Parolaları tekrar kullanmak zararsız bir kısayol gibi görünebilir ancak kimlik bilgisi doldurma saldırısı ile yaşanabilecek ihlaller o kadar zararsız değil.
Aynı parolayı birden fazla hesapta yeniden kullanmak kolaylık sağlayabilir ancak dijital yaşamınızda zincirleme sorunlara yol açabilir. Bu (kötü) alışkanlık, kimlik bilgisi doldurma için mükemmel bir fırsat yaratır. Kimlik bilgisi doldurma, kötü niyetli kişilerin daha önce ifşa edilmiş oturum açma kimlik bilgilerinin bir listesini alıp, seçilen çevrimiçi hizmetlerin oturum açma alanlarına kullanıcı adı ve parola ikilisini sistematik olarak girme tekniğidir. Aynı kimlik bilgilerini çeşitli hesaplarda yeniden kullanırsanız bu kimlik bilgisi ikilisi saldırganlara birbiriyle ilgisi olmayan çevrimiçi hizmetlere erişim izni verebilir.
Gerçekten de kimlik bilgisi doldurma, birinin evinizi, ofisinizi ve kasayı tek seferde açan bir anahtar bulmasına eş değer bir dijital suçtur. Ve bu anahtarı bulmak hiç de zor değildir. Geçmişteki veri ihlallerinden ve siber suç pazarlarından elde edilebilir veya saldırganlar bunun için güvenliği ihlal edilmiş cihazlardan ve web tarayıcılarından kimlik bilgilerini çalan, infostealer adlı kötü amaçlı yazılımları kullanabilirler.
Kimlik bilgisi doldurma neden bu kadar tehlikeli ve etkilidir?
Şu ana kadar anlaşılmış olduğu üzere, bu tehdit saldırganlar için oldukça kârlıdır. Çünkü bizler, çevrimiçi bankacılık, e-posta, sosyal medya ve alışveriş siteleri gibi yüksek değerli hesaplar da dâhil olmak üzere, parolaları farklı hesaplarda yeniden kullanma eğilimindeyiz. Bu kötü alışkanlığın ne kadar yaygın olduğunu ölçmek için NordPass Amerikalıların %62’sinin parolalarını “sık sık” veya “her zaman” yeniden kullandığını itiraf ettiğini belirten bir anket paylaştı.
Saldırganlar, bir yerde oturum açma kimlik bilgilerini bulduktan sonra, bunları her yerde deneyebilirler. Ardından, botlar veya otomatik araçlar kullanarak bu kimlik bilgilerini oturum açma formlarına veya API’lere “doldururlar”, bazen IP adreslerini değiştirir ve radarın altında kalmak için meşru kullanıcı davranışlarını taklit ederler.
Saldırganların rastgele veya yaygın olarak kullanılan kalıplar kullanarak parolayı tahmin etmeye çalıştıkları brute force saldırılarına kıyasla kimlik bilgisi doldurma daha basittir. İnsanların kendilerinin veya tercih ettikleri çevrimiçi hizmetlerin genellikle yıllar önce ifşa etmiş oldukları bilgilere dayanır. Ayrıca tekrarlanan oturum açma hatalarının alarmları tetikleyebildiği brute force saldırılarının aksine, kimlik bilgisi doldurma zaten geçerli olan kimlik bilgilerini kullanır ve saldırılar fark edilmeden kalır.
Kimlik bilgisi doldurma hiçbir şekilde yeni bir yöntem olmasa da bazı eğilimler bu sorunu daha da kötüleştirmiştir. Bilgi hırsızlığı amaçlı kötü amaçlı yazılımların sayısı hızla artmış, bu yazılımlar web tarayıcılarından doğrudan kimlik bilgilerini sessizce ele geçirmiş ve hatta parola yöneticileri için bir tehdit hâline gelmiştir. Aynı zamanda, saldırganlar normal insan davranışını simüle eden (yapay zekâ destekli) komut dosyaları kullanarak temel bot savunmalarını aşabilir ve kimlik bilgilerini daha gizli ve daha büyük ölçekte test edebilirler.
İLGİLİ MAKALE: Siber suçlular sistemlerinizi hackliyor mu, yoksa sadece oturum mu açıyor?
Kimlik bilgisi doldurma saldırı ölçeği
- 2022’de PayPal, yaklaşık 35.000 müşteri hesabının kimlik bilgisi doldurma yoluyla ele geçirildiğini bildirdi. Fintech şirketinin kendisi ihlal edilmedi. Saldırganlar sadece eski veri sızıntılarından elde ettikleri oturum açma kimlik bilgilerini kullanarak aynı parolaları birden fazla hesapta yeniden kullanan kullanıcıların hesaplarına erişti.
- Snowflake müşterilerini hedef alan 2024 saldırı dalgası, sorunun başka bir boyutunu ortaya çıkardı. Veri depolama ve işleme hizmeti kendisi ihlal edilmedi ancak olay, şirketin müşterisi olan yaklaşık 165 kuruluşu etkiledi. Bu olay, saldırganların daha önce infostealer kötü amaçlı yazılımı aracılığıyla çalınan kimlik bilgilerini kullanarak şirketlerin Snowflake hesaplarına erişmelerinin ardından meydana geldi. Daha sonra bazı kurbanlar çalınan veriler için fidye talepleriyle karşılaştı.
Kendinizi nasıl koruyabilirsiniz?
Güvenliğinizi sağlamak için atabileceğiniz birkaç pratik adım var. İlk adım özellikle (şaşırtıcı derecede) basit:
- Aynı parolayı birden fazla site veya hizmette asla tekrar kullanmayın. Parola yöneticisi, her hesap için güçlü ve benzersiz parolalar oluşturabileceği ve saklayabileceği için bunu çok kolaylaştırır.
- Mümkün olduğunda iki faktörlü kimlik doğrulamayı (2FA) etkinleştirin. Saldırganlar parolanızı bilseler bile ikinci faktör olmadan giriş yapamazlar.
- Uyanık olun ve haveibeenpwned.com gibi hizmetleri kullanarak e-postanızın veya kimlik bilgilerinizin geçmişteki sızıntılarda veya ihlallerde açığa çıkıp çıkmadığını kontrol edin. Açığa çıkmışsa özellikle hassas verileri depolayan hesaplar için hemen harekete geçin ve parolalarınızı değiştirin.
Kuruluşunuzu nasıl koruyabilirsiniz?
Günümüzde, kimlik bilgilerinin doldurulması, perakende, finans, SaaS ve sağlık hizmetleri dâhil olmak üzere tüm sektörlerde hesap ele geçirme, dolandırıcılık ve büyük ölçekli veri hırsızlığının başlıca vektörlerinden biridir.
Birçok kuruluş, kimlik doğrulama için hâlâ yalnızca parolalara güveniyor. Ve 2FA kullanılabilir olsa bile bu hiçbir şekilde varsayılan olarak her zaman uygulanmıyor. Şirketler ayrıca oturum açma girişimlerini kısıtlamalı, ağ izin listeleri veya IP whitelist talep etmeli. Ayrıca olağan dışı oturum açma etkinliklerini izlemeli ve otomatik kötüye kullanımı engellemek için bot algılama sistemleri veya CAPTCHA kullanmalıdır.
Önemli olan bir nokta da birçok kuruluş, kimlik bilgisi doldurmayı etkili bir şekilde işe yaramaz hâle getiren passkey gibi parolasız kimlik doğrulamayı benimsiyor. Ancak benimsenme düzeyi hâlâ dengesiz ve eski alışkanlıklar kolay kolay değişmiyor. Bu nedenle kimlik bilgisi doldurmanın saldırganlara minimum çabayla yüksek getiri sağlamaya devam etmesi şaşırtıcı değil.
Aynı zamanda, milyonlarca sızdırılmış kimlik bilgisi, özellikle kullanıcılar parolalarını hiç değiştirmediklerinde ihlalden uzun süre sonra da geçerliliğini korumaktadır. Bu nedenle, kimlik bilgisi doldurma, siber suçlular için düşük maliyetli, yüksek ölçeklenebilir ve tutarlı bir şekilde etkilidir.
Sonuç
Kimlik bilgisi doldurma, şaşırtıcı derecede basit, düşük maliyetli ve ölçeklenebilir bir saldırı tekniğidir. Bu teknik, kendi alışkanlıklarımızı bize karşı kullanarak ve eski güvenlik önlemlerini alt üst ederek işe yarar. Parolaları tamamen terk etmek istemiyorsanız hesaplara izinsiz giriş riskini dikkatli parola uygulamalarıyla ortadan kaldırabilirsiniz. Bunlar isteğe bağlı değildir; standart uygulama hâline getirilmelidir.
