Şifre çalan kötü amaçlı yazılımlar tarafından çalınan kimlik bilgilerinden, kimlik bilgisi doldurma saldırılarından ve veri ihlallerinden elde edilen 361 milyon e-posta adresinden oluşan devasa bir hazine, Have I Been Pwned veri ihlali bildirim hizmetine eklendi ve böylece herkesin hesaplarının ele geçirilip geçirilmediğini kontrol etmesine olanak tanındı.
Siber güvenlik araştırmacıları bu kimlik bilgilerini çok sayıda Telegram siber suç kanalından topladı; burada çalınan veriler genellikle itibar ve abone oluşturmak için kanal kullanıcılarına sızdırılıyor.
Çalınan veriler genellikle kullanıcı adı ve şifre kombinasyonları (genellikle kimlik bilgisi doldurma saldırıları veya veri ihlalleri yoluyla çalınır), kullanıcı adı ve şifreler ile bunlarla ilişkili bir URL (şifre çalan kötü amaçlı yazılım yoluyla çalınır) ve ham çerezler (şifre- kötü amaçlı yazılım çalmak).
Kaynak: Troy Hunt (solda) ve BleepingComputer (sağda)
BleepingComputer’dan isminin gizli kalmasını isteyen araştırmacılar, birçok Telegram kanalından toplanan 122 GB’lık kimlik bilgilerini Have I Been Pwned’in sahibi Troy Hunt ile paylaştı.
Hunt’a göre bu veriler çok büyük; 361 milyon benzersiz e-posta adresi içeriyor ve 151 milyonu daha önce veri ihlali bildirim hizmeti tarafından görülmemiş.
Hunt, “2B satırlı 1,7 bin dosya ve 151 milyonu daha önce HIBP’de görülmemiş olan 361 milyon benzersiz e-posta adresi içeriyordu” diye yazdı.
“Bu adreslerin yanında şifreler ve çoğu durumda verilerin ait olduğu web sitesi de vardı.”
Bu kadar büyük bir veri kümesiyle sızdırılan tüm kimlik bilgilerinin meşru olduğunu doğrulamak imkansızdır.
Ancak Hunt, sızdırılan birçok e-posta adresinin çalınan kimlik bilgilerinde listelenen web sitesiyle doğru şekilde ilişkilendirildiğini doğrulamak için sitelerin şifre sıfırlama formlarını kullandığını söyledi. Hunt şifreyi doğrulayamadı çünkü bu onun hesaba giriş yapmasını gerektirecekti ve bu da yasa dışı olacaktı.
Kaynak: Troy Hunt
Etkilenmeyen site yok
Bu kadar büyük bir veri kümesiyle, oturum açmaya izin veren hiçbir site, BleepingComputer dahil, bu sızdırılan kimlik bilgilerinden etkilenmez.
Geçen hafta aynı araştırmacılar, BleepingComputer forumlarıyla ilişkili bilgi çalan kötü amaçlı yazılımlar tarafından çalınan kimlik bilgilerinin bir listesini BleepingComputer ile paylaşmıştı.
Bilgi çalan kötü amaçlı yazılım, virüslü bir cihazdan şifreleri, çerezleri, tarayıcı geçmişini, kripto para birimi cüzdanlarını ve diğer verileri çalan bir enfeksiyondur.
Bu veriler “günlük” adı verilen bir arşivde derlenir ve ardından tehdit aktörlerinin sunucularına iletilir; burada siber suç pazarlarında satılır, diğer tehdit aktörleriyle paylaşılır veya kurbanın diğer hesaplarına sızmak için kullanılır.
Bu tür kötü amaçlı yazılımlar genellikle sosyal medya, kırılmış yazılımlar, sahte VPN ürünleri veya yalnızca saldırıya uğramış oyun şirketi destek siteleri aracılığıyla gönderilen kötü amaçlı e-posta kampanyaları aracılığıyla dağıtılır.
BleepingCompute ile paylaşılan veriler, bir üyenin forumlarımıza giriş yapmak için kullandığı ve daha sonra tarayıcısının şifre yöneticisine kaydedilen kullanıcı adını, şifreyi ve URL’yi içerir.
Kaynak: BleepingComputer
Yukarıdaki URL’lerden görebileceğiniz gibi, birçok kullanıcı bilgisayarlarına virüs bulaştığından şüphelendikleri için BleepingComputer’ı ziyaret etti ve bunun artık doğru olduğunu biliyoruz.
BleepingComputer şu anda verileri analiz ediyor ve kopyaları kaldırıyor, böylece etkilenen üyelerin şifrelerini proaktif olarak sıfırlayabilir ve onları bir noktada bilgi çalan kötü amaçlı yazılımdan etkilendikleri konusunda uyarabiliriz.
Bilgi çalan kötü amaçlı yazılımdan etkilenen kullanıcılar, artık tarayıcılarının şifre yöneticisinde kayıtlı her hesaptaki ve aynı kimlik bilgilerini kullanan diğer sitelerdeki tüm şifreleri sıfırlamak zorunda kalacak.
Ne yazık ki, çalınan kimlik bilgileri genellikle çalındıklarını belirten bir zaman damgasıyla paylaşılmaz. Bu nedenle, etkilenen kullanıcılar tüm kimlik bilgilerinin ele geçirildiğini dikkate almalıdır.
Bu zorlu bir görev olsa da en azından hesaplarının ve hizmetlerinin yıllar boyunca neden tuhaf davranışlar sergilediğini bilecekler.
BleepingComputer ile genellikle şifrelerini defalarca değiştirseler bile hesaplarının sürekli olarak saldırıya uğradığını söyleyen kişiler iletişime geçiyor. Bu kişiler sürekli olarak cihazlarında veya ağlarında garip davranışlar bildiriyor ancak hiçbir kötü amaçlı yazılım bulaşmasına rastlanmıyor.
Kullanıcı artık deli olmadıklarını, ancak kötü niyetli etkinliğin muhtemelen önceden çalınmış olan kimlik bilgilerine atfedildiğini ve tehdit aktörlerinin bunları kendi eğlenceleri veya kötü niyetli etkinlikleri için kötüye kullandığını bilerek bir miktar kapanış elde edebilir.
Bilgi çalan kötü amaçlı yazılımlar, tehdit aktörleri tarafından fidye yazılımı ve veri hırsızlığı saldırıları gibi büyük saldırılar gerçekleştirmek için kullanılan bir siber güvenlik belası haline geldi.
Kosta Rika hükümetine, Microsoft’a, CircleCi’ye ve Orange Spain RIPE’deki bir hesaba yapılan saldırılar da dahil olmak üzere, kasıtlı olarak BGP’nin yanlış yapılandırılmasına yol açan, kimlik bilgilerinin bilgi çalan kötü amaçlı yazılımlar tarafından çalınmasından kaynaklanan bazı iyi bilinen saldırılar.
Son zamanlarda tehdit aktörleri, bilgi çalan kötü amaçlı yazılım kullanılarak çalınan, ele geçirilmiş kimlik bilgileri olduğuna inanılan verileri kullanarak Snowflake veritabanlarından veri çaldı.
Ne yazık ki, bilgi çalma saldırılarını önlemenin kolay bir çözümü yoktur; çünkü bunlar düşük karmaşıklığa sahiptir ve çeşitli saldırılar aracılığıyla geniş bir dağılıma sahiptir.
En iyi savunma, güvenilmeyen kaynaklardan gelen ekleri açmamak, yalnızca güvenilir kaynaklardan yazılım indirmek, Windows’ta dosya uzantılarını etkinleştirmek, virüsten koruma yazılımı kullanmak ve yazılımınızı güncel tutmak dahil olmak üzere iyi siber güvenlik alışkanlıkları uygulamaktır.
Fidye yazılımıyla ilgili daha ayrıntılı ancak yine de geçerli bir kılavuzu burada bulabilirsiniz.