Makale
Kişisel Veri Güvenliğine Yönelik Yeni Tehdit: Sentetik Kimlik Hırsızlığı
Kişisel verileri hedef alan en yeni siber saldırı türlerine eklenen sentetik kimlik hırsızlığı nedir, zararlı etkilerinden nasıl korunulur? İşte bilinmesi gereken her şey…
Bankalararası Kart Merkezi (BKM) desteğiyle Türkçe’ye de çevrilen Identity is the New Money kitabının yazarı David Birch’e göre, gerçekte bir kişi ile ilgili üç farklı kimlik eşleştirmesi söz konusu; bireylerin kendi kişisel veya psikolojik kimliği, sosyal ve yasal kimlik. Yasal kimlikle eşleştirilerek kullanılabilen çok sayıda ürün ve hizmet var. Yaşamın doğal döngüsü içerisinde daha kolay alışveriş, taksit imkanları, indirimler, çeşitli ödemelerde zaman kazanımı gibi nedenlerle kredi kartı kullanılabiliyor. Ayrıca sağlık hizmetlerinden yararlanabilmek için sosyal güvenlikle ilgili bir dizi kamusal süreç ve beraberinde oluşan veriler (sosyal güvenlik numarası gibi), yine modern yaşayışı şekillendiren olmazsa olmazları oluşturuyor.
Örnekleri artırmak mümkün…
Diğer taraftan bir kişi, kendi adına kayıtlı bir araca, gayrimenkullere sahip olabilir, adres bilgileri vardır. Çok daha spesifik olarak öğle yemeğinin yendiği restoranlar, ayakkabı numarası gibi bilgiler de kişiyi tanımlayıcı öğeler arasında yer alır. En nihayetinde ise devlet, iş hayatı, düzenleyiciler ve uygulayıcılarla ilişkili şekilde çok sayıda bilgiyi içeren kapsamlı bir olgudur kimlik. İlişkilidir, hızla artan ölçüde de online özellikler kazanmıştır.
Peki sentetik kimlik hırsızlığı nedir? Tam olarak bir bütün halindeki kimliği oluşturan bilgileri tek tek hedef alarak ‘bir nevi yapay’ kişilerin oluşturulmasını, bunun üzerinden de çeşitli yasa dışı kazanımlar elde edilmesini esas alan siber korsanlık çeşididir.
Sentetik kimlik hırsızlığı, siber güvenliğe dair sorunların nispeten yeni ve ileri düzeyine işaret ediyor…
Nasıl bir yöntem?
Halen, orijinaline birebir benzeyen, ancak fidye yazılım içeren sahte e-postalar (phishing saldırıları), binlerce kişi ve firmayı olumsuz yönde etkiliyor. Kurumların yeni nesil saldırılara karşı koruma sağlayan güvenlik yazılımları kullanmaması ve modern bir güvenlik altyapısına sahip olmamaları yıkıcı maddi zararlara neden olabiliyor.
Sadece yazılım ve donanım kalitesine güvenen birçok kurum da eğitimli Bilişim Teknolojileri birimlerine sahip olmadığı için saldırılardan kurtulamıyorlar. Veri güvenliği alanında gerektiği kadar bilinçli olmayan sayısız internet kullanıcısı her gün sosyal medya, uygulamalar ve internet hizmetleri üzerinden kritik verilerini güvenliklerini tehlikeye atacak şekilde yayıyor.
En nihayetinde ise şu açık: Veri güvenliğine gerektiği şekilde önem verilmemesi, önüne geçilmesi kolay olmayan bir siber dolandırıcılık yönteminin ortaya çıkmasına yol açtı: Sentetik kimlik hırsızlığı.
Tüketici kredisi raporlama kuruluşu TransUnion tarafından yayınlanan rapora göre 2015-16 arasında yüzde 68 artış gösteren sentetik kimlik sahtekarlığı, hırsızların baştan aşağı sahte bir insan yaratmasını sağlayacak kişisel verilerle donanmış olması anlamına geliyor.
Bu yöntem, çok sayıda veriyi ele geçiren hırsızların bunları bir araya getirerek sahte kişilikler oluşturmasına dayanıyor. Farklı kişilere ait sosyal güvenlik numarası, kredi kartı, adres, otomobil markası, ayakkabı numarası gibi bilgiler birleştirilip yeni bir kişi oluşturuluyor. Peki bu bilgiler nasıl kullanılıyor?
Ele geçirilen kişisel bilgiler ne şekilde kullanılıyor?
Sentetik kimlik hırsızlığı son derece tehlikeli bir veri güvenliği sorunu. Çünkü kredi kartınızı kontrol eden birisi alışveriş yapıp faturanın kontrolünde olan bir diğer adrese gönderilmesini isteyebiliyor. Adınıza kredi hesabı açılabiliyor, bu hesabı uzun yıllar kontrol edebiliyorlar. Kontrol ettikleri bilgilerin güvenlik yetkilileri tarafından fark edilmeleri de bir o kadar zor. Kısacası hırsızlar, her bir parçası birleştirilmiş bilgilerle telafisi kolay olmayan zararlara yol açabiliyorlar.
Aite tarafından yapılan araştırmaya göre 2015’te kredi kartları üzerinden 580 milyon dolar zarara neden olan sentetik kimlik sahtekarlığının yıkıcı etkisi 2017’de 800 milyon dolara ulaştı.
Tuzağa düşen kişi ve finans kuruluşlarının sayısı her geçen gün artıyor. Tıpkı diğer saldırılarda olduğu gibi özellikle çocuklar ve ardından yaşlılar bu saldırının kurbanları oluyor. 6 yaşından küçük çocuklar dahil ele geçirilen sosyal güvenlik numarası sahte yaş bildirimleri ile kredi kartı çıkartmaya ve diğer dolandırıcılık türlerine yol açıyor.
Alınması gereken önlemler neler?
Nihayetinde, sentetik kimlik sahtekarlığı ve diğer tüm dolandırıcılık türlerinin önüne geçmek için veri güvenliğini en üst düzeyde tutmak ve bu konuda bilinçlenmek şart.
Her zaman uygulanması gereken temel önlemler ise şöyle sıralanıyor;
– Güvenliği ve meşruluğu belli olmayan web sayfalarında asla bilgi paylaşmamak, alışveriş yapmamak,
– Sosyal medyada tanımadığınız kişilere şahsi bilgilerinizi vermemek,
– Çocuklarınıza şahsi ve aile ile ilgili bilgileri tanıdıkları kişiler dışında kimseyle paylaşmamalarını tembihlemek,
– Kredi kartı ve banka hesap bilgisi gibi finansal verileri belli aralıklarla kontrol etmek, incelemek,
– Kullandığınız bilgisayar, tablet, akıllı telefon gibi aygıtlarda güvenilir ve lisanslı güvenlik yazılımları kullanmak. Düzenli olarak güncelleme yapmak.
