Sizi Tüyler Ürpertecek 13 Siber Suç Gerçeği

Siber suç gerçekleri, siber suçluların Cadılar Bayramı'nda sokaklarda dolaşan canavarlardan ve hortlaklardan neden daha korkunç olduğunu gösteriyor.

Siber suçlular "şaka mı şeker mi" ifadesine yeni bir anlam yüklemeyi seviyorlar.

Siber saldırılar, kimlik avı , fidye yazılımları ve veri ihlalleri yoluyla kötü adamlar işletmeler ve tüketiciler için kargaşa yaratmayı severler. Ancak eylemleri Cadılar Bayramı'nda beklenebilecek şakalarla aynı kefeye konulmaz. Etkileri kurbanlar için çok daha maliyetli ve yıkıcıdır.

Bunları bilerek, tüylerinizi diken diken edecek 13 siber suç gerçeğini inceleyelim.

Korkutucu Finansal Siber Suç Gerçekleri ve İstatistikleri

1. Fidye Yazılımı Tehdit Aktörlerine 1,1 Milyar Dolardan Fazla Haksız Kazanç Sağladı

Kötü adamlar kapınızı çaldığında, Butterfingers'ınızı veya Reese's bardaklarınızı aramayacaklarına söz veriyorum. Şekerden çok daha büyük ödemeler arıyorlar - yüzlerce, binlerce hatta milyonlarca dolardan bahsediyoruz. Chainalysis'in bir raporuna göre kötü adamların 2023'te aldığı fidye yazılımı ödemeleri 1,1 milyar doları aştı.

Karşılaştırmak gerekirse, 2023'te aldıkları fidye ödemelerinin toplam tutarı yediden fazla F-22 Raptor savaş uçağı satın alabilirdi! Bu savaş makinelerinin her birinin birim başına 143 milyon dolarlık ağır bir fiyat etiketine sahip olduğunu unutmayın ( Hava Kuvvetleri'nin Ağustos 2022 verilerine göre).

Dostum... bu, birçok şirketin fidye yazılımı ödemeleri için para harcadığı anlamına geliyor olmalı. Bir sonraki siber suç gerçeğimize göre, düşündüğünüz kadar çok değil...

2. Bir Şirket 2024'te Fidye Yazılımı Talebi Olarak 75 Milyon Dolar Ödedi

Basitçe söylemek gerekirse, fidye yazılımı talepleri bir şirketin hayatını mahvedebilir. Zscaler'a göre , bir şirket bu muazzam meblağı kritik altyapı sektörü şirketlerini hedefleme eğilimi olan Dark Angels fidye yazılımı grubuna ödedi.

Karşılaştırmak gerekirse, bu tek fidye bedeli , Google'ın Yapay Zeka Fırsat Fonu'nu finanse etmek için ayırdığı miktarla aynı.

3. Kuruluşların %51'i AI ile İlgili Tehditler Nedeniyle 5-25 Milyon Dolar Kaybetti

Sebep yapay zeka tabanlı veya yapay zeka tarafından yönlendirilen bir tehdit olsun, Biocatch tarafından ankete katılan kuruluşların yarısından fazlası 2023'te 5 ila 25 milyon dolar arasında para harcadı. Katılımcıların tam %12'si en az 25 milyon dolar zararla karşı karşıya olduklarını söyledi. Burada cep harçlığından bahsetmiyoruz; bu Angelina Jolie'nin Hollywood malikanesinin tahmini maliyeti :

Ne yazık ki, yalnızca %3'ü bu tehditlerden dolayı hiçbir kayıp yaşamadığını belirtti; bu da %97'sinin bir şekilde kayıp yaşadığı anlamına geliyor.

4. Yaşlı Yetişkinlere Yönelik Dolandırıcılığın Gerçek Maliyetinin 61,5 Milyar Doları Aştığı Düşünülüyor

ABD Federal Ticaret Komisyonu'ndan (FTC) alınan veriler, yaşlı yetişkinlerin 2023'te 1,9 milyar doları aşan kayıplar bildirdiğini gösteriyor. Ancak yine de bu sayı yalnızca bildirilen kayıpları temsil ediyor. Ajansın raporu, yaşlı yetişkinlere yönelik gerçek dolandırıcılık maliyetlerinin aslında 61 milyar doları aşabileceğini gösteriyor. Neden mi? Çünkü birçok dolandırıcılık bildirilmiyor.

2020'den bu yana dolandırıcılıklara kurban giderek 100 bin dolar kaybettiklerini bildiren yaşlı yetişkinlerin sayısı "üç kattan fazla" arttı.

Yapay Zeka ile İlgili Ürkütücü Siber Suç Gerçekleri

5. Yapay Zeka Tabanlı Siber Tehditler Hiçbir Yere Gitmiyor ve Artması Bekleniyor

FBI, siber suçluların siber saldırılar gerçekleştirmek için giderek daha fazla üretken AI teknolojilerini kullandığı konusunda uyarıyor. Özellikle, üretken AI çeşitli dolandırıcılık dolandırıcılıkları için kullanılıyor .

Örneğin, AI tabanlı sanal kaçırma dolandırıcılıkları artıyor. Bu tür senaryolarda, kötü bir adam videolardan ve çevrimiçi profillerden toplanan verileri kullanarak gerçek insanları taklit etmek için bilgileri ve hatta kişilerin ses örneklerini sentezler. Gerçekçi görünen ve tanıdığınız veya sevdiğiniz birinin -bir arkadaş, aile üyesi, iş arkadaşı veya başka bir sevilen kişi- tehlikede olduğu izlenimini veren deepfake fotoğraflar, videolar ve ses içerikleri oluşturmak için üretken AI teknolojisini kullanabilirler.

Bunun mükemmel bir örneğiAI tabanlı kaçırma dolandırıcılıklarında görülebilir. İşte St. Louis County'deki insanları hedef alan gerçek dünyadaki AI tabanlı telefon dolandırıcılıklarıyla ilgili bir video:

6. 10 Finans Şirketinden 7'si Sentetik Kimlikler Kullanan Kötü Adamlarla Karşılaşıyor

Biocatch anketine katılanların %72'si (daha önce alıntılanan rapor), geleneksel dolandırıcılık sorunlarına ek olarak, kötü niyetli kişilerin finansal işlemleri gerçekleştirmek, kredi ve kredi kartı başvurularında bulunmak ve yeni banka hesapları açmak için sentetik kimlikler kullandığını belirtti.

Sentetik kimliklerin ne olduğunu bilmiyor musunuz? Bunlar temelde gerçek ve sahte kişisel olarak tanımlanabilir bilgilerin (PII) birleştirilmesiyle oluşturulan yeni kimliklerdir.

İyi adamlar için talihsizlik, bu ezilmiş sahte kimlikler genellikle geleneksel dolandırıcılık tespit araçlarını kandırır, yani işaretlenmezler ve fark edilmeyebilirler. Biocatch'in araştırması, kuruluşların "bu sentetik kimlikleri üç ay içinde büyük ölçüde ortaya çıkarabildiklerini" gösterirken, bu süre içinde çok fazla hasar meydana gelebileceğini biliyoruz.

Sadece %16'sı bu sentetik kimlikleri 24 saat içinde tespit edebildiklerini belirtiyor.

7. Sentetik Kimlikler Finansal Borç Verenleri 3,1 Milyar Dolarlık Potansiyel Kayba Maruz Bırakıyor

Sentetik kimlikler, özellikle finans kuruluşları olmak üzere işletmeleri rahatsız ediyor. TransUnion'ın 2024 Çok Kanallı Dolandırıcılık Durumu Raporu verileri, çeşitli kredi kartları ve krediler için ABD'li borç verenlerin 2023'ün sonunda rekor sayıda hesap açtığını gösteriyor.

2023 yıl sonu tahmini 3,1 milyar dolarlık maruz kalma, 2022 yıl sonu tahmini 2,8 milyar dolar ve 2020 yıl sonu 2,1 milyar dolardan fazladır.

8. GenAI, Karmaşık Saldırıları Daha Erişilebilir ve Etkili Hale Getiriyor

Gelişmiş kimlik avı saldırıları, özellikle üretken yapay zeka ve karmaşık deepfake teknolojileriyle eşleştirildiğinde, siber suçlular için oldukça etkili yöntemlerdir. Bu istihbarat araçları, sosyal mühendislik saldırılarına yeni bir soluk getirerek onları daha hedefli, otantik ve etkili hale getirir.

The Hacker News'in Token ve Datos Insights'ın araştırmalarına ilişkin yayınladığı ortak bir makale, bu büyüyen endişeyi güzel bir şekilde özetliyor:

"Kimlik avı ve fidye yazılımı saldırıları bir zamanlar yalnızca uzman siber suçluların ilgi alanındaydı, ancak üretken yapay zekanın ve yeni siber suç araçlarının ortaya çıkmasıyla birlikte bu saldırılar karanlık ağa erişimi olan herkes tarafından gerçekleştirilebilir hale geldi; yani bir bilgisayar cihazı ve internet bağlantısı olan herkes."

ABD İç Güvenlik Bakanlığı İstihbarat ve Analiz Ofisi, 2025 İç Güvenlik Tehdit Değerlendirmesi'nde, bu teknolojilerin önümüzdeki yıl ulusal güvenlik açısından yaratacağı etkilerin altını çiziyor:

“2025'te kötü niyetli siber aktörlerin kötü amaçlı yazılım, güvenlik açığı taraması ve istismar araçları geliştirme yeteneklerini kademeli olarak artırmak ve sosyal mühendislik taktiklerini ve operasyonlarını iyileştirmek için üretken AI'daki gelişmeleri kullanmaya devam edeceklerini bekliyoruz. Teknoloji teknik eşikleri düşürdükçe ve düşmanların hedef kitleler için daha güvenilir mesajları etkili bir şekilde kişiselleştirme ve ölçeklendirme yeteneklerini iyileştirdikçe, düşman devletler kötü niyetli etki kampanyalarında AI kullanmaya devam edecekler.”

9. Sosyal Mühendislik/BEC Saldırıları Büyük Ölçüde Yapay Zeka Sayesinde %1.760 Arttı

Perception Point'in 2024 Yıllık Raporu: Siber Güvenlik Trendleri ve İçgörüleri” raporuna göre, ticari e-posta ihlali (BEC) saldırılarının sayısı 2022'de %1'den 2023'te tüm saldırıların yaklaşık %19'una yükseldi.

Şirket, kimliğe bürünme, kimlik avı ve sosyal mühendislik tekniklerini gösteren BEC saldırılarının üretken AI tarafından "süper güçlendirildiğini" söylüyor. Dahası, şirketin daha önce sponsor olduğu araştırma (Osterman Research tarafından gerçekleştirildi), kuruluşların %91,1'inin GenAI ile geliştirilmiş e-postalardan kaynaklanan siber saldırılar yaşadığını gösterdi.

Yöntemler ve Tekniklerdeki Gelişmeler Hakkında Korkunç Siber Suç Gerçekleri

10. Veri Sızdırma İşlemi Her Zamankinden Daha Hızlı (Bazen Bir Günden Daha Az Sürer!)

Siber suçluların hıza ihtiyaç duymak için uçuş kıyafeti ve pilot gözlüğü giymeleri gerekmez. Veri sızdırma söz konusu olduğunda, Palo Alto'nun 42. Birimi Olay Müdahale ekibi bunun her zamankinden daha hızlı gerçekleştiğini bildiriyor :

"Bu yılki vakalarımızın neredeyse %45'inde saldırganlar, tehlikeye atıldıktan sonra bir günden kısa sürede verileri sızdırdı. Bu, neredeyse yarısı zaman, kuruluşların onları durdurmak için saatler içinde yanıt vermesi gerektiği anlamına geliyor."

Bu, çoğu durumda saldırganların, bir kuruluşun müdahale ekibini kurup plan yapmaya vakit bulamadan önce sızma işlemini başlatmış veya tamamlamış olduğu anlamına gelir.

11. Tek Bir Veri İhlalinde 10 Milyardan Fazla Yeni Şifre Dolaşıyor

RockYou2024 sızıntısını hatırlıyor musunuz? ObamaCare adlı bir tehdit aktörü tarafından paylaşılan bu dosyada tam 10 milyar şifre yer alıyordu.

• İyi haber: CyberNews, listedeki tüm parolaların yeni olmadığını , yani listedeki parolaların bazılarının önceki veri ihlallerinde ifşa edildiğini bildiriyor. Mesela... bu parolalar 20+ yıl boyunca 4.000'den fazla veritabanından toplandı. Yani evet, listede güncel parolalar var, ancak umarım artık geçerli olmayan birçok eski parola da var.
• Kötü haber: Kullanıcılar, tehlikeye atılmış parolaları değiştirme veya güncelleme konusunda yavaş veya ihmalkardır. Örneğin, Forbes Advisor tarafından yaptırılan ve Talker Research tarafından yürütülen bir çalışma, kullanıcıların yalnızca %68'inin "parolaları tehlikeye atıldıktan sonra birden fazla hesapta" parolalarını değiştirdiğini gösteriyor. Dahası, beş kullanıcıdan yalnızca ikisi, parolalarını proaktif olarak değiştirmek yerine istendiğinde değiştiriyor.

Peki, parolalar proaktif olarak değiştirilmeli mi? Ulusal Standartlar ve Teknoloji Enstitüsü'nün (NIST) Dijital Kimlik Yönergeleri'nin son sürümüne göre, mutlaka değil:

Şifrenizin sızdırılıp sızdırılmadığından veya ihlal edilip edilmediğinden emin değil misiniz? CyberNews'in şifre sızıntısı kontrol aracını inceleyin. İşte NoWayJose şifresi için sonuçların bir örneği:

12. 2024'ün İlk Yarısında Veri İhlallerinin Sayısı Fırladı

2024 birçok açıdan rekor kıran bir yıl oldu — en azından şimdiye kadar gerçekleşen bildirilen veri ihlallerinin sayısı bunlardan biri. Kimlik Hırsızlığı Kaynak Merkezi (ITRC), veri ihlali mağduru sayısının 2023'ün 2. çeyreğinden 2024'ün 2. çeyreğine kadar geçen yıl %1.170 oranında arttığını bildiriyor. Hayır, bu bir yazım hatası değildi — doğru okudunuz.

ITRC, H1 2024 veri ihlallerinin ve diğer ihlallerin toplam 1.571 olduğunu ve 1,007 milyardan fazla kurbanı etkilediğini bildiriyor . Ancak, tahmini 1+ milyar kurbanın, "önemli sayıda" ABD sakinini etkilemesi muhtemel olan Change Healthcare ile ilgili büyük tedarik zinciri saldırısına dahil olanları saymadığını belirtmekte fayda var.

Peki bilgilerinizin herhangi bir ihlale dahil olup olmadığını nasıl anlayabilirsiniz? Bunu anlamanın bir yolu haveibeenpwned.com gibi çevrimiçi veritabanlarını kontrol etmektir. Bu aracı kullandığınızda nasıl göründüğüne dair kısa bir örnek:

13. Fidye Yazılımı Olaylarının %90'ında Hedef Alınan Yönetilmeyen Cihazlar

Yönetilmeyen ağ cihazlarının kuruluşunuz için önemli güvenlik riskleri oluşturduğu bir sır değil. Ancak Microsoft'un 2024 Dijital Savunma Raporu, fidye yazılımı saldırılarının fidye aşamasına ilerlediği durumlarda, bunların ezici bir çoğunlukla yönetilmeyen cihazları ya ilk erişim vektörü olarak ya da varlıkları uzaktan şifrelemenin bir yolu olarak kullandığını gösteriyor:

“Başarılı vakaların %70'inde uzaktan şifreleme gözlemledik ve bunların %92'sinin ağdaki yönetilmeyen cihazlardan kaynaklandığını gördük. Bu, kuruluşların cihazları yönetime kaydetmeleri veya yönetilmeyen cihazları ağdan hariç tutmaları gerektiğinin altını çiziyor.”

Bu nedenle işletmelerin ağ cihazlarını doğrulaması ve yönetmesi hayati önem taşır. Bu mümkün değilse, potansiyel olarak istismar edilmekten kaçınmak için cihazlar ağdan kaldırılmalıdır.

"İyi Adamlar" Nasıl Karşı Koyuyor

Siber güvenlik uzmanları, kanun koyucular ve dünya çapındaki kuruluşlar bu kötü niyetli siber suç faaliyetlerine karşı mücadele ediyor. Siber güvenlik savunmalarını iyileştirmek için giderek daha fazla AI destekli çözümlere yöneliyorlar. Darktrace, şirketin ankete katılan 1.800 güvenlik lideri ve uygulayıcısının %95'inin, AI destekli güvenlik araçlarının siber tehditlerle mücadele söz konusu olduğunda kuruluşlarının hızını ve verimliliğini artıracağını belirttiğini bildiriyor .

Siber suç faaliyetlerini engellemek için bazı sektör liderlerinin inisiyatif aldığı diğer birkaç yol şunlardır:

Google, Bulut Hesap Devralmalarıyla Mücadele İçin Dijital Sertifikaları Benimsiyor

Karşılıklı TLS (mTLS veya iki yönlü kimlik doğrulama olarak da bilinir), birinin iddia ettiği kişi olduğunu kanıtlamak için dijital sertifikaların kullanılmasıdır. Bu, ağınıza, uygulamalarınıza ve diğer sistemlerinize uzaktan erişen kişileri ve cihazları kimlik doğrulaması yaparken özellikle yararlıdır.

Google'a göre , sertifika tabanlı erişim, "bulut kaynaklarına erişimi yetkilendirmeden önce kullanıcı kimlik bilgilerinin bir cihaz sertifikasına bağlı olduğundan emin olmak" için karşılıklı TLS kullanır. Temel olarak, birisi Google'ın bulut hizmetlerine erişmeye çalıştığında dijital sertifikaları cihaz tanımlayıcıları ve doğrulayıcıları olarak kullanmakla ilgilidir. Blog yazısına göre:

"Bir saldırgan bir kullanıcının kimlik bilgilerini ele geçirse bile, ilgili sertifikaya sahip olmadıkları için hesap erişimi engellenmiş olarak kalacaktır. Bu, çalınan kimlik bilgilerini işe yaramaz hale getirir."

ABD Gizli Servisi Dijital Varlıklarla İlgili Siber Suçları Araştıracak

“Siber Suçta Kara Para Aklamanın Önlenmesi Yasası 2024” (S.4830) başlıklı yeni bir ABD Senatosu tasarısı, ABD Gizli Servis teşkilatına aşağıdakileri soruşturma yetkisi vermeyi amaçlıyor:

“Dijital varlık işlemleriyle ilgili çeşitli suçlar ve lisanssız para transferi işletmeleri, yapılandırılmış işlemler ve finansal kurumlara karşı dolandırıcılık da dahil olmak üzere ulusötesi siber suç faaliyetleriyle mücadele ve diğer amaçlar.”

Yasa tasarısı Temmuz ayının sonunda sunuldu. Eğer geçerse, yeni mevzuat Gizli Servis'in ABD Kanunu'nun 18. Maddesi uyarınca soruşturma yetkilerini genişletecek. Ayrıca, Hükümet Hesap Verebilirlik Ofisi'nin (GAO) 2020 Kara Para Aklamayı Önleme Yasası'nın 6102. Bölümü hakkındaki çalışmasını ve kolluk kuvvetlerinin kara para aklamayla ilgili siber suçları ne kadar iyi tespit edip engellediğine dair değerlendirmesini raporlamasını gerektiriyor.