Araştırmalar, çalınan kimlik bilgilerinin kullanımının siber hatalıların birinci erişimi elde etmek için kullandığı en tanınan prosedürlerden biri olduğunu ortaya koyuyor. İddialara nazaran, 2024 yılında global işletmelerden 3,2 milyardan fazla kimlik bilgisi çalındı ve bu sayı yıllık yüzde 33 artış gösterdi. Bu kimlik bilgileri sayesinde kurumsal hesaplara erişim sağlayan tehdit aktörleri, bir sonraki ataklarını planlarken tesirli bir halde gölgede kalabiliyorlar. Siber güvenlik şirketi ESET bu nedenle sağlam siber güvenlik çizgilerinin oluşturulmasının çok kıymetli olduğunun altını çizdi.
Siber hatalılar ele geçirdikleri kimlik bilgileri sayesinde bir sonraki adımda peşine düşülecek dataları, varlıkları ve kullanıcı müsaadelerini aramak için ağ keşfi yapabiliyorlar ya da komuta ve denetim sunucusuyla gizlice bağlantı kurarak berbat hedefli yazılım indirme ve dataları sızdırma yoluna başvurabiliyorlar.
Siber hatalılar parolaları nasıl ele geçirirler?
Tehdit aktörleri, çalışanların kurumsal kimlik bilgilerini yahut kimi durumlarda MFA kodlarını ele geçirmek için çeşitli yollar geliştirmiştir.
Oltalama: Resmî bir kaynaktan (BT departmanı yahut teknoloji tedarikçisi) gönderilmiş üzere görünen uydurma e-postalar yahut metin bildirileri. Alıcı, uydurma bir oturum açma sayfasına yönlendiren makus hedefli bir irtibata tıklamaya teşvik edilir.
Vishing: Kimlik avının bir çeşididir fakat bu sefer kurban tehdit aktöründen bir telefon alır. BT yardım masası üzere davranarak kurbandan bir parola vermesini yahut hayali bir öykü uydurarak yeni bir MFA aygıtı kaydetmesini isteyebilirler. Ya da yardım masasını arayarak işini yapmak için acil bir parola sıfırlamasına gereksinim duyan bir yönetici yahut çalışan olduğunu tez edebilirler.
Bilgi hırsızları: Kurbanın bilgisayarından yahut aygıtından kimlik bilgilerini ve oturum çerezlerini toplamak için tasarlanmış makûs hedefli yazılımlar. Berbat gayeli bir kimlik avı ilişkisi yahut eki, güvenliği ihlal edilmiş bir web sitesi, tuzaklı bir taşınabilir uygulama, toplumsal medya dolandırıcılığı yahut hatta resmî olmayan oyun modu aracılığıyla ulaşabilir.
Kaba kuvvet atakları: Bunlar, saldırganların daha evvel ele geçirilmiş kullanıcı adı/parola kombinasyonlarını kurumsal sitelere ve uygulamalara karşı denedikleri kimlik bilgisi doldurma ataklarını içerir. Parola püskürtme ise farklı sitelerde yaygın olarak kullanılan parolaları kullanır. Otomatik botlar, bunlardan biri sonunda işe yarayana kadar bunu büyük ölçekte yapmalarına yardımcı olur.
Üçüncü taraf ihlalleri: Saldırganlar, MSP yahut SaaS sağlayıcıları üzere müşterilerinin kimlik bilgilerini depolayan bir tedarikçiyi yahut ortağı ele geçirir. Ya da sonraki taarruzlarda kullanmak üzere, daha evvel ele geçirilmiş oturum açma “kombinasyonlarını” toplu olarak satın alırlar.
MFA atlatma: Bu teknikler ortasında SIM takası, gayesi push bildirimleriyle boğarak “uyarı yorgunluğu” yaratıp push onayı almayı amaçlayan MFA prompt bombing ve saldırganların kullanıcı ile legal kimlik doğrulama hizmeti ortasına girerek MFA oturum jetonlarını ele geçirdikleri “ortadaki düşman (AitM)” akınları yer alır.
Tüm bunlar, çalışanların parolalarını müdafaayı, oturum açma süreçlerini daha inançlı hâle getirmeyi ve BT ortamını ihlal belirtileri açısından daha yakından izlemeyi her zamankinden daha kıymetli hâle getiriyor. Bunun birden fazla, “asla güvenme, her vakit doğrula” unsuruna dayanan Sıfır İtimat yaklaşımını izleyerek gerçekleştirilebilir. Bu, etrafta ve akabinde kısımlara ayrılmış bir ağ içinde çeşitli evrelerde risk tabanlı kimlik doğrulama benimsemek manasına gelir. Kullanıcılar ve aygıtlar, oturum açma vakti ve yeri, aygıt tipi ve oturum davranışından hesaplanabilen risk profillerine nazaran değerlendirilmeli ve puanlanmalıdır. Kuruluşun yetkisiz erişimden korunmasını güçlendirmek ve düzenlemelere ahengi sağlamak için sağlam çok faktörlü kimlik doğrulama (MFA) da vazgeçilmez bir savunma sınırıdır.
Bu yaklaşımı, en son toplumsal mühendislik tekniklerini kullanan gerçek dünya simülasyonları da dâhil olmak üzere, çalışanlar için güncellenmiş eğitim ve farkındalık programlarıyla tamamlamalısınız. Kullanıcıların riskli siteleri ziyaret etmesini engelleyen katı siyasetler ve araçlar da tüm sunucularda, uç noktalarda ve başka aygıtlarda bulunan güvenlik yazılımları ve kuşkulu davranışları tespit etmek için daima izleme araçları kadar kıymetlidir. İkincisi, ele geçirilmiş kimlik bilgileri sayesinde ağınızın içinde bulunabilecek düşmanlarını tespit etmenize yardımcı olacaktır. Karanlık web izleme, siber hata dünyasında rastgele bir kurumsal kimlik bilgisinin satışa sunulup sunulmadığını denetim etmenize yardımcı olabilir.
Özellikle şirketinizin kaynakları kısıtlıysa Yönetilen Tespit ve Müdahale (MDR) hizmeti aracılığıyla uzman bir üçüncü tarafın yardımını almayı düşünün. Toplam sahip olma maliyetini düşürmenin yanı sıra saygın bir MDR sağlayıcısı, bahis uzmanlığı, 24 saat izleme ve tehdit avcılığı ve kimlik bilgilerine dayalı taarruzların inceliklerini anlayan ve ele geçirilmiş hesaplar tespit edildiğinde olaylara müdahaleyi hızlandırabilen analistlere erişim sağlar.
Kaynak: (BYZHA) Beyaz Haber Ajansı
