Dolandırıcılar, markaları taklit etmek ve kişisel bilgileri çalmak amacıyla X’in (eski adıyla Twitter) uygulamaya koyduğu yeni doğrulama sisteminden yararlanıyor.
Kötü şöhretli mavi onay işareti, önceden doğrulanmış şirketler ve etkileyiciler için ayrılmıştı. Ancak mikroblog devini satın aldıktan sonra, kullanıcıların ve gelirin hızla azaldığı bir dönemin ardından Elon Musk, kuralları değiştirerek herkesin yalnızca aylık bir ücret ödeyerek blog sahibi olmasını sağladı.
Sitenin kimlik doğrulamaya yönelik yeni, liberal yaklaşımı dolandırıcılara kapıyı açarken, altın ve gri rozetler gibi diğer “kimlik doğrulama” katmanlarının tanıtılması da hem markalar hem de kullanıcılar için kafa karışıklığı yarattı.
Dark Reading bu hikaye hakkında yorum yapmak için X’e ulaşamadı.
Mavi Çek Dolandırıcılıkları Nasıl Çalışır?
Temmuz ayında, İngiliz havayolu easyJet, Londra’daki Gatwick Havaalanı’ndan 1.700’den fazla yaz uçuşunu iptal etti.
Kızgın müşteri dalgasını öngören dolandırıcılar boşluğu doldurdu.
Birleşik Krallık’taki kar amacı gütmeyen kuruluş Hangi?’ye göre, takip eden saatlerde çok sayıda taklit easyJet hesabı oluşturuldu ve en az beşi, hesap kapatma işlemlerinin ilk aşamasından sağ kurtuldu. Kullanıcı adları, şirketin meşru kullanıcı adını taklit ediyordu ve biyografilerinde, aslında kişisel bilgileri toplamak için tasarlanmış kimlik avı sayfaları olan “Çevrimiçi Yardım Merkezleri”ne bağlantı verdiler. Dolandırıcılar ayrıca öfkeli müşterilerle doğrudan mesaj yoluyla etkileşime geçiyor ve ara sıra onların gerçek şirketle yaptıkları görüşmelere müdahale ediyor.
Kaynak: Hangisi?
Ancak suçun tamamı X’te değil. Müşteri hizmetlerinden kaçan şirketler genellikle öfkeli müşterilerini bunun yerine sosyal medyaya yönlendiriyor çünkü bunun daha hızlı olduğu iddia ediliyor (okuyun: daha uygun maliyetli).
İngiltere’de yaşayan bir kişi Ağustos ayında The Guardian’a, iptal edilen bir tatil uçuşu için para iadesi almak için aylarca süren sonuçsuz girişimlerden sonra sonunda X üzerinden Booking.com ile iletişime geçmeyi nasıl kabul ettiğini anlattı.
Booking.com ondan telefon numarasını DM yoluyla göndermesini istedi. WhatsApp üzerinden yapılan bir görüşmenin ardından ödemenin iadesini kabul ettiler ancak önce bir uygulama indirmesi gerekiyordu.
Ancak o zaman, şüphesi uyanan adam, şirketin hesap tanıtıcısında beklenmedik bir kısa çizgi olduğunu ve WhatsApp arayan kimliğinin Kenya’ya kadar takip edildiğini fark etti.
Muhabirlere, “O zamandan beri, geri ödeme almaya çalışan ve şirkete olan şikayetlerini iletmek için X’e başvuran aklı başında müşterileri takip eden başka sahte Booking.com Twitter hesaplarıyla karşılaştım” diye hatırladı.
Yeni Onay İşareti Sistemiyle Hesaplaşma
X şu anda hesaplar için yalnızca mavi onay işareti yerine dört katman sunuyor:
- Mavi onay artık yalnızca kullanıcının aylık “X Premium” aboneliği için ödeme yaptığını yansıtıyor.
- Gri onay işaretleri devlet kurumları ve yetkilileri için ayrılmıştır.
- Resmi kurumsal hesapların kimliğini doğrulamak için mavi onay işaretlerinin yerini altın renkli onay işaretleri alır.
- Kuruluşlarla ilişkili kişilerin adlarının yanında bir logo da bulunabilir.
Altın rozetin aylık maliyeti 1.000 ABD dolarıdır (artı ek bağlı kuruluşlar için 50$), küçük işletmelerin kimlik doğrulamayı karşılayamayacağı ve daha büyük işletmelerin ödeme yapmak istemeyebileceği anlamına gelir. Hatta organizasyonlar içinde tutarsızlıklara bile yol açıyor. Perşembe günü yayınlanan bir blogda Kaspersky, Microsoft’un X’teki varlığının, bazıları kuruluşla bağlantılı, bazıları olmayan, altın onay işareti olan ve olmayan hesaplardan oluşan bir karmaşa olduğunu vurguladı.
Şirketler X Markasının Kimliğine Bürünme Konusunda Ne Yapabilir?
Nakit parayı dağıtamayan ve X’in yeni kurallarına göre organize olamayan (veya isteksiz) şirketler ve her şeyi doğru yapmanın bile taklitçileri savuşturmak için yeterli olmadığı easyJet gibi şirketler, müşterilerini ve marka adlarını korumak için başka araçlara ihtiyaç duyacak . Çünkü herhangi bir yazım hatası girişimi gibi, özenli bir kimlik avı kampanyası da tüketicinin güvenini sarsabilir.
Critical Start’ın tehdit araştırmasından sorumlu kıdemli yöneticisi Callie Guenther, “Hassas iletişim veya destek için müşterileri resmi web sitesine veya tanınmış bir müşteri hizmetleri numarasına yönlendirmek etkili olabilir. Ayrıca düzenli güncellemeler ve güncellemelerle karakterize edilen tutarlı bir çevrimiçi varlık da etkili olabilir.” etkileşim, taklitçileri caydırabilir ve müşterilere markanın özgünlüğü konusunda güven verebilir.”
Ancak kendisi şu uyarıda bulunuyor: “Doğrulama yoluyla güveni ima eden herhangi bir sistem suiistimal edilebilir, bu nedenle kullanıcılar her zaman dikkatli olmalıdır. Örneğin LinkedIn’in Twitter’a benzer bir onay işareti sistemi yoktur, ancak sahte profiller veya taklitçiler hala mevcut olabilir.”