Kimlik avı yıllardır ortalıkta dolaşıyor ancak 2025’in sonlarına doğru çok daha tehlikeli bir hal alacak. Eskiden dolandırıcılıkların çoğunu tespit etmek kolaydı.
Kötü yazım, hantal logolar veya e-posta Açıkça meşru olmayan bir adres, fark edilmesi kolay tehlike işaretleriydi.
Artık durum böyle değil.
Topsec Bulut Çözümleri Ticari Direktörü.
Bugün suçlular var yapay zeka onların tarafında. Kusursuz, kişiselleştirilmiş e-postalar gönderebilir, bir yöneticinin sesini kopyalayabilir, derin sahte video görüşmeleri başlatabilir ve sahte mesajlar oluşturabilirler. web siteleri gerçeğiyle aynı görünüyor. Ve tüm bunlar sadece birkaç dakika sürüyor.
Kötü niyetli aktörler aynı zamanda KOBİ’lerin temsil ettiği kolay seçimlerin de farkına vardılar. Artık küresel şirketlerin peşinde değiller. Küçük ve orta ölçekli işletmeler genellikle tercih edilen hedeflerdir çünkü tam olarak daha az savunmaya sahip olma eğilimindedirler.
İş dünyası liderleri için risk her zamankinden daha yüksek. Tek bir yanlış tıklama hesapları boşaltabilir, itibara zarar verebilir ve hatta düzenleyicilerin dikkatini çekebilir. Kısacası: 2025 ve sonrasında “iş için formda” kalmak, her zamankinden daha hızlı gelişen kimlik avı taktiklerinden bir adım önde olmak anlamına geliyor.
E-postanın ötesinde: günümüzün kimlik avı cephaneliği
Dolandırıcılıkların kuruluşunuza ulaşmasının bir numaralı yolu e-postadır. Aslında Deloitte, saldırıların %91’inin buradan başladığını söylüyor. Bununla birlikte, suçlular artık e-postayla yetinmiyor. Yeni stratejiler ve taktikler geliştirdiler ve yeni numaralar işletmeleri hazırlıksız yakalıyor.
SIM değiştirme dolandırıcılığı: Telefonunuzun kontrolünü kaybetme düşüncesi tüylerinizin diken diken olmasına yetiyor. Ancak bu kabus, saldırganların bir mobil sağlayıcıyı numaranızı SIM kartlarına taşımaya ikna ettiğinde yaşananların tam olarak aynısıdır.
Artık tüm aramalarınız ve mesaj kodlarınız onlara gidiyor. Evet, hatta güvenlik banka hesaplarınızı ve e-postalarınızı güvende tutacak kodlar. SIM değiştirme dolandırıcılığı hızla büyüyen bir sorundur. CIFAS’a göre bu tür saldırılar geçen yıl %1.000’den fazla arttı.
Ses ve video deepfake’leri: Tehlikeli e-postalar artık siber saldırıların başucu kitabının ilk bölümü gibi görünüyor. Sahte telefon görüşmeleri ve sahte görüntülü toplantılar yeni bölümlerdir. Suçlular, sesleri kopyalamak ve hatta meslektaşlarından oluşan tam bir “ekip” oluşturmak için yapay zekayı kullanıyor.
Mühendislik devi Arup’taki bir finans çalışanı, rutin bir görüntülü görüşmeye katıldıktan sonra kandırılarak 25 milyon dolar havale etti. Her katılımcı bir yapay zeka sahtekarlığıydı.
Smishing (SMS kimlik avı): Bankanızdan, kuryenizden ve hatta BT desteğinden geldiğini iddia eden kısa, acil mesajlar hâlâ artıyor. Metinler hızlı ve tanıdık geldiğinden, insanların düşünmeden önce tıklama olasılıkları daha yüksektir.
Quishing (QR kimlik avı): Pandemiden bu yana QR kodları her yerde; posterlerde, faturalarda ve hatta kartvizitlerde. Saldırganlar, sizi sahte giriş sayfalarına yönlendiren kodların arkasına kötü amaçlı bağlantılar gizleyerek bundan yararlanır. Birçok güvenlik filtresi bunları yakalayamaz. Dahası, bazı dolandırıcılıklarda artık CAPTCHA’lar kullanılıyor veya tespit edilmeyi daha da zorlaştırmak için zincirler yeniden yönlendiriliyor.
Ticari E-posta Güvenliğinin İhlali (BEC): Bu dolandırıcılıklar sahte faturaların çok ötesine geçti. Saldırganlar şimdi içeri giriyor işbirliği Teams veya Slack gibi araçlar, maaş bordrosu değişiklikleri, hassas veriler ve hatta hediye kartları talep etmek için meslektaş gibi görünerek. İstek “güvenilir” bir dahili hesaptan geldiğinde fark edilmesi çok daha zordur.
MFA yorgunluğu: Çok faktörlü kimlik doğrulama sizi güvende tutmalıdır ancak saldırganlar sistemle oyun oynuyor. Rahatsızlıktan veya dikkatinizi dağıtmaktan dolayı “onayla”ya basana kadar size onay istemleriyle spam gönderiyorlar.
Hizmet Olarak Kimlik Avı (PhaaS): Artık dolandırıcılık yapmak için kodlama dehası olmanıza gerek yok. Karanlık ağda hazır kimlik avı kitleri ve yapay zeka araçları, abonelik yazılımı gibi satılıyor ve düşük seviyeli suçluların bile karmaşık saldırılara erişmesine olanak tanıyor.
Tüm bu taktikleri birbirine bağlayan şey nedir? Kısaca insan psikolojisi. Tüm bu dolandırıcılık taktikleri aynı zayıf noktayı besliyor: insanın güveni. Teknoloji kolaylaştırıcıdır, ancak dolandırıcılığın işe yaramasını sağlayan şey psikolojidir.
KOBİ’ler neden özellikle savunmasızdır?
Büyük kuruluşlar siber savunmaya büyük yatırım yapıyor. O zaman bile bağışık değiller. Ancak KOBİ’ler çifte dezavantajla karşı karşıya: sınırlı bütçeler ve aşırı zorlanmış BT personeli. Saldırganlar bunu biliyor ve aktif olarak daha kolay hedefler arıyorlar.
Uzaktan ve hibrit çalışma saldırı yüzeyini daha da genişletti. Personel, çoğu zaman rakip taleplerle boğuşurken, kişisel cihazlardan ve güvenli olmayan ev ağlarından oturum açıyor. Hızlı karar vermenin getirdiği baskıyı da ekleyince, koşullar hataya hazır hale geliyor.
Mali ve operasyonel sonuçları ciddidir:
- Doğrudan para veya veri hırsızlığı.
- Uzun süreli kesinti ve kayıp üretkenlik.
- Veri ihlalleri için düzenleyici para cezaları.
- Marka güvenine ve müşteri sadakatine uzun vadeli zarar.
Daha küçük firmalar için tek bir başarılı saldırı bile varoluşsal olabilir.
Direnç oluşturmak: Liderler nasıl yanıt verebilir?
Yıllık genel farkındalık eğitimi veya “tıklamadan önce bağlantının üzerine gelin” tavsiyesi artık yeterli değil. Kuruluşların insanlar, süreçler ve teknoloji genelinde katmanlı savunmalara ihtiyacı vardır.
1. Teknik tahkimatlar
– SMS tabanlı MFA’nın ötesine geçin: Kimlik doğrulama uygulamaları, donanım belirteçleri veya biyometri, metin yoluyla gönderilen tek seferlik geçiş kodlarından daha güvenlidir.
– Gelişmiş e-posta filtreleme: Yalnızca anahtar kelimeleri değil, şüpheli gönderen davranışını tespit eden, makine öğrenimi destekli filtreler kullanın.
– Uç nokta tespiti ve yanıtı (EDR): Saldırganlar yayılmadan önce cihazlardaki olağandışı etkinlikleri tespit edin ve kontrol altına alın.
– DNS ve URL filtreleme: Bir bağlantı tıklatılsa bile bilinen kötü amaçlı sitelere erişimi engelleyin.
– SIM değiştirme korumaları: En son SIM değişikliklerini izleyin, telefon numaraları güncellendiğinde kullanıcıları uyarın ve keşifleri azaltmak için hesap numaralarını maskeleyin.
2. İnsan güvenlik duvarı
– Hedefli, gerçekçi eğitim: Personelinize yapay zeka derin sahtekarlıklarından Quishing’e kadar en son dolandırıcılıkları tespit etmeyi öğretin. Alışkanlıkları güçlendirmek için kimlik avı simülasyonlarını kullanın.
– SIM değiştirme uyarı işaretlerini tanıyın: Ani mobil sinyal kaybı, metin veya çağrı gönderememe ve beklenmedik hesap kilitlenmeleri.
– Güvenli raporlama kültürü: Şüpheli mesajları suçlamadan bildirmeyi kolaylaştırın.
3. Süreç disiplini
– Ödemeler için ikili onay: Hiçbir çalışan tek başına büyük transferlere izin vermemelidir.
– Güvenilir kanallar aracılığıyla doğrulayın: Olağandışı talepler üzerine harekete geçmeden önce tedarikçileri yayınlanan numaralardan tekrar arayın.
– Test edilmiş olay müdahale planları: Bir olay meydana gelirse hızlı hareket etmeye hazır olun. SIM-takas, hesap ele geçirme veya kimlik avı ihlali şüphesi var.
2025’te iş hayatına uygun
Gerçek şu ki kimlik avı hiçbir zaman “sadece” bir BT sorunu olmadı. Bu daha çok bir toplantı odası meselesi. Yapay zeka kaynaklı sahtekarlık, derin sahte görüntülü aramalar, SIM değiştirme sahtekarlığı ve hizmet olarak kimlik avı, eski “sağduyulu” tavsiyelerin artık yeterli olmadığı anlamına geliyor.
Dayanıklılık, akıllı teknolojinin, disiplinli süreçlerin ve iyi hazırlanmış insanların birleştirilmesine bağlıdır. Siber suçlular hızla gelişiyor. Bunun tek yanıtı sizin ve işletmenizin daha da hızlı gelişmesidir.
En iyi güvenli e-posta sağlayıcısını sunduk.
Bu makale, günümüz teknoloji endüstrisindeki en iyi ve en parlak beyinleri öne çıkardığımız TechRadarPro’nun Expert Insights kanalının bir parçası olarak üretildi. Burada ifade edilen görüşler yazara aittir ve mutlaka TechRadarPro veya Future plc’ye ait değildir. Katkıda bulunmak istiyorsanız buradan daha fazla bilgi edinin: https://www.techradar.com/news/submit-your-story-to-techradar-pro