Bilgisayar Korsanları Kullanıcılarınızın Kimlik Bilgilerini Nasıl Ele Geçirir ve Bunları Nasıl Satar?


28 Kasım 2023Hacker HaberleriSiber Suç / İhlalin Önlenmesi

Kimlik bilgileri

Popüler bir ilk erişim vektörü olan hesap kimlik bilgileri, siber suçlarda değerli bir ürün haline geldi. Sonuç olarak, çalınan tek bir kimlik bilgisi grubu kuruluşunuzun tüm ağını riske atabilir.

2023 Verizon Veri İhlali Araştırma Raporu’na göre Kasım 2021 ile Ekim 2022 arasında meydana gelen ihlallerin yüzde 83’ünden harici taraflar sorumluydu. Bu ihlallerin yüzde kırk dokuzu çalınan kimlik bilgilerini içeriyordu.

Tehdit aktörleri kimlik bilgilerini nasıl ele geçiriyor? Sosyal mühendislik, 2023’teki en büyük beş siber güvenlik tehdidinden biridir. Sosyal mühendislik girişimlerinin %’sini oluşturan kimlik avı, kimlik bilgilerinin çalınması için başvurulacak yöntemdir. Sonuç veren nispeten ucuz bir taktiktir.

Kimlik avı ve sosyal mühendislik teknikleri daha karmaşık hale geldikçe ve araçlar daha kolay kullanılabilir hale geldikçe, kimlik bilgisi hırsızlığı, halihazırda olmasa da tüm kuruluşlar için en önemli güvenlik sorunu haline gelmelidir.

Kimlik avı gelişti

Genel olarak kimlik avı ve sosyal mühendislik söz konusu olduğunda tehdit aktörleri yalnızca e-posta kullanmanın ötesine bakıyor:

  • Kimlik avı kampanyaları artık birden fazla aşamaya sahip, çok kanallı saldırılardır. Tehdit aktörleri, kurbanları kötü amaçlı web sitelerine yönlendirmek için e-postaların yanı sıra kısa mesaj ve sesli mesaj da kullanıyor ve ardından hileye devam etmek için bir telefon görüşmesi yapıyor.
  • Tehdit aktörleri aktif olarak mobil cihazları hedef alıyor. Kullanıcıların farklı uygulamalardaki sosyal mühendislik taktikleri tarafından kandırılabilmesi nedeniyle kimlik bilgileri tehlikeye girebilir. Tüm kişisel cihazların yarısı, 2022’nin her çeyreğinde bir kimlik avı saldırısına maruz kaldı.
  • Yapay zeka bir faktör haline geldi. Kimlik avı içeriğini daha güvenilir hale getirmek ve saldırıların kapsamını genişletmek için yapay zeka kullanılıyor. Yapay zeka, kurban araştırma verilerini kullanarak kişisel kimlik avı mesajları oluşturabilir ve daha sonra daha iyi sonuçlar elde etmek için bu mesajları bir meşruiyet cilası ekleyerek hassaslaştırabilir.

PhaaS çalınan kimlik bilgilerine giden yoldur

Yine de kimlik bilgilerini çalmaya başlamak için pek bir şeye gerek yok. Tehdit aktörleri, uzmanlıklarını başkalarına dış kaynaklardan sağlamak için hizmet olarak kimlik avı (PhaaS) modelini tamamen benimsediğinden, kimlik avı iyi bir iş haline geldi. Yeraltı forumlarında satılan kimlik avı kitleri sayesinde, BT sistemlerine kendi başlarına sızma becerisine sahip olmayan acemiler bile saldırı başlatma yeteneğine sahip olabiliyor.

PhaaS meşru SaaS işletmeleri gibi çalışır. Aralarından seçim yapabileceğiniz abonelik modelleri vardır ve kitlerin çalışması için lisans satın alınması gerekir.

Microsoft 365 hesaplarını hedeflemek için kullanılan gelişmiş kimlik avı araçları

W3LL’nin BEC kimlik avı ekosistemi açığa çıktı

Son altı yıldır tehdit aktörü W3LL, özelleştirilmiş kimlik avı kiti W3LL Panel’i yeraltı pazarı olan W3LL Mağazasında sunuyor. W3LL’nin kiti, çok faktörlü kimlik doğrulamayı (MFA) atlamak için oluşturuldu ve yeraltı pazarındaki en gelişmiş kimlik avı araçlarından biridir.

Araç, Ekim 2022 ile Temmuz 2023 arasında, hedeflenen 56.000 kurumsal Microsoft 365 iş e-posta hesabının en az 8.000’ine başarıyla sızmak için kullanıldı. W3LL ayrıca kurbanların e-posta listeleri, güvenliği ihlal edilmiş e-posta hesapları, VPN hesapları, güvenliği ihlal edilmiş web sitesi ve hizmetler ve özelleştirilmiş kimlik avı tuzakları da dahil olmak üzere diğer varlıkları da satıyor. W3LL Mağazasının son 10 ayda elde ettiği gelirin 500.000$ kadar olduğu tahmin ediliyor.

Greatness kimlik avı kiti BEC’yi basitleştiriyor

Greatness, Aralık 2022’de ve yine Mart 2023’te faaliyetlerde keskin sıçramalarla Kasım 2022’den bu yana ortalıkta dolaşıyor. Greatness, Telegram bot entegrasyonu ve IP filtrelemeye ek olarak, W3LL Paneli gibi çok faktörlü kimlik doğrulama atlama özelliğini de içeriyor.

İlk iletişim, kurbanı, kurbanın e-posta adresinin önceden doldurulduğu sahte bir Microsoft 365 oturum açma sayfasına yönlendiren bir kimlik avı e-postasıyla kurulur. Kurban şifresini girdiğinde Greatness, Microsoft 365’e bağlanır ve kurbandan MFA kodunu tuzak sayfasında göndermesini isteyerek MFA’yı atlar. Bu kod daha sonra tehdit aktörünün onu kullanabilmesi ve orijinal hesaba erişebilmesi için Telegram kanalına iletilir. Greatness kimlik avı kiti yalnızca bir API anahtarıyla dağıtılabilir ve yapılandırılabilir.

Çalınan kimlik bilgilerinin yer altı pazarı

2022 yılında, Dark Web’de 2020’ye kıyasla bir artışla 24 milyardan fazla kimlik bilgisi satışa sunuldu. Çalınan kimlik bilgilerinin fiyatı, hesap türüne göre değişiklik gösteriyor. Örneğin, çalınan bulut kimlik bilgileri bir düzine donutla hemen hemen aynı fiyata satılırken, ING banka hesabı oturum açma bilgileri 4.255 dolara satılacak.

Bu yeraltı forumlarına erişim, doğrulama veya üyelik ücreti gerektiren bazı işlemler nedeniyle zor olabilir. W3LL Mağazası gibi bazı durumlarda yeni üyelere yalnızca mevcut üyelerin tavsiyesi üzerine izin verilir.

Son kullanıcıların çalıntı kimlik bilgilerini kullanmasının tehlikeleri

Son kullanıcıların şifreleri birden fazla hesapta yeniden kullanması durumunda kimlik bilgilerinin çalınması riski daha da artar. Tehdit aktörleri çalınan kimlik bilgileri için ödeme yapıyor çünkü birçok kişinin hem kişisel hem de ticari amaçlarla birden fazla hesapta ve web hizmetinde aynı şifreyi kullandığını biliyorlar.

Kuruluşunuzun güvenliği ne kadar aşılmaz olursa olsun, başka bir hesaptan çalınan geçerli kimlik bilgilerinin yeniden kullanılmasını önlemek zor olabilir.

Çalınan kimlik bilgilerinin ardındaki motivasyon finansal kazançtır

Hesap kimlik bilgilerini çaldıktan sonra tehdit aktörleri, ele geçirilen e-posta hesabıyla kötü amaçlı yazılım dağıtabilir, verileri çalabilir, hesap sahibinin kimliğine bürünebilir ve diğer kötü niyetli eylemleri gerçekleştirebilir. Ancak kimlik bilgilerini çalan tehdit aktörleri genellikle bilgileri kullanacak kişiler değildir.

İhlallerin %95’inin ardındaki ana neden finansal kazanç olmaya devam ediyor. Tehdit aktörleri, yeraltı forumlarında çaldıkları kimlik bilgilerini kâr amacıyla, bunları haftalar veya aylar sonra kullanacak diğer tehdit aktörlerine satacak. Bu, çalınan kimlik bilgilerinin gelecekte de yer altı pazarlarının arkasındaki itici güç olacağı anlamına geliyor. Kuruluşunuzda kullanıcı kimlik bilgilerinin güvenliğini sağlamak için hangi adımları atıyorsunuz?

Güvenliği ihlal edilmiş şifreleri engelle

Active Directory’nizde bilinen 4 milyardan fazla parolayı engellemenize olanak tanıyan İhlal Edilmiş Parola Koruması içeren Specops Parola Politikası ile güvenliği ihlal edilmiş parolaların güvenlik risklerini ortadan kaldırın. Tüm kullanıcıların, güvenliği ihlal edilmiş olduğu bilinen şifreleri kullanması engellenecek ve politikanıza uygun farklı bir şifre oluşturmaya yönlendirilecektir. Ayrıca sürekli tarama etkinleştirilirse, şifrelerinin ele geçirildiği tespit edildiğinde kullanıcılar SMS veya e-postayla uyarılacak.

Kuruluşunuzda yaygın olarak kullanılan kelimelerin yanı sıra zayıf ve öngörülebilir kalıpları da engellemenize olanak tanıyan özel sözlük özelliğini kullanarak şifre altyapınızı güçlendirebilirsiniz. Specops Şifre Politikası ile günümüzün uyumluluk gereksinimlerini karşılayan daha güçlü bir şifre politikası uygulayın. Burada ücretsiz deneyin.

Bu makaleyi ilginç buldunuz mu? Bizi takip edin heyecan ve yayınladığımız daha özel içerikleri okumak için LinkedIn.





Source link