Bilgisayar korsanları, parolalarınızı çalmak için farklı teknikler kullanabilir. Çalınan kişisel verilerinizi kullanmanın bir yolu da, kimlik bilgisi doldurma olarak adlandırılır.
Peki kimlik bilgisi doldurma yani credential stuffing tam olarak nedir?
Kimlik Bilgisi Doldurma Saldırısı (Credential Stuffing) Nedir? Nasıl Çalışır?
Kimlik bilgisi doldurma yani credential stuffing, siber suçluların bir kullanıcı hesabına veya kurumsal sistemlere yetkisiz erişim elde etmek için çalınan kimlik bilgilerini kullandığı bir siber saldırı türüdür. Genellikle, bu tür saldırılarda kullanılan kullanıcı adları ve şifreler, veri ihlalleri yoluyla yasadışı bir şekilde elde edilir.
Adından da anlaşılacağı gibi bu siber saldırı, birden fazla web sitesine veya şirket sistemine erişme umuduyla mümkün olduğunca çok sayıda olası kimlik bilgisini doldurmak için tasarlanmıştır. Kimlik bilgisi doldurma, otomasyona ve birçok kişinin oturum açma ayrıntılarını birden çok çevrimiçi hizmet ve platformda yeniden kullandığı varsayımına dayanır.
Credential Stuffing Neden Önemlidir?
Credential stuffing, bilgisayar korsanlarının web altyapılarına saldırmak ve kullanıcı hesaplarını ele geçirmek için çalınan kimlik bilgilerini kullandığı bir siber güvenlik tehdididir. Siber saldırı, otomasyon ve ölçeklendirme için botları kullanır ve maalesef doğru bir şekilde birçok kullanıcının birden çok hizmette aynı kullanıcı adlarını ve parolaları yeniden kullandığını varsayar.
Yaygın bir siber saldırı türüdür ve veri ihlallerinin en yaygın nedenlerinden biridir, çünkü tüm insanların %65’i aynı parolayı birden çok (ve bazen tüm) hesaplarda yeniden kullanır.
Kimlik Bilgisi Doldurma Saldırılarının Kısa Tarihi
2014 yılında bilgisayar korsanları, güvenliği ihlal edilmiş hesap kimlik bilgilerini dark web’de satmaya başladı ve bu, kimlik bilgisi doldurma saldırılarının başlangıcı oldu.
Kimlik Bilgisi Doldurma Saldırıları Türleri
Kimlik bilgisi doldurma saldırıları çeşitli biçimlerde gelir. En yaygın türü, mümkün olduğu kadar çok sayıda farklı kullanıcı adı ve parolayla bir hesaba erişmeye çalışmayı içeren bir kaba kuvvet saldırısıdır.
Bu tür siber saldırılar oldukça otomatiktir ve büyük kullanıcı adı/şifre kombinasyonları listeleri kullanılırken çok etkili olabilir.
Kimlik bilgisi doldurma saldırılarının diğer türleri arasında, yaygın sözcükleri veya tümcecikleri parola olarak denemeyi içeren sözlük saldırıları; siber saldırganların meşru kullanıcılar gibi davranarak erişim sağlamaya çalıştıkları sahtekarlık saldırıları ve kullanıcıları kimlik bilgilerini ifşa etmeleri için kandırmak amacıyla kötü amaçlı bağlantılar veya ekler içeren e-postalar gönderdiği kimlik avı saldırıları yer alır.
Ek olarak siber saldırganlar, kullanıcı hesaplarına erişim elde etmek için parola kırma araçları veya sosyal mühendislik teknikleri gibi daha karmaşık yöntemler de kullanabilir.
Kimlik Bilgisi Doldurma Saldırıları Ne Kadar Etkili?
Siber güvenlik araştırması, kimlik bilgileri doldurma girişimlerinin yaklaşık %1’inin başarılı olduğunu göstermektedir. Girişim sayısı yılda milyarlarca olduğundan, %1’lik bir oran bile her yıl on milyonlarca hesabın ele geçirildiği anlamına gelir. Ayrıca, tek bir başarı bile bir siber saldırganın yanal veya yükseltici hareket yoluyla potansiyel olarak tüm sisteme veya ağa erişim sağlayabileceği anlamına gelir. Bu, fidye yazılımlarının ve diğer yaygın siber suçların konuşlandırılması için bilinen bir yoldur.
Kimlik Bilgisi Doldurma Saldırıları Neden Artıyor?
Kimlik bilgisi doldurma saldırıları, çoğunlukla ihlal edilen oturum açma ayrıntılarına yönelik büyük arz ve talep nedeniyle oldukça yaygındır.
Herkes web’de sızan şifre koleksiyonlarını satın alabilir. Daha da kötüsü, onları P2P ağları aracılığıyla ücretsiz olarak indirebilir.
Bu devasa koleksiyonlar birden fazla veri ihlali içerir. Örneğin, kötü şöhretli Collection #1-5, 2,2 milyar benzersiz kullanıcı adı ve şifre kombinasyonu sunar. İnternet bağlantısı olan herkes bunları çevrimiçi olarak düz metin olarak bulabilir.
Bilgisayar korsanı kimlik bilgilerini ele geçirdiğinde, onları “doldurmaya” başlayabilir. Genellikle, bir siber saldırganın bir hesaba girmesi için çok sayıda oturum açma isteği göndermesi gerekir. Kimlik bilgileri doldurma araçlarının kullanışlı olduğu yer burasıdır.
Milyonlarca parolayı milyonlarca kutuya elle girmek mantıklı bir seçenek olmadığından, siber suçlular bu saldırıları otomatik hale getirir. Aynı IP’den geldiklerini gizlemek için istekleri proxy sunucuları aracılığıyla geri döndürürler. Kimlik bilgileri doldurma araçları, siber suçlunun tarayıcısını maskeler ve CAPTCHA’ları aşmanın bir yolunu bulur.
Verizon’un 2022 Veri İhlali Araştırmaları Raporuna göre, kimlik bilgisi doldurma saldırıları, veri ihlallerinin yaygın bir nedenidir çünkü birçok kişi parolaları birden çok hesapta yeniden kullanma eğilimindedir.
Kimlik Bilgisi Doldurmanın Nedenleri
Kimlik bilgileri doldurma, çevrimiçi hesaplara yetkisiz erişim elde etmek için çalınan kullanıcı adlarını ve parolaları kullanmayı içeren bir tür siber saldırıdır.
Veri ihlalleri, bilgisayar korsanlarının büyük miktarda kullanıcı kimlik bilgisi edinmesini kolaylaştırdığından, bu tür siber saldırılar giderek yaygınlaşmaktadır.
Kimlik bilgilerinin doldurulmasının başlıca nedenlerinden biri, kullanıcıların birden çok hesap için aynı kullanıcı adı ve parola kombinasyonunu kullanmasıdır. Bu, diğer sitelerde denemek için yalnızca bir kimlik bilgisine ihtiyaç duyduklarından, siber saldırganların erişim kazanmasını çok daha kolaylaştırır. Ek olarak, zayıf parolalar da kimlik bilgisi doldurma saldırılarında önemli bir faktördür; kullanıcılar “123456” veya “şifre” gibi kolayca tahmin edilebilir parolalar seçerse, bu tür siber saldırılara karşı savunmasız olma olasılıkları çok daha yüksektir.
Son olarak, büyük ölçekli kimlik bilgisi doldurma saldırıları, veri ihlallerinden e-posta adresleri ve ilişkili şifreler satın alan veya başka şekilde elde eden kötü niyetli bilgisayar korsanları tarafından da etkinleştirilebilir.
Kimlik bilgisi doldurma saldırılarına karşı korunmak için işletmeler ve kullanıcılar, iki faktörlü kimlik doğrulama ve parola yöneticileri gibi güçlü kimlik doğrulama önlemleri kullanmalıdır. Ayrıca, kullanıcılar aynı parolayı farklı hizmetlerde asla kullanmamalı ve çevrimiçi hesapları için her zaman uzun ve karmaşık parolalar seçmelidir.
İlgili İçerik: İki Faktörlü ya da İki Adımlı Kimlik Doğrulama Nedir?
Kimlik Bilgisi Doldurma Saldırılarının Zararı Nedir?
PCMagazine göre, insanların %70’i, birden çok hesap için aynı parolayı kullanıyor. Bu yüzden herhangi bir oturum açma kimlik bilgileriniz, bilgisayar korsanlarına bir kez bile maruz kaldığında, ister bir e-posta hesabı, ister sağlık sigortası veya çevrimiçi mağaza olsun, çok sayıda hesaba erişmek için kullanılabilir. Siber suçlu, her hesaptaki tüm kişisel bilgilere, finansal hesap ayrıntılarına, tıbbi bilgilere veya diğer hassas verilere sınırsız erişim elde eder. Bu sizi yalnızca hesap ele geçirme dolandırıcılığına karşı savunmasız bırakmakla kalmaz, aynı zamanda kredi kartı dolandırıcılığına, tıbbi kimlik hırsızlığına, vergi dolandırıcılığına ve kimlik hırsızlığına karşı da savunmasız bırakır.
Kimlik Bilgisi Doldurma Saldırıları Nasıl Tespit Edilir?
Bir siber saldırıyı tespit etmeye çalışmanın birçok yolu vardır.
- Tek bir uç noktadan bir hesaba anormal miktarda oturum açma girişimi olup olmadığını izleyin.
- Tek bir uç noktadan birden çok hesaba erişim girişimlerini izleyin.
- Kimlik bilgilerini IP adresleri aracılığıyla veya parmak izi alma teknikleriyle kullanmaya çalışan bilinen kötü amaçlı uç noktaları belirleme.
- Oturum açma sürecinde otomasyon yazılımı kullanımının tespit edilmesi (ör. paket analizi yoluyla).
Kimlik Bilgisi Doldurma Saldırısının Hedefi Olursam Ne Yapmalıyım?
Çoğu zaman, kimlik bilgisi doldurmaya hedef olan kişiler, geçmiş işlemlerini gözden geçirene veya daha az kullanılan bir hesaba giriş yapmaya çalışana kadar hesaplarına üçüncü bir tarafça erişildiğini fark etmez. Hesabınızın ele geçirildiğini düşünüyorsanız, şifrenizi hemen güncellemeniz ve hileli ödemeleri veya hesap bilgilerinizde yapılan değişiklikleri çözmek için ilgili şirketlerle iletişime geçmeniz gerekir. Ayrıca, kredi kartı dolandırıcılığını kredi kartı şirketinize bildirin ve kartlarınızın bağlı olduğu başka çevrimiçi hesaplarınız varsa bunların da iptal olmasını sağlayın.
Kimlik Bilgisi Doldurma Saldırısının Veri İhlalinden Farkı Nedir?
Bir veri ihlali genellikle bir kimlik bilgisi doldurma saldırısından önce gelir. Bilgisayar korsanları, bilgileri kimlik dolandırıcılığı için kötüye kullanmak veya çalınan verileri dark web’de satmak için bir şirketin müşteri bilgileri veri tabanını ihlal eder (yani yasa dışı bir şekilde erişir). Bu çalınan bilgiler oturum açma kimlik bilgilerini içeriyorsa, siber suçlular kimlik bilgisi doldurma saldırıları gerçekleştirmek için bu bilgileri satın alabilir.
Kimlik Bilgisi Doldurma vs Kaba Kuvvet Saldırısı
Kimlik bilgisi doldurma ve kaba kuvvet saldırılarının çalışma biçimleri birbirine benzer. Kötü niyetli kişiler her iki siber saldırıyı da aynı amaç için kullanır: bazı çevrimiçi hesaplara veya kurumsal bir sisteme yetkisiz erişim elde etmek için. Ancak yaklaşımlarında farklılık gösterirler. Bir kaba kuvvet saldırısı sırasında bilgisayar korsanları, potansiyel hedefin kullanıcı adını ve parolasını tahmin etmek için otomatik işlemler kullanır. Buna karşılık, bir kimlik bilgisi doldurma hesabında, siber suçlular, başarı şanslarını artıran, ihlal edilmiş kimlik bilgilerini kullanır.
Kimlik Bilgisi Doldurma vs Parola Püskürtme (Password Spraying)
Bu iki terimin birbirinin yerine kullanıldığını sık sık duyabilirsiniz. Her ikisi de botlar tarafından veya manuel olarak gerçekleştirilebilen kaba kuvvet parola saldırılarının biçimleridir ve her ikisi de işinize inanılmaz miktarda zarar verebilir.
Ancak, birbirlerinden biraz farklıdır. İkisi arasındaki temel fark, kimlik bilgisi doldurma saldırılarında, bilgisayar korsanının zaten bir hesap için geçerli giriş bilgilerine sahip olması ve bunları ikincil hesaplara erişmeye çalışmak için kullanmasıdır. Parola püskürtme saldırılarında, kimlik bilgileri bilinmez. Burada bilgisayar korsanları, yaygın olarak kullanılan çeşitli şifreleri kullanarak oturum açmaya çalışır.
Kimlik Bilgisi Doldurma Saldırılarının Maliyetleri
Kimlik bilgisi doldurma saldırıları hem bireyler hem de işletmeler için çok maliyetli olabilir. Bilgisayar korsanları, kişisel ve mali bilgileri çalarak kimlik hırsızlığına ve hedeflenen kişiler için mali kayıplara yol açabilir. İşletmeler, müşteri verilerinin ihlal edilmesi nedeniyle itibar kaybına ve finansal kayıplara maruz kalabilir.
Kimlik Bilgisi Doldurma Saldırıları Nasıl Önlenir?
Diğer herhangi bir siber saldırı türü gibi kimlik bilgisi doldurmayı önlemek de çeşitli siber güvenlik uygulamalarını içeren karmaşık bir görevdir. Ancak, hangi adımları atmanız gerektiğini öğrendikten sonra bir kimlik bilgisi doldurma saldırısının hedefi olma şansınızı büyük ölçüde azaltabilirsiniz.
1. Şifreleri tekrar kullanmayın
Parolanız neredeyse tahmin edilemez olabilir, ancak ziyaret ettiğiniz bir web sitesi siber saldırıya uğradığında ve bu ultra güvenli parola ele geçirildiğinde, bilgisayar korsanları bunları diğer hesaplarınıza girmek için kullanabilir. Kimlik bilgisi doldurmanın temeli budur. Bu noktada otomatik olarak güçlü ve benzersiz parolalar oluşturmak için parola oluşturucu bir araç kullanabilirsiniz.
2. Çok faktörlü kimlik doğrulamayı kullanın
Çok faktörlü kimlik doğrulama (MFA), oturum açma işlemine bir güvenlik katmanı ekleyerek kullanıcıların yalnızca bir kullanıcı adı ve parolanın ötesinde ek bilgiler sağlamasını gerektirir. Bu, bir mobil cihaza gönderilen bir kodu veya bir parmak izi taramasını içerebilir.
MFA, siber suçluların kullanıcının parolasını ele geçirmiş olsalar bile bir hesaba erişmesini çok daha zorlaştırabilir.
3. İhlal edilmiş parola koruması
İhlal edilmiş parola koruması, güvenliği ihlal edilmiş olduğu bilinen parolalardan oluşan bir veri tabanını düzenli olarak kontrol etmeyi ve bunları kullanma girişimlerini engellemeyi içerir. Bu yaklaşım, ihlal edilmiş parolaların kullanılmasını önleyerek kimlik bilgisi doldurma saldırılarının önlenmesine yardımcı olabilir.
4. Parolasız kimlik doğrulama
Bu yaklaşım, şifre kullanımını tamamen ortadan kaldırır ve biyometri veya kullanıcının mobil cihazına gönderilen tek seferlik kodlar gibi diğer doğrulama formlarına dayanır. Çalmak ve diğer hesaplarda kullanmak için bir parola olmadığı için parolaları ortadan kaldırmak, kimlik bilgisi doldurma saldırılarını azaltabilir.
5. Sürekli kimlik doğrulama
Sürekli kimlik doğrulama, bir kimlik bilgisi doldurma saldırısının yolda olduğunu gösterebilecek herhangi bir anormal etkinliği tespit etmek için kullanıcı davranışının ve ağ etkinliğinin sürekli olarak izlenmesini içerir. Bu yaklaşım, siber saldırıları gerçek zamanlı olarak tespit edebilir ve bunları engellemek için harekete geçebilir.
6. Credential hashing
Credential hashing, matematiksel bir algoritma kullanarak şifreleri hashlenmiş bir değere dönüştürmeyi içerir. Bu, siber saldırganların bir kimlik bilgisi doldurma saldırısında orijinal parolayı elde etmesini ve kullanmasını çok daha zorlaştırır.
7. E-posta adreslerini kullanıcı kimlikleri olarak kullanmaktan kaçının
İnsanların hesap girişlerinde kullanıcı kimlikleri olarak e-posta adreslerini kullanmaları duyulmamış bir şey değildir. Ancak bu, siber saldırganların birden çok web sitesinde kullanıcı adı olarak e-posta kimliklerini kullanmayı deneyebildikleri için kimlik bilgilerini doldurmayı bir taktik olarak kullanmalarını kolaylaştırır.
Kimlik Bilgisi Doldurma Örnekleri
En gelişmiş siber güvenlik sistemleri her gün gelişmeye devam etse de, bilgisayar korsanları, insanların kişisel verilerini elde etmek için çevrimiçi hesaplara sızmaya çalışır ve ne yazık ki, bu başarı oranı her gün artmaya devam etmektedir.
- 2016’da, bir siber saldırgan kimlik bilgilerini doldurma yoluyla müşterilerin ve sürücülerin verilerine erişim sağladığında, Uber çok güçlü bir veri koruma ihlaline maruz kaldı. Şirket siber saldırganlara sadece 100.000 $ ödemek zorunda kalmadı, aynı zamanda ihlal nedeniyle 1.2 milyon $ para cezasına çarptırıldı.
- HSBC, 2018’de siber saldırganların adlar, adresler, hesap numaraları, işlem raporları ve daha fazlası dahil olmak üzere çok çeşitli kişisel verileri çaldığında, müşterilerinin bazı kimlik bilgilerinin ele geçirildiğini de gördü.
- 2018’de başka bir büyük veri ihlali meydana geldi. Bu sefer yaklaşık 20.000 Superdrug müşterisinin verileri etkilendi. Bilgisayar korsanları şirkete erişim sağladı ve ardından fidye istedi.