Tom saygın bir finans kurumu için çalışıyor. Tahmin edilmesi neredeyse imkansız olan uzun ve karmaşık bir şifresi var. Ezberledi, sosyal medya hesaplarında ve kişisel cihazlarında da kullanmaya başladı. Tom’un haberi olmadan, bu sitelerden birinin şifre veritabanı bilgisayar korsanları tarafından ele geçirildi ve karanlık ağda satışa sunuldu. Artık tehdit aktörleri, sızdırılan bu kimlik bilgilerini gerçek hayattaki bireylere ve onların iş yerlerine bağlamak için yoğun bir şekilde çalışıyor. Çok geçmeden bir tehdit aktörü, CEO’suna hedef odaklı kimlik avı bağlantısı göndermek için Tom’un meşru e-posta hesabını kullanacak.
Bu, kötü niyetli saldırganların kuruluşun sistemlerine yetkisiz erişim sağladığı ve kritik bilgileri ve operasyonları riske attığı yaygın bir hesap ele geçirme senaryosudur. Genellikle güvenliği ihlal edilmiş kimlik bilgileriyle başlar. Hesap ele geçirme işleminin başladıktan sonra durdurulmasının neden bu kadar zor olduğunu ve güçlü şifre güvenliğinin neden en iyi önlem olduğunu açıklayacağız.
Hesap ele geçirme saldırıları neden bu kadar tehlikeli?
Bir kuruluş içindeki bir Active Directory hesabına erişim kazanmak, bir bilgisayar korsanının rüya senaryosudur. Meşru bir ilişkili e-posta hesabından veya anlık mesajlaşma hizmetinden sosyal mühendislik saldırıları başlatabilirler ve diğer çalışanlarla iç güvenlik tarafından işaretlenmeyecek güvenilir bir hesap üzerinden iletişim kurabilirler. Kimlik avı mesajları dikkatli bir şekilde hazırlanmışsa, kimliğe bürünmenin keşfedilmesi biraz zaman alabilir.
Saldırganlar, mevcut ayrıcalıklara sahip bir hesabı ele geçirebilir veya eski veya etkin olmayan bir hesabı tehlikeye atarak ayrıcalıklarını oradan yükseltmeye çalışabilir. Bu onlara, gizli iş planları, finansal veriler, fikri mülkiyet veya çalışanların veya müşterilerin kişisel olarak tanımlanabilir bilgileri (PII) gibi kuruluş içinde paylaşılan her türlü hassas bilginin anahtarlarını verebilir. Ele geçirilen hesabın meşruluğu, bu dolandırıcılık faaliyetlerinde başarı şansını artırır.
Bu saldırılar meşru kullanıcı kimlik bilgilerinin kullanılmasını içerdiğinden, yetkili ve yetkisiz erişim arasında ayrım yapmak zordur. Saldırganlar genellikle yasal kullanıcıların davranışlarını taklit ederek şüpheli etkinliklerin veya anormalliklerin tespit edilmesini zorlaştırır. Kullanıcılar, özellikle de saldırganlar şüphe yaratmadan erişimi sürdürüyorsa, hesaplarının ele geçirildiğini fark etmeyebilirler. Tespitteki bu gecikme, saldırganların kötü niyetli faaliyetlerine devam etmesine olanak tanır, potansiyel hasarı artırır ve düzeltmeyi daha zor hale getirir.
Active Directory ortamınızda kaç adet eski ve etkin olmayan hesabın yanı sıra diğer parola güvenlik açıklarını da bilmek ister misiniz? Bu ücretsiz salt okunur şifre denetimini çalıştırın.
Gerçek hayattan örnek: ABD Eyalet Hükümeti ihlali
Adı açıklanmayan bir ABD Eyalet Hükümeti kuruluşunda yakın zamanda yaşanan bir güvenlik olayı, hesapların ele geçirilmesinin tehlikelerini vurguladı. Bir tehdit aktörü, eski bir çalışanın sızdırılan kimlik bilgilerini kullanarak dahili bir sanal özel ağ (VPN) erişim noktasında kimliğini başarıyla doğruladı. Saldırgan ağa girdikten sonra bir sanal makineye erişti ve tespit edilmekten kaçınmak için meşru trafiğe karıştı. Güvenliği ihlal edilen sanal makine, saldırgana hem şirket içi ağda hem de Azure Active Directory’de yönetim ayrıcalıklarına sahip başka bir kimlik bilgileri kümesine erişim sağladı.
Tehdit aktörü, bu kimlik bilgileriyle kurbanın ortamını araştırdı, bir etki alanı denetleyicisine karşı hafif dizin erişim protokolü (LDAP) sorguları yürüttü ve ana bilgisayar ve kullanıcı bilgilerine erişim elde etti. Saldırganlar daha sonra ihlal edilen bilgileri finansal kazanç elde etmek amacıyla karanlık ağda yayınladılar.
Zayıf ve güvenliği ihlal edilmiş şifreler hesabın ele geçirilmesine nasıl yol açar?
Kötü şifre güvenliği uygulamaları, hesabın ele geçirilmesi riskini önemli ölçüde artırabilir. Tahmin edilmesi veya kırılması kolay zayıf şifreler kullanmak, saldırganların hesapların güvenliğini aşmasını çok kolaylaştırır. Son kullanıcılar ortak kök ifadeleri seçer ve ardından ” gibi karmaşıklık gereksinimlerini karşılamak için basit yapılara sahip özel karakterler ekler.şifre123!“. Bunlar, bilgisayar korsanlarının kullandığı otomatik kaba kuvvet teknikleri ile hızla tahmin edilecektir.
Kayda değer sayıda kuruluş hâlâ, hesapların ele geçirilmesine açık olan zayıf şifrelere izin veren şifre politikalarına sahiptir. Ancak güçlü şifrelerin de tehlikeye girebileceğini unutmamak önemlidir.
Parolanın yeniden kullanımı genellikle gözden kaçırılır ancak en riskli son kullanıcı davranışlarından biridir. İnsanlar aynı şifreyi (güçlü olsa bile) birden fazla hesapta yeniden kullandığında, bir hizmetteki bir ihlal kimlik bilgilerinin açığa çıkmasına neden olabilir ve saldırganların diğer hesaplara erişmesini kolaylaştırabilir. Bir siber suçlu, güvenliği ihlal edilmiş bir web sitesinden bir kullanıcının şifresini ele geçirirse, bunu iş hesaplarına yetkisiz erişim sağlamak için kullanmayı deneyebilir.
Hesabın ele geçirilmesini önlemek için şifre güvenliğini güçlendirin
Daha güçlü şifre güvenliği, hesap ele geçirme saldırılarının önlenmesinde çok önemli bir rol oynar. MFA’nın uygulanması, kullanıcıların parolalarına ek olarak tek kullanımlık parola, biyometrik veriler veya fiziksel belirteç gibi ek doğrulama faktörleri sağlamasını zorunlu kılarak ekstra bir güvenlik katmanı ekler. Ancak MFA hatasız değildir ve atlanabilir. Zayıf ve güvenliği ihlal edilmiş şifreler, hesap devralma işlemlerinin neredeyse her zaman başlangıç noktasıdır.
Minimum 15 karakter uzunluğunda, büyük ve küçük harflerden, rakamlardan ve özel karakterlerden oluşan bir kombinasyon gibi karmaşık şifre gereksinimlerinin zorunlu kılınması, saldırganların kaba kuvvet veya sözlük saldırıları yoluyla şifreleri tahmin etmesini veya kırmasını zorlaştırır.
Ancak kuruluşunuzun, parolaların yeniden kullanılması gibi riskli davranışlar nedeniyle ele geçirilmiş olabilecek parolaları tespit edecek bir yola da ihtiyacı var. Specops Parola Politikası gibi bir araç, Active Directory ortamınızı, sürekli büyüyen 4 milyarın üzerinde güvenliği ihlal edilmiş parola listesine karşı sürekli olarak tarar. Bir son kullanıcının ihlal edilmiş bir parola kullandığı tespit edilirse, parolayı değiştirmesi ve olası bir saldırıyı ele geçirme yolunu kapatması gerekir.
Specops Şifre Politikasının kuruluşunuza nasıl uyabileceğini görmek ister misiniz? Bizimle konuşun ve ücretsiz bir deneme ayarlayabiliriz.