Popüler bir ilk erişim vektörü olan hesap kimlik bilgileri, siber suçlarda değerli bir ürün haline geldi. Sonuç olarak, çalınan tek bir kimlik bilgisi grubu kuruluşunuzun tüm ağını riske atabilir.
Göre 2023 Verizon Veri İhlali Araştırma Raporudış tarafların sorumlu olduğu yüzde 83 Kasım 2021 ile Ekim 2022 arasında meydana gelen ihlallerin sayısı. Yüzde kırk dokuz Bu ihlallerden biri çalınan kimlik bilgilerini içeriyordu.
Tehdit aktörleri kimlik bilgilerini nasıl ele geçiriyor? Sosyal mühendislik bunlardan biridir. En büyük beş siber güvenlik tehdidi Sosyal mühendislik girişimlerinin %’sini oluşturan kimlik avı, kimlik bilgilerinin çalınmasında başvurulacak yöntem. Sonuç veren nispeten ucuz bir taktiktir.
Kimlik avı ve sosyal mühendislik teknikleri daha karmaşık hale geldikçe ve araçlar daha kolay kullanılabilir hale geldikçe, kimlik bilgisi hırsızlığı, halihazırda olmasa da tüm kuruluşlar için en önemli güvenlik sorunu haline gelmelidir.
Kimlik avı gelişti
Genel olarak kimlik avı ve sosyal mühendislik söz konusu olduğunda tehdit aktörleri yalnızca e-posta kullanmanın ötesine bakıyor:
- Kimlik avı kampanyaları artık birden fazla aşamaya sahip, çok kanallı saldırılardır. Tehdit aktörleri, kurbanları kötü amaçlı web sitelerine yönlendirmek için e-postaların yanı sıra kısa mesaj ve sesli mesaj da kullanıyor ve ardından hileye devam etmek için bir telefon görüşmesi yapıyor.
- Tehdit aktörleri aktif olarak mobil cihazları hedef alıyor. Kullanıcıların farklı uygulamalardaki sosyal mühendislik taktikleri tarafından kandırılabilmesi nedeniyle kimlik bilgileri tehlikeye girebilir. Tüm kişisel cihazların yarısı 2022 yılının her çeyreğinde bir kimlik avı saldırısına maruz kaldılar.
- Yapay zeka bir faktör haline geldi. Kimlik avı içeriğini daha güvenilir hale getirmek ve saldırıların kapsamını genişletmek için yapay zeka kullanılıyor. Yapay zeka, kurban araştırma verilerini kullanarak kişisel kimlik avı mesajları oluşturabilir ve daha sonra daha iyi sonuçlar elde etmek için bu mesajları bir meşruiyet cilası ekleyerek hassaslaştırabilir.
PhaaS çalınan kimlik bilgilerine giden yoldur
Yine de kimlik bilgilerini çalmaya başlamak için pek bir şeye gerek yok. Tehdit aktörleri, uzmanlıklarını başkalarına dış kaynaklardan sağlamak için hizmet olarak kimlik avı (PhaaS) modelini tamamen benimsediğinden, kimlik avı iyi bir iş haline geldi. Yeraltı forumlarında satılan kimlik avı kitleri sayesinde, BT sistemlerine kendi başlarına sızma becerisine sahip olmayan acemiler bile saldırı başlatma yeteneğine sahip olabiliyor.
PhaaS meşru SaaS işletmeleri gibi çalışır. Aralarından seçim yapabileceğiniz abonelik modelleri vardır ve kitlerin çalışması için lisans satın alınması gerekir.
Microsoft 365 hesaplarını hedeflemek için kullanılan gelişmiş kimlik avı araçları
W3LL’nin BEC kimlik avı ekosistemi açığa çıktı
Son altı yıldır tehdit aktörü W3LL, özelleştirilmiş kimlik avı kiti W3LL Panel’i yeraltı pazarı olan W3LL Mağazasında sunuyor. W3LL’nin kiti, çok faktörlü kimlik doğrulamayı (MFA) atlamak için oluşturuldu ve yeraltı pazarındaki en gelişmiş kimlik avı araçlarından biridir.
Araç, Ekim 2022 ile Temmuz 2023 arasında en azından başarılı bir şekilde sızmak için kullanıldı. 56.000 kurumsal Microsoft 365 iş e-posta hesabının 8.000’i hedef alındı. W3LL ayrıca kurbanların e-posta listeleri, güvenliği ihlal edilmiş e-posta hesapları, VPN hesapları, güvenliği ihlal edilmiş web sitesi ve hizmetler ve özelleştirilmiş kimlik avı tuzakları da dahil olmak üzere diğer varlıkları da satıyor. W3LL Mağazasının son 10 ayda elde ettiği gelirin şu ana kadar olduğu tahmin ediliyor: 500.000$.
Greatness kimlik avı kiti BEC’yi basitleştirir
Büyüklük, Kasım 2022’den bu yana faaliyette keskin sıçramalarla ortalıkta dolaşıyor. Aralık 2022 ve yine Mart 2023’te. Telegram bot entegrasyonu ve IP filtrelemeye ek olarak Greatness, W3LL Paneli gibi çok faktörlü kimlik doğrulama atlama özelliğini içerir.
İlk iletişim, kurbanı, kurbanın e-posta adresinin önceden doldurulduğu sahte bir Microsoft 365 oturum açma sayfasına yönlendiren bir kimlik avı e-postasıyla kurulur. Kurban şifresini girdiğinde Greatness, Microsoft 365’e bağlanır ve kurbandan MFA kodunu tuzak sayfasında göndermesini isteyerek MFA’yı atlar. Bu kod daha sonra tehdit aktörünün onu kullanabilmesi ve orijinal hesaba erişebilmesi için Telegram kanalına iletilir. Greatness kimlik avı kiti yalnızca bir API anahtarıyla dağıtılabilir ve yapılandırılabilir.
Çalınan kimlik bilgilerinin yer altı pazarı
2022’de vardı Dark Web’de 24 milyardan fazla kimlik bilgisi satılıyor, 2020’ye göre bir artış. Çalınan kimlik bilgilerinin fiyatı, hesap türüne göre değişir. Örneğin, çalınan bulut kimlik bilgileri bir düzine donutla hemen hemen aynı fiyatta sırasında ING banka hesabı girişleri 4.255 dolara satılacak.
Bu yeraltı forumlarına erişim, doğrulama veya üyelik ücreti gerektiren bazı işlemler nedeniyle zor olabilir. W3LL Mağazası gibi bazı durumlarda yeni üyelere yalnızca mevcut üyelerin tavsiyesi üzerine izin verilir.
Son kullanıcıların çalıntı kimlik bilgilerini kullanmasının tehlikeleri
Son kullanıcıların şifreleri birden fazla hesapta yeniden kullanması durumunda kimlik bilgilerinin çalınması riski daha da artar. Tehdit aktörleri çalınan kimlik bilgileri için ödeme yapıyor çünkü birçok kişinin hem kişisel hem de ticari amaçlarla birden fazla hesapta ve web hizmetinde aynı şifreyi kullandığını biliyorlar.
Kuruluşunuzun güvenliği ne kadar aşılmaz olursa olsun, başka bir hesaptan çalınan geçerli kimlik bilgilerinin yeniden kullanılmasını önlemek zor olabilir.
Çalınan kimlik bilgilerinin ardındaki motivasyon finansal kazançtır
Tehdit aktörleri, hesap kimlik bilgilerini çaldıktan sonra, ele geçirilen e-posta hesabıyla kötü amaçlı yazılım dağıtabilir, verileri çalabilir, hesap sahibinin kimliğine bürünebilir ve diğer kötü niyetli eylemleri gerçekleştirebilir. Ancak kimlik bilgilerini çalan tehdit aktörleri genellikle bilgileri kullanacak kişiler değildir.
Maddi kazanç asıl neden olmaya devam ediyor %95 ihlallerin sayısı. Tehdit aktörleri, yeraltı forumlarında çaldıkları kimlik bilgilerini kâr amacıyla, bunları haftalar veya aylar sonra kullanacak diğer tehdit aktörlerine satacak. Bu, çalınan kimlik bilgilerinin gelecekte de yer altı pazarlarının arkasındaki itici güç olacağı anlamına geliyor. Kuruluşunuzda kullanıcı kimlik bilgilerinin güvenliğini sağlamak için hangi adımları atıyorsunuz?
Güvenliği ihlal edilmiş şifreleri engelle
Active Directory’nizde bilinen 4 milyardan fazla parolayı engellemenize olanak tanıyan İhlal Edilmiş Parola Koruması içeren Specops Parola Politikası ile güvenliği ihlal edilmiş parolaların güvenlik risklerini ortadan kaldırın. Tüm kullanıcıların, güvenliği ihlal edilmiş olduğu bilinen şifreleri kullanması engellenecek ve politikanıza uygun farklı bir şifre oluşturmaya yönlendirilecektir. Ayrıca sürekli tarama etkinleştirilirse, şifrelerinin ele geçirildiği tespit edildiğinde kullanıcılar SMS veya e-postayla uyarılacak.
Kuruluşunuzda yaygın olarak kullanılan kelimelerin yanı sıra zayıf ve öngörülebilir kalıpları da engellemenize olanak tanıyan özel sözlük özelliğini kullanarak şifre altyapınızı güçlendirebilirsiniz. Specops Şifre Politikası ile günümüzün uyumluluk gereksinimlerini karşılayan daha güçlü bir şifre politikası uygulayın. Burada ücretsiz deneyin.