Tatil sezonu sona ermek üzereyken, kötü niyetli aktörler, istenmeyen e-postalar ve e-posta tabanlı tehditler biçimindeki istenmeyen e-posta ve kimlik avı saldırılarının hacmini artırarak rahatsız olmuş tüketicilerden yararlanmaya çalışıyor ve işletmeler bundan zarar görecek.
Bitdefender Antispam Lab tarafından hazırlanan bir rapor, Noel temalı spam hacminin 27 Kasım’dan bu yana istikrarlı bir şekilde arttığını ve 6 Aralık ile 9 Aralık arasında istenmeyen yazışmalarda ani artışlar gözlemlendiğini ortaya koydu.
Dolandırıcılar, sahte anketler, çevrimiçi tatil flört fırsatları, yetişkinlere yönelik içerik teklifleri ve tasarım ürünleri için indirimli alışveriş gibi denenmiş ve doğrulanmış taktikleri kullanıyor.
Netflix ve Lowes dahil olmak üzere büyük şirketler, tüketicileri özel teklifler ve nakit eşantiyonlarla cezbederek sahtekarlık konuları arasında yer aldı – işin püf noktası, elbette önce kredi kartı numaralarını veya banka bilgilerini girmeleri gerektiğidir.
Son zamanlarda yapılan bir araştırma, Amerikalıların üçte birinden fazlasının tatillerde çevrimiçi alışveriş dolandırıcılığının kurbanı olduğunu ve bunun sonucunda ortalama 387 dolar kaybettiğini ortaya koydu.
Bitdefender güvenlik analisti Alina Bizga, tehdit aktörlerinin hedef belirleme konusunda bilgili olduğunu açıklıyor. Tatil sezonu, hesap sahiplerini kimlik bilgilerini toplamaları ve diğer alçakça faaliyetler gerçekleştirmeleri için kandırmayı amaçlayan, sosyal olarak tasarlanmış bir dizi tanıtım kampanyası getirme eğilimindedir.
“Taktiklerini ve cazibelerini güncelliyorlar ve tüketici davranışlarını not alıyorlar, kullanıcıları hazırlıksız yakalamak ve hassas kişisel verileri ve parayı çalmak veya cihazlarını ve finansal hesaplarını tehlikeye atmak için sosyal mühendislik saldırılarını zamanlıyorlar” diyor.
Meşru İşletmeler İçin Sonuçlar
Bizga, tehdit aktörlerinin tüketicileri kişisel bilgilerini veya paralarını vermeleri için kandırmak için meşru bir işletmeyi taklit ettiklerinde, kuruluşların mali kayıplara ve itibar zedelenmesine de maruz kalabileceğini ekliyor.
“Büyük ölçekli spam kampanyalarıyla çoğalan popüler ticari isimlerden yararlanan dolandırıcılıklar hem tüketicileri hem de çalışanları etkileyebilir ve kuruluşların bir kimlik avı dolandırıcılığının ardından olası zararları en aza indirmek için net bir eylem planına sahip olması gerekir” diyor.
Bu, sahte iletişimleri tespit etmeyi, saldırıların kapsamı hakkında bilgi toplamayı ve tüketicileri ve kolluk kuvvetlerini bilgilendirmeyi içerir.
Cybereason baş güvenlik sorumlusu Sam Curry, yıllık mevsimsel spam bolluğunun işletmeler için meşru pazarlamayı çok daha zorlaştırdığını söylüyor.
“Kötü adamlar meşru pazarlama gibi görünmeye çalıştıklarında, meşru pazarlamaya daha az güveniliyor ve tolere ediliyor” diyor. “E-posta sıranız günde 200 gereksiz e-postaya kadar çıkıyorsa ve 170 kez sil tuşuna basmaktan yorulduysanız, gömülü meşru pazarlama içeriği için silme tuşuna basma ihtimaliniz daha yüksektir.”
Perakendeciler için spam ve kimlik avına karşı mücadele iki yönlüdür: müşteriyi korumak ve kuruluşu korumak.
Curry, şimdi birçok perakendecinin karaya çıktığı zaman olduğuna dikkat çekiyor.
“Yılın geri kalanında birkaç ayda yaptıklarından daha fazlasını birkaç gün içinde yapabilirler, bu nedenle BT’yi ve değişiklikleri dondurup müşterilere geniş ölçekte hizmet vermeye odaklanıyorlar” diyor.
Bu, herhangi bir hıçkırığın sonuç olarak daha da acı verici olduğu anlamına gelir.
“Güvenlikte, riski olasılık ve etki açısından ölçüyoruz ve tatil sezonunda etki önemli ölçüde artıyor” diyor. “Bu da işletmelerin tepkilerini ve beklenmedik durumlarını değiştirerek fidye ödeme veya sorunları ve sorunları çözmek için sert önlemler alma olasılıklarını artırıyor.”
Tehdit Aktörleri Hızlı ve Kolay Kazançlar Arıyor
Bizga, siber suçluların taktiklerini, tekniklerini ve prosedürlerini (TTP’ler) düzenli olarak uyarlamalarına rağmen, en yaygın saldırı vektörleri tatil sezonu boyunca görülenler arasında kimlik avı, güvenlik açıklarından yararlanma ve insan hatası ve yanlış yapılandırmalar yer alır.
“Ayrıca tedarik zinciri saldırıları, tedarikçiler, distribütörler veya yükleniciler gibi üçüncü tarafların ekosistemlerine erişiminden yararlanabilir” diyor. “Örneğin, küçük bir tedarikçiyi ihlal etmek, çok daha büyük bir müşteriye veya tüm müşteri tabanına erişimle sonuçlanabilir.”
Intel 471’de baş istihbarat yetkilisi olan Michael DeBolt, siber tehdit aktörlerinin her zaman düşük risk ve çabayla kayda değer kâr sağlayan hızlı ve kolay kazançlar aradıklarını söylüyor.
“Yıl sonu tatil dönemi, perakendeciler ve tüketiciler mal ve hizmetlerde işlem yaparken, çevrimiçi hesaplarda oturum açarken, ürünleri gönderip alırken ve daha pek çok şeyde çevrimiçi etkinlikteki artış nedeniyle tehdit aktörlerine yasadışı kazançlarını artırmak için benzersiz bir fırsat penceresi sunuyor.” ,” diyor.
Kuruluş Genelinde Tetikte Olmak
DeBolt, perakende kuruluşlarının müşterilerini hedefleyen en son spam ve kimlik avı kampanyalarından haberdar olmaları gerektiğini söylüyor.
Bu bilgilerle donanan kuruluşlar, müşterileri potansiyel tehditler ve bunlardan nasıl kaçınılacağı konusunda uyaran yönlendirilmiş bilinçlendirme kampanyaları kullanabilir.
Güvenlik ve dolandırıcılık ekiplerinin, hesap devralma (ATO) saldırılarına karşı savunma yapmak için ortamdaki kontrolleri ayarlayarak hafifletici önlemler alabileceğini belirtiyor.
“Tüketicileri hedef alan aynı kötü amaçlı spam kampanyaları, kuruluşlardaki çalışanları da hedeflemek için kullanılabilir” diye ekliyor.
Bir çalışana ait virüslü bir makine, uzak ağ erişimleri için oturum açma bilgilerini veya hassas veri depolaması için kimlik bilgilerini içerebilir; bu, şirket bilgilerinin çalınmasına veya şirketin ağına bir fidye yazılımı dağıtımı için bir dayanak olarak yol açabilir.
“Belki de en önemli çıkarım, bilgi güvenliğinin yalnızca değil tüm kuruluşta uygulanması ve anlaşılması gerektiğidir. [by] ağ savunucuları” diyor.
Spam ve tatil sezonunda kimlik avına karşı mücadelede perakendeciler, müşterilerine doğru bilgileri ve kendi adlarına gönderilen şüpheli yazışmaları bildirebilecekleri kanalları sağlamalıdır.
Bizga, işletmelerin ayrıca tüketicileri devam eden spam/kimlik avı kampanyaları hakkında bilgilendirmek için dönemsel bilinçlendirme kampanyaları oluşturması ve dolandırıcılık faaliyetlerini bildirmek için ilgili alan adı kayıt kuruluşuna bildirimde bulunması gerektiğini söylüyor.
“Ek telafi çabaları, yasal işlemlerde yardımcı olabilecek ve kötü niyetli aktörlere karşı tavsiyede bulunabilecek yasa uygulayıcılara ve yasal kurumlara bildirimde bulunmayı içermelidir” diyor.
Müşteri Güvenini Kaybetmenin Tehlikeleri
SlashNext CEO’su Patrick Harr, kötü aktörlerin kurbanlarını sahte bir güvenlik duygusuna kaptırmak için büyük perakendecilerin ve diğer işletmelerin marka tanınırlığından yararlandıklarını açıklıyor.
“Kurbanın kandırıldığını anlaması, tabii ki asıl dolandırıcılıkla hiçbir ilgileri olmasa da, markaya olan güvenlerini kaybetmelerine neden olabilir” diyor. Harr, “Hepimizin bildiği gibi, tüketici güvenini kaybetmek gelirde önemli düşüşlere yol açabilir” diyor.
Perakendecilere, marka kimliğine bürünme örneklerini kontrol eden güçlü bir marka koruma hizmeti dağıtmalarını tavsiye ediyor.
Bir dolandırıcılık veya kimliğe bürünme tespit edildiğinde, bunun gayri meşru olduğunu kanıtlayan kanıtlarla birlikte bir talepte bulunulmalıdır.
Harr, “Ancak bu oldukça zaman alabilir, bu nedenle perakendeciler bu taklitleri sürekli olarak tarayan ve bildiren otomatik bir hizmeti benimsemelidir” diyor. “Kimliğe bürünmeyi tamamen durdurmayacak, ancak mücadele eden şirketler kendilerini gelecekteki taklitler için daha az hedef haline getiriyor.”