Siber güvenlik şirketi ESET, bilgisayar korsanlarının parolaları çalmak için kullandığı yöntemleri inceleyerek yapılması ve yapılmaması gerekenler ile ilgili bilgilendirmede bulundu.
Parola kavramı yüzyıllardır hayatımızda ve parolaların bilgi işlem dünyasına girişi birçoğumuzun hatırlayabileceğinden bile eskiye dayanıyor. Ortalama bir kişinin hatırlaması gereken 100 giriş bilgisi olduğu ve bu sayının gittikçe arttığı bir çağda yaşıyoruz. Birçok kişi, kendilerine kolaylık olsun diye, kısa yolları tercih ediyor ve sonucunda da güvenlikle ilgili sorunlar ortaya çıkıyor. Bir siber suçlu ile kişisel ve finansal bilgileriniz arasındaki tek şeyin parola olduğunu düşünürsek, sahtekarların giriş bilgilerini çalmaya veya kırmaya neden bu kadar istekli olduğunu anlayabiliriz. Parolalar dijital dünyanın sanal anahtarlarıdır. Online bankacılığa, e-posta ve sosyal medya hizmetlerine, Netflix hesaplarına ve bulut depolamasında bulunan tüm verilere erişim sağlar.
Giriş bilgilerine sahip olan bilgisayar korsanları neler yapabilir:
Kişisel kimlik bilgilerini çalmak ve bu bilgileri başka suçlulara satmak
Hesabın kendisine erişim sağlama olanağını başkalarına satmak. Karanlık ağdaki suçlu sitelerinde bu kimlik bilgileriyle ticaret yapılır. Bu bilgileri alan kötü niyetli kişiler, ücretsiz taksi yolculuklarından ve video yayınlarından ele geçirilen uçuş mili hesaplarıyla indirimli seyahatlere kadar her şeye erişim sağlayabilir.
Aynı parolayı kullandığınız diğer hesaplara giriş yapmak için parolaları kullanmak.
Bilgisayar korsanları parolaları nasıl çalıyor?
Kimlik avı ve sosyal mühendislik
İnsan, hata yapabilen ve tahmin edilebilir bir varlıktır. Ayrıca, acele etmemiz istendiğinde yanlış kararlar vermeye de eğilimliyiz. Siber suçlular, sosyal mühendislik yoluyla bu zayıflıklarımızdan faydalanırlar. Sosyal mühendislik, yapmamamız gereken bir şeyi yapmamız için tasarlanan psikolojik bir kandırmadır. Kimlik avı büyük ihtimalle bunun en bilinen örneğidir. Kimlik avında bilgisayar korsanları arkadaş, aile ve iş ilişkiniz bulunan şirketler gibi gerçek kişilerin kimliğine bürünür. Size gelen e-posta veya mesaj gerçek gibi görünür, ancak e-postada veya mesajda kötü amaçlı bir bağlantı ya da ek bulunur. Bu bağlantıya veya eke tıkladığınızda kötü amaçlı bir yazılım indirirsiniz ya da kişisel bilgilerinizi girmeniz gereken bir sayfaya yönlendirilirsiniz.
Burada açıkladığımız üzere kimlik avı saldırısıyla ilgili işaretleri fark etmenin birçok yolu vardır. Dolandırıcılar, kurbanlarının giriş bilgilerini ve diğer kişisel bilgilerini ele geçirmek için doğrudan telefonla arayarak, genellikle teknik destek ekibi mühendisi gibi davranır. Bu tekniğe “sesli kimlik hırsızlığı” (ses tabanlı kimlik hırsızlığı) denir.
Kötü amaçlı yazılımlar
Parolalarınızı ele geçirmek için kullanılan popüler yollardan biri de kötü amaçlı yazılımlardır. Kimlik avı e-postaları, bu türdeki saldırılar arasında başlıca vektördür. Kötü amaçlı çevrimiçi bir reklama (zararlı reklam) tıklayarak veya güvenliği ihlal edilmiş bir web sitesini ziyaret ederek (istemeden indirme) kurban durumuna düşebilirsiniz. ESET araştırmacısı Lukas Stefanko tarafından birçok kez gösterildiği üzere kötü amaçlı yazılımlar, sıklıkla üçüncü taraf uygulama mağazalarında bulunan ve gerçek gözüken bir telefon uygulamasında gizlenmiş bile olabilir.
Bilgi çalmak için kullanılan çeşitli türlerde kötü amaçlı yazılım bulunur, ancak en yaygın olanlarından bazıları bastığınız tuşları kaydetmek veya cihazınızın ekran görüntüsünü alarak, bu görüntüyü saldırganlara göndermek üzere tasarlanır.
Deneme yanılma saldırıları
Ortalama bir kişinin bilmesi gereken ortalama parola sayısı 2020 yılında %25’lik bir artış gösterdi. Bunun sonucunda birçoğumuz hatırlaması kolay parolalar seçip bunları birden çok sitede kullanıyoruz. Ancak bu durum deneme yanılma saldırısı denilen teknikler için kapıları aralayabilir. Bunlardan en yaygın olanlarından biri kimlik hırsızlığıdır. Bu teknikte saldırganlar, daha önce ele geçirilmiş büyük hacimli kullanıcı/parola kombinasyonlarını otomatik bir yazılıma yükler.
Daha sonra bu araç, kombinasyonları birçok sitede deneyerek eşleşme bulmaya çalışır. Bu sayede korsanlar yalnızca bir parola ile birçok hesabınızı ele geçirebilir. Bir hesaplamaya göre geçtiğimiz yıl dünya genelinde bu şekilde 193 milyar deneme olduğu hesaplandı. Geçtiğimiz günlerde bu teknikle ilgili olarak Kanada hükümeti kurban durumuna düştü. Diğer bir deneme yanılma tekniği ise parola püskürtmedir. Bu teknikte korsanlar, yaygın olarak kullanılan parolaları deneyerek sizin hesabınızın parolasını kırmak için otomatik bir yazılım kullanır.
Tahmin
Deneme yanılma yoluyla parolanızı ele geçirmek için otomatik araçlara sahip olmalarına rağmen, bilgisayar korsanları bazen bu araçlara ihtiyaç duymadan, deneme yanılma saldırılarında kullanılan daha sistematik yaklaşımın tam tersine yalnızca basit bir tahminle parolanızı ele geçirebilir. 2020 yılındaki en çok kullanılan parola “123456” idi, ikinci sırada ise “123456789” geliyordu. En çok kullanılan parolalar arasında dördüncü sırada ise “parola” kelimesi yer alıyordu. Birçok kişi gibi birden çok hesapta aynı parolayı kullanıyor veya benzer bir parola belirliyorsanız saldırganların işini kolaylaştırıyor, kimlik hırsızlığı ve dolandırıcılık ile ilgili riskinizi artırıyorsunuz demektir.
Omuz üzerinden sinsice izleme
Şu ana kadar incelediğimiz parola ihlalleri sanal ortamda uygulanan yöntemlerdi. Ancak kısıtlamaların azalması ve birçok çalışanın ofiste çalışmaya yeniden başlamasıyla birlikte, denenmiş ve işe yaradığı onaylanmış bazı dinleme tekniklerinin de risk oluşturduğunu hatırlatmakta fayda var. Omuz üzerinden sinsice izlemenin hala risk oluşturmasının tek nedeni bu değildir. Geçtiğimiz günlerde ESET çalışanı Jake Moore, basit bir teknik kullanarak birinin Snapchat hesabını ele geçirmenin ne kadar kolay olduğunu göstermek için bir deney yaptı. Bu saldırının Wi-Fi üzerinden dinleme yöntemiyle gerçekleştirildiği ve “bağlantıyı izinsiz izleme” olarak bilinen yüksek teknoloji versiyonunda, herkese açık Wi-Fi bağlantılarını izleyen korsanlar aynı ağa bağlı olduğunuz süre içerisinde girdiğiniz parolanızı çalar. Her iki teknik de yıllardır kullanıyor ve tehdit oluşturmaya devam ediyor.
Giriş bilgilerinizi nasıl koruyabilirsiniz?
Bu teknikleri engellemek için birçok şey yapabilirsiniz. Parolanıza ikinci bir kimlik doğrulama ekleyebilirsiniz, parolalarınızı daha etkili bir şekilde yönetebilirsiniz veya saldırı gerçekleşmeden önce hırsızı durdurmaya yönelik adımlar atabilirsiniz. ESET uzmanları bilgilerinizi korumak için yapabileceklerinizi şu şekilde özetliyor;
- Bankacılık, e-posta ve sosyal medya hesaplarınız başta olmak üzere tüm çevrimiçi hesaplarınızda yalnızca güçlü ve eşsiz parolalar veya geçiş kodları kullanın
- Birden çok hesapta aynı giriş bilgilerini kullanmaktan veya yaygın olarak yapılan parola hatalarından kaçının
- Tüm hesaplarınızda iki faktörlü kimlik doğrulamaya (2FA) geçiş yapın
- Tüm siteler ve hesaplar için güçlü, benzersiz parolaları saklayan ve bu sayede giriş yapmayı kolaylaştırıp güvenli hale getiren bir parola yöneticisi kullanın
- Bir sağlayıcı, bilgilerinizin ihlal edildiğini size bildirir bildirmez parolanızı değiştirin
Giriş yapmak için yalnızca HTTPS siteler kullanın
- Doğrulanmayan e-postalardaki bağlantılara tıklamayın veya ekleri açmayın
- Yalnızca resmi uygulama mağazalarından uygulama indirin
- Tüm cihazlarınız için saygın bir sağlayıcının güvenlik yazılımına yatırım yapın
- Tüm işletim sistemlerinin ve uygulamaların en güncel sürümde olduğundan emin olun
- Ortak kullanım alanlarında omuz üzerinden sinsice izleyenlere karşı dikkatli olun
- Herkese açık Wi-Fi kullanıyorsanız asla bir hesaba giriş yapmayın, giriş yapmanız gerekirse VPN kullanın
Önümüzdeki on yıl içerisinde parolaların tarihe karışacağı tahmin ediliyor. Ancak parolaya alternatif yöntemler hâlâ parolanın yerini alma konusunda zorluklarla karşılaşıyor. Dolayısıyla bu konuda kullanıcılar inisiyatifi ele almalıdır. Dikkatli olun ve giriş verilerinizi güvende tutun.