Kimlik ifşasının ölçeği önemli ölçüde arttı ve ankete katılan kuruluşların %90’ından fazlası son bir yıl içinde kimlikle ilgili bir ihlal bildirdi. Bu saldırıların uzun vadeli sonuçları var – SpyCloud’un 2024 Kimlik İfşası Raporu, ortalama bir dijital kimliğin dokuz ihlalde göründüğünü ve 15 ihlal kaydıyla ilişkilendirildiğini buldu.
Kimliklere yönelik artan tehdit, kuruluşları siber savunmalarını güçlendirmek için anahtarlar gibi yeni yaklaşımlar ve araçlar benimsemeye zorladı. Ancak, bu çabalara rağmen suçlular hala karmaşık, yeni nesil kimlik saldırıları yoluyla bu korumalardan kaçmayı başarıyor. Oturum çerezleri, API belirteçleri veya form doldurma verileri gibi tarayıcılar tarafından kaydedilen bilgiler, suçluların bu saldırı yöntemlerinden faydalanmasını ve bir kullanıcının hesabının kontrolünü ele geçirmek için geleneksel kimlik doğrulama korumalarını aşmasını sağlar.
Bu gelişen tehditlere karşı koymak için kuruluşların yalnızca dijital kimliğin nelerden oluştuğuna dair anlayışlarını genişletmekle kalmayıp aynı zamanda ortaya çıkan saldırı vektörlerine karşı savunmak için proaktif önlemler almaları gerekiyor.
Kimlikte Neler Var?
Bir kullanıcının dijital kimliği artık bir e-postayla veya kullanıcı adıyla ve parolayla sınırlı değil. Çevrimiçi olarak paylaştığımız veri miktarındaki sürekli artışla birlikte, suçlular potansiyel saldırılar için kullanılabilecek giderek artan bir kişisel olarak tanımlanabilir bilgi (PII) havuzuna erişebiliyor.
SpyCloud, 2023’te darknet’te doğum tarihleri, kredi kartları, pasaport bilgileri ve sosyal güvenlik numaraları dahil olmak üzere 200’den fazla benzersiz kişisel olarak tanımlanabilir bilgi (PII) türü buldu. Kullanıcı kimlikleri, ulusal kimlikler, konum bilgileri, sosyal medya hesapları ve daha fazlası gibi yüzlerce veri türünü içerecek şekilde genişledi. Siber suçlular, saldırı düzenlerinin kapsamını önemli ölçüde artırmak için ortaya çıkan veri kümelerinden yararlanıyor.
Görünüşte farklı veri türlerini birleştirerek saldırganlar bilgileri bir araya getirebilir ve kimlik hırsızlığı, dolandırıcılık ve yeni nesil hesap ele geçirme gibi siber suçlar işleyebilir. Araştırmamız, ihlallerde ifşa olan kişilerin %74’ünden fazlasının ele geçirilmiş parolaları tekrar kullandığını ve şanslı bir suçlunun altın bulma olasılığını artırdığını gösteriyor.
Dijital kimliklerimiz eski hesap tabanlı kimlik bilgilerinin ötesine genişledikçe, korumalarımızın yeni trendlere uygun kalacak şekilde değişmesi gerekiyor.
“C kurabiye anlamına geliyor ve kurabiye de benim.” – Kurabiye Canavarı
Suçluların, karmaşık siber saldırılar gerçekleştirmek için kullanıcıların oturum çerezlerini kullanması, genişletilmiş dijital kimliklerden kaynaklanan bir diğer eğilimdir. Geçtiğimiz yıl karanlık ağda 20 milyardan fazla çerez kaydı ifşa edildi ve kötü amaçlı yazılım bulaşmış her cihazdan ortalama 2.000’den fazla kayıt çalındı. Bu çerezler, suçlulara saldırıları gerçekleştirmek için ihtiyaç duydukları tüm bilgileri sağlar; örneğin, suçluların çalınan çerezleri kullanarak mevcut bir çevrimiçi oturumu ele geçirmesi olan oturum ele geçirme.
Genellikle infostealer kötü amaçlı yazılımları aracılığıyla elde edilen bu çerezleri saldırganlar, geleneksel kimlik doğrulama korumalarını aşmalarına ve özellikle kurbanın IP adresi ve diğer ana bilgisayar bilgileri gibi bilgilerle birleştirildiğinde kullanıcıları taklit etmelerine olanak tanıyan sözde “anti-algılama” tarayıcılarına yerleştirir. Bu saldırılar, tehdit aktörlerine meşru kullanıcıyla aynı hak ve izinleri sağlar ve bu da onları tespit etmeyi aşırı derecede zorlaştırır.
Geçiş anahtarları ve çok faktörlü kimlik doğrulama (MFA) bu saldırılara karşı koruma sağlamaz; oturum ele geçirme kimlik doğrulama sürecini tamamen atlatır. Ve cihaz parmak izi gibi anormal davranışları tespit etmenin karmaşık yöntemleri bile suçlu konut proxy’leri ve diğer siber suç etkinleştirme hizmetleri kullanılarak atlatılabilir. Kötü amaçlı yazılım kaynaklı saldırılar popülerlik kazanırken, kuruluşların kötü amaçlı yazılımların oluşturduğu tehdidi ve bunu nasıl azaltacaklarını anlamaları gerekir.
Kötü Amaçlı Yazılımlar Kimlikleri Daha Önce Hiç Olmadığı Kadar Açığa Çıkarıyor
2023’teki veri ihlallerinin %61’inden fazlası kötü amaçlı yazılımlarla ilgiliydi. Bilgi çalan kötü amaçlı yazılımlar yeni bir kavram olmasa da, daha önce hiç bu kadar erişilebilir ve özellik açısından zengin olmamıştı.
Infostealer kötü amaçlı yazılım, saniyeler içinde büyük miktarda yüksek kaliteli veriyi sızdırabildiği için önemli bir tehdit oluşturur. Genellikle kötü amaçlı yazılım hizmeti veya MaaS olarak satılan bu hırsızlar, genellikle kötü amaçlı yazılımın antivirüs ve diğer uç nokta güvenlik çözümleri tarafından tespit edilmesini zorlaştırmayı amaçlayan hizmetlerle birlikte gelir. Bu çözümleri atlatma yeteneği, kötü aktörün varlığına dair kurbanın cihazında çok az veya hiç iz bırakmaz ve izlenecek birkaç ağ tabanlı gösterge bırakır. SpyCloud, yalnızca 2023’te, ortalama bir dijital kimliğin halihazırda bir infostealer kötü amaçlı yazılım enfeksiyonunun kurbanı olma ihtimalinin 5’te 1 olduğunu buldu.
Karanlık ağda aktif olan bilgi hırsızı ailelerinin muazzam hacmi ve çeşitliliği tehdidi daha da kötüleştiriyor. 2023’te karanlık ağda 52’den fazla bilgi hırsızı ailesi aktifti ve yılın son çeyreğinde dört tamamen yeni aile keşfedildi.
Bununla birlikte, kullanıcılar için risk oluşturan yalnızca bu saldırıların ölçeği değil; hedeflenen verilerin doğası da önemlidir. Mevcut siber ortamda, giderek daha karmaşık hale gelen kimlik tehditlerine karşı korunmak yeni bir yaklaşım gerektirir.
Yeni nesil korumalar
Mevcut kötü amaçlı yazılım giderme stratejileri kötü amaçlı yazılımlarla tehlikeye atılmış cihazları ele almaya odaklanır ancak oturum çerezleri ve karanlık ağda halihazırda ifşa edilmiş diğer PII gibi değerli kimlik verilerini ihmal eder. Düzeltilmezse, suçlular cihazlar silindikten uzun süre sonra bile ek siber suçları kolaylaştırmak için bu verileri karanlık ağda satacak veya takas edecektir.
Kuruluşların, bir saldırıda çalınan verileri ele alan ve hesaba katan sağlam bir enfeksiyon sonrası düzeltme stratejisine ihtiyacı vardır. Kuruluşlar, karanlık ağı tehlikeye atılmış veriler açısından proaktif bir şekilde izleyerek, saldırı yüzeylerine daha bütünsel bir bakış açısı elde edebilirler. Güvenlik ekipleri daha sonra kullanıcıları, oturum çerezleri gibi ifşa edilmiş verileri sıfırlamaya zorlayabilir ve suçluların zarar vermeden önce giriş noktalarını kesebilir.
BT ekipleri, kötü amaçlı yazılımlardan kaynaklanan güvenlik açıklarını ele alan, daha yüksek görünürlük sunan çözümlere öncelik vermelidir. Güvenlik ekipleri, cihaz merkezli bir kötü amaçlı yazılım temizleme stratejisinden kimlik merkezli bir kötü amaçlı yazılım temizleme stratejisine geçerek, bilgi hırsızı kötü amaçlı yazılım risklerini proaktif bir şekilde azaltabilir, marka itibarını ve şirketlerin kârını koruyabilir.
yazar hakkında
Trevor, SpyCloud Labs’ın Başkan Yardımcısıdır. Trevor, ABD Ordusunda dokuz yıl görev yaptı ve federal kolluk kuvvetlerinde, hem DoD hem de FBI için tehdit aktörlerini izlemede kapsamlı bir geçmişe sahiptir. Ortak Fidye Yazılımı Görev Gücü’nün bir üyesidir ve siber güvenliğe odaklanan birden fazla kâr amacı gütmeyen kuruluş için danışmanlık görevi yapmaktadır. Çok sayıda ABD ve uluslararası siber konferansta konuşma yapmıştır, siber güvenlik alanında birden fazla federal ve endüstri sertifikasına sahiptir ve siber tehditlerle mücadeleyi amaçlayan gönüllü hizmetlerinden dolayı Başkan’ın Gönüllü Hizmet Ödülü’nü almıştır.
Trevor’a SpyCloud’un web sitesi https://spycloud.com/ üzerinden çevrimiçi ulaşılabilir.