Yeni kimlik avı saldırıları özensiz değil, kişiselleştirilmiş

Dolandırıcılıklar üzerimize gelmeye devam ediyor ve fark edilmeleri giderek zorlaşıyor. Nasıl? Dolandırıcılar onları markalarına göre daha uygun hale getirmeye başladı. Yani… biziz.

Güvenlik uzmanlarının tabiriyle kişiselleştirilmiş dolandırıcılıklar, sizi daha kolay kandırmak amacıyla hakkınızdaki ayrıntıları kullanır. Bu bilgiler, veri sızıntıları ve ihlalleri, başarılı kimlik avı saldırıları, güvenliği ihlal edilmiş web siteleri ve kötü amaçlı yazılımlar gibi yasa dışı kaynakların yanı sıra pazarlama bilgileri, kamu kayıtları ve sosyal medya gibi meşru kaynaklardan gelir. Tahmin edebileceğiniz gibi veri aralığı lokasyondan alışveriş alışkanlıklarına kadar oldukça geniş bir yelpazeyi kapsayabiliyor.

Peki kişiselleştirilmiş bir dolandırıcılık neye benzer? Peki birini nasıl fark edersiniz? Bu soruları (ve diğerlerini) McAfee Teknolojiden Sorumlu Başkanı Steve Grobman ile yaptığım sohbette dile getirdim ve bir dolandırıcının sizin hakkınızda sahip olabileceği veriler gibi, dolandırıcılık türlerinin de oldukça geniş şemsiyeler altında toplandığı ortaya çıktı.

“Genel” kişiselleştirilmiş dolandırıcılık

Bu tür dolandırıcılıklar genellikle belirli bir coğrafi bölge gibi geniş grupları hedef alır. Örneğin geçiş ücreti dolandırıcılıkları kişiselleştirildi. Daha önce, ödenmemiş otoyol ücretlerinin olduğunu iddia eden mesajlar genel nitelikteydi. Artık metinler, telefon numaranızın alan koduna göre bölgenizin geçiş ücreti yetkilisine ve sistemin adına atıfta bulunacaktır.

Eğer doğuştan şüpheci biri değilseniz, bu güncellenmiş yaklaşım sizi hazırlıksız yakalayabilir. Dil çok geniş olmasına rağmen kulağa daha doğal geliyor. Ne değişti? AI. Dolandırıcılar, bölgesel bilgileri anlamak ve bunları hızla mesajlara dahil etmek için yapay zekayı kullanabilir.

Dolandırıcıların bu tür bir bağlantı kurması için hakkınızda çok fazla bilgi sahibi olmasına gerek yoktur. Bunu iletişim bilgilerinizden çıkaracaklar. Bir telefon numarasının veya e-posta sağlayıcınızla ilgili belirli bir hizmetin alan kodunu düşünün. Örneğin, yakın zamanda Google depolama sınırlarıyla ilgili e-postalar gördüm; bu e-postalarda, alanınız kalmadığı için dosyalarınızın yakında silineceği iddia ediliyor.

“Belirli” kişiselleştirilmiş dolandırıcılık

İşte tüm bu veri sızıntıları ve ihlalleri sorun haline geliyor. Bir veri dökümü yalnızca isim ve konum gibi ayrıntıları (örneğin bir adresten) içerdiğinde bile, sonuçta ortaya çıkan bir dolandırıcılık mesajı çok daha resmi görünebilir. Size adınızla hitap edebilir, yaş aralığınızı hedefleyebilir ve/veya bölgenize özgü bir şeye odaklanabilir. Ekstra bilgi mesajın daha fazla kişiselleştirilmesine olanak tanır.

Grobman, korkutucu bir bildirimin kolayca adınızı ve ilgili bir varlığın sizi korkutmak için değişebileceği bu tür “boşluk doldurma” dolandırıcılıkları olarak adlandırıyor. Konumum için bunu şöyle tanımladı: “___(isim)____, Kaliforniya Bakanlığı _________.”

(Olası bir örnek şöyle olabilir: John, Kaliforniya Motorlu Araçlar Departmanı, ödenmemiş ücretler nedeniyle kaydınızı iptal etti.)

Bölgenize yeterince uygunsa bu yaklaşım, yeterince gerçekçi göründüğü için tıklamanıza veya başka bir şekilde dolandırıcılığa kanmanıza neden olabilir.

“Hiperkişiselleştirilmiş” dolandırıcılık

Bu tür kişiselleştirilmiş dolandırıcılık, tamamen ürkütücü olmaktan ziyade sinsidir. (Çoğunlukla.) Grobman bunların “yaşam tarzı” odaklı olduğunu söylüyor. Dolandırıcılar, ilgi alanlarınızı belirlemek için ziyaret ettiğiniz siteler veya tıkladığınız bağlantılar gibi alışkanlıklarınız hakkında bildiklerini kullanır. Daha sonra bu bilgiyi kullanmaya odaklanacaklar. Örneğin, kilo vermeye ilgi gösterdiyseniz sahte bir kilo verme ilacı bağlantısıyla hedeflenebilirsiniz.

Aşırı kişiselleştirilmiş dolandırıcılıkların dolandırıcılığa dönüşmesi daha uzun sürebilir; dolandırıcının güven oluşturmak için sizin hakkınızdaki bilgileri kullandığı aşk dolandırıcılıklarını düşünün. Belki okula nerede gittiğinizi biliyorlar ve bunu yakınlık kurmak için kullanıyorlar. Ne kadar çok paylaşırsanız, bunu kurulan ilişkiye o kadar çok dahil ederler. Sonunda iyilik ve para talepleri başlar. Veya paylaşılan iletişim, fotoğraflar ve diğer ayrıntılar daha sonra şantaj malzemesine dönüştürülüyor ve gizlilik karşılığında zorla para almak için kullanılıyor.

Çoğu zaman, bu tür dolandırıcılıklar o kadar kişisel ve o kadar utanç verici gelebilir ki, çoğu kurban dolandırıldıklarını kimseye söylemez. Daha önce, gençler ve yaşlılar dolandırıcıların daha büyük hedefleriydi; çünkü bu kişiler yalnızca yalnızlıktan değil aynı zamanda deneyim eksikliğinden veya bilişsel yeteneklerin azalmasından da yararlanabiliyorlardı. Ancak şimdi bunun tüm yaş gruplarında yaygınlaşması tehlikesi eskisinden daha düşük. Bu yüzden tetikte olmamız gerekiyor.

Dolandırıldıysanız ne yapmalısınız?

Birinciderin bir nefes alın. Duygularınızın (şok, utanç veya utanç) altında ezildiğini hissedebilirsiniz, ancak bu yaygın ve normaldir.

Ayrıca yaygın ve normal: Bu tür bir hata yapmak. Bir dolandırıcılığa düşmek gerçekten herkesin, hatta tecrübeli güvenlik profesyonellerinin bile başına gelebilir.

Sonrakiyardım isteyin. Sorun ilk başta büyük görünebilir, ancak yardım almak sorunun büyük bir karmaşaya dönüşmesini önler. Yaygın dolandırıcılık senaryolarını ve sonrasında atılması gereken adımları listeleyen FTC'nin tüketici tavsiyesi sayfasıyla başlayabilirsiniz.

Genellikle ilk önce acil sorunu çözmek istersiniz. Diyelim ki kredi kartı numaranızı bir dolandırıcılık sitesinde kullandınız ya da “özel bir arkadaşınıza” para gönderdiniz; bu dolandırıcılık işlemleri konusunda bankanızı hemen uyarın. Ne kadar hızlı hareket ederseniz, hasarı o kadar hızlı sınırlandırırsınız.

Ya da sosyal güvenlik numaranızı paylaştınız ve daha sonra hatanızı anladınız. Kredi raporlarınıza derhal bir güvenlik dondurması ekleyin ve ayrıca iyi bir önlem olarak bir güvenlik uyarısı ekleyin. (Dondurma daha güçlü bir araçtır, çünkü siz geçici olarak erişime izin verene, yani raporunuzu “çözene” kadar herhangi birinin sizin adınıza kredi kontrol etmesini veya açmasını engeller.)

Duygusal sağlığınıza da dikkat edin. Başlangıçta, netlik sağlamaya veya iyi geri bildirim sağlamaya yardımcı olabilecek bir arkadaşınızla veya aile üyenizle konuşmak, zor durumdayken size yardımcı olabilir. Yönlendirme konusunda yardıma ihtiyacınız varsa işvereninizi ve hatta polisi de deneyebilirsiniz.

Kişiselleştirilmiş dolandırıcılıklardan nasıl kaçınılır?

Acı gerçek şu ki, kişiselleştirilmiş dolandırıcılıklar olabilir Yapay zekadaki ilerlemeler sayesinde dolandırıcıların gelişmeye devam etmesine yardımcı olacak araçlar daha yaygın hale geliyor. (Teşekkürler ama hayır teşekkürler, AI.)

Bunun ne kadar hızlı gerçekleşeceğini zaman gösterecek; Grobman, dolandırıcıların işletme sahipleri olduğunu söylüyor. Para kazandıran şeyi yapıyorlar, dolayısıyla yaklaşım değişikliği ancak mevcut çabaların kârlılığı kaybetmesi durumunda ortaya çıkar. Farkındalık yayıldıkça ve tespit araçları geliştikçe bu gerçekleşecektir. (Güvenlik uzmanlarının da yapay zekaya sahip olduğunu unutmayın.) Bu yarış kızıştıkça, giderek daha fazla kişiselleştirmeye doğru kayma, sahte mesajlar arasında meşru mesajları tespit etmenin zorluğunu artıracak.

Neyse ki kendinizi korumaya yönelik en iyi adımlar aynı zamanda en kolay olanlardır. Bilgisayarınızda antivirüs yazılımının aktif olmasını sağlayın. Bilgisayarınıza veya telefonunuza uygulama yükleme konusunda dikkatli olun. Yazılımınızı, özellikle de tarayıcınızı güncel tutun. Bir şifre yöneticisi kullanın. Uygulamalar ve hizmetler daha fazla koruma ve koruma sağlamaya başladı; bunu çevrimiçi güvenliğe yönelik mahalle izleme yaklaşımı olarak düşünün.

Yapbozun son parçası mı? Sen. Ziyaret etmeyi seçtiğiniz siteler, indirdiğiniz yazılımlar, yüklediğiniz tarayıcı uzantıları, e-posta ve mesajlardaki tıklattığınız bağlantılar; bunların hepsi bir dolandırıcılığa yakalanma riskinizi de artırabilir veya azaltabilir. İnternette akıllıca gezinin.