Çalınan Kimlik Bilgileri Ortamında Erişim ve Güvenlikte Gezinme
Yazan: Tom Caliendo, Siber Güvenlik Muhabiri, Brocket Consulting LLC Kurucu Ortağı
Son birkaç yılda, veri ihlallerinde benzeri görülmemiş sayıda çalıntı oturum açma bilgileri açığa çıktı. Veri İhlali Arama Motorları (DBSE’ler), çalınan bu kimlik bilgilerine giderek daha fazla kamu erişimi sağlıyor. Kullanıcıları olası verilere maruz kalma konusunda uyarmak için tasarlanan bu motorlar, kötü niyetli aktörlerin çalınan oturum açma kimlik bilgilerini kullanmalarına yardımcı olarak istemeden de olsa büyüyen siber tehdit ortamına katkıda bulunabilir.
Geçtiğimiz yıl, çalıntı oturum açma kimlik bilgilerini kullanan kötü niyetli aktörlerden kaynaklanan tehditlerde endişe verici bir artışa tanık olunmasına rağmen, DBSE’lerin potansiyel olarak zararlı rolü büyük ölçüde göz ardı edildi.
DBSE’ler, kişisel bilgilerinin bir ihlal nedeniyle açığa çıkması durumunda bireyleri bilgilendirmek amacıyla yıllardır varlığını sürdürüyor. Bu, karanlık ağdan ihlal edilen verileri aramayı ve bu bilgilerin bir kısmını DBSE’nin “yüzey ağı” olarak da bilinen normal internetteki web sitesinde kamuya açık hale getirmeyi içerir.
Geleneksel olarak DBSE’ler, ziyaretçileri yalnızca e-posta adreslerinin veya kullanıcı adlarının herhangi bir veri ihlalinde listelenmesi durumunda bilgilendirerek, belirli bir hesap için şifrelerini değiştirmelerini isterdi. Bununla birlikte, kullanıcılara, diğer kişilerin oturum açma kimlik bilgileri de dahil olmak üzere, ihlallerden elde edilen ham verilere erişim olanağı sunan yeni bir DBSE kategorisi ortaya çıktı. Bu yeni DBSE’ler popülerlik kazanıyor.
Bu eğilim, çalıntı kimlik bilgilerine yönelik karanlık web yeraltı pazarının hızlı bir büyüme yaşamasıyla ortaya çıkıyor. Recorded Future’ın 2022 Yıllık Raporu’nda bildirildiği üzere, talep öncelikle çalınan kimlik bilgilerini kötü amaçlı eylemler için kullanmak isteyen siber suçlular tarafından yönlendiriliyor. Sift’in 2023 3. Çeyreği Dijital Güven ve Güvenlik Endeksi’ne göre, son trendler çalınan kimlik bilgilerinin siber suçlar için kullanımının arttığını ortaya koyuyor; Hesap Devralma dolandırıcılığı 2023’ün 2. çeyreğinde önceki yıla göre %354 arttı. Ayrıca Verizon’un 2023 Veri İhlali Araştırma Raporu’na (DBIR) göre, geçen yılki veri ihlallerinin %49’u çalıntı kimlik bilgilerinin kullanılmasından kaynaklanıyor.
Bu çerçevede, DBSE’ler açığa çıkan kimlik bilgilerini kamuya daha erişilebilir hale getiriyor. Bu, ihlal edilen verilerin İnternet’in karanlık köşeleriyle sınırlı olduğu günlerden önemli bir ayrılığa işaret ediyor. F5 Labs 2021 Kimlik Bilgisi Doldurma Raporu, kurbanların oturum açma bilgilerini arayan kötü niyetli aktörler için giriş engelinin azaldığını belirtiyor. Bir veritabanını hacklemek için uzmanlık gerektiren, elit satıcılarla bağlantı veya özel karanlık web pazarlarına erişim gerektiren, belirli düzeyde beceri, fon ve/veya kişisel bağlantı talep etmek için kullanılan açık kimlik bilgilerine erişim. Bununla birlikte, doğrulanmış kimlik bilgileri satmaya istekli hizmetlerin giderek yaygınlaşmasıyla, herkes erişim elde edebilir.
Bununla birlikte, DBSE’ler kimlik bilgilerinin ifşa edilmesine yardımcı olsa bile, çalınan tüm kimlik bilgilerinin aynı olmadığını bilmek çok önemlidir. Bilgisayar korsanları genellikle çalınan kimlik bilgilerini mümkün olduğu kadar uzun süre gizli tutmaya çalışır. İhlal edilen kimlik bilgileri, Cofense 2023 Yıllık E-posta Güvenliği Durumu Raporu’nda belirtildiği gibi, kurbanların şifrelerini derhal değiştirmesi nedeniyle kamuya açık hale geldiğinde değerini kaybeder. F5 Labs, çalınan kimlik bilgilerinin hırsızlıktan kamuya ifşa edilmesine kadar olan yolunu izleyen Kimlik Bilgisi Doldurma Raporunda bu fikri doğruladı. İhlalin kamuya açıklanmasıyla birlikte kimlik bilgilerinin fiyatı düşmeye başladı.
Bu aşamada kamuya açıklama ve veri paylaşımından sonra DBSE’ler öncelikle kimlik bilgilerini alır. Bu nedenle DBSE’ler, suçlular için en az değerli oldukları anda kimlik bilgilerine erişim sağlar.
Ancak DBSE’lerde erişilebilen kimlik bilgileri, özellikle kurbanların parolalarını birden fazla hesap için yeniden kullanması durumunda suçlular için hâlâ değer taşıyor. Parolanın yeniden kullanımı her zaman bir sorun olmuştur ve SpyCloud’un 2023 Kimlik İfşası Raporu, geçen yıl iki veya daha fazla ihlale maruz kalan kullanıcılar için parola yeniden kullanım oranının %72 olduğunu tespit etti; bu oran, önceki yıla göre %64’ten 8 puanlık bir artış. Parolanın yeniden kullanımı devam ettiği sürece eski kimlik bilgileri suçlular için değerli kalacaktır.
Belirli durumlarda yeni DBSE’leri kullanan mağdurlar için potansiyel faydaların bulunduğunu belirtmekte fayda var. Geleneksel DBSE’ler, daha önce bahsedilen Bağlantılı örnekte olduğu gibi, bir veri ihlalinin yalnızca tek bir web sitesinden kaynaklandığı durumlarda en yararlı oldu. Ancak bazı veri ihlalleri, bilinmeyen kaynaklardan alınan oturum açma kimlik bilgilerinden oluşur. Bu gibi durumlarda, daha yeni bir DBSE hangi parolaların ele geçirildiğini belirleyebilir.
Gelecek:
Mevcut trendlere göre DBSE’ler yakın gelecekte siber suçluların tedarikinde daha önemli bir rol oynayabilir. Kimlik bilgisi arayan siber suçluların sayısı artıyor ve potansiyel olarak hacker forumları ve karanlık pazarlar gibi geleneksel tedarikçilere erişemeyen daha fazla kişi de buna dahil. Bu insanlar için kimlik bilgilerini başka yerlerde aramaya başlamaları an meselesi olabilir.
DBSE’lerin siber tehditlerle, güvenlik üzerinde hem olumlu hem de olumsuz etkileri olan karmaşık bir bağlantısı var gibi görünüyor. Siber güvenlik araştırma topluluğu, DBSE’lere ve bunlarla ilişkili güvenlik sonuçlarına yeterince odaklanmadı ve bu da önemli bir bilgi açığını ortaya çıkardı. Siber güvenlik araştırmaları dikkatleri DBSE’lere yönlendirene kadar, onların mevcut ve gelecekteki rollerinin gerçek doğası gözden kaçırılacak ve ele alınmayacaktır.
yazar hakkında
Tom Caliendo bir güvenlik danışmanı ve serbest yazardır. OSINT Kılavuzu’nun yazarıdır (bkz. theosintguide.com) ve açık kaynak istihbaratı (OSINT) alanında köklü bir uzmandır. Serbest yazar olarak çalışmaları siber güvenlik, gizlilik ve Deep Web OSINT konularındaki yeni gelişmelere odaklanmaktadır.