Şirketlere yönelik siber saldırılardan bahsettiğimizde genellikle aklımıza tek bir kelime gelir: kötü amaçlı yazılımlar. Bu yazılımlar sistemlere bulaşabilir ve yalnızca değerli gizli kurumsal bilgileri değil, aynı zamanda kullanıcıların, müşterilerin, çalışanların, şirket tedarikçilerinin vb. verilerini de çalabilir.

Kimlik bilgisi doldurma (credential stuffing)nedir?

Kimlik bilgisi doldurma saldırısı, bir suçlunun bir veri ihlali sonucunda çalınan verileri kullanarak, sahip olduğu kayıt verilerini otomatik olarak numaralandırarak bir platformdaki kullanıcı hesaplarına erişim sağlamaya çalıştığı siber saldırılardır.

Bu tür bir saldırıyı gerçekleştirmek için, bir siber suçlunun öncelikle kullanıcı kimlik bilgileriyle (oturum açma bilgileri ve parolalar) bir veri tabanını çalması veya satın alması gerekir. Bir sonraki adımı, bu kimlik bilgilerini kullanarak savunmasız platforma bağlanmaya çalışmaktır. Çünkü Mevcut kimlik bilgilerinin doğruluğu her zaman garanti edilmez, siber suçlunun stratejisi, kimlik bilgileri uyana kadar kimlik bilgilerini yineleyerek otomatik bir yetkilendirme süreci başlatmaktır. Ayrıca yetkilendirme işlemleri, bu platformun onları gerçek kullanıcı olarak görmesi için özel botnet’ler kullanılarak gerçekleştirilmektedir. Giriş başarılı olursa, böyle bir kimlik bilgisi doldurma saldırısı başarı ile sonlandırılabilir.

Kurbanlar

Giderek daha fazla şirket bu siber saldırılara maruz kalmıştır. Dünya genelinde son kurban Dunkin Donuts’du. Kasım ayında şirket, kimlik hırsızlığını ve daha sonra DD Perks sadakat ve ödül programı kullanıcılarına yönelik bir saldırıda kullanıldığını duyurdu. Dunkin Donuts, ihlalin kendi sistemlerinde değil, üçüncü şahıslara erişim sağlayan sağlayıcılarının sisteminde meydana geldiğini belirtmesine rağmen, bu kayıt verileri bir veri ihlali sonucu elde edilmişti. Özellikle, kullanıcı bilgileri önceki bir sızıntıdan ortadan çıkmış ve bu nedenle siber suçlular bu bilgileri hem DD Perks hesaplarına erişmek hem de aynı kimlik bilgilerini kullanan diğer platformlarda oturum açmak için kullanmıştı.

Fakat en güçlü kimlik bilgisi doldurma saldırısının zirvesinde başka bir olay var. 2016’da, yaklaşık 500 milyon Yahoo hesabı, önceki büyük veri ihlali nedeniyle ciddi şekilde tehlikeye atıldı. Yahoo, bu olayla ilgili verileri yayınladığında, birçok kullanıcı, Yahoo’ya ait olduklarını iddia eden kişilerden e-postalar aldı ve bu e-postalar, ihlali düzeltmek için bir bağlantı içeriyordu. Ancak aslında bu e-postalar başka bir siber suçlu grubunun kimlik avı girişimiydi.

Ve Türkiye 2021 yılı bu ay içerisinde çok büyük bir yemek şirketi kullanıcıların ad-soyad, mail adresleri, telefon numaraları ve adres bilgilerinin çalındığını duyurdu. Kredi kartı bilgileri de dahil olmak üzere hiçbir finansal bilgiye ya da şifreye erişilmediğini, aynı şekilde bağlı bulunan Facebook ve Apple hesaplarına dair bir ihlalin de söz konusu olmadığını belirten firma durumu Ulusal Olaylara Müdahale Merkezi’ne ve İstanbul Cumhuriyet Başsavcılığı’na haber verdi.

Bu tür saldırıların başarı oranı ve bunlardan nasıl kaçınılacağı

Kimlik bilgisi doldurma saldırılarından kaynaklanan potansiyel hasarı değerlendirmek söz konusu olduğunda, belirli bir perspektifi göz önünde bulundurmak önemlidir. Bu tür saldırıların başarı oranı genel olarak% 1 civarındadır.

Ancak, bu siber saldırıların genellikle milyonlarca kullanıcının kimlik bilgilerini içeren veritabanlarını kullandığını unutmamalıyız. Bu oran göreceli olarak mütevazı olsa da, başarı oranlarının, şirketin imajının kurumsal bilgi güvenliğinin ihlali nedeniyle ciddi şekilde zarar görebileceği kadar mutlak terimlerle yeterince somut olduğu anlamına gelir.

Bu nedenle, şirketler veri ihlallerini ve olası kimlik bilgilerini doldurma saldırılarını önlemek için uygun adımları atmalıdır.

  1. İki faktörlü kimlik doğrulama? İki faktörlü yetkilendirme (2FA), kullanıcıları için maksimum bağlantı güvenliği sağlamak isteyen şirketler ve platformlar için en yaygın yöntemlerden biridir. Bununla birlikte, daha önce gördüğümüz gibi, iki faktörlü kimlik doğrulama hatasız değildir, çünkü Kullanıcıları kimlik bilgilerini sahte portallara girmeleri için kandırarak atlatılabilir.
  2. Bilgi güvenliği çözümleri. Bir şirketin güvenliği, kullanıcıların parolalarını düzgün bir şekilde yönetmelerine tam olarak güvenemez, özellikle de veri ihlalleri genellikle kullanıcıların zayıf parola yönetiminden ziyade zayıf kurumsal bilgi güvenliği yönetiminin bir sonucudur. Bu noktada firmalar için sızma testi yaptırmak, ve diğer Secromix ürünleri size yardımcı olacaktır.
  3. Çalışanları bilinçlendirme. Şirketlerin ayrıca çalışanlarını bir dizi önleyici tedbiri takip etmeleri için eğitmeleri gerekir. Siber suçluların bir kurumsal ağa girmesi için genellikle en kolay giriş noktasıdırlar. Çalışanlar tetikte olmalı ve hassas verilerini e-posta yoluyla paylaşmamalı (kimlik avı, teknik destek dolandırıcılığı veya BEC dolandırıcılıklarından kaçınmak için) ve herhangi bir sorunla karşılaşırlarsa olayı şirketin BT departmanına bildirmelidir.