Araştırmalar, çalınan kimlik bilgilerinin kullanımının siber hatalıların birinci erişimi elde etmek için kullandığı en tanınan metotlardan biri olduğunu ortaya koyuyor. Varsayımlara nazaran, 2024 yılında global işletmelerden 3,2 milyardan fazla kimlik bilgisi çalındı ve bu sayı yıllık yüzde 33 artış gösterdi. Bu kimlik bilgileri sayesinde kurumsal hesaplara erişim sağlayan tehdit aktörleri, bir sonraki ataklarını planlarken tesirli bir biçimde gölgede kalabiliyorlar. Siber güvenlik şirketi ESET bu nedenle sağlam siber güvenlik sınırlarının oluşturulmasının çok kıymetli olduğunun altını çizdi.
Siber hatalılar ele geçirdikleri kimlik bilgileri sayesinde bir sonraki adımda peşine düşülecek bilgileri, varlıkları ve kullanıcı müsaadelerini aramak için ağ keşfi yapabiliyorlar ya da komuta ve denetim sunucusuyla gizlice bağlantı kurarak berbat gayeli yazılım indirme ve bilgileri sızdırma yoluna başvurabiliyorlar.
Siber hatalılar parolaları nasıl ele geçirirler?
Tehdit aktörleri, çalışanların kurumsal kimlik bilgilerini yahut kimi durumlarda MFA kodlarını ele geçirmek için çeşitli metotlar geliştirmiştir.
Oltalama: Resmî bir kaynaktan (BT departmanı yahut teknoloji tedarikçisi) gönderilmiş üzere görünen uydurma e-postalar yahut metin iletileri. Alıcı, geçersiz bir oturum açma sayfasına yönlendiren berbat emelli bir temasa tıklamaya teşvik edilir.
Vishing: Kimlik avının bir çeşididir lakin bu sefer kurban tehdit aktöründen bir telefon alır. BT yardım masası üzere davranarak kurbandan bir parola vermesini yahut hayali bir öykü uydurarak yeni bir MFA aygıtı kaydetmesini isteyebilirler. Ya da yardım masasını arayarak işini yapmak için acil bir parola sıfırlamasına gereksinim duyan bir yönetici yahut çalışan olduğunu sav edebilirler.
Bilgi hırsızları: Kurbanın bilgisayarından yahut aygıtından kimlik bilgilerini ve oturum çerezlerini toplamak için tasarlanmış makûs gayeli yazılımlar. Makus maksatlı bir kimlik avı teması yahut eki, güvenliği ihlal edilmiş bir web sitesi, tuzaklı bir taşınabilir uygulama, toplumsal medya dolandırıcılığı yahut hatta resmî olmayan oyun modu aracılığıyla ulaşabilir.
Kaba kuvvet hücumları: Bunlar, saldırganların daha evvel ele geçirilmiş kullanıcı adı/parola kombinasyonlarını kurumsal sitelere ve uygulamalara karşı denedikleri kimlik bilgisi doldurma ataklarını içerir. Parola püskürtme ise farklı sitelerde yaygın olarak kullanılan parolaları kullanır. Otomatik botlar, bunlardan biri sonunda işe yarayana kadar bunu büyük ölçekte yapmalarına yardımcı olur.
Üçüncü taraf ihlalleri: Saldırganlar, MSP yahut SaaS sağlayıcıları üzere müşterilerinin kimlik bilgilerini depolayan bir tedarikçiyi yahut ortağı ele geçirir. Ya da sonraki ataklarda kullanmak üzere, daha evvel ele geçirilmiş oturum açma “kombinasyonlarını” toplu olarak satın alırlar.
MFA atlatma: Bu teknikler ortasında SIM takası, gayesi push bildirimleriyle boğarak “uyarı yorgunluğu” yaratıp push onayı almayı amaçlayan MFA prompt bombing ve saldırganların kullanıcı ile yasal kimlik doğrulama hizmeti ortasına girerek MFA oturum jetonlarını ele geçirdikleri “ortadaki düşman (AitM)” atakları yer alır.
Tüm bunlar, çalışanların parolalarını müdafaayı, oturum açma süreçlerini daha inançlı hâle getirmeyi ve BT ortamını ihlal belirtileri açısından daha yakından izlemeyi her zamankinden daha değerli hâle getiriyor. Bunun birden fazla, “asla güvenme, her vakit doğrula” prensibine dayanan Sıfır İnanç yaklaşımını izleyerek gerçekleştirilebilir. Bu, etrafta ve akabinde kısımlara ayrılmış bir ağ içinde çeşitli etaplarda risk tabanlı kimlik doğrulama benimsemek manasına gelir. Kullanıcılar ve aygıtlar, oturum açma vakti ve yeri, aygıt çeşidi ve oturum davranışından hesaplanabilen risk profillerine nazaran değerlendirilmeli ve puanlanmalıdır. Kuruluşun yetkisiz erişimden korunmasını güçlendirmek ve düzenlemelere ahengi sağlamak için sağlam çok faktörlü kimlik doğrulama (MFA) da vazgeçilmez bir savunma sınırıdır.
Bu yaklaşımı, en son toplumsal mühendislik tekniklerini kullanan gerçek dünya simülasyonları da dâhil olmak üzere, çalışanlar için güncellenmiş eğitim ve farkındalık programlarıyla tamamlamalısınız. Kullanıcıların riskli siteleri ziyaret etmesini engelleyen katı siyasetler ve araçlar da tüm sunucularda, uç noktalarda ve öteki aygıtlarda bulunan güvenlik yazılımları ve kuşkulu davranışları tespit etmek için daima izleme araçları kadar değerlidir. İkincisi, ele geçirilmiş kimlik bilgileri sayesinde ağınızın içinde bulunabilecek düşmanlarını tespit etmenize yardımcı olacaktır. Karanlık web izleme, siber hata dünyasında rastgele bir kurumsal kimlik bilgisinin satışa sunulup sunulmadığını denetim etmenize yardımcı olabilir.
Özellikle şirketinizin kaynakları kısıtlıysa Yönetilen Tespit ve Müdahale (MDR) hizmeti aracılığıyla uzman bir üçüncü tarafın yardımını almayı düşünün. Toplam sahip olma maliyetini düşürmenin yanı sıra saygın bir MDR sağlayıcısı, husus uzmanlığı, 24 saat izleme ve tehdit avcılığı ve kimlik bilgilerine dayalı atakların inceliklerini anlayan ve ele geçirilmiş hesaplar tespit edildiğinde olaylara müdahaleyi hızlandırabilen analistlere erişim sağlar.
Kaynak: (BYZHA) Beyaz Haber Ajansı