Bu Help Net Security röportajında, Visa’nın Başkan Yardımcısı ve Dolandırıcılık Hizmetleri Küresel Başkanı Michael Jabbara, dijital gözden geçirme saldırılarını derinlemesine inceliyor, bunların ortak nedenlerini vurguluyor ve tüccarların bunları önlemek için hangi önlemleri alabileceklerine dair içgörüler sunuyor. Ayrıca, ödeme işlemcilerinin ve e-ticaret tacirlerinin numaralandırma saldırılarına karşı kendilerini korumak için atabilecekleri adımları ve çok daha fazlasını kapsar.
Dijital gözden geçirme saldırılarının bazı yaygın nedenleri nelerdir ve satıcılar bunları önlemek için ne yapabilir?
Bağlam açısından, dijital gözden geçirme saldırıları, tehdit aktörleri birincil hesap numarası (PAN), kart doğrulama değeri (CVV2), son kullanma tarihi gibi tüketici ödeme hesabı verilerini kazımak ve toplamak için ödeme sayfalarını hedefledikleri bir satıcı web sitesine kötü amaçlı kod yerleştirdiğinde gerçekleşir. ve kişisel olarak tanımlanabilir bilgiler (PII). Son altı ayda yağmalamada büyük bir artış gördük. Nitekim Haziran 2022-Kasım 2022 döneminde yağma vakaları Aralık 2021 Mayıs 2022’ye göre %174 arttı.
Başarılı dijital skimming saldırıları genellikle yanlış konfigürasyonların veya bir satıcının ortamındaki güvenlik kontrollerinin eksikliğinin sonucudur ve tehdit aktörleri kötü niyetli skimming kodunu dağıtmak için bunlardan yararlanır. Bu tür bir saldırıya kurban gitmemek için, e-ticaret tüccarları, düzgün bir şekilde korunmalarını sağlamak için güvenlik yazılımlarını güncellemeye ve sürdürmeye öncelik vermelidir.
Ödemeler ekosistemi, son altı ayda tek seferlik parola atlama planlarında bir artış veya düşüş yaşadı mı? Bu durumun sebebi nedir?
Son altı ayda, ödemeler ekosistemi, neredeyse her küresel bölgede tek seferlik parola (OTP) baypas şemalarında artan bir eğilim yaşadı. Aslında, yakın zamanda bu taktiği başarıyla uygulayan kripto odaklı bir kimlik avı kampanyası belirledik. Tehdit aktörleri bir kez tıklandığında, meşru kripto değişim sitelerindeki hesaplarına erişmek için kurbanlarının hesap oturum açma verilerini toplayabilir.
Kripto para birimi ve DeFi platformları gelişmeye devam ettikçe ve müşteri cüzdanlarında daha fazla sanal iddia tutuldukça, tehdit aktörleri yeni taktikler kullanmaya ve bu tür güvenlik açıklarını keşfederek para ve varlık çalma girişimlerini genişletmeye devam edecek.
Şans eseri, e-Ticaret güvenliği, kart sahibi kimlik doğrulaması, tokenizasyon, güvenli ödeme sayfaları ve satıcı web sitesi uygulamaları gibi dijital ödemeleri korumak için gelişmeye devam ediyor. OTP baypas şemalarını ve diğer e-ticaret dolandırıcılık biçimlerini azaltmak için oldukça etkili bir başka yöntem de, çok faktörlü kimlik doğrulamasından (MFA) ve web sitesinde oturum açma noktasında veya işlem sürecinde tüketicilerin davranışsal analitiğinden yararlanmaktır.
Kripto para birimi ve DeFi platformları geliştirmenin, tüketicilerin dijital cüzdanlarında tutulan sanal varlıklar için tehdit ortamı üzerindeki potansiyel etkisi nedir?
Kripto para birimi ve DeFi platformları gelişmeye devam ettikçe, kullanıcıların dijital cüzdanlarında daha fazla varlığa sahip olmasıyla tüketici benimsemesinin artmaya devam etmesi bekleniyor. Sonuç olarak, parayı takip eden tehdit aktörleri, bu tür platformları giderek daha fazla hedef alacak çünkü bu onlara tüketicileri kendi finansal kazançları için sömürmek için bir fırsat daha sunuyor.
Yalnızca geçen yıl, blok zinciri tabanlı varlıkları hedef alan kripto para hırsızlıklarında rekor kıran bir yıldı ve Kasım 2022 itibariyle, zincir içi hırsızlıklarda 3 milyar dolardan fazla çalındı. Kripto para köprü hizmetleri, 2022’de tehdit aktörleri için tercih edilen bir hedefti ve Ocak’tan Ekim 2022’nin başlarına kadar, kripto para ekosistemi, toplam 2 milyar ABD dolarına ulaşan 13 ayrı köprü saldırısı yaşadı.
Ödeme işlemcileri ve e-ticaret tüccarları kendilerini numaralandırma saldırılarına karşı korumaya yardımcı olmak için ne yapabilir?
Ödeme kimlik bilgilerini (örn. hesap numarası, CVV2. vb.) tahmin etmek için yaygın ödeme veri öğelerinin programatik testi olan numaralandırma, ödeme ekosistemindeki en büyük tehditlerden biri olmaya devam ediyor. Ne yazık ki, bu tür saldırılar genellikle, tehdit aktörleri, katılım ve yetkilendirme süreçlerinde yetersiz güvenlik kontrolleri nedeniyle hassas olan üçüncü taraf ticari hizmet sağlayıcılarını hedef aldığında meydana gelir. Aslında, geçtiğimiz altı ayda ABD bölgesi, hem satın alan taraf (toplam satın alan numaralandırmanın %63,5’i) hem de ihraç eden taraf (toplam ihraççı listesinin %38,8’i) tarafından en ağır şekilde hedef alınan bölge oldu.
Bu tür saldırıları önlemek için, alıcı bankaların, satıcının geçerliliğini sağlamak için üye işyerinin kabulü aşamasında kapsamlı bir durum tespiti yapmaları tavsiye edilir, çünkü hileli olarak üye olan birçok tüccar numaralandırılmış PAN’ların numaralandırılması ve müteakip paraya çevrilmesi için kullanılır. Ayrıca numaralandırma özellikleriyle işlem etkinliğini ve hızını izlemeli ve bunu engellemek için hızlı hareket etmelidirler.
Visa, işleyicilerin ve tüccarların numaralandırma saldırılarına karşı kendilerini nasıl koruyabileceklerine dair daha fazla içgörüye sahip mi?
Sayımla mücadele etmek için, ihraç eden ve devralan bankalar bir dizi önlem alabilir – örneğin, satın alan bankalar aynı zamanda satıcı kimlik bilgilerini ve işlemlerini korumak için önlemler alabilir, ancak Noktadan Noktaya Şifreleme (P2PE) kullanarak ödeme için güçlü kullanıcı kimlikleri ve şifreler verebilir ağ geçidi portalları ve daha fazlası.
Ayrıca, otomatik işlemleri önlemek için CAPTCHA kontrolleri gibi araçlardan yararlanabilir ve ödeme sırasında kullanılan çeşitli veri öğelerinin (örn. IP adresleri, e-postalar vb.) hızını izleyebilirler. Benzer şekilde, amir bankalar, tekrarlanan CVV2 hataları, geçersiz sona erme verileri ve geçersiz PAN gibi ortak numaralandırma göstergelerini özenle izleyebilir.
Önümüzdeki birkaç yıl içinde dolandırıcılık tehdidi ortamında ne gibi değişiklikler olmasını bekliyorsunuz? CISO’lar ne hakkında endişelenmeli?
Tehdit ortamının gelişmeye devam etmesini ve karmaşıklığının artmasını bekliyoruz. Yakın vadede, İşsizlik Sigortası (UI) ve Küçük İşletme İdaresi (SBA) kredi programlarına ve diğer devlet ödeme programlarına yapılan başvuruların sayısı, mevcut küresel ekonomik ortam nedeniyle önümüzdeki altı ila on iki ay içinde muhtemelen artacaktır. UI ve SBA uygulamalarındaki artışla birlikte, tehdit aktörleri neredeyse kesinlikle eyaletlerin hükümet harcama programlarından yararlanmaya çalışacak.
Uzun vadede, özellikle CISO’lar, kuantum hesaplamada günümüz şifrelemesinin nasıl uygulandığına da dikkat etmelidir. Araştırmacılar, hataya dayanıklı kuantum hesaplamanın, RivestShamir-Adleman (RSA) algoritması da dahil olmak üzere günümüzde kullanılan, özellikle asimetrik algoritmalar olmak üzere birçok güvenli kriptografi biçimini kırabileceğine inanıyor. Hataya dayanıklı kuantum bilgi işlem daha yaygın hale geldikçe, şifreler veya kredi kartı bilgileri gibi şifrelenmiş veriler, tehdit aktörleri tarafından ele geçirilme riski altında olabilir.
Tehdit aktörleri tarafından şifreli iletişim veya para transferleri yoluyla gerçekleştirilen suç faaliyetleri de ortaya çıkan kuantum teknolojisi ile keşfedilme riski altındadır. Kuantum güvenli şifrelemeyle ilgili haberlerden haberdar olmanızı ve uygulandıktan sonra yeni şifreleme yöntemlerine geçiş yaptığınızdan emin olmanızı öneririz.