Bu yazıda, kimlik hırsızlığına neden olan kaynaklar ve bunların milyonlarca kullanıcıya verdiği risk, uzunlamasına ölçüm çalışması (longitudinal measurement) ile değerlendirilmiştir. 2016–2017 Mart boyunca, 788.000 kişi keylogger yazılımının potansiyel kurbanı olmuş; 12.4 milyon kişi potansiyel oltalama saldırısına maruz kalmış; ve 1,9 milyar kişinin kullanıcı adı ve parolası, veri ihlalleri sonucu açığa çıkmış ve blackmarket forumlarında işlem görmüştür. Bu veri kümesini kullanılmasıyla, binlerce çevrimiçi hizmetten alınan, bir saldırganın kurbanın geçerli e-posta kimlik bilgilerine ulaşmasını sağlayan ve böylece kurbanların çevrimiçi kimliklerini tamamıyla kontrol altına almalarını sağlayan çalıntı parolaların boyutunu araştırılmıştır. Google‘ı bir örnek olay incelemesi olarak kullanılmış, saldırıya uğrayan kullanıcıların parolalarının %7–25’inin Google hesabıyla eşleştiğini ortaya çıkmıştır.
Bu hesaplar için, kullanıcının geçmişteki coğrafi konumları ve cihaz profilleri gibi kimlik doğrulama mekanizmaları ek risk sinyallerinin dahil edilmesinin, hesapların ele geçirilme riskini azaltmaya yardımcı olduğunu açıkça ortaya konmuştur. Bu risk ölçümlerinin ötesinde, kimlik bilgisi hırsızlığına karışan kötü adamların ve güvenip kullandığı blackhat araçlarının küresel erişimini incelenmiştir. 2000’lerin ortalarından bu yana phishing kiti oyun kitapları ve keylogger araçlarının yapabildikleri büyük ölçüde aynı olsa da, dış baskıların kötü aktörler üzerine dikkate değer bir eksikliğinin olduğu görülmüştür.
İnternet kullanıcılarının dijital izleri geliştikçe, sosyal ağlar, finansal kayıtlar ve bulutta depolanan verileri kapsamıştır. Genellikle tek bir hesap, kullanıcı kimliğin tamamının güvenliğinin tehlikeye düşmesine sebep olabilmektedir. E-posta hesabının parolası ya da hesap kurtarma sorusunun ifşa edilmesi büyük riskler getirebilmektedir. Bir kere ele geçirildiğinde, bir korsan, kurbanın diğer hizmetlerdeki parolalarını basamaklı bir saldırı şeklinde sıfırlayabilir; kurbanın tüm özel verilerini indirebilir; kurbanın verilerini ve yedeklerini uzaktan silebilir; ya da istenmeyen posta göndermek için kurbanı taklit edebilir.
Bilinen hesap ele geçirme olaylarına gazeteci Mat Honan ve Sarah Palin, John Podesta ve Emmanuel Macron gibi politikacı ve hükümet yetkililerine olan saldırılar verilebilir. Ancak, kimliğin ele geçirilmesi tehdidi milyonlarca kullanıcıyı kapsamaktadır. Nitekim, Shay ve arkadaşlarının 2014’te yaptığı bir kullanıcı araştırmasında, 294 katılımcının % 30’u, hesaplarından en az birinin zarar gördüğünü bildirmiştir. Ancak ele geçirme prevalansına rağmen, çalınan kimlik bilgilerinin en büyük kaynakları veya tehditleri hafifletmeye yardımcı olan kullanıcının geçmiş coğrafi konum veya cihaz profilleri gibi kimlik doğrulama mekanizmaları ek risk sinyallerinin dahil edilme oranı hakkında az detay bulunmaktadır.
Bu yazıda, uzunlamasına ölçüm (longtitutional measurement) çalışması kapsamında, kimlik hırsızlığına neden olan kaynaklar ve bunların milyonlarca kullanıcıya verdiği risk ortaya konmuştur. Çalışma üç pazarı ele almaktadır: (1) bilgi güvenliği ihlalleri nedeniyle kimlik bilgileri sızıntıların ticaretini yapan forumlar; (2) kullanıcıların kimlik bilgilerini sahte giriş sayfalarına girmelerini sağlayan oltalama kitleri; ve (3) virüs bulaşmış makinelerden parolaları toplayan piyasada bulunan keylogger’ler ( tuş kaydediciler). Her bir kimlik bilgisi hırsızlığından etkilenen kurbanların durumunu ölçülerek, sorumlu olan en popüler blackhat araçlarını tespit edilmiştir. Sonuç olarak saldırıların geçerli e-posta kimlik bilgilerini elde etme ihtimalini ve daha sonra kurbanın hesabını gaspetmek için riske dayalı kimlik doğrulama korumasının atlatılması değerlendirilmiştir.
Bu çalışmanın yürütülmesi için, blackmarket aktörlerini ve çalınan kimlik bilgilerini izleyen otomatik bir çerçeve geliştirilmiştir. Mart 2016-Mart 2017 boyunca, 788.000 kişi, keylogger yazılımının potansiyel kurbanı olmuş; 12.4 milyon kişi potansiyel oltalama saldırısına maruz kalmış; ve 1,9 milyar kişinin kullanıcı adı ve parolası, veri ihlalleri sonucu açığa çıkmış ve blackmarket forumlarında işlem görmüştür. Bu çalışmada, veri setinin kesinlikle yeraltı faaliyetlerinin bir örneği olduğunu vurgulansa da, bu örnek bile siber dünyada ortaya çıkan kimlik bilgisi hırsızlığının büyük boyutunu göstermektedir. Keyloggerlar Türkiye, Filipinler, Malezya, Tayland ve İran’da, kullanıcıları orantısız olarak etkilerken, kimlik bilgileri sızıntısı ve phishing saldırıları ABD ve Avrupa’daki kurbanları büyük ölçüde etkilemiştir.
Bir e-postanın tamamen devralma riskinin, saldırganların bir mağdurun (yeniden kullanılan) kimlik bilgilerini nasıl elde ettiğine bağlı olduğu keşfedilmiştir. Google’ı bir vaka çalışması olarak kullandığımızda, üçüncü taraf veri ihlalinde bulunan kurbanların yalnızca %7’sinde mevcut Google parolaların ortaya çıktığı görülürken, bu oran keylogger kurbanlarında %12 ve oltalama saldırılarına maruz kalan kurbanlarda %25’tir. Korsanlar, ayrıca, hedeflenen hesapların geçmiş oturum açma davranışı ve cihaz profilini taklit ederek farklı başarılar da elde etmişlerdir. Rastgele bir Google kullanıcısına oranla, oltalama saldırısı başarı oran olasılığının 400 kat fazla olduğunu tespit edilmiştir. Buna kıyasla, bu oran veri ihlali kurbanları için 10 katı ve keylogger kurbanları için yaklaşık 40 katıdır. Bu durum, oltalama kitlerinin bir kurbanın kimliğine bürünmek için, aktif olarak risk profil bilgilerini çalmalarının sonucudur: %83’ünde coğrafi konum,% 18’inde telefon numarası ve %16’ında Kullanıcı Aracı verisi (User-Agent data) kullanılmıştır.
Perde arkasında, yıllık izleme örneğindeki aktif saldırıların sorumlusu olarak 4.069 farklı oltalama kiti ve 52 keylogger bulunmuştur. En popüler phishing kiti — Gmail, Yahoo ve Hotmail girişlerini taklit eden bir web sitesidir. Bu 2.599 blackhat tarafından 1.4 milyon kişinin kimlik bilgilerini çalmak için kullanılmıştır. Aynı şekilde, en Popüler keylogger-HawkEye-470 olup saldırganlar tarafından, enfekte olmuş cihazlarda 409.000 kullanıcı etkinliği rapor üretmek için kullanılmıştır Hem oltalama kitlerinin hem de keylogger operatörlerinin Nijerya’da yoğunlaştığını, ardından Afrika ve Güneydoğu Asya’daki diğer ülkeleri fazlalaştığı tespit edilmiştir. Bulgular, kimlik bilgisi hırsızlığını çevreleyen yer altı ekonomisinin küresel boyuttaki erişimini ve kullanıcıların kimliğini doğrulamak için kapsamlı bir savunma gerekliliğini ortaya koymuştur.
Kaynak: ACM CSS Blog — Data Breaches, Phishing, or Malware? Understanding the Risks of Stolen Credentials
“Bu gönderi orijinal olarak www.oltala.com.tr adresinde yayımlanmıştır”
Teknoloji Haberleri
- Beynimizde anılarımızı bir arada tutan "tutkal" keşfedildiİnsan beynindeki bilgilerin dağılmadan ve karışmadan doğru yerde, doğru bağlantılarla birbirine tutunması nasıl mümkün oluyor? Bilim insanları şimdi bu sorunun cevabını arıyorlar.
- Şaşırtan açıklama: "Mezarda da olsam, yapay zekaya dava açacağım"Oscar ödüllü Marvel yıldızı Robert Downey Jr, ölümünden sonra yapay zekanın kendisini kopyalaması durumunda "mezarından bile dava açacağını" söylüyor.
- Karanlıkta parlayan Nothing Phone 2a Plus Community Edition tanıtıldıNothing, yarışma kazanan hayranlarıyla işbirliği yaparak tasarladığı en son akıllı telefonunu, yani karanlıkta parlayan Nothing Phone 2a Plus Community Edition'ı tanıttı.
- Uygun fiyatıyla dikkat çeken Omix X6 bu fiyata neler sunuyor? Tüm detaylarıyla inceledik!OMIX, uygun fiyatlı telefon arayanlara hitap eden cihazlarıyla tanınıyor ve şimdi orta segment için dikkat çeken yeni modeli X6 ile kullanıcıların karşısına çıkıyor. Peki 8 bin liralık bu telefon hangi özelliklere sahip.
- Netflix Türkiye'de son hafta en çok izlenen 10 film (21-27 Ekim)Netflix, platformda 21-27 Ekim haftası en çok izlenen filmleri duyurdu. İşte Türkiye'de o hafta en çok tercih edilen filmler...