Şunu hayal edin: Muhasebeden Sarah, kuruluşunuzun bulut sağlayıcısından rutin bir şifre sıfırlama e-postasına benzeyen bir e-posta alıyor. Bağlantıyı tıklıyor, kimlik bilgilerini giriyor ve e-tablosuna geri dönüyor. Ancak kendisinin bilmediği büyük bir hata yaptı. Sarah, yanlışlıkla giriş bilgilerini, kimlik bilgilerini yaklaşık 15 dolara satacakları karanlık web pazarlarına kadar gülen siber suçlulara verdi. Tek seferlik olmasa da büyütüldüğünde ciddi bir para kazandıran operasyon.
Kimlik bilgisi uzlaşma yaşam döngüsü
- Kullanıcılar kimlik bilgilerini oluşturur: Düzinelerce bağımsız iş uygulamasıyla (her biri kendi giriş bilgilerine sahip) çalışanlarınızın çok sayıda hesap oluşturması gerekir. Ancak birden fazla benzersiz kullanıcı adını/şifreyi takip etmek zahmetlidir, bu nedenle şifreleri yeniden kullanırlar veya küçük değişiklikler yaparlar.
- Bilgisayar korsanları kimlik bilgilerini tehlikeye atıyor: Saldırganlar bu kimlik bilgilerini kimlik avı, kaba kuvvet saldırıları, üçüncü taraf ihlalleri veya açığa çıkan API anahtarları yoluyla ele geçirir. Ve çoğu zaman kimse bunun olduğunu fark etmez bile.
- Bilgisayar korsanları kimlik bilgilerini topluyor ve bunlardan para kazanıyor: Suç ağları, çalınan kimlik bilgilerini büyük veritabanlarına boşaltıyor ve ardından bunları yer altı pazarlarında satıyor. Bilgisayar korsanları şirketinizin giriş bilgilerini en yüksek teklifi verene satar.
- Bilgisayar korsanları kimlik bilgilerini dağıtıyor ve silah haline getiriyor: Alıcılar bu kimlik bilgilerini suç ağlarına yayıyor. Botlar, bulabilecekleri her iş uygulamasına karşı onları test ederken, insan operatörler de en değerli hedefleri gelişigüzel seçiyor.
- Bilgisayar korsanları kimlik bilgilerinden aktif olarak yararlanıyor: Başarılı oturum açma işlemleri, saldırganların konuyu derinlemesine incelemesine, ayrıcalıkları artırmasına ve gerçek işlerine (veri hırsızlığı, fidye yazılımı veya en iyi getirisi ne olursa olsun) başlamasına olanak tanır. Tuhaf oturum açma kalıplarını veya olağandışı ağ etkinliğini fark ettiğinizde, bunlar zaten günlerce, haftalarca, hatta daha uzun süredir içeride kalmış olabilir.
Ortak uzlaşma vektörleri
Suçluların şirketinizin kullanıcı kimlik bilgilerini ele geçirmenin pek çok yolu vardır:
- Kimlik avı kampanyaları: Saldırganlar, çalıntı şirket logoları ve ikna edici metinlerle tamamlanan, yasal görünen sahte e-postalar hazırlar. Güvenlik konusunda en bilinçli çalışanlarınız bile bu karmaşık dolandırıcılıklara kanabilir.
- Kimlik bilgisi doldurma: Saldırganlar eski ihlallerden parolaları ele geçirir ve bunları her yerde test eder. %0,1’lik bir hackleme başarı oranı çok küçük görünebilir, ancak parolaların yaygın şekilde yeniden kullanılması ve bilgisayar korsanlarının saat başına milyonlarca kimlik bilgisini test etmesi gerçeği göz önüne alındığında, bu oran hızla artıyor.
- Üçüncü taraf ihlalleri: LinkedIn saldırıya uğradığında saldırganlar yalnızca LinkedIn kullanıcılarını hedeflemez; aynı kimlik bilgilerini diğer tüm iş uygulamalarına karşı da test ederler. Şirketiniz dünyadaki en sağlam güvenliğe sahip olabilir ancak kullanıcılar kimlik bilgilerini yeniden kullanıyorsa yine de savunmasız durumdasınız.
- Sızan API anahtarları: Geliştiriciler yanlışlıkla kimlik bilgilerini GitHub depolarında, yapılandırma dosyalarında ve belgelerde yayınlar. Otomatik botlar bunları 7/24 tarar ve birkaç dakika içinde yakalar.
Suç ekosistemi
Tıpkı bir araba hırsızlığı çetesinin farklı oyuncuları olması gibi – sokak düzeyinde arabaları çalan hırsızlardan, parça dükkanı işletmecilerine ve denizaşırı ihracatçılara kadar – Kimlik bilgileri hırsızlığı ekosisteminde, çalınan kimlik bilgilerinizden farklı şeyler isteyen kötü aktörler bulunur. Ancak onların oyununu bilmek, kuruluşunuzu daha iyi savunmanıza yardımcı olabilir.
Fırsatçı dolandırıcılar hızlı para ister. Banka hesaplarını boşaltacaklar, hileli satın alımlar yapacaklar veya kripto çalacaklar. Seçici değillerdir; işletme bilgileriniz tüketici sitelerinde çalışıyorsa bunları kullanırlar.
Otomatik botnet’ler asla uyumayan kimlik bilgisi test makineleridir. Binlerce web sitesine milyonlarca kullanıcı adı/şifre kombinasyonu atarak kalıcı bir şey arıyorlar. Oyunlarının adı kesinlik değil hacimdir.
Daha sonra suç pazarları, çalınan kimlik bilgilerini toplu olarak satın alan ve bunları son kullanıcılara yeniden satan aracı görevi görür. Alıcıların kuruluşunuzun verilerini kolayca bulmasını sağlayan arama işlevleriyle bunları siber suçların eBay’i olarak düşünün.
Organize suç grupları kimlik bilgilerinize stratejik silah muamelesi yapıyor. Aylarca erişime açık kalacaklar, ağınızı haritalandıracaklar ve fidye yazılımı veya IP hırsızlığı gibi büyük saldırılar planlayacaklar. Bunlar, tek bir kimlik bilgisinden taviz vermeyi milyon dolarlık felaketlere dönüştüren türden profesyoneller.
Gerçek dünya etkisi
Saldırganlar bir dizi çalışma bilgisini ele geçirdikten sonra hasar hızla başlar ve her yere yayılır:
- Hesap devralma: Bilgisayar korsanları meşru erişimle güvenlik kontrollerinizin önünden geçerler. E-postaları okuyorlar, müşteri verilerini alıyorlar ve çalışanlarınızdan geliyormuş gibi görünen mesajlar gönderiyorlar.
- Yanal hareket: Güvenliği ihlal edilmiş bir hesap hızla on, ardından elli olur. Saldırganlar ağınıza atlayarak ayrıcalıkları yükseltir ve en değerli sistemlerinizin haritasını çıkarır.
- Veri hırsızlığı: Saldırganlar, müşteri veritabanları, mali kayıtlar, ticari sırlar gibi en önemli değerlerinizi tanımlamaya ve bunları izleme araçlarınıza normal görünen kanallar aracılığıyla ele geçirmeye odaklanır.
- Kaynak kötüye kullanımı: Saldırganlar kripto madenciliği operasyonlarını hızlandırdıkça, e-posta sistemleriniz üzerinden spam gönderdikçe veya kendi projeleri için API kotalarını tükettikçe bulut faturanız patlar.
- Fidye yazılımı dağıtımı: Bilgisayar korsanları büyük bir kazanç elde etmek istiyorlarsa genellikle fidye yazılımlarına yönelirler. Önemli olan her şeyi şifrelerler ve yedeklerden geri yükleme işlemi sonsuza kadar sürdüğünden ve ucuz bir süreçten uzak olduğundan muhtemelen ödeyeceğinizi bilerek ödeme talep ederler.
Ama bu sadece başlangıç. Ayrıca düzenleyici cezalara, davalara, devasa iyileştirme maliyetlerine ve yeniden inşa edilmesi yıllar süren bir itibara da bakıyor olabilirsiniz. Aslına bakılırsa birçok kuruluş, büyük bir kimlik bilgilerinin tehlikeye girmesi olayından asla tam olarak kurtulamaz.
Şimdi harekete geçin
Gerçek şu ki, şirketinizin bazı kullanıcı kimlik bilgileri muhtemelen zaten ele geçirilmiştir. Ve açığa çıkan kimlik bilgileri ne kadar uzun süre fark edilmeden kalırsa, sırtınızdaki hedef o kadar büyük olur.
Suçlular onları kullanmadan önce ele geçirilen kimlik bilgilerinizi bulmayı bir öncelik haline getirin. Örneğin, Outpost24’ün Kimlik Bilgisi Denetleyicisi, şirketinizin e-posta alanının sızıntı depolarında, gözlemlenen kanallarda veya yer altı pazaryerlerinde ne sıklıkta göründüğünü gösteren ücretsiz bir araçtır. Bu ücretsiz, kayıt gerektirmeyen kontrol, ele geçirilen bireysel kimlik bilgilerini görüntülemez veya kaydetmez; sadece risk düzeyinizin farkına varmanızı sağlar. Alanınızda sızdırılan kimlik bilgileri olup olmadığını hemen kontrol edin.