Deepfake

Fraud as a Service (FaaS): Dolandırıcılık Yapmak Hiç Bu Kadar Kolay Olmamıştı!

Reycan Çetin
Growth Manager @Techsign

Dijital dolandırıcılık vakaları son yıllarda büyük bir hızla artışa geçmiş durumda. Bu artışın sebebi elbette büyük ölçüde her geçen gün daha fazla işlemin online ortamlarda gerçekleşmesi. Ancak işlem sayısının büyümüş olmasının yanı sıra dijital dolandırıcılık vakalarının artmasının bir önemli sebebi daha var: dijital dolandırıcılığın hazır araçlar ve servislerle çok daha kolay bir şekilde yapılabiliyor olması. 

Dijital dolandırııcılık dendiğinde geçtiğimiz yıllarda insanların aklında karanlık odalar, gelişmiş bilgisayarlar ve asosyal teknoloji dahileri beliriyordu, ancak bu yeni dönemde artık daha farklı bir model görüyoruz. Dolandırıcılık yapmak isteyenlere gerekli araçları sunmak artık bir hizmet olarak kendine piyasada kendine yer edinmiş durumda Fraud as a Service (FaaS), adı verilen bu sektör gelişmiş teknolojik bilgiye ve alt yapıya sahip olmaya gerek kalmadan herkesin dijital dolandırıcılık yapmasının önü açıyor ve bu da dolandırıcı sayısında artışa yol açıyor. 

Yalnızca araç değil altyapı ve hatta rehberlik hizmetinin bile sunulduğu bu hizmetle birlikte  dijital dolandırıcılık adeta yeni bir iş koluna dönüşüyor ve oyuna daha fazla kişinin dahil olması ile siber güvenlikle uğraşan profesyonellerin işini her geçen gün biraz daha zorlaşıyor.

Ben de bu yazıda size bu yeni tehditle ilgili detaylı bilgi vermek, yaklaşan tehlike ile ilgili erken bir uyarı yapmak istiyorum. 

Fraud as a Service Nedir?

Fraud as a Service, en basit anlamıyla dolandırıcılık faaliyetlerinin hizmet olarak sunulması anlamına geliyor. Siber suçlular, tıpkı yasal SaaS (Software as a Service) sağlayıcıları gibi çalışarak, dolandırıcılık yapmak isteyen bireylere veya gruplara ihtiyaca özel hizmetler sunuyorlar. Bu hizmetler, genellikle karanlık ağ (dark web) üzerinden veya şifrelenmiş forumlarda satılıyor.  

FaaS’ta Sunulan Hizmetler 

FaaS’ın amacı, teknik bilgisi ve yeterli ekipmanı olmayan kişilere de dolandırıcılık yapmanın kapılarını açmak. Yukarıda da bahsettiğim gibi dolandırıcılık neredeyse bir iş kolu haline gelmiş durumda ve bu iş koluna girmek isteyenler için sağlanan servisler de son derece çeşitli. Zira dijital dolandırıcılığın çok farklı çeşitleri bulunuyor ve her çeşit için gerekli ekipmanlar da değişiyor. Yakın zamanda sunulan FaaS hizmetlerinin en önemlileri kullanım alanları ile birlikte şu şekilde:

1. Sahte Kimlik ve Belge Üretimi

Sahte kimlik kartı ve bilgi üretimi FaaS sağlayıcıların en fazla sunduğu hizmet. Özellikle hükümet databaselerine erişimi olmayan kimlik doğrulama sistemlerinde bu sahte kimlikler çok büyük sorunlara yol açabiliyor. Sahte kimliklerle sahte hesaplar açarak kredi veya finansal hizmetlere erişim sağlayarak banka dolandırıcılığı yapmak ve e ticaret sitelerinde sahte hesaplar açarak potansiyel müşterileri dolandırmak en çok yapılan işlemler. 

Satılan ürün ve servisler:

  • Sahte pasaportlar, kimlik kartları ve ehliyetler.
  • Çeşitli ülkelerde kullanılan resmi belgelerin birebir kopyaları.
  • Kredi kartı bilgileri ve sahte banka hesap dökümleri.

2. Kimlik Bilgisi Saldırısı (Credential Stuffing) Araçları

Dolandırıcılara çalınmış kullanıcı adı ve şifre kombinasyonlarını sağlamak olarak tanımlayabileceğimiz bu servis, bir hesap bilgisini çaldıran kurbanın diğer hesaplarına erişmek amacıyla kullanılıyor. Böylece kurbana ait bir kullanıcı adı ve şifresine sahip olan dolandırıcı elde ettiği kombinasyonlarla diğer hesaplardaki şifreleri de elde etmeyi amaçlıyor. 

Satılan ürün ve servisler:

  • Çalıntı kullanıcı adı ve şifrelerin toplu olarak test edilmesi için otomasyon yazılımları
  • Web sitelerine ve uygulamalara giriş yaparak kullanıcı hesaplarına erişim 

3. Oltalama (Phishing) Kitleri

Phishing terimi dolandırıcıların kullanıcıları kandırarak hassas bilgilerini (örneğin, şifreler, kredi kartı bilgileri, kişisel veriler) ele geçirme amacıyla kullandığı bir siber saldırı yöntemi.  i Saldırganlar, kurbanlarını resmi bir kurumdan (banka, e-ticaret sitesi vb.) geliyormuş gibi gösterilen mesajlarla  Örneğin, “Hesabınızda güvenlik sorunu tespit edildi, lütfen şifrenizi sıfırlayın” gibi sahte uyarılarla tuzağa düşürüyor. Mesajdaki linke tıklayan kullanıcılar sahte sitelere yönlendiriliyor ve daha sonra banka hesapları dolandırıcılar tarafından ele geçiriliyor. FaaS sağlayıcıları bu iş için gerekli alt yapıyı sağlıyor.

Satılan ürün ve servisler:

  • Sahte e-posta şablonları ve web siteleri oluşturma araçları.
  • Otomatik olarak kurbanları hedef alan kimlik avı (phishing) kampanyalarının yönetimi.

4. Deepfake ve Ses Klonlama Teknolojileri

Bankalar başta olmak üzere bir çok firma, online işlem yapmak isteyen müştierlierin kimliğini doğrularken biyometirik sistemleri kullanıyor. Deepfake ve ses klonlama teknolojileri de genellikle bu biyometrik sistemlerin atlatılmasına yönelik kullanılıyor. Bunun yanı sıra gerçekçi video ve ses dosyaları ile kişileri tehdit ve manipüle ederek yapılan dolandırıcılıklarda da bu teknolojilere başvuruluyor. 

Satılan ürün ve servisler:

  • Gerçekçi ses ve videolar oluşturma
  • Manipülasyon için yayınlama 

5. Botnet Kiralama

Türkçe’de de Botnet olarak kullanılan bu kavram açıklayıcı bir şekilde "Bot Ağı" veya "Zombi Bilgisayar Ağı" olarak çevrilebilir. Botnet, saldırganların yüzlerce ve hatta bazen cihazı ele geçirmesiyle kurulan bir ağ. Bu cihazlar (bilgisayarlar, telefonlar, IoT cihazları) birer bot haline getiriliyor ve sahibinin bilgisi olmadan siber saldırılarda kullanılabiliyor. Web sitelerine yapılan saldırılarla rakiplerin hizmetlerini aksatma, toplu e-posta ve mesaj göndererek phishing saldırılarını başlatma ya da casus yazılımları yayma amaçlı kullanılabiliyor. 

Satılan ürün ve servisler:

  • Dolandırıcılık projesinin boyutuna uygun sayıda cihaz sağlama 
  • Toplu e-posta ve mesajları gönderme 

6. Hesap Satışı ve Kiralama

Çalıntı veya sahte hesapların satılması / kiralanması da Faas’ın sunduğu önemli hizmetlerden biri. Çalıntı veya sahte hesaplarla olmayan ürünleri satmak, kurbanın aile ve arkadaşlarından yalan haberlerle para istemek, çalıntı firma hesaplarıyla insanları manipüle etmek gibi bir çok farklı tipte dolandırıcılığın kapısı bu servisle rahatça açılıyor. 

Satılan ürün ve servisler:

  • Sahte kimlik bilgileriyle açılmış kiralık ya da satılık hesaplar
  • Firma ve kişilere dair ele geçirilmiş hesaplar

Öneri içerik: Deepfake dolandırıcılıkları

7. Ransomware (Fidye Yazılım) Hizmetleri

Türkçe’ye fidye yazılımı olarak çevrilen ransomware, bir bilgisayardaki veya ağdaki dosyaları şifreleyerek kullanılamaz hale getiren ve şifre çözme anahtarı karşılığında fidye talep eden kötü amaçlı yazılımları ifade ediyor. Kurumsal sistemlere, kritik hizmet sunan altyapılara veya kişilere yönelik olabilen bu saldırılar için gerekli yazılımlar, mevcut güvenlik önlemlerine göre şekilleniyor. 

Satılan ürün ve servisler:

  • Ransomware yazılımlar
  • Ransomware yazılımları cihazlara bulaştırmak için kullanılacak e-posta ekleri, zararlı web siteleri 
  • Güvenlik açığı bulunan hesapların tespiti 

8. IP ve Lokasyon Gizleme Hizmetleri

Dijital dolandırıcılığın en önemli unsurlarından biri yapılan işin takip edilememesi. Para akışının saklanması ve paranın aklanması suçlunun yakalanmaması için büyük önem arz ediyor. 

Satılan ürün ve servisler: 

  • Sanal özel ağlar (VPN) ve proxy hizmetleri
  • Dolandırıcıyı yasal takibi daha zor olan farklı ülkelerdeki kurbanlara ulaştırma
  • Çoklu hesap yönetimi ile aynı kişi tarafından yönetilen sahte hesapların izlenmesini önleme

FaaS’ın Dijital Dolandırıcılık Üzerindeki Etkisi 

Dijital dolandırıcılık yapmak isteyen kişilerin işini kolaylaştıran yöntemler, siber güvenlik sağlamaya çalışan firmalar ve kırılgan sistemler için elbette ki iyi haber değil! Bu tehlikenin sebeplerini somut bir şekilde sıralamak önlemlerin ne kadar kritik olduğunu anlamak için faydalı. 

1. Erişilebilirlik ve Kullanım Kolaylığı

Teknik bilgi eksikliği artık dolandırıcılığın önünde bir engel değil. Herkes dolandırıcı olabilir, çünkü gerekli araçlar ve talimatlar kolayca satın alınabiliyor. Bu durum da dolandırıcılığı daha geniş bir kitleye erişilebilir hale getiriyor ve suç oranlarını artırıyor. Üstelik kullanıcı dostu arayüzler ve detaylı rehberler sayesinde, sıfır bilgi seviyesinden uzman dolandırıcıya geçmek çok da uzun sürmüyor. 

2. Esneklik ve Ölçeklenebilirlik

FaaS sayesinde dolandırıcılar artık tek bir saldırıyla sınırlı kalmıyor. Ölçeklenebilir araçlar aynı anda binlerce kişiyi hedef almayı mümkün kılıyor. Örneğin, credential stuffing araçlarıyla çalınan kullanıcı adı ve şifreler otomatik olarak yüzlerce platformda denenebiliyor.

3. Gelişmiş Teknolojilerle Güçlendirme

Teknoloji maalesef sadece iyilere değil, aynı zamanda suçlulara da hizmet ediyor. FaaS hizmetlerinin, yapay zeka ve otomasyon araçlarını da süreçlere dahil etmesi güvenlikle uğraşan profesyonellerin işini zorlaştırıyor. 

4. Küresel Etki

FaaS sistemleri sınır tanımıyor. Dünya genelindeki hedefler kolayca seçilebiliyor ve saldırılar küresel ölçekte yapılabiliyor. Özellikle finans sektörü, e-ticaret siteleri ve kimlik doğrulama sistemleri FaaS saldırılarından ciddi şekilde etkileniyor.

FaaS’a Karşı Alınması Gereken Önlemler

Fraud as a Service, bireylerden büyük şirketlere kadar herkes için bir tehdit oluşturuyor. Peki bu tehditlerden nasıl korunacağız? Bu tehditlerden tamamen korunmak mümkün değil ancak uluslararası örgütler, devletler, firmalar ve bireylerin bir arada ve aynı bilinçle hareket ettiği bir startejiyle etkileri en aza indirilebilir. 

  1. Yasal Düzenlemeler: Devletler ve ulus aşırı örgütler en yeni ve en güncel saldırı tiplerinden haberdar olmalı, gerekli önlemleri alma konusunda firmaları bağlayacak regülasyonlar üretmeli. 
  2. Gelişmiş Kimlik Doğrulama: Firmalar tarafından risk temelli, farklı modülleri bir arada kullanan modeller tercih edilmeli, siber güvenlik sağlayıcılar ile birlikte hareket ederek özelleştirilmiş planlar yaratılmalı. 
  3. Yapay Zeka Destekli Algoritmalar: Yapay zeka ile desteklenen suçları engellemek için yapay zeka aktif bir araç olarak kullanılmalı.  
  4. Eğitim ve Farkındalık: Bireyler ve kurumlar, siber suçlar ve korunma yöntemleri konusunda bilinçli olmalı. 

İlginizi çekebilir: Online platformlarda yaş doğrulaması

Sonuç

Siber dünyada ayakta kalmak için tehditleri anlamak ve güçlü çözümler geliştirmek artık her zamankinden daha kritik! Fraud as a Service, siber suç dünyasında yeni bir dönemi temsil ediyor. Hizmet olarak sunulan bu model, dolandırıcılığı yaygınlaştırarak hem bireyleri hem de kurumları ciddi risklerle karşı karşıya bırakıyor. Bu tehdidin etkisini en aza indirmek ancak gelişmiş teknolojiler, farkındalık çalışmaları ve güçlü yasal düzenlemelerle mümkün. Ayrıca dolandırıcıların yeni yöntemlerini takip eden ve güncel kalarak bir adım önde olmayı hedefleyen siber güvenlik firmaları ile beraber çalışmak da kritik öneme sahip.

Techsign olarak günceli yakalamaya ve dolandırıcıların bir adım önünde olmaya her zaman özen gösteriyoruz. Kimlik doğrulama çözümlerimizi risk odaklı, ihtiyaca göre kişiselleştirilmiş ve farklı modüllerle güçlendirilmiş olarak üretmek ilk günden beri önceliğimiz. 

Siz de firmanızı daha iyi korumak ve bu korumayla birlikte müşterilerinize sorunsuz bir kullanım deneyimi sağlamak istiyorsanız hemen bize ulaşın!

info@techsign.com.tr

Deepfake
Reycan Çetin
Researching, writing and petting all the cats in the world!

İlgili İçerikler

Deepfake
Cheapfake ve Deepfake Arasındaki Farklar ve Kimlik Dolandırıcılığında Yarattıkları Tehditler
Reycan Çetin
Growth Manager @Techsign
KYC
Online Platformlarda Yaş Doğrulama Yöntemleri ve İnceleme
Reycan Çetin
Growth Manager @Techsign
Deepfake
Deepfake Dolandırıcılıkları: Dijital Dünyada Yeni Bir Tehdit
Reycan Çetin
Growth Manager @Techsign
KYC
2023 ve 2024'ün Kafa Karıştıran Deepfake Örnekleri
Reycan Çetin
Growth Manager @Techsign

İhtiyacınız olan çözümü gelin,
birlikte bulalım.

Firmanızın sektörüne, büyüklüğüne ve coğrafi bölgesine uygun çözümler için bizimle iletişime geçin.
Bize ulaşın
Teknopark No:1/1C, Office: 1301
34906 İstanbul/Türkiye
Telefon: +90 (216) 510 2761
E-mail: info@techsign.com.tr
Çözümler
KYC (Müşterini uzaktan tanı)FIDO - Biyometrik doğrulamaPay by faceTechsignDOC imzalama platformuBiyometrik imza & adli doğrulamaÇipli kimlik kartıSmooth pass kimlik doğrulama
kULLANIM ALANLARI
FinansSağlıkGayrimenkulKripto ve oyunE-ticaretPerakendeTurizmUlaşım
HAKKIMIZDA
HikayemizMüşterilerimizBlogPartnerlikKariyerİletişim
© 2022 | Tüm hakları saklıdır. Techsign
Dijitalleşme
Kullandığımız Şifreler Yeterince Güvenli mi? Gelecekte Şifre Kullanımı Nasıl Olacak?
Barış Korkmaz