Siber suçluların parola yöneticisi saldırılarını nasıl yapmaya çalıştığını ve giriş bilgilerinizi nasıl güvende tutabileceğinizi öğrenmek için başka yere bakmanıza gerek yok
2024 yılında yapılan bir araştırmaya göre, ortalama bir internet kullanıcısının kişisel hesapları için tahmini 168 parolası bulunmaktadır. Bu, dört yıl önceki sayıya göre %68’lik büyük bir artış anlamına geliyor. Hesaplar arasında kimlik bilgilerini paylaşmanın ve tahmin edilmesi kolay parolalar kullanmanın getirdiği güvenlik riskleri göz önüne alındığında çoğumuz bu giriş bilgilerini yönetmek için yardıma ihtiyaç duyuyoruz. İşte burada parola yöneticileri devreye giriyor: Her bir çevrimiçi hesabımız için uzun, güçlü ve benzersiz parolaları saklamamızı ve hatırlamamızı sağlıyorlar.
Ancak bu, parola kasalarının sihirli bir çözüm olduğu veya çevrimiçi ortamda dikkatinizi azaltmanız gerektiği anlamına gelmez. Dijital hayatımızın anahtarlarını elinde tutan bu kasalar, siber suçlular için de popüler bir hedef hâline gelmiştir. İşte altı potansiyel risk ve bunları azaltmaya yönelik bazı fikirler.
6 parola yöneticisi güvenlik sorunu
Parola yöneticinizde saklanan kimlik bilgilerine erişen tehdit aktörleri, hesaplarınızı ele geçirerek kimlik dolandırıcılığı yapabilir veya erişim bilgilerini/parolaları başkalarına satabilir. Bu nedenle, sizi hedef almak için her zaman yeni yollar ararlar. Aşağıdakilere dikkat edin:
Ana parolanızın ele geçirilmesi
Parola yöneticilerinin güzelliği, tek bir hatırlanması kolay parola ile tüm çevrimiçi kimlik bilgilerinizi depolayan kasaya erişebilmenizdir. Ancak bu yaklaşımın sorunu, siber suçluların bu ana parolayı ele geçirebilirlerse aynı erişim düzeyine sahip olmalarıdır. Bu, “kaba kuvvet” saldırısı yoluyla gerçekleşebilir; bu saldırıda, siber suçlular otomatik araçlar kullanarak farklı parolaları tekrar tekrar denerler ve sonunda doğru parolayı bulurlar. Diğer bir seçenek ise parola yöneticisi yazılımındaki güvenlik açıklarını istismar etmek veya aşağıda ayrıntıları verilen kimlik avı sayfalarıyla kullanıcıları kandırmaktır.
Kimlik avı/dolandırıcılık reklamları
Tehdit aktörlerinin, kurbanları e-posta adreslerini, ana parolalarını ve gizli anahtarlarını (varsa) toplayan sahte sitelere çekmek için Google Arama’ya kötü amaçlı reklamlar yayımladıkları bilinmektedir. Bu reklamların tehlikesi, meşru görünüyor olmaları ve parola yöneticinizi Google’da aradığınızda arama sıralamalarında görünebilmeleridir. Bağlantı verdikleri kimlik avı sayfaları, gerçekmiş gibi görünmek için sahte olarak tasarlanmıştır.
Örneğin, bir etki alanı orijinal “1password.com” yerine “the1password[.]com” veya “app1password[.]com” olabilir. Ya da “bitwarden.com” yerine “appbitwarden[.]com” olabilir. Böyle bir sayfaya tıklarsanız tüm önemli parola yöneticisi giriş bilgilerinizi çalmak için tasarlanmış, meşru görünen bir giriş sayfasına yönlendirilirsiniz.
Parola çalan kötü amaçlı yazılım
Siber suçlular becerikli değilse hiçbir şey değildir. Sunulan zenginlik o kadar fazladır ki bazıları kurbanların parola yöneticilerinden kimlik bilgilerini çalmak için kötü amaçlı yazılım geliştirme zahmetine girmiştir.
ESET araştırmacıları kısa süre önce, “DeceptiveDevelopment” adlı Kuzey Kore devleti destekli bir kampanyada bu tür bir girişimi tespit etti. Araştırmacılar, Telegram ve FTP aracılığıyla hem tarayıcı uzantılarından hem de parola yöneticilerinden veri sızdırma yeteneğine sahip bir arka kapı komutu içeren “InvisibleFerret” kötü amaçlı yazılımını buldu. Hedef alınan parola yöneticileri arasında 1Password ve Dashlane de vardı.
Bu özel durumda, kötü amaçlı yazılım, kurbanın ayrıntılı bir sahte iş görüşmesi sürecinin bir parçası olarak indirdiği dosyalarda gizlenmişti. Ancak benzer özelliklere sahip kötü amaçlı kodların e-posta, metin mesajı veya sosyal medya gibi başka yollarla yayılmaması için hiçbir neden yoktur.
Parola yöneticisi satıcısının ihlali
Parola yöneticisi satıcıları, tehdit aktörleri için önemli bir hedef olduklarını bilirler. Bu nedenle, BT ortamlarını olabildiğince güvenli hâle getirmek için önemli miktarda zaman ve kaynak harcarlar. Ancak kötü niyetli kişilerin içeri girmesine izin vermek için tek bir hata yapmaları yeterlidir. 2022’de, bu en kötü senaryo LastPass’de yaşandı. Dijital hırsızlar, şirketin geliştirme ortamına erişmek için bir LastPass mühendisinin dizüstü bilgisayarını ele geçirdi. Orada, müşteri verilerinin yedeklerine erişmelerini sağlayan kaynak kodu ve kimlik bilgilerini içeren teknik belgeleri çaldılar.
Bu bilgiler arasında, sonraki kimlik avı saldırılarında kullanılabilecek müşterilerin kişisel ve hesap bilgileri de vardı. Kasa içindeki tüm web sitesi URL’lerinin listesi. Ve tüm müşterilerin kullanıcı adları ve parolaları. Bunlar şifrelenmiş olmasına rağmen hacker bunları “kaba kuvvet” ile kırmayı başardı (yukarıda tartışıldığı gibi). Bunun 150 milyon dolarlık devasa bir kripto hırsızlığına yol açtığı düşünülüyor ve bu, en iyi korunan satıcıların bile bazen ihlal edilebileceğine dair bir uyarı niteliğinde.
Sahte parola yöneticisi uygulamaları
Bazen siber suçlular, parolaları toplamak ve sahte uygulamalar aracılığıyla kötü amaçlı yazılım yaymak için parola yöneticilerinin popülaritesinden yararlanır. Normalde güvenli olan Apple’ın App Store’u bile geçen yıl bu kötü amaçlı parola yöneticisi uygulamalarından birinin kullanıcılar tarafından indirilmesine izin verdi. Bu tehditler genellikle çok önemli ana parolayı çalmak veya kullanıcının cihazına bilgi çalan kötü amaçlı yazılım indirmek için tasarlanmıştır.
Güvenlik açığı istismarı
Parola yöneticileri nihayetinde sadece birer yazılımdır. Ve (çoğunlukla) insanlar tarafından yazılan yazılımlar kaçınılmaz olarak güvenlik açıkları içerir. Bir siber suçlu bu hatalardan birini bulup istismar etmeyi başarırsa parola kasasından kimlik bilgilerinizi çalabilir. Alternatif olarak, web tarayıcıları için parola yöneticisi eklentilerindeki güvenlik açıklarını hedef alarak kimlik bilgilerini ve hatta iki faktörlü kimlik doğrulama (2FA) kodlarını çalabilirler. Ya da aynı şeyi yapmak için cihaz işletim sistemlerini hedef alabilirler. Parola yöneticinizi indirdiğiniz cihaz sayısı ne kadar fazla olursa bunu yapma fırsatları da o kadar artar.
Parola yöneticisi kullanımınızı nasıl güvenli hâle getirebilirsiniz?
Yukarıda listelenen tehditlere karşı korunmak için aşağıdakileri göz önünde bulundurun:
- Güvenli, uzun ve benzersiz bir ana parola düşünün. Tire ile ayrılmış, hatırlanması kolay dört kelimeyi düşünün. Bu, saldırganların “kaba kuvvet” yöntemiyle parolayı kırmasını zorlaştıracaktır.
- 2FA’yı etkinleştirerek hesaplarınızın güvenliğini her zaman artırın. Bu, bilgisayar korsanları parolalarınızı ele geçirse bile ikinci faktör olmadan hesaplarınıza erişemeyecekleri anlamına gelir.
- Tarayıcıları, parola yöneticilerini ve işletim sistemlerini en güvenli sürümlerde tutmak için güncel tutun. Bu, güvenlik açıklarının istismar edilme olasılığını azaltır.
- Uygulamaları yalnızca yasal uygulama mağazalarından (Google Play, App Store) indirin ve indirmeden önce geliştiriciyi ve uygulama derecelendirmesini, sahte/kötü amaçlı uygulamalar olup olmadıklarını kontrol edin.
- Yalnızca saygın bir satıcıdan parola yöneticisi seçin. Size uygun bir tane bulana kadar araştırın.
- Parola yöneticinizden doğrudan parola çalmak için tasarlanmış saldırıların tehdidini azaltmak için tüm cihazlara saygın bir satıcıdan güvenlik yazılımı yüklediğinizden emin olun.
Parola yöneticisi, siber güvenlik uygulamalarının önemli bir parçası olmaya devam etmektedir. Ancak bu, yalnızca ekstra önlemler alırsanız geçerlidir. Güvenlik riskleri sürekli olarak gelişmektedir, bu nedenle çevrimiçi kimlik bilgilerinizin güvende kalmasını sağlamak için güncel tehdit eğilimlerini takip edin.
