Okta, kimlik ve erişim yönetimi çözümlerini hedef alan “benzeri görülmemiş ölçekte” kimlik bilgisi doldurma saldırılarının bazı müşteri hesaplarının ihlaline yol açtığını bildirdi.
Tehdit aktörleri, kullanıcı adı ve parola listelerini otomatik bir şekilde sistematik olarak deneyerek kullanıcı hesaplarını tehlikeye atmak için parola püskürtme ve kaba zorlama gibi kimlik bilgisi doldurma tekniklerini kullanır. Bu listeler genellikle diğer veri sızıntılarından, kimlik avı ve bilgi hırsızlığı kampanyalarından veya birkaç on dolardan binlerce dolara kadar satıldığı yeraltı siber suç forumlarından elde ediliyor.
“Geçen ay boyunca Okta, çevrimiçi hizmetleri hedef alan kimlik bilgileri doldurma saldırılarının sıklığında ve ölçeğinde, konut proxy hizmetlerinin, daha önce çalınan kimlik bilgilerinin listelerinin (“birleşik listeler”) ve komut dosyası oluşturma araçlarının yaygın olarak bulunmasının kolaylaştırdığı bir artış gözlemledi. ” Okta Cumartesi günü yapılan bir danışma toplantısında söyledi.
Kimlik ve erişim yönetimi sağlayıcısı, saldırıların, Cisco Talos tarafından tanımlanan VPN’leri ve SSH hizmetlerini hedef alan daha önce bildirilen kaba kuvvet ve parola püskürtme saldırılarında kullanılan altyapının aynısından kaynaklandığını söyledi.
Kimlik Bilgisi Doldurma Saldırılarında TOR Kullanımı
Okta, gözlemlenen tüm saldırılarda isteklerin bir TOR anonimleştirme ağından ve NSOCKS, Luminati ve DataImpulse gibi çeşitli yerleşik proxy’lerden kaynaklandığını belirtti.
Konut proxy’leri, konut kullanıcılarının IP adreslerini kullanan bir proxy sunucu ağıdır. Anonim tarama, coğrafi kısıtlamaların aşılması ve güvenli web sitelerine erişim için kullanışlıdırlar. Sağlayıcılar, trafik kaynaklarını anonimleştirmek için gerçek kullanıcıların cihazlarına erişim kiralar.
Okta, genellikle bu ağları nasıl kurduklarını açıklamıyorlar, bazen kullanıcıları bilerek veya kötü amaçlı yazılım yoluyla kaydettiriyorlar; “biz bunu genellikle botnet olarak tanımlıyoruz” dedi Okta. Bu, trafiğin VPS sağlayıcılarından değil, günlük kullanıcıların cihazlarından geliyormuş gibi görünmesine neden olur.
FBI daha önce, büyük ölçekli kimlik bilgisi doldurma saldırıları gerçekleştirmek için yerleşik proxy’leri kullanan siber suçluların artan bir eğilimi olduğu konusunda uyarmıştı.
Okta, saldırıların, Log and Enforce modu yerine ThreatInsight’ın yalnızca Denetim modunda yapılandırıldığı Okta Classic Engine’i kullanan kuruluşlara karşı oldukça etkili olduğunu gözlemledi.
Ek olarak, anonimleştirici proxy’lerin erişimini engelleyemeyen kuruluşlar, bu saldırılarda daha yüksek bir başarı oranı elde etti. Ancak IAM sağlayıcısı, saldırıların Okta müşterilerinin yalnızca küçük bir yüzdesinde başarılı olduğunu söyledi.
Bu tehditlere karşı koymak için Okta şunları önerdi:
- Kimlik doğrulama girişiminden önce kimlik bilgisi doldurma girişimleriyle ilişkili IP adreslerini proaktif olarak engellemek için Günlük ve Zorlama Modunda ThreatInsight’ın etkinleştirilmesi.
- Şüpheli anonimleştirme hizmetlerinden kaynaklanan istekleri önleyici olarak engellemek için anonimleştirici proxy’lerin erişimini reddetme.
- Riskli oturum açma işlemleri ve parolasız kimlik doğrulama için CAPTCHA zorlukları gibi gelişmiş güvenlik özelliklerine geçiş.
- Coğrafi konum gibi kriterlere göre erişimi yönetmek ve belirli IP’leri seçici olarak engellemek veya izin vermek için Dinamik Bölgelerin uygulanması.
Kimlik Bilgisi Doldurma Saldırıları Neden Hala Etkili?
Kimlik bilgisi doldurma saldırıları geleneksel olarak çok düşük bir başarı oranına sahiptir ve Cloudflare’e göre bu oranın %0,1 civarında olduğu tahmin edilmektedir. Buna rağmen saldırganların sahip olduğu çok sayıda kimlik bilgisi nedeniyle kârlı olmaya devam ediyor. Koleksiyonlar milyonlarca veya milyarlarca kimlik bilgisi içerir ve bunların küçük bir kısmı bile kârlı verilere yol açar.
Dijital kullanıcıların %85’ine varan oranlarda gözlemlenen şifre veya kimlik bilgilerinin yeniden kullanımının yaygınlığı, bu saldırıların tekrarlanmasını ve etkinliğini de kolaylaştırıyor. Buna ek olarak bot teknolojisindeki gelişmeler, saldırganların zaman gecikmeleri ve IP yasakları gibi güvenlik önlemlerini atlatmasına olanak tanıyor.
Okta’ya göre, kimlik bilgisi doldurma, 2023’teki tüm giriş denemelerinin %24,3’ünü oluşturuyor. Bulgular, perakende ve e-ticaret şirketlerinin tüm kimlik bilgisi doldurma olaylarının yarısından fazlasını (%51,3) oluşturduğunu belirtti. Okta, bunun muhtemelen o sektördeki hesaplarla ilişkili değerden kaynaklandığını söyledi.
Coğrafi olarak Amerika bölgesi, %28 ile en yüksek kimlik bilgisi doldurma saldırı oranına sahiptir; bu, en büyük perakende ve medya şirketlerinden bazılarının ABD merkezli olması nedeniyle önceki bulgularla uyumludur.
Medya Yasal Uyarısı: Bu rapor, çeşitli yollarla elde edilen iç ve dış araştırmalara dayanmaktadır. Sağlanan bilgiler yalnızca referans amaçlıdır ve bu bilgilere güvenme konusunda tüm sorumluluk kullanıcılara aittir. Cyber Express bu bilgilerin kullanılmasının doğruluğu veya sonuçları konusunda hiçbir sorumluluk kabul etmez.