Giriş
2026’da çalınan kimlik bilgilerinin güvenlik alanında öncelikli bir tehdit olduğunu söylemek abartı olmayacaktır. Kurumlar, bu sorunu hafifletmek için genellikle yüzeysel çözümler kullanırken, gerçek tehditler daha karmaşık bir boyut kazanmıştır.
Saldırı Nasıl Çalışıyor?
Infostealer saldırıları genellikle şu adımları takip eder:
- Hedef enfekte oluyor: Kurbanın cihazı, sıfır gün açıkları, ClickFix kampanyaları, kötü niyetli tarayıcı uzantıları veya korsan yazılımlar aracılığıyla infostealer ile bulaşır.
- Kimlik bilgileri dışa aktarılıyor: Infostealer, tarayıcıdan giriş bilgilerini ve çerezleri toplar ve bunları kötü niyetli aktöre iletir.
- Kimlik bilgileri paketlenip satılıyor: Çalınan kimlik bilgilerinin derlendiği günlükler, yeraltı pazarlarında satılır.
- Saldırganlar kurumsal ağa erişiyor: Günlükleri satın alan saldırgan, geçerli bir oturum belirteci ile hedef ağınıza erişim sağlar.
Bu süreç birkaç saat içinde tamamlanabilir; oysa birçok kuruluş aylık olarak kimlik kontrolü yapmaktadır.
Etkilenen Sistemler
Kuruluşlar, çalınan kimlik bilgilerinin hedef alabileceği çeşitli alanlarda zafiyet göstermektedir. 2025 yılında 4.17 milyar çalınan kimlik kaydı analiz edildiğinde, LummaC2, Rhadamanthys, Vidar ve diğerleri gibi infostealers’ın birçok kurumsal ağdan nasıl geçtiği gözlemlenmiştir. Bununla birlikte, çoğu kullanıcı, macOS’un Windows’tan daha güvenli olduğunu düşünse de, Atomic macOS Stealer gibi tehditlerin varlığı bu algıyı sarsmaktadır.
Çözüm ve Korunma
Günümüzde basit ihlal izleme yöntemleri, karmaşık infostealer tehditlerine karşı yeterli değildir. Etkili bir çözüm için aşağıdaki unsurlara odaklanmak gereklidir:
- Sürekli izleme: İhlal, steal log, combolist ve diğer kaynaklar üzerinden sürekli izleme yaparak güvenlik ekiplerine net ve ayrıştırılmış bir görünüm sağlamak.
- Amaçlı otomasyon: Yanlış pozitifleri ve gürültüyü azaltarak analistlerin önemli kimlikler üzerinde zaman harcamasını sağlamak.
- Entegrasyonlar: Mevcut güvenlik ve kimlik yığınlarına (SIEM, SOAR, IDP) entegre olarak, maruziyetler tespit edildiğinde otomatik olarak kimlikleri sıfırlamak ve oturumları geçersiz kılmak.
Kuruluşların, infostealer tehditlerini kendine ait bir alan olarak ele alması ve bu konuyla ilgili özel mülkiyetler, metrikler ve eylem planları oluşturması gerekmektedir.
Sonuç
Kuruluşlar, 2026 yılında bunu göz önünde bulundurmalı ve basit yüzeysel önlemlerden ziyade derinlemesine bir güvenlik stratejisi geliştirmelidir. Kimlik bilgilerinizi sürekli izlemek, eski yöntemlerle geç kalınmadan önlem almak şarttır. Bu konuda atılacak ilk adım güncellemeler yapmak ve gerekirse güvenlik portlarını kapatmaktır.
