Kimlik hırsızlığı ve korunmanız için 1 milyar neden

Kurumsal veri ihlalleri kimlik hırsızlığı için bir kapı açar ancak tek kapı bu değildir. İşte, kişisel verilerinizin nasıl çalınabileceğine ve çalınmadığından nasıl emin olacağınıza dair bilgiler.

Veri ihlalleri şirketler için giderek büyüyen bir tehdit ve müşterileri için bir kâbus. Son rakamlara göre, 2024 yılında ABD’de kamuya açık olarak bildirilen 3.158 olay yaşandı; bu, tüm zamanların en yüksek seviyesinden biraz daha az. Sonuç olarak mağdurlara 1,3 milyardan fazla veri ihlali bildirim mektubu gönderilmesi gerekti ve bunların bir milyardan fazlası her biri 100 milyondan fazla kayıt içeren beş mega ihlale yakalandı.

Kötü haber şu ki, bu buzdağının sadece görünen kısmı. Kişisel olarak tanımlanabilir bilgilerinizin (PII) yanlış ellere geçmesinin başka birçok yolu vardır. Bir kez siber suç yeraltı dünyasında dolaşıma girdikten sonra kimlik dolandırıcılığı girişimlerinde kullanılması sadece bir zaman meselesidir.

Tehlikede olan ne?

Hangi verilerden bahsediyoruz?

• İsimler ve adresler
• Kredi/ödeme kartı numaraları
• Sosyal güvenlik veya resmi kimlik numaraları
• Banka hesap numaraları
• Sağlık sigortası detayları
• Pasaport/ehliyet
• Kurumsal ve kişisel çevrimiçi hesaplara girişler

Kişisel verileriniz çalındığında büyük bir veri ihlalinde veya aşağıda listelenen birçok yöntemden biri yoluyla bu veriler muhtemelen çeşitli dolandırıcılık planlarında kullanılmak üzere başkalarına satılacak veya verilecektir. Bu, yasa dışı satın alımlardan hesap devralmaya (ATO), yeni hesap dolandırıcılığına veya daha da hassas bilgiler elde etmek için tasarlanmış kimlik avı planlarına kadar değişebilir. Bazı durumlarda, dolandırıcılık filtrelerinin engellemesi daha zor olan sentetik kimlikler oluşturmak için gerçek bilgiler makine tarafından oluşturulanlarla karıştırılır.

Bu büyük bir iş. Javelin Strategy & Research’e göre, kimlik hırsızlığı sadece 2024 yılında Amerikalılara 47 milyar dolara mal oldu.

Kimlik hırsızlığı nasıl çalışır?

Kimlik hırsızlığı eninde sonunda verilere dayanır. Peki, siber suçlular sizinkileri genellikle nasıl ele geçirebilir? İş yaptığınız üçüncü taraf kuruluşlardan büyük miktarda veri çalmıyorlarsa bireylere yönelik daha hedefli saldırılar için en önemli vektörler şunlardır:

• Phising/smishing/vishing: Klasik sosyal mühendislik saldırıları, geleneksel e-posta oltalamasından mesajlara (smishing) ve hatta telefon aramalarına (vishing) kadar çeşitli kanallardan gelebilir. Tehdit aktörü, genellikle kötü niyetli bir bağlantıya tıklamanızı, kişisel bilgileri doldurmanızı veya kötü niyetli bir eki açmanızı teklif ederek sizi kandırmak için bağlı ve test edilmiş teknikler kullanacaktır. Bunlar arasında tanınmış bir şirketi veya kurumu taklit etmek için resmi marka kullanımı ve arayan kimliği veya alan adı sahteciliği gibi hileler yer alır.
• Dijital karalama: Tehdit aktörleri, kart bilgilerinizi ele geçirmek için popüler bir e-ticaret veya benzer bir sitenin web sayfalarına kötü niyetli skimming kodu ekleyebilir. Tüm süreç kurban için tamamen görünmezdir.
• Halka açık Wi-Fi: Güvenli olmayan halka açık Wi-Fi ağları, kişisel bilgilerinizin ele geçirildiği ortadaki adam saldırılarını kolaylaştırabilir. Bilgisayar korsanları ayrıca veri toplamak ve kurbanları kötü amaçlı sitelere yönlendirmek için sahte etkin noktalar kurabilir.
• Kötü Amaçlı Yazılım (malware): Infostealer kötü amaçlı yazılım hem kurumsal kullanıcılar hem de tüketiciler için büyüyen bir sorundur. Kimlik avı mesajları, virüslü web sitelerinden yapılan drive-by indirmeler, crackli oyunlar, Google Reklamları ve hatta sahte toplantı yazılımları gibi meşru görünümlü uygulamalar dahil olmak üzere çeşitli mekanizmalar aracılığıyla farkında olmadan kurulabilir. Çoğu bilgi hırsızı dosyaları, veri akışlarını, kart bilgilerini, kripto varlıklarını, parolaları ve tuş vuruşlarını toplar.
• Malvertising: Kötü niyetli reklamlar, bazen kullanıcı etkileşimi bile talep etmeden bilgi çalmak için programlanabilir.
• Kötü amaçlı web siteleri: Kimlik avı siteleri, sahte alan adına kadar gerçekmiş gibi görünecek şekilde taklit edilebilir. Drive-by indirmelerinde, kullanıcının tek yapması gereken kötü amaçlı bir sayfayı ziyaret etmektir. Ardından gizli bir kötü amaçlı yazılım yüklemesi başlayacaktır. Genellikle, kötü amaçlı web siteleri arama sıralamalarında üst sıralardadır böylece kötü niyetli SEO teknikleri sayesinde daha fazla görünürlük elde ederler. 
• Kötü amaçlı uygulamalar: Bankacılık Truva atları ve bilgi hırsızları da dahil olmak üzere kötü amaçlı yazılımlar, yasal uygulamalar olarak gizlenebilir ve özellikle Google Play gibi resmi uygulama mağazaları dışında riskler yüksektir.
• Cihazların kaybolması/çalınması: Cihazınız kaybolursa cihazınızı ve yeterli korumaya sahip değilse bilgisayar korsanları kişisel ve finansal veriler için yağmalayabilir.

Kimlik hırsızlığı nasıl önlenir?

Kimlik dolandırıcılığını önlemenin en belirgin yolu, kötü niyetli kişilerin kişisel ve finansal bilgilerinize ulaşmasını ilk etapta engellemektir. Bu, birlikte uygulandığında tam da bunu başarmak için iyi bir iş çıkarabilecek bir dizi adım gerektirir. Aşağıdakileri göz önünde bulundurun:

• Güçlü, benzersiz parolalar: Her site/uygulama/hesap için farklı bir parola seçin ve bunları sizin için sorunsuz bir şekilde hatırlayacak bir parola yöneticisinde saklayın. Çevrimiçi hesaplarınızda iki faktörlü kimlik doğrulamayı (2FA) açarak ek katman sağlayın. Bu, bir tehdit aktörü parolanızı ele geçirse bile kullanamayacağı anlamına gelir. Bir kimlik doğrulayıcı uygulaması veya donanım güvenlik anahtarı 2FA için en iyi seçenektir.
• Güvenlik yazılımı yükleyin: Tüm cihazlarınız ve bilgisayarlarınız için saygın bir tedarikçinin güvenlik yazılımını kullanın. Bu, diğer birçok şeyin yanı sıra kötü amaçlı uygulamaları ve indirmeleri, kimlik avı web sitelerini tespit edip engelleyecek ve şüpheli etkinlikleri işaretleyecektir.
• Şüpheci olun: Kimlik avının uyarı işaretlerine karşı her zaman tetikte olun: Acilen harekete geçilmesini isteyen, tıklanabilir bağlantılar veya açılması gereken ekler içeren istenmeyen bir mesaj. Gönderici, zamana duyarlı ödül çekilişleri gibi hileler kullanabilir veya en kısa sürede yanıt vermezseniz para cezası uygulanacağına dair uyarılarda bulunabilir.
• Yalnızca yasal sitelerdeki uygulamaları kullanın: Kötü amaçlı uygulamalara maruz kalmanızı sınırlamak için mobil dünyada Apple App Store ve Google Play’e bağlı kalın. İndirmeden önce her zaman yorumları ve izinleri kontrol edin.
• Herkese açık Wi-Fi’ya karşı dikkatli olun: Herkese açık Wi-Fi’dan uzak durun veya bundan kaçınamıyorsanız oturum açıkken hassas hesapları açmamaya çalışın. Her iki durumda da daha güvende kalmak için bir VPN kullanın. 

Bir ihlale yanıt verme

Üçüncü taraf veri ihlalleri konusunda, ürün satın alırken ödeme kartınızı ve kişisel bilgilerinizi kaydetmemeyi seçmek dışında yapabileceğiniz pek bir şey yoktur. Bu, tehdit aktörlerinin iş yaptığınız bir şirketi ihlal etmeyi başardıklarında çalabilecekleri daha az şey olduğu anlamına gelecektir.

Bununla birlikte, proaktif bir yaklaşım benimsemek de işe yarar. Bazı kimlik koruma ürünleri, örneğin daha önce ihlal edilip edilmediklerini görmek için bilgilerinizi dark web’de arar. Eğer bir eşleşme varsa bu size kartları iptal etmek, parolaları değiştirmek ve diğer önlemleri almak için zaman kazandırabilir. Ayrıca banka hesaplarınızdaki şüpheli faaliyetlere karşı gözlerinizi açık tutmanız da faydalı olacaktır.

İhlal sonrası şu adımları da unutmayın:

• Bankanızla iletişime geçin: Kartlarınızı dondurun (bu işlem çoğu bankacılık uygulaması üzerinden yapılabilir), dolandırıcılığı bildirin ve yeni kart talep edin.
• İlgili kurumlara bildirimde bulunun: Yaşadığınız mağduriyeti polise bildirin. Ayrıca çalınan diğer belgeleriniz için de ilgili kurumlara bildirimde bulunun; örneğin, ehliyet hırsızlığı (ülkemizde) e-devlet üzerinden Nüfus ve Vatandaşlık İşleri Genel Müdürlüğü’ne bildirilmelidir.
• Giriş bilgilerinizi değiştirin: Çevrimiçin uygulamalarda kullandığınız ve güvenliği ihlal edilmiş tüm kimlik bilgilerini değiştirin ve 2FA’yı açın.

Kimlik hırsızlığı bir tehdit olmaya devam ediyor çünkü tehdit aktörlerinin bu işten kâr elde etme ihtimalleri nispeten kolay. Kişisel bilgilerimizi elde etmek için kullanabilecekleri yolları azaltarak düşmanlarımızı rahatsız edebilir ve kendi dijital yaşamlarımızı güvende ve emniyette tutabiliriz.