Bir iş gününde, Sarah adlı muhasebeci bir parolayı sıfırlama e-postası alır. E-postada belirtilen bağlantıyı tıklayarak kimlik bilgilerini yazar ve işine geri döner. Ancak, farkında olmadan büyük bir hata yapmıştır. Samimi görünen bu e-posta, siber suçlular tarafından hazırlanmış bir oltalama saldırısının parçasıdır. Sarah’nın kimlik bilgileri, karanlık webde yaklaşık 15 dolara satılmak üzere, suçlulara teslim edilmiştir. Birey için düşük bir miktar gibi görünse de, bu tür saldırılar toplu şekilde büyük kazançlar sağlar.
Kimlik Bilgisi Kompromis Yaşam Döngüsü
- Kullanıcılar kimlik bilgilerini oluşturur: Birçok bağımsız iş uygulamasıyla çalışanlar, birçok farklı hesap oluşturmak zorundadır. Çeşitli kullanıcı adı/parola kombinasyonlarını hatırlamak zor olduğundan, sıklıkla parolaları yeniden kullanma ya da ufak varyasyonlar yapma yoluna girerler.
- Suçlular kimlik bilgilerini ele geçirir: Oltalama, kaba kuvvet saldırıları, üçüncü parti ihlalleri veya açığa çıkan API anahtarlarıyla bu bilgiler ele geçirilir. Çoğu zaman, bu durumun olduğunu fark eden kimse olmaz.
- Suçlular kimlik bilgilerini toplar ve paraya çevirir: Çalıntı kimlik bilgileri, suç ağları tarafından büyük veri tabanlarına dökülür ve yeraltı pazarlarında satılır.
- Suçlular kimlik bilgilerini dağıtır ve silahlandırır: Alıcılar, bu bilgileri suç ağı üzerinde yayar. Botlar, bu kimlik bilgilerini bulabildikleri her iş uygulamasında test eder.
- Suçlular aktif olarak kimlik bilgilerini istismar eder: Başarılı girişlerle, saldırganlar derinlemesine sızar, yetkileri artırır ve asıl işlerini — veri hırsızlığı, fidye yazılımı gibi — başlatırlar.
Yaygın Kompromi Vektörleri
Suçluların elde etmek için birçok yolu vardır:
- Oltalama kampanyaları: Sahte e-postalar, çalıntı firma logoları ve inandırıcı bir metinle hazırlanır. Hatta en dikkatli çalışanlar bile bu karmaşık aldatmacalara kapılabilir.
- Kullanıcı bilgisi doldurma: Saldırganlar, eski ihlal kayıtlarından parolaları alır ve bunları her yerde test eder. Çok düşük gibi görünse de bu başarı oranı, kullanıcı bilgilerini aynı anda test eden robotlar nedeniyle ciddi kazançlar sağlar.
- Üçüncü taraf ihlalleri: LinkedIn hacklendiğinde, saldırganlar sadece LinkedIn kullanıcılarını hedef almakla kalmaz; aynı kimlik bilgilerini başka iş uygulamalarında da test ederler.
- Sızan API anahtarları: Geliştiriciler, kimlik bilgilerini GitHub havuzlarında, yapılandırma dosyalarında ve belgelerde istemeden yayınlayabilir. Otomatik botlar, bunları 24/7 arar ve toplar.
Suç Ekosistemi
Bir araba çalıntı çetesi gibi, kimlik hırsızlığı ekosisteminin de farklı oyuncuları vardır. Fırsatçı dolandırıcılar, hızlı para kazanma peşindedir; bankaları boşaltabilir veya sahte alışveriş yapabilirler. Otomatik botnetler, milyonlarca kimlik bilgisi kombinasyonunu denemek için durmaksızın çalışır. Suç pazarları ise çalıntı kimlik bilgilerini toplayarak tekrar satmakta.
Gerçek Dünya Etkisi
Bir dizi çalışan kimlik bilgisine ulaşan saldırganlar, hızlı bir şekilde zararı yayabilir:
- Hesap ele geçirme: Saldırganlar, güvenlik kontrollerini aşarak meşru erişim ile maillerin içeriğini okuyarak müşteri verilerini çalabilir.
- Yatay hareket: Bir hesap ele geçirildiğinde, bu sayı hızla artar; saldırganlar ağ içinde hareket ederek değerli sistemlerin haritasını çıkarır.
- Veri hırsızlığı: Saldırganlar, müşteri veritabanları, finansal kayıtlar gibi en değerli verileri hedef alır ve bunları normal görünnen kanallar üzerinden dışarı alır.
- Kaynak istismarı: Bulut servisleri üzerinden maliyetler yükselirken, saldırganlar kripto madenciliği yapabilir.
- Fidye yazılımı dağıtımı: Saldırganlar, önemli verileri şifreler ve yüksek bir ödemek koşarak fidye talep eder.
Harekete Geçin
Gerçek şu ki, şirketinizin bazı kullanıcı kimlik bilgilerinin muhtemelen zaten tehlikede. Bu nedenle, açıkta kalan kimlik bilgilerini bulmak çok önemlidir. Outpost24’in Kimlik Bilgisi Kontrol Aracı, şirket e-posta alanınızın ne kadar sıklıkla ihlal veritabanlarında yer aldığını gösteren ücretsiz bir araçtır.
