıyla da uğraşmak zorundadır (çünkü kabul edelim, işletmeler zorlanmadıkça saldırıya uğradıklarını kabul etmekten nefret ederler) .
Başka bir deyişle, bir veri ihlalini sessizce örtbas edebileceklerini düşünen kuruluşlar, suç faaliyetlerine katılımlarını gizlemek yerine kamuya duyurmayı tercih eden yeni bir tür düşman gerçeğiyle ve olası cezai zararlarla karşı karşıyadır.
Peki neden, yaklaşık 172 milyar dolarla içinde Şirketlerin BT altyapılarını ve dijital ağlarını güvence altına almak için yaptıkları harcamalar, sesli kimlik avı tehdidi bu kadar yaygın mı?
Cevap iki katlıdır:
- Siber suçlular, insanların kırılmasının güvenlik duvarlarından çok daha kolay olduğunu keşfettiler.
- İnsan uç noktalarının telefon aracılığıyla kriminal temastan korunması, çabaları esas olarak veri ağı korumasına yönelik olan STK’ların radarına girmiştir.
Tek bir çözüm yok. Bunun yerine, sesli kimlik avı tehdidini azaltmak için çok yönlü bir yaklaşım gerekir. Artan bu saldırı vektörü konusunda farkındalığı artıran ek çalışan eğitimi için her zaman bir yer vardır, ancak araştırmaların gösterdiği gibi, insan davranışını değiştirmeye yönelik girişimler bu becerikli düşmanlara karşı çok az savunma sağlar.
Yapılacak en anlamlı eylem, bu çağrı yapanların insan hedeflerine ulaşmasını en başta engellemek olmalıdır.
Ses trafiği filtreleme çözümleri, basit otomatik çağrı engellemenin ötesine geçti ve artık hain faaliyet belirtilerini algılamak ve bu şüpheli arayanları amaçlanan kurbanlarından uzaklaştırmak için tasarlanmış gelişmiş arama veri analizi yetenekleri içeriyor.
Bu uygulamalar sadece istenmeyen aramalardan kaynaklanan kesintileri azaltmakla kalmıyor; Başarılı bir kimlik avı planı yoluyla siber saldırı olasılığını önemli ölçüde azaltırlar. Gelişmiş ses trafiği filtreleme teknolojisinin uygulanması, 2023 ve sonrasında her kuruluşun siber koruma stratejisinin bir parçası olmalıdır.