Ocak ayının sonunda, yaklaşık 50 milyon Europcar müşterisinden elde edildiği iddia edilen veriler bir yeraltı forumunda sunuldu. Europcar hızla tepki gösterdi ve bunun gerçek bir dosya olduğunu reddetti.
Veriler tutarlı değildir ve özellikle e-posta adresleri Europcar tarafından bilinmemektedir. Europcar, bu verilerin üretken yapay zeka (örneğin ChatGPT) kullanılarak oluşturulduğunu öne sürerken, diğer güvenlik araştırmacıları burada hiçbir yapay zekanın iş başında olmadığı görüşünde. Ancak hepsinin ortak noktası bu verilerin makineler tarafından üretildiği düşüncesidir. Forumda satışa sunulan verilerin gerçek olmadığına dair şüphe hızla ortaya çıktı ve bu da sonuçta satıcının forumda engellenmesine yol açtı. Hikâye ilk bakışta ilginç görünse de, “hikâyenin arkasına” bakıldığında başka ilginç yönler de ortaya çıkıyor:
Suçlular arasında onur
Son yıllarda fidye yazılımı ortamındaki bir anlatı, siber suçluların sözde "onuru"dur: Eğer şifre çözme için para öderseniz, suçluların "onuru" anahtarı da teslim etmelerini gerektirir; sadece "onur" burada gerçekten doğru kelime değil. Fidye karşılığında anahtarı vermenin onurla hiçbir ilgisi yoktur. Bu, suçluların ticari içgüdüsüdür: Ödeme yapılmasına rağmen hiçbir anahtarın verilmediği söylentisi yayılırsa, bu işe zarar verir, yani saf kişisel çıkar ve "namus" olmaz.
Suçluların birbirlerini aldatmadıkları düşüncesi gerçeklerden ziyade yüceltilmiş bir Robin Hood anlatısından kaynaklanmaktadır: Yukarıdaki olayda bir suçlu diğer suçluları aldatmaya çalışmıştır. Henüz alıcının olmamasını ummak mümkün. Ve alıcıların resmi adalet sisteminden geçmesinin yasaklanmış olması, korkulacak herhangi bir sonuç olmadığı anlamına gelmiyor. Geçmişte benzer eylemler çok itibarsız sonuçlara yol açmıştı. "Doxing" (dolandırıcının e-posta hesabını hackleyerek, gerçek adresi yayınlayarak, kişisel tarama yaparak, referansları yayınlayarak vb. sanal olarak açığa çıkarması) sadece başlangıçtır. Doxing bilgileri forumlarda gördüğünüz bilgilerdir. Aldatılma potansiyeli olan bir suçlunun bu bilgilerle gerçek dünyada ne yaptığını göremezsiniz... belki de neyse ki.
Verilerinizi biliyor musunuz?
Belki de savunma açısından bakıldığında daha ilginç olan husus Europcar'ın tepkisidir. Europcar, verilerin gerçek olmadığını hızlı ve net bir şekilde ortaya koydu. Ancak olay aynı zamanda suçluların (bu vakada olduğu gibi) satmak veya potansiyel kurbanlara şantaj yapmak için sahte veriler ürettiğini de gösteriyor. İşte işler tam da bu noktada heyecanlanıyor. Bir şirketin (örneğin bir fidye yazılımı olayından sonra) “Verileriniz elimizde! Bir örnek eklenmiştir. Bunların yayınlanmasını istemiyorsanız…”.
Ve şimdi kritik soru: Şirket, verilerin gerçek olup olmadığını (zamanında) kontrol edebiliyor mu? Karar verme süreci ne kadar uzun sürerse yönetim o kadar gergin hale gelebilir. Ve bu gerginlik, tıpkı güvenli bir çözüm gibi, ödemenin yapılma olasılığını artırabilir.
Bu, savunma tarafı için iki önemli sonuca yol açmaktadır. İlk olarak, (iddia edilen) çalıntı verilerle şantaja uğrama senaryosunun risk değerlendirmesine dahil edilmesi gerekiyor. İkinci olarak, risk azaltıcı önlemler veya doğrulama önlemleri (süreçler, erişim hakları, kişiler) de önceden tanımlanmalıdır. Aksi takdirde, çok hızlı bir şekilde gerçekleşebilir; örneğin, atanmış olay müdahale ekibinin verileri yeterince hızlı bir şekilde doğrulayamaması, örneğin veritabanlarının teknik olarak erişilebilir olmaması nedeniyle. Özellikle kişisel veriler söz konusu olduğunda diğer bir husus da kesinlikle GDPR'dir. Böyle bir durumda GDPR'yi ihlal etmeden kişisel verileri nasıl doğrulayabilirsiniz?
Her ikisi de nispeten kolay bir şekilde *önceden*: tanımlanabilecek şeylerdir. Acil bir durumda ilgili süreç daha sonra düzenli bir şekilde yürütülebilir. Süreç tanımlanmazsa, çoğunlukla büyük kaos ve panik ortaya çıkar; bu da verilere şantaja uğrayıp uğramadığına ilişkin açıklamanın zamanında yapılamamasına neden olur. Bu da şantaj yapanların ödeme yapma olasılığını artırıyor.
İki ipucu
1) Çalınan verilerle (iddia edilen) şantaja maruz kalmaya hazırlanın.
2) Bir olay durumunda, bir dökümün gerçekliğini doğrulamak amacıyla olay müdahale ekiplerinin verilere hızla (teknik olarak) ve yasal olarak erişebilecekleri (okuyabilecekleri) süreçleri önceden tanımlayın.
Trend Micro Hakkında Dünyanın önde gelen BT güvenliği sağlayıcılarından biri olan Trend Micro, dijital veri alışverişi için güvenli bir dünya yaratılmasına yardımcı olur. 30 yılı aşkın güvenlik uzmanlığı, küresel tehdit araştırması ve sürekli yenilikle Trend Micro işletmeler, devlet kurumları ve tüketiciler için koruma sunar. XGen™ güvenlik stratejimiz sayesinde çözümlerimiz, öncü ortamlar için optimize edilmiş nesiller arası savunma teknikleri kombinasyonundan yararlanır. Ağa bağlı tehdit bilgileri, daha iyi ve daha hızlı koruma sağlar. Bulut iş yükleri, uç noktalar, e-posta, IIoT ve ağlar için optimize edilmiş bağlantılı çözümlerimiz, daha hızlı tehdit algılama ve yanıt için tüm kuruluş genelinde merkezileştirilmiş görünürlük sağlar.
Konuyla ilgili makaleler