Benzersiz kullanıcı kimlik bilgileri, yani bir kullanıcı adı ve parola gerektiren çok sayıda web sitesi ve uygulama ile, tüm bu platformlarda aynı kimlik bilgilerini kullanmak cazip gelebilir.
Aslında, yeraltı suç sitelerinde bulunan 15 milyardan fazla güvenliği ihlal edilmiş kimlik bilgisini analiz eden SpyCloud’un 2022 Yıllık Kimlik Açığa Çıkma Raporuna göre, ihlal edilen şifrelerin yüzde 65’inin en az iki hesap için kullanıldığı bulundu.
Kimlik bilgilerini farklı platformlarda yeniden kullanan kullanıcılara, parolaları unutmamak için dahice bir yol gibi görünebilir, ancak gerçekte bu, olmayı bekleyen bir felakettir.
Sistemlerden birinin güvenliğinin aşılması ve kimlik bilgilerinizin ele geçirilmesi durumunda, aynı kimlik bilgilerini kullanan diğer tüm hesapların güvenliği tehlikeye girer. Güvenliği ihlal edilmiş kimlik bilgilerinin karanlık ağda ucuza satıldığını göz önünde bulundurarak, kolayca kimlik bilgileri doldurma kurbanı olabilirsiniz.
Kimlik bilgisi doldurma, kötü niyetli kişilerin diğer ilgisiz çevrimiçi hesaplara veya sistemlere erişmeye çalışmak için çevrimiçi bir hesap veya sistem için çalınan kimlik bilgilerini kullandığı bir siber saldırıdır.
Bunun bir örneği, kötü niyetli bir aktörün Twitter hesabınız için kullanıcı adınıza ve şifrenize erişmesi ve bu güvenliği ihlal edilmiş kimlik bilgilerini kullanarak bir Paypal hesabına erişmeye çalışmasıdır.
Twitter ve Paypal’da aynı kimlik bilgilerini kullanmanız durumunda, Twitter kimlik bilgilerinizin ihlali nedeniyle Paypal hesabınız ele geçirilecektir.
Twitter kimlik bilgilerinizi birden çok çevrimiçi hesapta kullanmanız durumunda, bu çevrimiçi hesapların da güvenliği ihlal edilebilir. Bu tür bir saldırı, kimlik bilgisi doldurma olarak bilinir ve birçok kullanıcının kimlik bilgilerini birden çok çevrimiçi hesapta yeniden kullanması gerçeğinden yararlanır.
Kimlik bilgisi doldurma saldırıları yürüten kötü niyetli aktörler, genellikle süreci otomatikleştirmek ve ölçeklendirmek için robotları kullanır. Bu, çok sayıda güvenliği ihlal edilmiş kimlik bilgisi kullanmalarına ve birden çok çevrimiçi platformu hedeflemelerine olanak tanır. Güvenliği ihlal edilmiş kimlik bilgilerinin veri ihlallerinden sızdırılması ve ayrıca karanlık ağda satılmasıyla, kimlik bilgileri doldurma saldırıları yaygın hale geldi.
Kimlik Bilgileri Doldurma Nasıl Çalışır?
Bir kimlik bilgisi doldurma saldırısı, güvenliği ihlal edilmiş kimlik bilgilerinin alınmasıyla başlar. Bu kullanıcı adları ve parolalar karanlık ağdan satın alınabilir, parola dökümü sitelerinden erişilebilir veya veri ihlallerinden ve kimlik avı saldırılarından elde edilebilir.
Bir sonraki adım, çalınan kimlik bilgilerini farklı web sitelerinde test etmek için botların kurulmasını içerir. Otomatik botlar, kimlik bilgisi doldurma saldırılarında başvurulacak araçlardır, çünkü botlar, birçok siteye karşı yüksek hızlarda çok sayıda kimlik bilgisi kullanarak kimlik bilgisi doldurmayı gizlice gerçekleştirebilir.
Birkaç başarısız oturum açma girişiminden sonra bir IP adresinin engellenmesi sorunu da botlar kullanılarak önlenir.
Bir kimlik bilgisi doldurma saldırısı başlatıldığında, kimlik bilgisi doldurma saldırısına paralel olarak başarılı oturum açmaları izlemek için otomatik işlemler de başlatılır. Bu şekilde, saldırganlar belirli çevrimiçi sitelerde çalışan kimlik bilgilerini kolayca elde eder ve bunları platformlarda bir hesabı ele geçirmek için kullanır.
Saldırganlar bir hesaba erişim sağladıktan sonra, bu hesapla ne yapabilecekleri kendi takdirine bağlıdır. Saldırganlar kimlik bilgilerini diğer saldırganlara satabilir, hesaptan hassas bilgileri çalabilir, kimlik verebilir veya bir banka hesabının ele geçirilmesi durumunda hesabı çevrimiçi satın alma yapmak için kullanabilir.
Kimlik Bilgileri Doldurma Saldırıları Neden Etkilidir?
Credential Stuffing, başarı oranları çok düşük olan bir siber saldırıdır. Aslında, Recorded Future’ın tehdit araştırma bölümü olan Insikt Group tarafından hazırlanan Kimlik Bilgisi Doldurma Saldırılarının Ekonomisi Raporuna göre, kimlik bilgisi doldurma saldırılarının ortalama başarı oranı yüzde bir ila üç arasındadır.
Başarı oranları ne kadar düşük olsa da Akamai Technologies, 2021 State of the Internet / Security raporunda, 2020 yılında Akamai’nin dünya çapında 193 milyar kimlik bilgisi doldurma saldırısı gördüğünü kaydetti.
Çok sayıda kimlik bilgisi doldurma saldırısının ve daha yaygın hale gelmesinin nedeni, güvenliği ihlal edilmiş kimlik bilgilerinin sayısı ve kimlik bilgisi doldurma saldırılarını daha etkili ve insan oturum açma girişimlerinden neredeyse ayırt edilemez hale getiren gelişmiş bot araçlarına erişimdir.
Örneğin, yalnızca yüzde bir gibi düşük bir başarı oranında bile, bir saldırganın güvenliği ihlal edilmiş 1 milyon kimlik bilgisi varsa, yaklaşık 10.000 hesabı tehlikeye atabilir. Güvenliği ihlal edilmiş büyük hacimli kimlik bilgileri karanlık ağda alınıp satılır ve güvenliği ihlal edilmiş bu tür yüksek hacimli kimlik bilgileri birden çok platformda yeniden kullanılabilir.
Güvenliği ihlal edilmiş bu yüksek hacimli kimlik bilgileri, güvenliği ihlal edilmiş hesapların sayısında artışa neden olur. Bu, insanların kimlik bilgilerini birden çok çevrimiçi hesapta yeniden kullanmaya devam etmesi gerçeğiyle birleştiğinde, kimlik bilgisi doldurma saldırıları çok etkili hale geliyor.
Kimlik Bilgisi Doldurma Vs. Kaba Kuvvet Saldırıları
Kimlik bilgisi doldurma ve kaba kuvvet saldırılarının her ikisi de hesap devralma saldırıları olsa ve Açık Web Uygulaması Güvenlik Projesi (OWASP), kimlik bilgisi doldurmayı kaba kuvvet saldırılarının bir alt kümesi olarak görse de, ikisi nasıl yürütüldükleri konusunda farklılık gösterir.
Bir kaba kuvvet saldırısında, kötü niyetli bir oyuncu, kullanıcı adını veya şifreyi veya her ikisini de tahmin ederek bir hesabı ele geçirmeye çalışır. Bu genellikle, ne olabileceğine dair hiçbir bağlam veya ipucu olmaksızın, mümkün olduğunca çok sayıda olası kullanıcı adı ve şifre kombinasyonunu deneyerek yapılır.
Bir kaba kuvvet, yaygın olarak kullanılan parola kalıplarını veya Qwerty, parola veya 12345 gibi yaygın olarak kullanılan parola ifadelerinden oluşan bir sözlüğü kullanabilir. Bir kaba kuvvet saldırısı, kullanıcı zayıf parolalar veya sistem varsayılan parolaları kullanırsa başarılı olabilir.
Öte yandan, bir kimlik bilgisi doldurma saldırısı, diğer sistemlerden veya çevrimiçi hesaplardan alınan güvenliği ihlal edilmiş kimlik bilgilerini kullanarak bir hesabı ele geçirmeye çalışır. Bir kimlik bilgisi doldurma saldırısında, saldırı kimlik bilgilerini tahmin etmez. Bir kimlik bilgisi doldurma saldırısının başarısı, bir kullanıcının kimlik bilgilerini birden çok çevrimiçi hesapta yeniden kullanmasına bağlıdır.
Tipik olarak, kaba kuvvet saldırılarının başarı oranları, kimlik bilgisi doldurmaya göre çok daha düşüktür. Güçlü parolalar kullanılarak kaba kuvvet saldırıları önlenebilir. Ancak, güçlü parolaların kullanılması, güçlü parolanın birden fazla hesap arasında paylaşılması durumunda kimlik bilgilerinin doldurulmasını engelleyemez. Çevrimiçi hesaplarda benzersiz kimlik bilgileri kullanılarak kimlik bilgilerinin doldurulması önlenir.
Kimlik Bilgileri Doldurma Saldırıları Nasıl Tespit Edilir?
Kimlik bilgisi doldurma tehdidi aktörleri tipik olarak insan ajanları taklit eden botlar kullanır ve bir oturum açma girişimini gerçek bir insandan ve bir bottan ayırmak genellikle çok zordur. Bununla birlikte, devam eden bir kimlik bilgisi doldurma saldırısına işaret edebilecek işaretler hala var.
Örneğin, web trafiğindeki ani bir artış şüphe uyandırmalıdır. Böyle bir durumda, web sitesine giriş denemelerini izleyin ve birden fazla IP adresinden birden fazla hesapta oturum açma denemelerinde artış veya oturum açma başarısızlık oranında artış olması durumunda, bu durum devam eden bir kimlik bilgisi doldurma saldırısının göstergesi olabilir.
Kimlik bilgisi doldurma saldırısının bir diğer göstergesi, kullanıcının hesaplarına erişimin engellenmesinden şikayet etmesi veya kendileri tarafından yapılmayan başarısız giriş denemeleri hakkında bildirim almasıdır.
Ek olarak, kullanıcı etkinliğini izleyin ve ayarlarında, profil bilgilerinde, para transferlerinde ve çevrimiçi satın alımlarda değişiklik yapma gibi olağandışı kullanıcı etkinliği fark etmeniz durumunda, bu bir kimlik bilgisi doldurma saldırısına işaret edebilir.
Kimlik Bilgileri Doldurmaya Karşı Nasıl Korunulur?
Kimlik bilgisi doldurma saldırılarının kurbanı olmamak için alınabilecek birkaç önlem vardır. Bu içerir:
1 numara. Aynı kimlik bilgilerini birden çok hesapta yeniden kullanmaktan kaçının
Kimlik bilgisi doldurma, bir kullanıcının kimlik bilgilerini birden çok çevrimiçi hesapta paylaşmasına bağlıdır. Bu, farklı çevrimiçi hesaplarda benzersiz kimlik bilgileri kullanılarak kolayca önlenebilir.
Google Şifre Yöneticisi gibi şifre yöneticileri ile kullanıcılar, kimlik bilgilerini unutma endişesi olmadan benzersiz ve çok şifreler kullanmaya devam edebilirler. Şirketler, e-postaların kullanıcı adı olarak kullanılmasını engelleyerek de bunu uygulayabilir. Bu şekilde, kullanıcıların farklı platformlarda benzersiz kimlik bilgilerini kullanma olasılığı daha yüksektir.
2 numara. Çok Faktörlü Kimlik Doğrulamayı (MFA) kullanın
Çok Faktörlü Kimlik Doğrulama, oturum açmaya çalışan bir kullanıcının kimliğini doğrulamak için birden çok yöntemin kullanılmasıdır. Bu, bir kullanıcı adı ve bir paroladan oluşan geleneksel kimlik doğrulama yöntemleriyle e-posta veya kısa mesaj yoluyla kullanıcılarla paylaşılan gizli bir güvenlik kodu birleştirilerek uygulanabilir. kimliklerini daha fazla doğrulamak için. Bu, fazladan bir güvenlik katmanı eklediğinden kimlik bilgilerinin doldurulmasını önlemede çok etkilidir.
Hatta birisi hesabınızı ele geçirmeye çalıştığında, talepte bulunmadan bir güvenlik kodu alacağınız için size haber verebilir. MFA o kadar etkilidir ki, bir Microsoft araştırmasına göre MFA kullanan çevrimiçi hesapların güvenliğinin yüzde 99,9 oranında daha az olduğu tespit edilmiştir.
#3. Cihaz Parmak İzi
Cihaz parmak izi, bir çevrimiçi hesaba erişimi belirli bir cihazla ilişkilendirmek için kullanılabilir. Cihaz parmak izi, diğerlerinin yanı sıra cihaz modeli ve numarası, kullanılan işletim sistemi, dil ve ülke gibi bilgileri kullanarak bir hesaba erişmek için kullanılan cihazı tanımlar.
Bu, daha sonra bir kullanıcı hesabıyla ilişkilendirilen benzersiz bir cihaz parmak izi oluşturur. Hesapla ilişkili cihaz tarafından izin verilmedikçe, farklı bir cihaz kullanılarak hesaba erişime izin verilmez.
#4. Sızan parolaları izleyin
Kullanıcılar yalnızca parolaların gücünü kontrol etmek yerine çevrimiçi bir platform için kullanıcı adları ve parolalar oluşturmaya çalışırken, kimlik bilgileri yayınlanan sızdırılmış parolalara karşı kontrol edilebilir. Bu, daha sonra istismar edilebilecek kimlik bilgilerinin kullanılmasını önlemeye yardımcı olur.
Kuruluşlar, karanlık web’de sızdırılmış kimlik bilgilerine karşı kullanıcı kimlik bilgilerini izleyen ve bir eşleşme bulunduğunda kullanıcıları bilgilendiren çözümler uygulayabilir. Kullanıcılardan daha sonra çeşitli yöntemlerle kimliklerini doğrulamaları, kimlik bilgilerini değiştirmeleri ve ayrıca hesaplarını daha fazla korumak için MFA uygulamaları istenebilir.
# 5. Kimlik Bilgileri Hashing
Bu, bir veritabanında depolanmadan önce kullanıcı kimlik bilgilerinin karıştırılmasını içerir. Bu, kimlik bilgileri kullanılamayacak bir biçimde saklanacağından, sistemlerin veri ihlali durumunda kimlik bilgilerinin kötüye kullanılmasına karşı korumaya yardımcı olur.
Bu kusursuz bir yöntem olmasa da, bir veri ihlali durumunda kullanıcılara parolalarını değiştirmeleri için zaman verebilir.
Kimlik Bilgileri Doldurma Saldırılarına Örnekler
Kimlik bilgisi doldurma saldırılarının bazı dikkate değer örnekleri şunları içerir:
- 2020’de 500.000’den fazla Zoom kimlik bilgisinin çalınması. Bu kimlik bilgisi doldurma saldırısı, 2013 yılına kadar uzanan saldırılardan alınan kimlik bilgileriyle birlikte çeşitli dark web forumlarından alınan kullanıcı adları ve şifreler kullanılarak gerçekleştirildi. web ve istekli alıcılara ucuza satıldı
- Binlerce Kanada Gelir İdaresi (CRA) kullanıcı hesabından taviz verin. 2020’de, iki ayrı kimlik bilgisi saldırısında yaklaşık 5500 CRA hesabının güvenliği ihlal edildi ve bu da kullanıcıların CRA tarafından sunulan hizmetlere erişememesine neden oldu.
- 194.095 The North Face kullanıcı hesabının ele geçirilmesi. The North Face, spor giyim satan bir şirkettir ve Temmuz 2022’de bir kimlik bilgileri doldurma saldırısına maruz kalmıştır. Saldırı, kullanıcının tam adının, telefon numarasının, cinsiyetinin, sadakat puanlarının, fatura ve gönderim adresinin, hesap oluşturma tarihinin, ve satın alma geçmişi.
- 2019’da Reddit kimlik bilgisi doldurma saldırısı. Kimlik bilgileri doldurma saldırıları yoluyla kimlik bilgileri ele geçirildikten sonra birkaç Reddit kullanıcısının hesaplarına erişimi engellendi.
Bu saldırılar, kendinizi benzer saldırılara karşı koruma ihtiyacının önemini vurgulamaktadır.
Çözüm
Diğerlerinin yanı sıra Netflix, Hulu ve disney+ gibi akış siteleri veya Grammarly, Zoom ve Turnitin gibi çevrimiçi hizmetler için kimlik bilgileri satan satıcılarla karşılaşmış olabilirsiniz. Satıcıların kimlik bilgilerini nereden aldığını düşünüyorsunuz?
Pekala, bu tür kimlik bilgileri muhtemelen kimlik bilgisi doldurma saldırıları yoluyla elde edilir. Aynı kimlik bilgilerini birden çok çevrimiçi hesapta kullanıyorsanız, kurban olmadan önce bunları değiştirmenizin zamanı gelmiştir.
Kendinizi daha fazla korumak için, tüm çevrimiçi hesaplarınıza çok faktörlü kimlik doğrulaması uygulayın ve güvenliği ihlal edilmiş kimlik bilgileri satın almaktan kaçının çünkü bu, kimlik bilgisi doldurma saldırıları için uygun bir ortam oluşturur.
