Araştırmalar, çalınan kimlik bilgilerinin kullanımının siber hatalıların birinci erişimi elde etmek için kullandığı en tanınan formüllerden biri olduğunu ortaya koyuyor. İddialara nazaran, 2024 yılında global işletmelerden 3,2 milyardan fazla kimlik bilgisi çalındı ve bu sayı yıllık yüzde 33 artış gösterdi. Bu kimlik bilgileri sayesinde kurumsal hesaplara erişim sağlayan tehdit aktörleri, bir sonraki atılımlarını planlarken tesirli bir biçimde gölgede kalabiliyorlar. Siber güvenlik şirketi ESET bu nedenle sağlam siber güvenlik çizgilerinin oluşturulmasının çok kıymetli olduğunun altını çizdi.
Siber hatalılar ele geçirdikleri kimlik bilgileri sayesinde bir sonraki adımda peşine düşülecek dataları, varlıkları ve kullanıcı müsaadelerini aramak için ağ keşfi yapabiliyorlar ya da komuta ve denetim sunucusuyla gizlice bağlantı kurarak berbat hedefli yazılım indirme ve bilgileri sızdırma yoluna başvurabiliyorlar.
Siber hatalılar parolaları nasıl ele geçirirler?
Tehdit aktörleri, çalışanların kurumsal kimlik bilgilerini yahut birtakım durumlarda MFA kodlarını ele geçirmek için çeşitli formüller geliştirmiştir.
Oltalama: Resmî bir kaynaktan (BT departmanı yahut teknoloji tedarikçisi) gönderilmiş üzere görünen düzmece e-postalar yahut metin bildirileri. Alıcı, geçersiz bir oturum açma sayfasına yönlendiren makus maksatlı bir kontağa tıklamaya teşvik edilir.
Vishing: Kimlik avının bir çeşididir lakin bu sefer kurban tehdit aktöründen bir telefon alır. BT yardım masası üzere davranarak kurbandan bir parola vermesini yahut hayali bir kıssa uydurarak yeni bir MFA aygıtı kaydetmesini isteyebilirler. Ya da yardım masasını arayarak işini yapmak için acil bir parola sıfırlamasına gereksinim duyan bir yönetici yahut çalışan olduğunu argüman edebilirler.
Bilgi hırsızları: Kurbanın bilgisayarından yahut aygıtından kimlik bilgilerini ve oturum çerezlerini toplamak için tasarlanmış berbat maksatlı yazılımlar. Makus maksatlı bir kimlik avı teması yahut eki, güvenliği ihlal edilmiş bir web sitesi, tuzaklı bir taşınabilir uygulama, toplumsal medya dolandırıcılığı yahut hatta resmî olmayan oyun modu aracılığıyla ulaşabilir.
Kaba kuvvet atakları: Bunlar, saldırganların daha evvel ele geçirilmiş kullanıcı adı/parola kombinasyonlarını kurumsal sitelere ve uygulamalara karşı denedikleri kimlik bilgisi doldurma taarruzlarını içerir. Parola püskürtme ise farklı sitelerde yaygın olarak kullanılan parolaları kullanır. Otomatik botlar, bunlardan biri sonunda işe yarayana kadar bunu büyük ölçekte yapmalarına yardımcı olur.
Üçüncü taraf ihlalleri: Saldırganlar, MSP yahut SaaS sağlayıcıları üzere müşterilerinin kimlik bilgilerini depolayan bir tedarikçiyi yahut ortağı ele geçirir. Ya da sonraki hücumlarda kullanmak üzere, daha evvel ele geçirilmiş oturum açma “kombinasyonlarını” toplu olarak satın alırlar.
MFA atlatma: Bu teknikler ortasında SIM takası, maksadı push bildirimleriyle boğarak “uyarı yorgunluğu” yaratıp push onayı almayı amaçlayan MFA prompt bombing ve saldırganların kullanıcı ile legal kimlik doğrulama hizmeti ortasına girerek MFA oturum jetonlarını ele geçirdikleri “ortadaki düşman (AitM)” taarruzları yer alır.
Tüm bunlar, çalışanların parolalarını muhafazayı, oturum açma süreçlerini daha inançlı hâle getirmeyi ve BT ortamını ihlal belirtileri açısından daha yakından izlemeyi her zamankinden daha değerli hâle getiriyor. Bunun birçok, “asla güvenme, her vakit doğrula” prensibine dayanan Sıfır İtimat yaklaşımını izleyerek gerçekleştirilebilir. Bu, etrafta ve akabinde kısımlara ayrılmış bir ağ içinde çeşitli kademelerde risk tabanlı kimlik doğrulama benimsemek manasına gelir. Kullanıcılar ve aygıtlar, oturum açma vakti ve yeri, aygıt çeşidi ve oturum davranışından hesaplanabilen risk profillerine nazaran değerlendirilmeli ve puanlanmalıdır. Kuruluşun yetkisiz erişimden korunmasını güçlendirmek ve düzenlemelere ahengi sağlamak için sağlam çok faktörlü kimlik doğrulama (MFA) da vazgeçilmez bir savunma sınırıdır.
Bu yaklaşımı, en son toplumsal mühendislik tekniklerini kullanan gerçek dünya simülasyonları da dâhil olmak üzere, çalışanlar için güncellenmiş eğitim ve farkındalık programlarıyla tamamlamalısınız. Kullanıcıların riskli siteleri ziyaret etmesini engelleyen katı siyasetler ve araçlar da tüm sunucularda, uç noktalarda ve başka aygıtlarda bulunan güvenlik yazılımları ve kuşkulu davranışları tespit etmek için daima izleme araçları kadar kıymetlidir. İkincisi, ele geçirilmiş kimlik bilgileri sayesinde ağınızın içinde bulunabilecek düşmanlarını tespit etmenize yardımcı olacaktır. Karanlık web izleme, siber kabahat dünyasında rastgele bir kurumsal kimlik bilgisinin satışa sunulup sunulmadığını denetim etmenize yardımcı olabilir.
Özellikle şirketinizin kaynakları kısıtlıysa Yönetilen Tespit ve Müdahale (MDR) hizmeti aracılığıyla uzman bir üçüncü tarafın yardımını almayı düşünün. Toplam sahip olma maliyetini düşürmenin yanı sıra saygın bir MDR sağlayıcısı, bahis uzmanlığı, 24 saat izleme ve tehdit avcılığı ve kimlik bilgilerine dayalı taarruzların inceliklerini anlayan ve ele geçirilmiş hesaplar tespit edildiğinde olaylara müdahaleyi hızlandırabilen analistlere erişim sağlar.
Kaynak: (BYZHA) Beyaz Haber Ajansı
