Milwaukee’de bulunan bir şirket olan Hold Security tarafından keşfedilen kayıtlar tanınmış isimleri ve bazı küçük internet sitelerini de içeren 420.000 web sitesinden toplanan kişiye özel materyaller içeriyor. Bu kayıtlar doğrultusunda McAfee EMEA CTO’su ve Europol Bilişim Suçları Danışmanı Raj Samani bilişim suçları ve internet güveliği konularını el aldığı yazısında internet güven modelinin önemli güvenlik zaafları olduğunu belirtti.
Şifreler ve internet güven modeli
“Bugünkü haberler, orijinal internet güven modelinin önemli zaafları olduğunu hatırlatan en son haber olmaktan ibaret. Sadece bir e-posta adresi ile bir şifreye güvenerek verilerinizi güvende tutmaya artık yetmiyor; bu durum pek çok kişinin birden fazla site için aynı bilgileri kullanmasıyla daha da kötü hale geliyor; bir başka deyişle, bilişim suçu işleyenler için tek bir şifre çoğu zaman birden fazla kapı açıyor. Haklayıcılardan bir adım önde olmak için; elverişli durumlarda, şifre yerine ses ve yüz tanıma sistemini getiren biyometrik kimlik doğrulama gibi teknolojileri bünyesinde barındıran yeni bir güven modelini teşvik etmek önem taşır.
Bilişim suçları hizmeti-Kara borsa
“Çalıntı kimlik bilgilerinin önbelleğe alınması, ‘CyberVor’ adlı çetenin bir dizi eyleminin bir sonucu gibi görünüyor. Bu eylemler, kara borsadan kimlik bilgisi edinmeden, en nihayetinde bu web siteleri içinde bilinen zaafları tespit etmek ve sonunda veri tabanlarını çalmak üzere virüs bulaşmış bilgisayarları kullanmaya kadar varıyor.
Söz konusu saldırının, 400 bini aşkın web sitesine yönelik bir saldırı olduğunu unutmamalıyız; öte yandan saldırının ölçeği, çalıntı kimlik bilgisi ve diğer kişisel veri kara borsası bu denli aktif iken şaşırtıcı görünse de, bu tür saldırılar münferit olaylar olarak görülmemelidir. Dahası; çalınan veriler daha önceki ihlallerde olduğu gibi mali bilgilerden oluşmuyor; çalıntı bilgiler bu tür mali bilgileri ‘spear phishing’ ve istenmeyen e-postalar aracılığıyla elde etmek için bir araç olarak kullanılacaktır. Bu da, tüketicilerin e-posta dolandırıcılığına karşı tetikte olmaları ve herhangi bir mali bilgi veya şifre bilgisi iletmeden önce mesajların gerçekliğini doğrulatmaları gerektiğine dair bir hatırlatmadır.”