Düzmece bilgi ihlali bildirimlerine dikkat

Bilgi ihlali bildirimi almak evvelce ender bir olayken ihlallerinin rekor sayılara ulaşmasıyla birlikte bu bildirimler artık eskisi kadar şaşırtan değil.

Veri ihlali bildirimi almak evvelden az bir olayken ihlallerinin rekor sayılara ulaşmasıyla birlikte bu bildirimler artık eskisi kadar şaşırtan değil. Amerika Birleşik Devletleri’nde geçen yıl 3 bin 322 adet bu çeşit ihlal bildirildi ve bunun sonucunda mağdurlara yaklaşık 280 milyon bildirim e-postası gönderildi. Avrupa’da günlük olay sayısı 2025 yılında yıllık yüzde 22 artarak günde ortalama 443’e ulaştı.

Bu durum, dolandırıcılar için artan bir fırsat manasına geliyor. Dolandırıcılar, birçok kişinin bu bildirimleri beklediğini biliyor ve bir bildirim aldıklarında, içinde yer alan tavsiyelere uymaya daha yatkın olabilirler. Siber güvenlik şirketi ESET bilgi ihlali ihtarlarının bir tuzak olabileceği ikazında bulunarak dikkat edilmesi gerekenler hakkında bilgilendirmede bulundu.

Her gün gerçek ihlaller yaşanıyor ve legal bir bildirimi görmezden gelmek, uydurma bir bildirime tıklamak kadar tehlikeli olabilir. Otomatik reaksiyon vermekten vazgeçerek gerçek bir uyarıyı düzmece olandan ayırt edebilmek çok değerli. Dolandırıcılar gerçek bir ihlali bekler ve haberleri fırsat bilerek geçersiz bir bildirim gönderir. Bu senaryoda, kurbanlar bir bildirim bekledikleri için dolandırıcılığa inanma olasılıkları daha yüksektir. Öbür alternatifte ise dolandırıcılar var olmayan bir olayın detaylarını içeren bir ihlal ve düzmece bildirim uydurur. Alıcı için hem alakalı hem de emniyetli görünmesi gayesiyle büyük olasılıkla tanınmış ve tanınan bir markadan gönderilmiş üzere taklit edilir. Lakin dolandırıcılar, kurbanın işyerindeki BT departmanının kimliğine de bürünebilir.

Her iki durumda da dolandırıcılar, uydurma bildirimlerin oluşturulmasını otomatikleştirmek ve geliştirmek için giderek daha fazla kimlik avı kitleri ve yapay zekâ araçları kullanmaktadır. Yapay zekâ, gerçek bildirimlerin söz seçimini ve üslubunu kopyalayarak, mahallî lisanlarda kusursuz bir biçimde benzeri tuzaklar oluşturmada bilhassa başarılıdır. Daha fazla meşruiyet katmak için ilgili marka ve logolar da eklenecektir. Tüm bunlar dakikalar içinde yapılabilir; bu da bir olaydan sonra düzmece bildirimlerin süratle ve büyük ölçekte e-posta yoluyla gönderilebileceği manasına gelir. Kesin hedef, sizi kandırarak makus emelli bir kontağa tıklamanızı yahut berbat emelli bir eki açmanızı sağlamak olabilir; bu da örneğin bilgi çalan berbat hedefli yazılımların yüklenmesine neden olabilir. Ya da şahsî ve finansal bilgilerinizi yahut parolalarınızı ele geçirmek için bir mazeret olabilir.

Tehlike işaretlerini fark etmek

Nereye dikkat etmeniz gerektiğini bilirseniz düzmece güvenlik ihlali bildirimlerini tespit etmek kolay olacaktır.

Acilen harekete geçmeniz gerekiyor: Dolandırıcılar, sizi şahsî bilgilerinizi vermeye yahut ziyanlı bir temasa tıklamaya ikna etmek için klasik toplumsal mühendislik tekniklerini kullanacaktır. Bu ekseriyetle, parolanızı güncellemezseniz yahut ferdî bilgilerinizi onaylamazsanız bilgilerinizin risk altında olduğunu söylemek üzere sizi çabukla harekete geçirmek için bir aciliyet hissi yaratmaya çalışmakla gerçekleşir.
Olağan dışı gönderen e-postası: Dolandırıcılar çoklukla gönderen e-postasını taklit ederek, e-postanın taklit ettikleri kuruluştan gelmiş üzere görünmesini sağlamaya çalışır. Bu nedenle, isimdeki yazım kusurlarına dikkat edin ve görüntülenen isim rastgele bir gönderen tesir alanını gizliyor olabilir, bu nedenle imleci üzerine getirin.
Yazım ve lisan bilgisi kusurları: Daha evvel de belirtildiği üzere, tehdit aktörleri kimlik avı kampanyalarını geliştirmek için üretken yapay zekâyı (GenAI) ne kadar çok kullanırsa bu durumun ortaya çıkma mümkünlüğü o kadar azalır. Lakin yeniden de bu, gerçekleştirilmesi gereken faydalı bir birinci denetim adımdır.
Bağlantılar ve ekler: Bu bildirilerin birden fazla, kişisel/finansal bilgilerinizi ve parolalarınızı çalmak için tasarlanmış kimlik avı sitelerine yönlendiren ilişkilerle doludur. Ayrıyeten gizlice makus emelli yazılım yükleyen bildirimler üzere görünen ekler de içerebilirler.
Belirsizlik: Güvenlik ihlali yaşayan bir şirketten legal bir mektup alırsanız bu mektupta çoklukla hesap numarası ve kullanıcı ismi üzere kimi ferdî bilgileriniz yer alır. Lakin dolandırıcılar bu bilgilere sahip olmadığından gönderdikleri bildiriler belgisiz ve detaylardan mahrum olacaktır.

Güvende kalmak

Veri ihlali bildirim dolandırıcılıklarından korunmanın birinci adımı nelere dikkat etmeniz gerektiğini anlamaktır.Bir şey zıt geliyorsa ne yapacağınıza dair telaşlı bir karar vermeyin. Derin bir nefes alın ve sakin olun. Bir bildirim alırsanız her vakit görünür kaynağa direkt danışın; lakin bunu, gönderene karşılık vererek yahut bildirimin içindeki irtibat bilgilerini kullanarak yapmayın. Gerçek hesabınıza giriş yapın yahut şirketi arayın ya da e-posta göndererek bilgi ihlali olayının gerçek olup olmadığını denetim edin. Saygın güvenlik yazılımlarıyla birlikte gelen kimlik muhafaza özellikleri ve HaveIBeenPwned.com üzere hizmetler, bilgilerinizin ele geçirilip geçirilmediğini denetim etmenin faydalı bir ikincil yolu olabilir. Parola yöneticisinde saklanan güçlü ve eşsiz parolalar kullanarak ve bunları çok faktörlü kimlik doğrulama (MFA) ile destekleyerek riski daha da azaltın. Bu sayede, bilgisayar korsanları kimlik bilgilerinizi ele geçirse bile hesaplarınıza erişemezler. Saygın bir sağlayıcıdan sağlam bir e-posta güvenliği yazılımı yüklediğinizden emin olun. Bu yazılım, ülkü olarak yapay zekâyı kullanarak kimlik avı teşebbüslerini ve makûs maksatlı yazılımları tespit edip engellemeye yardımcı olur.

Veri ihlali mağduruysanız çabucak yapmanız gerekenler

Bir dolandırıcılığın kurbanı olduğunuzu düşünüyorsanız süratli hareket etmeniz değerlidir. Hackerlarla paylaşmış olabileceğiniz tüm parolaları (kullandığınız tüm sitelerde) değiştirin. Parola yöneticisi, çok sayıda site ve uygulamada eşsiz kimlik bilgilerini saklamak için en güzel seçenektir.

Tüm hassas hesaplar için MFA’yı aktifleştirin, böylelikle makus niyetli bireyler parolalarınızı ele geçirseler bile hesabınıza giremezler,
Güvenilir bir güvenlik yazılımı kullanarak berbat emelli yazılım taraması yapın,
Finansal bilgilerinizi paylaştıysanız bankanızla irtibata geçin ve durumu bildirin. Mümkünse kredi/banka kartlarınızı dondurun,
Şüpheli faaliyet olup olmadığını denetim etmek için finansal hesaplarınızı takip edin
Olayı ilgili yerlere bildirin.

Dünya data ihlali bildirimleriyle dolup taşarken bu tıp haberlere o kadar alışmış hâle gelebiliriz ki gelen kutumuza düşen en son bildirimlere otomatik olarak inanmaya başlayabiliriz. Her ne kadar yorucu olsa da bu cins bildirimleri dikkatle incelemek çok değerlidir. Bu, yalnızca dolandırıcılıktan kaçınmanıza yardımcı olmakla kalmaz; tıpkı vakitte yasal bildirimleri daha ciddiye almanızı da sağlar.

Kaynak: (BYZHA) Beyaz Haber Ajansı