Doxing’ten kimlik bilgisi sızıntılarına kadar, siber suçlular daha önce hiç olmadığı gibi yönetici verilerini kullanıyor.
UnitedHealthcare CEO’su Brian Thompson’a karşı yapılan son şiddet eylemi, yöneticileri izlemek için kapsamlı bir yaklaşım ihtiyacına ışık tutuyor. Yöneticiler için güvenlik yalnızca fiziksel güvenlik yoluyla korumanın ötesine geçer ve açık web, derin ve karanlık web’de çevrimiçi ayak izlerini izlemeyi içermelidir. Bu makale, özellikle bu alanlarda kötü niyetli faaliyetler ve çalınan PII, tehdit aktörlerinin yüksek profilli bireyleri hedeflemede kullanması için değerli veriler sağladığı için, özellikle derin/karanlık web’deki yöneticilere yönelik mevcut tehditlere odaklanmaktadır.
Dolandırıcılık
Karanlık Web’deki yöneticilere yönelik en büyük tehditlerden biri Doxing. Doxing, internette bir birey hakkında tanımlayıcı bilgilerin yayınlanması olarak tanımlanır. Doxing çabalarında yayınlanan bilgiler sadece yürütme hakkında bilgi değil, aynı zamanda aile üyelerine ilişkin bilgileri de içerebilir. Bir tehdit oyuncusu, şiddet, takip ve hedeflenen taciz gibi faaliyetlerde bulunmak için adres bilgilerini kullanabilir. Doxing çabaları ile yaygın bir uygulama, o yerde swatting yapmaktır. Swatting, çok sayıda silahlı polis memurunun belirli bir adrese gönderilmesini sağlamak amacıyla acil servislere şaka çağrısı yapma eylemi veya uygulamasıdır. Bu tehlikeli faaliyetler polis memurlarını ve ikamet edenleri riske atıyor.
Karanlık ağdan kaynaklanan doxing, birden fazla yolla ortaya çıkabilir:
- Karanlık Web’de bir forum veya sohbetteki bireylerin sizin adınıza Doxing’i gerçekleştireceği hizmetler vardır. Bu hizmetler, tehdit oyuncusunun gerekli tüm eylemleri yapması için ödenen hizmet olarak kimlik avı modellerine benzer.
- Hedeflenen bir bireyi DOX’a harekete geçirme çağrısı, karanlık web forumlarında iletişim gördükten sonra doxing isteğini üstlenen bir Doxing hizmetinden bağımsız olmayan birine yol açabilir.
- Karanlık Web’de yayınlanan doxing çabaları, sosyal medya/açık web kaynakları aracılığıyla da paylaşılabilir ve halka maruz kaldıklarını artırabilir.
- Hassas PII, bir sosyal güvenlik numarasının, tıbbi kayıtların ve hatta kredi kartı numaralarının yayınlanması gibi diğer uzlaşmalara yol açabilecek bir doxing çabasında da yayınlanabilir.
Aşağıdaki örnek, bir sağlık sigortası şirketinin büyük bir CEO’suna karşı bir doxing çabası sergilemektedir. Bu bilgiler UnitedHealthcare CEO’sunun çekilmesinden bir haftadan kısa bir süre sonra yayınlandı. Bu DOX hakkında bilgi aşağıdakileri içeriyordu: Mevcut ev adresi, önceki adresler, siyasi bağışlar, mevcut evin kat planı, telefon numaraları, e -posta adresleri, yakın aile PII, aile meslek bilgileri, DOX nedeni, konutu SWAT çağrısı.
Kimlik bilgisi uzlaşma
Yöneticiler için önemli bir tehdit, hem kurumsal hem de kişisel e -posta adreslerinden kimlik bilgisi uzlaşmasıdır. Uzlaşmaya yol açan sızıntılar, bonifiye veritabanı uzlaşmaları, ihlaller ve tehdit aktörlerinden kendi kombinasyon listelerini oluşturabilir. Tehdit aktörleri, bu vakaların her birinde kurumsal e -posta adresleri arıyorlar. OpenBullet gibi yapılandırma araçları, tehdit aktörlerinin sızdırılan verileri hızlı bir şekilde indirmelerine ve diğer web sitelerinde de çalışıp çalışmadıklarını görmek için e -posta (kullanıcı adı)/şifre kombinasyonlarını test etmesine izin vererek suçluların büyük miktarda verileri hızla işlemelerine izin verecektir. Şifre yeniden kullanımının dünyamızda ne kadar yaygın olduğu ile, bu hala büyük bir uzlaşma vektörüdür.
Cihazları Infostealer kötü amaçlı yazılımlar tarafından tehlikeye atıldıysa yöneticiler de risk altındadır. Bu kötü amaçlı yazılım, geleneksel kimlik avı metodolojileri, kötü amaçlı uygulamalar indirme ve korsan yazılımı indirme yoluyla dağıtılabilir. Infostealer kötü amaçlı yazılımlar tarafından tehlikeye atılan cihazlar, Rus pazar ve göç gibi pazarlarda satışa çıkabilir. Bu örnek pazarlarda, tehdit aktörleri özellikle olası bir dahili girişin tehlikeye atıldığını görebilecekleri tehlikeye atılmış cihazları arıyorlar. Bu Infostealer pazar yerlerinden içerik satın almak nispeten ucuzdur (3-10 $) ve fidye yazılımı gruplarının dahili erişim elde ettiği bir cadde olarak belgelenmiştir. İlk erişim brokerleri, satılık karanlık web forumlarında yakaladıkları ve tehlikeye attıkları verilerin reklamını yapacağından sızdırılmış veriler için bir başka endişe kaynağıdır. Tehdit aktörlerinin ihlal edilen ve XSS gibi forumlarda satış için veriler hakkında yayınladığını görmek nadir değildir. Son olarak, kimlik bilgisi sızıntısı, tehdit aktörlerinin bu bilgileri casusluk çabaları için iç sistemlere eriştikçe kullanma olasılığını açar.
Kişisel Tanımlanabilir Bilgiler (PII)
Herkes veri sızıntıları ve ihlalleri duyduğunda, ilk düşünce her zaman veri kümesinde kullanıcı adı/şifreler olup olmadığını sormaktır. Bu, yakalamak istemek için önemli bir veri noktasıdır, ancak tüm bu uzlaşmaların kullanıcı adı/şifre kayıtları yoktur. Sızıntılar ayrıca ev adresleri, telefon numaraları, e -posta adresleri (kurumsal veya kişisel) ve bireye bağlı diğer PII hakkında bilgi sahibi olabilir.
Bir PII ihlali örneği, 2024’teki ulusal kamu veri sızıntısıydı. Bu sızıntı, çok sayıda tam isim, doğum tarihleri, adresler, sosyal güvenlik numaraları ve telefon numaraları içeriyordu. Bunun gibi veri ihlalleri, hedeflenen kimlik avı/smaçlama kampanyaları, mızrak kimlik avı ve sosyal mühendislik çabalarına yol açma potansiyeline sahiptir. Yöneticiler sadece bu bilgilerle kendilerini hedeflemekle kalmaz, aynı zamanda tehdit aktörleri bu bilgileri, çalışanlarını hedefleyen kötü amaçlı faaliyetler yürütmek için yöneticiyi taklit etmek için kullanabilirler. Ulusal kamu veri sızıntısı gibi sızıntılar, yöneticileri yeni hesap sahtekarlığı, kimlik doğrulama bypass, hesap devralma ve sentetik kimlik yaratma gibi tehditlere açabilir. Sokak adresleri veya aile üyesi adları gibi veriler, en hassas bilgiler gibi görünebilir, ancak kullanıcıların çeşitli hesaplarında güvenlik sorularında böyle bilgileri kullanmaları nadir değildir.
İtibar Hasarı
Karanlık ağ ve karanlık web’e katılan siteleri izlemek, yöneticileri taklit eden bireyleri isimlerini ve benzerliklerini kullanarak ortaya çıkarabilir. Bu tür bir kimliğe bürünme her zaman zararlı olmasa da, olumsuz retorik veya şiddetli yorumları takipçilerine veya o kanal üyelerine yaymak için kullanılabilir. Bu tür yorumlar, özellikle bu yorum sosyal medya arenasına çıkıyorsa, yürütmeye itibar zararına yol açabilir.
Aşağıdaki görüntü, telgraf konusunda bir yönetici için böyle bir kimliğe bürünme tehdidini sergiliyor. Bu yazıda, Telegram’daki bir kullanıcı kullanıcılara, bir kripto şirketinin önde gelen bir CEO’su Lost’u kurtarmak için mesaj atmalarını söylüyor. CEO’nun adını yayınlamanın yanı sıra, Telegram’daki aktör, finansal yardım için ulaşabileceğiniz adı olarak yönetici ile bir kanal yayınladı. Bu, kullanıcıları parasal fonlardan dolandırıcılık yapmak için telgraf CEO’su taklit etme olasılığını açar.
İçerik karanlık ağdan kaynaklanıyorsa ve yüzey ağına ve sosyal medyaya geçmeye başlarsa, sızdırılan bilgilerin halka maruz kalmasını artırır. Buna ek olarak, içerik karanlık ağdan çıktığında, yöneticiye itibar hasarı verme potansiyeline sahiptir. Karanlık Web’de içerik almak mümkün olmadığından, güvenlik ekipleri, içeriğin orijinal sızdırılan kanaldan farklı kaynaklara yayılması nadir olmadığı için bu bilgilerin maruz kalmasını izlemelidir.
Güvenlik ekiplerinin bu tehditleri azaltmak için atabileceği adımlar şunları içerir:
- Infostealer kötü amaçlı yazılımlar tarafından tehlikeye atılan kimlik bilgileri için izlemeyi dağıtmak, bu, tehdit aktörlerinin sistemlerinize dahili erişim elde etmeleri için ortak bir taktiktir. Infostealer tehlikeye atılan veriler karanlık web kaynakları üzerinden sızdırılabilir, ancak Rus pazarında pazarlarda satışa sunulabilir. Tehdit aktörleri, kurumunuzu korumaya yardımcı olmak için bu materyalin izlenmesi gereklidir.
- Bir veri sızıntısına veya kimlik bilgisi uzlaşmasına bağlı bulunan bilgilerin doğru veya bir noktada doğru olup olmadığını doğrulamak. Kullanıcı adı ve şifre sızıntılarıyla, gerektiğinde şifreleri sıfırlamak ve uzlaşmanın etkilenen taraflarını uyarmak da ihtiyatlıdır. Dünyamızda şifre yeniden kullanımının ortaklığı, tehdit aktörlerinin veri sızıntı dosyalarını indirmesine ve diğer web sitelerindeki girişleri test etmek için OpenBullet gibi araçlarda verileri hızlı bir şekilde değiştirmesine olanak tanır.
- Etkilendirilen tarafları, en kısa sürede doxing çabalarını uyarmak, çünkü bu bilgiler bir yöneticiye ve ailelerine hedeflenen taciz ve şiddete yol açabilir.
- Yüzey web ve sosyal medyaya gönderilmesi durumunda sızdırılmış bilgileri azaltmaya yardımcı olmak için yayından kaldırma çabalarını dağıtın.
- Sızan e -posta adresleri ve telefon numaraları gibi içerikler hem kendilerini hem de yöneticileri hedeflemek için kullanılabileceğinden, çalışanların en son kimlik avı tehditleri konusunda eğitildiğinden emin olun.
Son zamanlarda CEO’lara karşı şiddet tehditleri ve yöneticilerin izlenmesi için kapsamlı bir yaklaşım ihtiyacına ışık tuttu. Yöneticiler için güçlü bir korumaya sahip olmak, güvenlik ihlallerini önleyebilir, onları zarardan koruyabilir ve iş aksamalarını durdurabilir. Yüzey web, derin web, karanlık web ve sosyal medya genelinde yönetici tehditleri izlemek, bir yöneticinin çevrimiçi varlığına tam görünürlük sağlayacak ve ele alınması gereken gerçek tehditleri hızlı bir şekilde belirleyecektir. Bu tehdit türlerini aşina olarak ve yukarıdaki adımları takip ederek, güvenlik ekipleri yöneticilerini ve organizasyonlarını daha iyi koruyabilir.
__
Nick Oram, organizasyonları siber tehditlerden korumak için yenilikçi çabalara öncülük ettiği Global Siber Güvenlik Şirketi Fortra’da alan adı ve karanlık web izleme çözümlerinin kıdemli yöneticisidir. Siber güvenlik kariyerine 2016 yılında BrandProtect’te başladı ve şirketin karanlık web izleme hizmetini geliştirmede önemli bir rol oynadı. Bu erken çaba, o zamandan beri marka izleme ve tehlikeye atılan kimlik bilgisi izlemesini içerecek şekilde genişleyen bir hizmetin temelini attı.
Nick, Mercyhurst Üniversitesi’nden Uygulamalı Zeka Yüksek Lisansı kazandı, burada analitik yeteneklerini ve stratejik düşüncesini keskinleştirdi ve onu çeşitli zeka ortamlarında mükemmelleşmeye hazırladı. Nick’i LinkedIn’de takip edin.
Reklam
LinkedIn Group Bilgi Güvenlik Topluluğumuza katılın!