Siber Güvenlik Dairesi Başkanı Salih Talay, 85 milyon kişinin e-Devlet verisinin çalındığına dair iddiaları yalanladı. Halihazırda e-Devlet Kapısı kullanıcısı sayısının 63 milyon olduğunu belirten Talay, bu durumun iddiaların asılsız olduğunu gösterdiğini söyledi.
Cumhurbaşkanlığı Dijital Dönüşüm Ofisi Siber Güvenlik Dairesi Başkanı Salih Talay, Türkiye gündemini sarsan “e-Devlet Kapısı’nda veri sızıntısı” haberlerine ilişkin Türksat Gölbaşı yerleşkesinde açıklama yaptı.
E-DEVLET KAPISI KULLANICI SAYISI 63 MİLYON
e-Devlet’in vatandaşların kamu hizmetlerine ulaşmaları noktasında bir geçiş kapısı niteliğinde olduğunu dile getiren Talay, “Sistemde, kullanıcılara ilişkin profil bilgileri ve kullanıcı hesapları dışında herhangi bir veri tutulmuyor. Dolayısıyla (sızdığı iddia edilen) bu verilerin teknik olarak e-Devlet Kapısı’ndan çalınmış olması mümkün değil.” ifadelerini kullandı.
Çalındığı iddia edilen verilerin satışa çıkartıldığı web sitelerini incelediklerinde, söz konusu sitelerin ağırlıklı olarak oltalama içerikli siteler olduğunu gördüklerini paylaşan Talay, “Siteye kayıt olmak ve bilgi paylaşmak vatandaşlarımız açısından büyük bir risk oluşturuyor. Dijital dünyaya aktardığımız veriler kaybolmuyor. Geçmişte saldırganlar tarafından değişik kaynaklardan, ağırlık olarak da oltalama saldırısı tekniğiyle elde edilmiş veriler, değişik dönemde tekrar tekrar dolaşıma sokuluyor” diye konuştu.
Talay, gerek e-Devlet Kapısı gerekse Cumhurbaşkanlığı Dijital Dönüşüm Ofisi’nin, konuyla ilgili farklı dönemlerde ortaya çıkan asılsız iddiaları yalanlayarak kamuoyunu bilgilendirdiğine dikkati çekti. Talay, yaşanan son olaya ilişkin hem idari hem de hukuki süreci başlatacaklarını kaydetti.
Kimlik avı (phishing) saldırıları genellikle fıçıda balık avlamaya benzer. Yeterli zaman verildiğinde, kötü bir aktörün bir kurbanı yakalama olasılığı yüzde 100’dür.
Kurumlar alışılagelmiş bir şekilde savunmasız olmaya devam ettikçe, hedef alınmaya devam edilecek ve fıçıda balık avlama döngüsü sürecektir. Gelin, kimlik avı saldırılarının neden başarılı olduğunu masaya yatıralım.
1- TEHDİT AKTÖRLERİ HER ZAMAN MOTİVEDİR
BT güvenliğini göz ardı etmek ya da yanlış değerlendirmek bir saldırıya karşı zafiyeti büyük ölçüde artırır. Ancak kusursuz bir protokol izliyor, çalışanlara eğitim veriyor, personele şüpheli iletişimleri doğrulamalarını tekrar tekrar hatırlatıyor ve en son kimlik avı kampanyalarını takip ediyor olsanız da kuruluşunuz savunmasızdır ve her zaman savunmasız olacaktır.
Bir kuruluş olarak tüm potansiyel kurbanları korumakla görevli olmanıza rağmen Strategic Security Solutions Consulting’in CEO’su ve kurucusu Johanna Baum tehdit aktörleri konusunda sizleri şöyle uyarıyor, “Tehdit aktörleri başarılı olmak için yüksek motivasyona sahiptir ve bu sebeple finanse edilirler.”
2- KİMLİK AVI SALDIRILARI DAHA İNANDIRICI VE SOFİSTİKE HALE GELİYOR
Protiviti’den Krissy Safi, siber suçluların insanları kandırıp hassas bilgilerini vermelerini sağlamak için sürekli olarak yeni taktikler geliştirdiğini ve bunun sonucunda kimlik avı saldırılarının daha karmaşık hâle geldiğini söylüyor.
Safi, “Birçok kimlik avı önleme çözümü, kimlik avı saldırılarını tespit etmek için statik kurallar kullanıyor ve bu kurallar daha gelişmiş teknikler kullanan saldırganlar tarafından kolayca aşılabiliyor.” diyor.
Ayrıca Safi, “ChatGPT’nin kullanılmaya başlanmasıyla birlikte mükemmel dilbilgisine sahip ve bozuk İngilizce içermeyen kimlik avı e-postaları çoğalacak ve böylece bir siber suçlu tarafından gönderilen bir kimlik avı e-postasını tespit etmek daha da zorlaşacak.” diyerek uyarıda bulunuyor.
3- HER ŞEYİ TEKNOLOJİDEN BEKLEMEK DOĞRU DEĞİL
Birçok kuruluş kimlik avı sorununu yalnızca teknolojiyle çözmeye çalışıyor. Paris merkezli Thales Group’un Amerika kıtası bilgi güvenliği sorumlusu Eric Liebowitz, şirketlerin şüpheli e-postaları tespit etmek için en yeni araçları satın aldığını ve çalışanlarına bu şüpheli e-postaları bildirmeleri ve engellemeleri için bir yol sunduğunu söylüyor.
Liebowitz, “Bunu yapmak harika olsa da tehdit aktörleri daima daha da sofistike olacaktır.” diyor.
Tehdit aktörlerinin sofistike hâle gelmesinin yanında çalışan eğitimine dikkat çeken Liebowitz, “Yeterince kuruluşun odaklandığını düşünmediğim en önemli şeylerden biri çalışanlarını eğitmek. Tüm harika araçlara sahip olabilirler ama çalışanlarını eğitmiyorlarsa, kötü şey o zaman gerçekleşecektir.” diyor.
Avanade Kuzey Amerika güvenlik yöneticisi Justin Haney, bazı kuruluşların kimlik avı kampanyalarıyla mücadele etmek için doğru araçları kullanmış, iş akışları ve süreçleri oluşturmuş olsalar da bu araçları yeterince ve proaktif bir şekilde yapılandırmadıklarını söylüyor.
4- BÜTÜNCÜL SAVUNMA STRATEJİSİ EKSİKLİĞİ
Haney, kimlik avı ile mücadele stratejileri başarısız olan bazı kuruluşların bütüncül ve derinlemesine bir savunma stratejisi benimsemediğini söylüyor.
Haney, “E-posta kimlik avı önleme, çok faktörlü kimlik doğrulama, veri şifreleme, uç nokta/mobil güvenlik kullanabilirler.” diyor.
Lexmark CISO’su Bryan Willett, “Bütüncül, derinlemesine bir savunma stratejisi uygulamamanın ve yalnızca bir kimlik avı önleme programına güvenmenin sorunu, tüm sistemi çökertmek için yalnızca bir başarılı saldırının yeterli olmasıdır.” diyor.
E-posta tabanlı bir savunma yaklaşımına güvenmek ya da büyük ölçüde kullanıcıların eğitimine bel bağlamak doğası gereği kusurludur. Çünkü insanlar hata yapmaya eğilimlidir ve bir saldırganın başarılı olması için sadece bir kere kanılması yeterlidir.
Willett, oltalama saldırılarına karşı savunmanın en iyi yolunun katmanlı bir savunma yaklaşımı olduğunu söylüyor. Bu, her iş istasyonunda iyi bir uç nokta tespit ve yanıt (EDR) sistemine sahip olmayı, güçlü bir güvenlik açığı yönetim programını, her kullanıcı ve yönetici hesabı için çok faktörlü kimlik doğrulamayı etkinleştirmeyi ve virüslü bir sistemin yayılmasını sınırlamak için LAN/WAN genelinde segmentasyon uygulamayı içeriyor.
Willett, Bu önlemleri alarak ve birden fazla savunma katmanı uygulayarak, bir kuruluş kimlik avı saldırısına karşı en iyi şekilde korunabilir dese de “Saldırganın bir noktada başarılı olacağını varsaymalıyız. Bu nedenle, kapsamlı ve katmanlı bir savunma yaklaşımı kullanarak bu varsayımı göz önünde bulundurarak savunma yapmamız gerekir.” diye de uyarıyor.
5- ÇALIŞANLARI EĞİTMEMEK HÜSRANLA SONUÇLANABİLİR
Manhattanville College’ın bilgi işlem müdürü Jim Russell, çalışanları bilinmeyen gönderenlerden gelen e-postalardaki bağlantılara tıklamamaları veya ekleri açmamaları konusunda eğitmenin kritik önem taşımasının yanı sıra çalışanları sahte e-postaları nasıl tanıyacakları konusunda eğitmeleri gerektiğini söylüyor.
Russell, “Bir e-postada kişisel ve hızlı bir şekilde iletişim kuran kişiler güvenlik açıklarımızdan biridir. Neyse ki kurumumuzda çoğu kişi tam cümlelerle yazıyor ve standart bir selamlamaya sahipler. Örneğin, ‘Merhaba Lauren, nasılsın?’ tipik bir giriş cümlesidir. Dolayısıyla eğer bunlar eksikse, özgünlük eksikliği var demektir.” diyor.
Dell Technologies CISO’su Kevin Cross da başarılı bir kimlik avı ile mücadele stratejisinin, çalışanların kimlik avı e-postalarını nasıl tespit edecekleri ve nasıl rapor edecekleri konusunda bilinçlendirilmesiyle başlaması gerektiği konusunda hemfikir.
Bu yaklaşım, birçok şirket tarafından kullanılan yaygın “tıklamayın” stratejisinden farklı bir yaklaşım. Cross, sıfır tıklama oranına ulaşmanın pratik ve gerçekçi olmayan bir hedef olduğunu belirtiyor. Bunun yerine, çalışanlara şüpheli e-postaları nasıl bildireceklerini öğretmek, güvenlik ekiplerinin potansiyel tehdidi hızlı bir şekilde değerlendirmesine ve benzer bir saldırıyla hedeflenen diğerlerinin etkilerini azaltmasına olanak tanımak daha önemli.
6- YAPTIRIM OLMAYINCA EĞİTİM YETERSİZ OLUYOR
Bir şirketin güçlü bir eğitim programı ve politikası olsa bile politikayı ihlal eden çalışanlar için herhangi bir yaptırım yoksa tek başına eğitimin yetersiz olduğu belirtiliyor.
Russell, Manhattanville College’da kimlik avı e-postalarına kanan çalışanların 10 gün boyunca belirli sayıda çevrim içi eğitim oturumunu tamamlamaları gerektiğini söylüyor. Russell, çalışanlar sadece bir bağlantıya tıkladığında sadece bir eğitim seansı aldıklarını ama kimlik bilgilerini gerçekten verdiklerinde üç seansı tamamlamaları gerektiğini ifade ediyor.
Russell, “Sadece çalışanlar değil, kimlik avı girişimine kanan kişilerin listesini gözden geçirdiğimde başkan yardımcısı gibi gelişmiş ayrıcalıklara sahip kişileri de görüyorum.” diyor.
Başkan yardımcılarına ceza veren Russell, “Çok garip karşılaşmalar oluyor.” diyor.
7- KİMLİK AVI TESTLERİNE FAZLA GÜVENMEMELİ
Capgemini’den Sushila Nair, mevcut kimlik avı karşıtı stratejilerin bir diğer zayıf noktasının da bazı şirketlerin kullanıcıları yüzde 100 hatasız olacak şekilde eğitmeyi hedeflemesi olduğunu söylüyor.
Nair, “Kuruluşlar kendilerine şu soruyu sormalıdır: Kullanıcılarımızın yüzde 100’ünün simüle edilmiş bir kimlik avı testine kanmamasını hedeflememiz gerektiğini söyleyenlere bakıp kendimizi gerçekten ölçüyor muyuz?” diyerek söz konusu testlerin eksik yönlerine vurgu yapıyor.
Nair’e göre eğer testler karmaşıksa çalışanlar daha fazlası başarısız oluyor, testler kolaysa, o zaman herkes testi başarıyla geçiyor. Bu durum iyileştirilmiş bir gösterge sunsa da Nair’e göre çalışanların küçük bir yüzdesinin bağlantılara tıklayacağı ve stresli zamanlarda bu sayının artacağı kabul edilmeli.
Nair’e göre işin daha da kötüsü çalışanların, yoğun ve stresli bir günde bir bağlantıya tıkladıkları için eğitime girmelerinin, çoğu zaman çalışanların eğitim oturumlarından nefret etmesini beraberinde getirmesi.
Nair, “Bu sadece böyle bir etki yaratmakla kalmıyor, aynı zamanda kullanıcının kimlik avı e-postalarına vereceği tepkiyi de etkiliyor.” diyor.
Nair, “Test olduğunu düşündükleri için tuhaf bir e-postaya tıklamayacaklar ama aynı zamanda bunu rapor da etmeyeceklerdir.” diyerek şirketlere özenli bir çözüm yolu ve stratejinin geliştirilmesi yönünde uyarılarını yapıyor.
Sonuç olarak, oltalama karşıtı programlar genellikle başarısız olmaya mahkûm. Bunun sebebiyse insanların hata yapabiliyor olması.
Yargıtay, siber dolandırcılık mağdurlarını ilgilendiren tarihi bir emsal karara imza atarak çalınan paradan bankaları sorumlu tuttu.
Kurum, hesap sahibinin kusuru ya da dolandırıcıyla iş birliği ispatlanmadığı hâllerde, internet dolandırıcılığı yoluyla bankadaki parası çekilen kişinin zararından bankanın sorumlu olduğuna hükmetti.
Kararda “Banka, hesap sahibinin parasını korumakla yükümlü.” ifadesi yer aldı.
Yargıtay, 11. Hukuk Dairesi, özellikle son dönemde artan banka dolandırıcıklarında dikkat çeken bir karara imza attı. Türkiye gazetesinden Yeşim Eraslan’ın haberine göre, banka hesabındaki parası, bilgisi dışında çekilen kişi, yapılan bu işlemde, üçüncü kişilerle iş birliği ile veya başka şekilde kusurlu davrandığı kanıtlanmadıkça, hesaptan çekilen tüm paradan banka sorumlu olacak.
Daire, Bankaların hesaplarda bulunanparanın güvenliğini tam olarak sağlamak zorunda olduğuna dikkat çekerek, etkili bir güvenlik önlemi geliştiremeyen bankaların müşterilerinin mevduatından sorumlu olduğunu belirtti.
Yargıtay’ın gündemine yansıyan olay Eskişehir’de yaşandı. Özel bir bankanın Eskişehir şubesinde hesabı bulunan davacı adına bankanın Hatay İskenderun Şubesinde hesap açıldı. Davacının bilgisi dışında Eskişehir’den İskenderun Şubesine para transferi gerçekleştirildi, oradan da başka bir ildeki şubeden çekildi. Davacı, kendisinin bilgi ve talimatı dışında yapılan işlemle ilgili bildirim yapılmadığını, bankanın kusurlu davrandığını, özen yükümlülüğünü yerine getirmediğini belirtti ve internet bankacılığı sebebiyle uğradığı zararın faiziyle birlikte kendisine ödenmesini talep etti.
YARGITAY YEREL MAHKEMENİN KARARINI BOZDU
Banka, havale işlemi sırasında davacının telefon ile aranarak sorulan tüm sorulara doğru cevap verdiğini, ilk havalenin gerçekleştirildiğini ikinci ödeme esnasında ise imza teyidi alınamadığı için işlemin gerçekleştirilmediğini belirterek, bilgi işlem sistemlerinin her yönüyle güvenli olduğunu, BDDK tarafından düzenli olarak denetlendiklerini, davanın reddine karar verilmesini talep etti. Davaya bakan Eskişehir 3. Asliye Hukuk Mahkemesi, bankanın kusuru olmadığına, davarın reddine karar verdi. Karara itiraz gelince Yargıtay yerel mahkemenin kararını bozdu.
Daire, usulsüz işlemle çekilen paraların aslında doğrudan doğruya bankanın zararı niteliğinde olduğunu, mevduat sahibinin bankaya karşı alacağının devam ettiğini belirtti. Kararda “İşlemde davacının üçüncü kişilerle iş birliği yaparak veya başka şekilde kusurlu davrandığı ispatlanamamıştır. Davalı banka tarafından, hesapta bulunan paranın güvenliğinin tam olarak sağlanamadığı, kötü niyetli kişilerin işlemlerine karşı korunamadığı, güvenlik önlemlerini geliştirmediği, bu önlemleri kullanmayı, müşterileri için zorunlu hâle getirmediği anlaşılmaktadır. Bu durumda davalı banka hesaptan çekilen tüm paradan sorumludur. Bunun ilke olarak kabulü gerekir.” ibareleri yer aldı.
ABD’nin New Jersey kentindeki Somerset kenti kuruluşların iş yapma yeteneğini engelleyen ve aynı zamanda temel verilere erişimi kesen bir fidye yazılımı saldırısının hedefi oldu.
Tapu kayıtları, doğum ve ölüm istatistikleri ve veraset kayıtları gibi veritabanlarına erişime bağlı hizmetler geçici olarak kullanılamaz hale geldi. Saldırı sonunda yönetimin elinde arşiv aramaları için sadece 1977’den önceki kayıtlar kaldı.
VATANDAŞLARDAN E-POSTA YARDIMI İSTENDİ
Saldırı, kasabaya bağlı resmi dairelerin kullandığı e-posta hizmetlerini askıya aldı ve resmi daire “internet erişimine bağlı hizmetlerin çoğunu sağlayamadı.” Somerset County sakinlerinden, çeşitli departmanlar için oluşturulan Gmail adresleri veya telefonla devlet daireleriyle iletişim kurmaları istendi.
İlçenin 911 sistemi ve hapishaneleri ve mahkemeleri için işler biraz daha yavaş olsa da devam etti. Öte yandan 7 Haziran’da yapılması planlanan New Jersey’deki ön seçimler de planlandığı gibi gerçekleşecek, zira “yaklaşmakta olan ön seçimler için dijital kayıtlar ve oylama makineleri hiçbir zaman ilçe sistemine bağlı değil ve etkilenmiyor.”
Somerset İlçe Yönetiminden Colleen Mahr ‘a göre, kesintilerin en azından bu haftanın geri kalanında yürürlükte kalması muhtemel. Mahr, “Durumumuzu değerlendirmek, daha fazla hasarı önlemek ve nihayetinde iyileşmek için günün her saatinde çalışan olağanüstü bir BT departmanımız var” dedi.
İlçe idaresi son gelişmelerle ilgili bilgi talebine henüz bir yanıt vermedi.
Bu arada Malwarebytes, Rusya’ya saldıran “gelişmiş kalıcı tehdit grubu” olarak bilinen bir APT grubunu keşfetti. Malwarebytes sofistike siber saldırılar gerçekleştirebilecek hackerlardan oluşan APT grubunun Çin’den geldiğine dair işaretler gösterdiğini söyledi.
Kimliği belirsiz grup, şubat ayından itibaren, devlet kontrolündeki Russia Today televizyon kanalı da dahil olmak üzere Rus hükümet kuruluşlarına karşı dört ayrı spear-phishing (oltalama) saldırısı başlattı. Spear-phishing saldırıları kurbanların e-posta hesaplarına; hediye, indirim gibi sahte iletiler göndermek suretiyle kredi kartı bilgileri, kimlik bilgisi gibi hassas verilerin çalınmasını ön gören bir saldırı çeşidi.
Saldırılar yeni değil. Rusya’nın Ukrayna’yı işgalinden birkaç gün sonra başlatılan ve bir tanesi Ukrayna’nın etkileşimli bir haritasına benzeyecek şekilde tasarlanmış kötü amaçlı yazılımlar içeriyor. Diğeri Log4j için sahte bir yama içeriyor, üçüncüsü ise bir takım kötü amaçlı makroların gömülü olduğu sahte bir iş teklifi içeren .doc uzantılı dosya içeriyor.
KÖTÜ AMAÇLI YAZILIM SİLEN BİR YAPAY ZEKA ÜRÜNÜ TASARLANDI
Öte yandan Galler’deki Cardiff Üniversitesi’nden Boffins geçtiğimiz günlerde, “bilgisayardaki dosyaların yüzde 92 oranında bozulmasını önleyebilecek yeni bir yapay zeka tasarladıklarını iddia ettikleri bir makale yayınladı. Bu tasarım sayesinde bir parça kötü amaçlı yazılımın silinmesi ortalama 0,3 saniye sürüyor.”
Beverly Hills’de alışveriş çılgınlığı, Meksika’da lüks bir tatil, bir gecede 299,77 dolardan 1,4 milyon dolara fırlayan bir banka hesabı… Dışarıdan bakıldığında, Moe ve Kateryna Abourcheds büyük ikramiyeyi kazanmış gibi görünüyorlardı. Ancak durum göründüğü gibi değildi.
Bir gizli servis ajanının federal mahkemede çıkarttığı bir arama emrine göre, Michigan’daki bir devlet okulu bölgesinin aylık sağlık sigortası ödemesinin Abourcheds’in sahip olduğu Kaliforniya’daki bir manikür salonunun banka hesabına bağlandığı ortaya çıktı.
Polise göre, bölge — ve vergi mükellefleri — Business Email Compromise (iş e-postası dolandırıcılığı) ya da kısaca BEC adı verilen çevrimiçi bir dolandırıcılığın kurbanı oldu. Çift, her türlü suçlamayı reddederken, herhangi bir cezaya da çarptırılmadı.
BEC dolandırıcılığı, suçluların e-posta hesaplarına girdikleri, olmadıkları biri gibi davranarak kurbanları göndermemeleri gereken bir yere para aktarmaları için kandırdıkları bir suç türü. Bu suçlar, büyük fidye yazılımı saldırılarından çok daha az dikkat çekiyor, ancak FBI’a göre BEC dolandırıcılığı yıllardır ABD’deki en fazla maliyete sebep olan siber suç türü. BEC dolandırıcılıkları getirisi büyük riski düşük olması nedeniyle dünya çapında suçluları cezbetmekte.
KOLLUK KUVVETLERİ YETERSİZ KALIYOR
Yakın zamanda BEC dolandırıcılığı kurbanı olan San Francisco merkezli kâr amacı gütmeyen bir kuruluşun müdürü Sherry Williams, “Kolluk kuvvetleri değil fakat dolandırıcılar son derece iyi organize edilmiş.” diyor.
FBI tarafından hazırlanan yeni bir rapora göre, ABD’de 2021’de BEC dolandırıcılığının yol açtığı zarar yaklaşık 2,4 milyar dolar. Bu, 2020’deki rakamlara kıyasla yüzde 33’lük bir artışa tekabül ediyor ve yedi yıl öncesine göre ise on kattan fazla bir artış demek.
Uzmanlar, birçok kurbanın asla ortaya çıkmadığını ve FBI’ın rakamlarının durumun sadece küçük bir kısmını yansıttığını söylüyor.
Manikür salonu olayında polis 2,8 milyon doların çalındığını söyledi. Gizli Servis ajanı, yeminli ifadesinde, birinin okul bölgesinin insan kaynakları çalışanlarından birinin e-posta hesabına girdiğini ve söz konusu İK elemanı gibi davranarak finans departmanındaki bir meslektaşını sağlık sigortası ödemelerinin gönderildiği banka hesabını değiştirmeye ikna eden e-postalar gönderdiğini söyledi. E-postaların kısa ve son derece kibar olduğu gözlendi.
Gizli servis elemanının yeminli ifadesine göre polis, parayı salonun Abourcheds’e ait banka hesabına kadar takip etti. Hırsızlık tespit edildikten sonra, Moe Abourched salonun bulunduğu Grand Rapids’teki bir polis ile temasa geçti ve “Dora” adlı Avrupalı bir kadın tarafından fonları kabul etmesi ve diğer hesaplara iletmesi için kandırıldığını iddia etti.
Gizli Servis ajanı, Abourched’in iddialarının yalan olduğunu ve bir Florida depolama şirketini hedef alan bir BEC dolandırıcılığından para aldıktan sonra polise benzer bir bahane sunduğunu söyledi.
Mahkeme kayıtlarına göre polis çifti gözetim altına aldı ve Ekim ayında dairelerine, ofislerine ve BMW’lerine el koydu. Polis, bu yılın başlarında çiftin telefon ve bilgisayarlarındaki verileri incelemek için daha fazla zamana ihtiyaç duyduklarını söyledi.
BEC dolandırıcıları, yasal iş e-posta hesaplarını hacklemek ve çalışanları havale göndermeleri veya yapmamaları gereken satın alımlar yapmaları için kandırmaya yönelik çeşitli teknikler kullanıyor. Hedeflenen kimlik avı e-postaları yaygın bir saldırı türü, ancak uzmanlar, dolandırıcıların bir şirkette yönetici gibi davranmak ve astlarını kandırarak para göndermeye ikna etmek için yapay zeka tarafından üretilen “deep fake” ses gibi yeni teknolojileri benimsemekte hızlı olduklarını söylüyor.
San Francisco’nun kâr amacı gütmeyen kuruluşun direktörü Williams’ın durumunda, hırsızlar kuruluşun muhasebecisinin e-posta hesabını hacklediler, daha sonra kendilerini uzun bir e-posta yazışmasına dahil etmek suretiyle bir hibe alıcısı için havale ödeme talimatlarını değiştirmelerini isteyen mesajlar gönderdiler ve bu yolla 650 bin dolar kazandılar. Olanları keşfettikten sonra Williams, kolluk kuvvetlerine yaptığı çağrıların cevapsız kaldığını söyledi.
DIŞİŞLERİ BAKANLIĞINI BİLE KANDIRDILAR
En büyük 500 şirketin sıralandığı Fortune 500 listesinde şirketlerden küçük ölçekli şirketlere kadar hemen hemen her kuruluş BEC dolandırıcılığına karşı savunmasız. Mahkeme kayıtlarına göre, Dışişleri Bakanlığı bile Tunuslu çiftçilere yardım etmek amacıyla BEC dolandırıcılarına 200 bin dolardan fazla hibe parası göndermek için kandırıldı.
Adalet Bakanlığı, son yıllarda dünya çapında yüzlerce tutuklama kararı verdiği aylarca süren operasyonlar başlattı. FBI Suç, Siber, Müdahale ve Hizmetler Şubesi (CCRSB) İcra Direktörü Brian Turner, “Bu tür BEC olaylarına karışan suçlulara mesajımız açıktır: FBI’ın hafızası ve erişimi uzun ve geniş kapsamlıdır, nerede olursanız olun sizi takip edeceğiz. Ancak güvenlik uzmanları, tutuklama dalgasının çok az etkisi olduğunu söylüyor.
