Bilgisayar korsanlarının parolaları çalmak için kullandığı 5 usul Parola kavramı yüzsenelerdır ömrümüzde ve parolaların bilgi süreç dünyasına girişi birçoğumuzun hatırlayabileceğinden bile eskiye dayanıyor. Ortalama bir kişinin hatırlaması gereken 100 giriş bilgisi olduğu ve bu sayının gitgide arttığı bir çağda yaşıyoruz. Biroldukça kişi, kendilerine kolaylık olsun diye, kısa yolları tercih ediyor ve kararında da güvenlikle ilgili meseleler ortaya çıkıyor. Bir siber hatalı ile şahsi ve finansal ayrıntılarınız içindeki tek şeyin parola olduğunu düşünürsek, sahtekarların giriş ayrıntılarını çalmaya yahut kırmaya niye bu kadar istekli olduğunu anlayabiliriz. Parolalar dijital dünyanın sanal anahtarlarıdır. Online bankacılığa, e-posta ve toplumsal medya hizmetlerine, Netflix hesaplarına ve bulut depolamasında bulunan tüm datalara erişim sağlar.
Giriş detaylarıne sahip olan bilgisayar korsanları neler yapabilir:
şahsi kimlik ayrıntılarını çalmak ve bu ayrıntıları öteki hatalılara satmak
Hesabın kendisine erişim sağlama imkanını diğerlerine satmak. Karanlık ağdaki hatalı sitelerinde bu kimlik detaylarıyle ticaret yapılır. Bu ayrıntıları alan berbat niyetli şahıslar, fiyatsız taksi seyahatlerinden ve görüntü yayınlarından ele geçirilen uçuş mili hesaplarıyla indirimli seyahatlere kadar her şeye erişim sağlayabilir.
Birebir parolayı kullandığınız başka hesaplara giriş yapmak için parolaları kullanmak.
Bilgisayar korsanları parolaları nasıl çalıyor?
Kimlik avı ve toplumsal mühendislik
İnsan, yanılgı yapabilen ve kestirim edilebilir bir varlıktır. Ayrıyeten, tez etmemiz istendiğinde yanlış kararlar vermeye de eğilimliyiz. Siber hatalılar, toplumsal mühendislik yoluyla bu zayıflıklarımızdan faydalanırlar. Toplumsal mühendislik, yapmamamız gereken bir şeyi yapmamız için tasarlanan ruhsal bir kandırmadır. Kimlik avı büyük ihtimalle bunun en bilinen örneğidir. Kimlik avında bilgisayar korsanları arkadaş, aile ve iş bağınız bulunan şirketler üzere gerçek şahısların kimliğine bürünür. Size gelen e-posta yahut bildiri gerçek üzere görünür, lakin e-postada yahut iletide makus maksatlı bir ilişki ya da ek bulunur. Bu kontağa yahut eke tıkladığınızda makus maksatlı bir yazılım indirirsiniz ya da şahsi ayrıntılarınızı girmeniz gereken bir sayfaya yönlendirilirsiniz. Burada deklare ettiğımız üzere kimlik avı taarruzuyla ilgili işaretleri fark etmenin biroldukca yolu vardır. Dolandırıcılar, kurbanlarının giriş ayrıntılarını ve öbür şahsi ayrıntılarını ele geçirmek için direkt telefonla arayarak, çoklukla teknik dayanak takımı mühendisi üzere davranır. Bu tekniğe “sesli kimlik hırsızlığı” (ses tabanlı kimlik hırsızlığı) denir.
Makus maksatlı yazılımlar
Parolalarınızı ele geçirmek için kullanılan tanınan yollardan biri de makûs hedefli yazılımlardır. Kimlik avı e-postaları, bu cinsteki akınlar içinde esas vektördür. Berbat hedefli çevrimiçi bir reklama (zararlı reklam) tıklayarak yahut güvenliği ihlal edilmiş bir web sitesini ziyaret ederek (istemeden indirme) kurban durumuna düşebilirsiniz. ESET araştırmacısı Lukas Stefanko tarafınca birfazlaca defa gösterildiği üzere berbat emelli yazılımlar, çoğunlukla üçüncü taraf uygulama mağazalarında bulunan ve gerçek gözüken bir telefon uygulamasında gizlenmiş bile olabilir. Bilgi çalmak için kullanılan çeşitli cinslerde makûs gayeli yazılım bulunur, lakin en yaygın olanlarından kimileri bastığınız tuşları kaydetmek yahut aygıtınızın ekran imajını alarak, bu imgeyi saldırganlara göndermek üzere tasarlanır.
Deneme yanılma saldırıları
Ortalama bir kişinin bilmesi gereken ortalama parola sayısı 2020 yılında %25’lik bir artış gösterdi. Bunun kararında birçoğumuz hatırlaması kolay parolalar seçip bunları birden epeyce sitede kullanıyoruz. Lakin bu durum deneme yanılma saldırısı denilen teknikler için kapıları aralayabilir. Bunlardan en yaygın olanlarından biri kimlik hırsızlığıdır. Bu teknikte saldırganlar, daha evvel ele geçirilmiş büyük hacimli kullanıcı/parola kombinasyonlarını otomatik bir yazılıma yükler. çabucak sonrasında bu araç, kombinasyonları biroldukca sitede deneyerek eşleşme bulmaya çalışır. Bu sayede korsanlar sadece bir parola ile biroldukca hesabınızı ele geçirebilir. Bir hesaplamaya göre geçtiğimiz yıl dünya genelinde bu türlü 193 milyar deneme olduğu hesaplandı. Geçtiğimiz günlerde bu teknikle ilgili olarak Kanada hükümeti kurban durumuna düştü. Öbür bir deneme yanılma tekniği ise parola püskürtmedir. Bu teknikte korsanlar, yaygın olarak kullanılan parolaları deneyerek sizin hesabınızın parolasını kırmak için otomatik bir yazılım kullanır.
İddia
Deneme yanılma yoluyla parolanızı ele geçirmek için otomatik araçlara sahip olmalarına karşın, bilgisayar korsanları kimi vakit bu araçlara gereksinim duymadan, deneme yanılma akınlarında kullanılan daha sistematik yaklaşımın tam aksine sırf sıradan bir kestirimle parolanızı ele geçirebilir. 2020 yılındaki en epey kullanılan parola “123456” idi, ikinci sırada ise “123456789” geliyordu. En epey kullanılan parolalar içinde dördüncü sırada ise “parola” sözü yer alıyordu. Birfazlaca kişi üzere birden çok hesapta tıpkı parolayı kullanıyor yahut emsal bir parola belirliyorsanız saldırganların işini kolaylaştırıyor, kimlik hırsızlığı ve dolandırıcılık ile ilgili riskinizi artırıyorsunuz demektir.
Omuz üzerinden sinsice izleme
Şu ana kadar incelediğimiz parola ihlalleri sanal ortamda uygulanan sistemlerdi. Lakin kısıtlamaların azalması ve biroldukca çalışanın ofiste çalışmaya bir daha başlamasıyla birlikte, denenmiş ve işe yaradığı onaylanmış birtakım dinleme tekniklerinin de risk oluşturduğunu hatırlatmakta yarar var. Omuz üzerinden sinsice izlemenin hala risk oluşturmasının tek sebebi bu değildir. Geçtiğimiz günlerde ESET çalışanı Jake Moore, sıradan bir teknik kullanarak birinin Snapchat hesabını ele geçirmenin ne kadar kolay olduğunu göstermek için bir deney yaptı. Bu hücumun Wi-Fi üzerinden dinleme tekniğiyle gerçekleştirildiği ve “bağlantıyı müsaadesiz izleme” olarak bilinen yüksek teknoloji versiyonunda, herkese açık Wi-Fi irtibatlarını izleyen korsanlar tıpkı ağa bağlı olduğunuz müddet içerisinde girdiğiniz parolanızı çalar. Her iki teknik de yıllardır kullanıyor ve tehdit oluşturmaya devam ediyor.
Giriş ayrıntılarınızı nasıl koruyabilirsiniz?
Bu teknikleri engellemek için birfazlaca şey yapabilirsiniz. Parolanıza ikinci bir kimlik doğrulama ekleyebilirsiniz, parolalarınızı daha tesirli bir biçimde yönetebilirsiniz yahut hücum gerçekleşmedilk evvel hırsızı durdurmaya yönelik adımlar atabilirsiniz. ESET uzmanları ayrıntılarınızı korumak için yapabileceklerinizi şöyle özetliyor;
Bankacılık, e-posta ve toplumsal medya hesaplarınız başta olmak üzere tüm çevrimiçi hesaplarınızda sırf kuvvetli ve eşsiz parolalar yahut geçiş kodları kullanın
Birden çok hesapta birebir giriş ayrıntılarını kullanmaktan yahut yaygın olarak yapılan parola yanlışlarından kaçının
Tüm hesaplarınızda iki faktörlü kimlik doğrulamaya (2FA) geçiş yapın
Tüm siteler ve hesaplar için kuvvetli, eşsiz parolaları saklayan ve bu sayede giriş yapmayı kolaylaştırıp inançlı hale getiren bir parola yöneticisi kullanın
Bir sağlayıcı, detaylarınizin ihlal edildiğini size bildirir bildirmez parolanızı değiştirin
Giriş yapmak için sadece HTTPS siteler kullanın
Doğrulanmayan e-postalardaki linklere tıklamayın yahut ekleri açmayın
Sadece resmi uygulama mağazalarından uygulama indirin
Tüm aygıtlarınız için saygın bir sağlayıcının güvenlik yazılımına yatırım yapın
Tüm işletim sistemlerinin ve uygulamaların en yeni sürümde olduğundan emin olun
Ortak kullanım alanlarında omuz üzerinden sinsice izleyenlere karşı dikkatli olun
Herkese açık Wi-Fi kullanıyorsanız asla bir hesaba giriş yapmayın, giriş yapmanız gerekirse VPN kullanın
Önümüzdeki on yıl içerisinde parolaların tarihe karışacağı iddia ediliyor. Fakat parolaya alternatif yollar hâlâ parolanın yerini alma konusunda zorluklarla karşılaşıyor. ötürüsıyla bu bahiste kullanıcılar inisiyatifi ele almalıdır. Dikkatli olun ve giriş bilgilerinizi inançta tutun.
Hibya Haber Ajansı
Giriş detaylarıne sahip olan bilgisayar korsanları neler yapabilir:
şahsi kimlik ayrıntılarını çalmak ve bu ayrıntıları öteki hatalılara satmak
Hesabın kendisine erişim sağlama imkanını diğerlerine satmak. Karanlık ağdaki hatalı sitelerinde bu kimlik detaylarıyle ticaret yapılır. Bu ayrıntıları alan berbat niyetli şahıslar, fiyatsız taksi seyahatlerinden ve görüntü yayınlarından ele geçirilen uçuş mili hesaplarıyla indirimli seyahatlere kadar her şeye erişim sağlayabilir.
Birebir parolayı kullandığınız başka hesaplara giriş yapmak için parolaları kullanmak.
Bilgisayar korsanları parolaları nasıl çalıyor?
Kimlik avı ve toplumsal mühendislik
İnsan, yanılgı yapabilen ve kestirim edilebilir bir varlıktır. Ayrıyeten, tez etmemiz istendiğinde yanlış kararlar vermeye de eğilimliyiz. Siber hatalılar, toplumsal mühendislik yoluyla bu zayıflıklarımızdan faydalanırlar. Toplumsal mühendislik, yapmamamız gereken bir şeyi yapmamız için tasarlanan ruhsal bir kandırmadır. Kimlik avı büyük ihtimalle bunun en bilinen örneğidir. Kimlik avında bilgisayar korsanları arkadaş, aile ve iş bağınız bulunan şirketler üzere gerçek şahısların kimliğine bürünür. Size gelen e-posta yahut bildiri gerçek üzere görünür, lakin e-postada yahut iletide makus maksatlı bir ilişki ya da ek bulunur. Bu kontağa yahut eke tıkladığınızda makus maksatlı bir yazılım indirirsiniz ya da şahsi ayrıntılarınızı girmeniz gereken bir sayfaya yönlendirilirsiniz. Burada deklare ettiğımız üzere kimlik avı taarruzuyla ilgili işaretleri fark etmenin biroldukca yolu vardır. Dolandırıcılar, kurbanlarının giriş ayrıntılarını ve öbür şahsi ayrıntılarını ele geçirmek için direkt telefonla arayarak, çoklukla teknik dayanak takımı mühendisi üzere davranır. Bu tekniğe “sesli kimlik hırsızlığı” (ses tabanlı kimlik hırsızlığı) denir.
Makus maksatlı yazılımlar
Parolalarınızı ele geçirmek için kullanılan tanınan yollardan biri de makûs hedefli yazılımlardır. Kimlik avı e-postaları, bu cinsteki akınlar içinde esas vektördür. Berbat hedefli çevrimiçi bir reklama (zararlı reklam) tıklayarak yahut güvenliği ihlal edilmiş bir web sitesini ziyaret ederek (istemeden indirme) kurban durumuna düşebilirsiniz. ESET araştırmacısı Lukas Stefanko tarafınca birfazlaca defa gösterildiği üzere berbat emelli yazılımlar, çoğunlukla üçüncü taraf uygulama mağazalarında bulunan ve gerçek gözüken bir telefon uygulamasında gizlenmiş bile olabilir. Bilgi çalmak için kullanılan çeşitli cinslerde makûs gayeli yazılım bulunur, lakin en yaygın olanlarından kimileri bastığınız tuşları kaydetmek yahut aygıtınızın ekran imajını alarak, bu imgeyi saldırganlara göndermek üzere tasarlanır.
Deneme yanılma saldırıları
Ortalama bir kişinin bilmesi gereken ortalama parola sayısı 2020 yılında %25’lik bir artış gösterdi. Bunun kararında birçoğumuz hatırlaması kolay parolalar seçip bunları birden epeyce sitede kullanıyoruz. Lakin bu durum deneme yanılma saldırısı denilen teknikler için kapıları aralayabilir. Bunlardan en yaygın olanlarından biri kimlik hırsızlığıdır. Bu teknikte saldırganlar, daha evvel ele geçirilmiş büyük hacimli kullanıcı/parola kombinasyonlarını otomatik bir yazılıma yükler. çabucak sonrasında bu araç, kombinasyonları biroldukca sitede deneyerek eşleşme bulmaya çalışır. Bu sayede korsanlar sadece bir parola ile biroldukca hesabınızı ele geçirebilir. Bir hesaplamaya göre geçtiğimiz yıl dünya genelinde bu türlü 193 milyar deneme olduğu hesaplandı. Geçtiğimiz günlerde bu teknikle ilgili olarak Kanada hükümeti kurban durumuna düştü. Öbür bir deneme yanılma tekniği ise parola püskürtmedir. Bu teknikte korsanlar, yaygın olarak kullanılan parolaları deneyerek sizin hesabınızın parolasını kırmak için otomatik bir yazılım kullanır.
İddia
Deneme yanılma yoluyla parolanızı ele geçirmek için otomatik araçlara sahip olmalarına karşın, bilgisayar korsanları kimi vakit bu araçlara gereksinim duymadan, deneme yanılma akınlarında kullanılan daha sistematik yaklaşımın tam aksine sırf sıradan bir kestirimle parolanızı ele geçirebilir. 2020 yılındaki en epey kullanılan parola “123456” idi, ikinci sırada ise “123456789” geliyordu. En epey kullanılan parolalar içinde dördüncü sırada ise “parola” sözü yer alıyordu. Birfazlaca kişi üzere birden çok hesapta tıpkı parolayı kullanıyor yahut emsal bir parola belirliyorsanız saldırganların işini kolaylaştırıyor, kimlik hırsızlığı ve dolandırıcılık ile ilgili riskinizi artırıyorsunuz demektir.
Omuz üzerinden sinsice izleme
Şu ana kadar incelediğimiz parola ihlalleri sanal ortamda uygulanan sistemlerdi. Lakin kısıtlamaların azalması ve biroldukca çalışanın ofiste çalışmaya bir daha başlamasıyla birlikte, denenmiş ve işe yaradığı onaylanmış birtakım dinleme tekniklerinin de risk oluşturduğunu hatırlatmakta yarar var. Omuz üzerinden sinsice izlemenin hala risk oluşturmasının tek sebebi bu değildir. Geçtiğimiz günlerde ESET çalışanı Jake Moore, sıradan bir teknik kullanarak birinin Snapchat hesabını ele geçirmenin ne kadar kolay olduğunu göstermek için bir deney yaptı. Bu hücumun Wi-Fi üzerinden dinleme tekniğiyle gerçekleştirildiği ve “bağlantıyı müsaadesiz izleme” olarak bilinen yüksek teknoloji versiyonunda, herkese açık Wi-Fi irtibatlarını izleyen korsanlar tıpkı ağa bağlı olduğunuz müddet içerisinde girdiğiniz parolanızı çalar. Her iki teknik de yıllardır kullanıyor ve tehdit oluşturmaya devam ediyor.
Giriş ayrıntılarınızı nasıl koruyabilirsiniz?
Bu teknikleri engellemek için birfazlaca şey yapabilirsiniz. Parolanıza ikinci bir kimlik doğrulama ekleyebilirsiniz, parolalarınızı daha tesirli bir biçimde yönetebilirsiniz yahut hücum gerçekleşmedilk evvel hırsızı durdurmaya yönelik adımlar atabilirsiniz. ESET uzmanları ayrıntılarınızı korumak için yapabileceklerinizi şöyle özetliyor;
Bankacılık, e-posta ve toplumsal medya hesaplarınız başta olmak üzere tüm çevrimiçi hesaplarınızda sırf kuvvetli ve eşsiz parolalar yahut geçiş kodları kullanın
Birden çok hesapta birebir giriş ayrıntılarını kullanmaktan yahut yaygın olarak yapılan parola yanlışlarından kaçının
Tüm hesaplarınızda iki faktörlü kimlik doğrulamaya (2FA) geçiş yapın
Tüm siteler ve hesaplar için kuvvetli, eşsiz parolaları saklayan ve bu sayede giriş yapmayı kolaylaştırıp inançlı hale getiren bir parola yöneticisi kullanın
Bir sağlayıcı, detaylarınizin ihlal edildiğini size bildirir bildirmez parolanızı değiştirin
Giriş yapmak için sadece HTTPS siteler kullanın
Doğrulanmayan e-postalardaki linklere tıklamayın yahut ekleri açmayın
Sadece resmi uygulama mağazalarından uygulama indirin
Tüm aygıtlarınız için saygın bir sağlayıcının güvenlik yazılımına yatırım yapın
Tüm işletim sistemlerinin ve uygulamaların en yeni sürümde olduğundan emin olun
Ortak kullanım alanlarında omuz üzerinden sinsice izleyenlere karşı dikkatli olun
Herkese açık Wi-Fi kullanıyorsanız asla bir hesaba giriş yapmayın, giriş yapmanız gerekirse VPN kullanın
Önümüzdeki on yıl içerisinde parolaların tarihe karışacağı iddia ediliyor. Fakat parolaya alternatif yollar hâlâ parolanın yerini alma konusunda zorluklarla karşılaşıyor. ötürüsıyla bu bahiste kullanıcılar inisiyatifi ele almalıdır. Dikkatli olun ve giriş bilgilerinizi inançta tutun.
Hibya Haber Ajansı