Aynı parolayı birden fazla hesapta tekrar kullanmak kolaylık sağlayabilir lakin dijital ömrünüzde zincirleme sıkıntılara yol açabilir. Bunların başında da dolandırıcıların sıklıkla başvurduğu kimlik bilgisi doldurma metodu geliyor. Siber güvenlik şirketi ESET bu hücum tekniğine karşı alınabilecek tedbirleri inceleyerek tekliflerde bulundu.
Kimlik bilgisi doldurma, berbat niyetli bireylerin daha evvel ifşa edilmiş oturum açma kimlik bilgilerinin listesini alıp, seçilen çevrimiçi hizmetlerin oturum açma alanlarına kullanıcı ismi ve parola ikilisini sistematik olarak girme tekniğidir. Tıpkı kimlik bilgilerini çeşitli hesaplarda tekrar kullanırsanız bu kimlik bilgisi ikilisi saldırganlara birbiriyle ilgisi olmayan çevrimiçi hizmetlere erişim müsaadesi verebilir. Kimlik bilgisi doldurma, birinin konutunuzu, ofisinizi ve kasayı tek seferde açan bir anahtar bulmasına eş paha bir dijital kabahattir. Geçmişteki bilgi ihlallerinden ve siber cürüm pazarlarından elde edilebilir yahut saldırganlar bunun için güvenliği ihlal edilmiş aygıtlardan ve web tarayıcılarından kimlik bilgilerini çalan, infostealer isimli berbat emelli yazılımları kullanabilirler.
Farklı hesaplarda tıpkı parolaları kullanmayın
Kullanıcılar çevrimiçi bankacılık, e-posta, toplumsal medya ve alışveriş siteleri üzere yüksek pahalı hesaplar da dâhil olmak üzere, parolaları farklı hesaplarda yine kullanma eğilimindeler. Saldırganlar, bir yerde oturum açma kimlik bilgilerini bulduktan sonra, bunları her yerde deneyebilirler. Botlar yahut otomatik araçlar kullanarak bu kimlik bilgilerini oturum açma formlarına yahut API’lere “doldururlar”, bazen IP adreslerini değiştirir ve radarın altında kalmak için yasal kullanıcı davranışlarını taklit ederler.
Saldırganların rastgele yahut yaygın olarak kullanılan kalıplar kullanarak parolayı kestirim etmeye çalıştıkları brute force taarruzlarına kıyasla kimlik bilgisi doldurma daha kolaydır: İnsanların kendilerinin yahut tercih ettikleri çevrimiçi hizmetlerin ekseriyetle yıllar evvel ifşa etmiş oldukları bilgilere dayanır. Ayrıyeten tekrarlanan oturum açma yanlışlarının alarmları tetikleyebildiği brute force akınlarının bilakis, kimlik bilgisi doldurma esasen geçerli olan kimlik bilgilerini kullanır ve taarruzlar fark edilmeden kalır.
Kendinizi nasıl koruyabilirsiniz?
ESET uzmanları kullanıcıların güvenlikleri için alabilecekleri önlemleri şöyle sıraladı:
· Aynı parolayı birden fazla site yahut hizmette asla tekrar kullanmayın. Parola yöneticisi, her hesap için güçlü ve eşsiz parolalar oluşturabileceği ve saklayabileceği için bunu çok kolaylaştırır.
- Mümkün olduğunda iki faktörlü kimlik doğrulamayı (2FA) aktifleştirin. Saldırganlar parolanızı bilseler bile ikinci faktör olmadan giriş yapamazlar.
- Uyanık olun ve haveibeenpwned.com üzere hizmetleri kullanarak e-postanızın yahut kimlik bilgilerinizin geçmişteki sızıntılarda yahut ihlallerde açığa çıkıp çıkmadığını denetim edin. Açığa çıkmışsa bilhassa hassas dataları depolayan hesaplar için çabucak harekete geçin ve parolalarınızı değiştirin.
Kaynak: (BYZHA) Beyaz Haber Ajansı