Parolalar Nasıl Çalınır (ve Onları Güvende Tutmak için 10 Basit Adım)
Yayınlanan: 2022-03-15
“RockYou2021: 8,4 milyar girişle tüm zamanların en büyük şifre derlemesi çevrimiçi sızdırıldı”
"Polis, saldırıya uğramış bir bulut sunucusunda gizlenmiş 225 milyon çalıntı şifre buldu"
Bu manşetler ne yazık ki yeni bir şey değil. Parolanızın sızdırılmasının/çalınmasının tehlikeleri artık iyi bilinmektedir. Teknoloji sihirbazları, sonunda parola kullanımının yerini alacak araçlar geliştiriyor ve test ediyor, ancak geçişin yakın zamanda tam olarak uygulanması beklenmiyor.
Web sitelerinin ve uygulamaların çoğu, biyometrik veriler aracılığıyla kimlik doğrulamaya izin vermez, yani biz kullanıcılar hala mütevazı parolayı kullanmakla sınırlıdır. Gerçek şu ki, birçok kişi hala şifre yöneticileri kullanmıyor ve aynı şifreyi çevrimiçi bankacılık gibi önemli olanlar da dahil olmak üzere birden fazla web sitesi ve uygulamada yeniden kullanıyor.
Bu, varlıklarınızı korumak istiyorsanız parolalarınızı korumak için önlem almanın (yine bir parola yöneticisi kullanmadığınız sürece) zorunlu olduğu anlamına gelir.
Yine de oraya gitmeden önce, belki de en iyisi veri sızıntılarının/hırsızlıklarının nasıl gerçekleştiğine bakmaktır, çünkü süreci anlamak onu önlemede büyük rol oynayabilir.
Şifreler Nasıl Hacklenir ve Çalınır?
Hedeflerinin iş yaptığı şirketleri temsil ettiklerini iddia edebilirler. Genellikle kolluk kuvvetleri personeli, vergi acenteleri ve Sosyal Güvenlik İdaresi çalışanları dahil olmak üzere devlet görevlilerinin kimliğine bürünürler. Bazen hedeflerinin aile üyeleri veya arkadaşları adına aradıklarını iddia ederler.
Bu suçlular, talep ettikleri bilgileri sağlayarak hemen harekete geçmezlerse, bir aciliyet duygusu vermeye çalışacak ve hatta belki de hedeflerini tutuklama veya yardımlara erişimin kaybıyla tehdit edeceklerdir.
Bu kimlik bilgileri, eşleşmeleri bulmayı ve erişim elde etmeyi umarak çok sayıda siteye karşı hızla test eden uygulamalara yüklenir. Her yıl kaydedilen bu türden yüz milyonlarca saldırı var.
Kimlik bilgilerini çalan uygulamalar ve işlevler, yalnızca şifrelerinizi değil, tüm tuş vuruşlarınızı kaydeden ve ardından bunları kötü oyuncuya ileten tuş kaydediciler, kötü amaçlı yazılım paketleri olabilir.
Kimlik bilgilerini çalan kötü amaçlı yazılımlar, saygın kuruluşlara benzemek üzere tasarlanmış sitelere de yerleştirilebilir. Örneğin, bir saldırgan, hedefin banka hesabında şüpheli etkinlik gözlemlendiğini ve hedefin parolayı hemen değiştirmek için hesabına giriş yapması gerektiğini iddia eden bir kimlik avı mesajı gönderebilir.
Kurban, mesajdaki bir bağlantıya tıklar ve şifre sıfırlama işlemini başlatmak için oturum açma bilgilerini girmesi talimatı verilen meşru görünen bir banka sitesine götürülür. Bunu yapmak, saldırgana kurbanın banka hesabı kimlik bilgilerini sağlar.
Bazı kötü niyetli benzer siteler, rastgele kişilerin yanlışlıkla bu sitelere geleceği ve kullanıcı adları ve şifrelerinden dolandırılacağı umuduyla oluşturulur.
Bunun yüksek teknoloji versiyonu, ortadaki adam saldırısıdır. Genel Wi-Fi ağlarına, ağ trafiğini izlemek ve ağları kullananlardan hesap oturum açma kimlik bilgileri de dahil olmak üzere hassas verileri çalmak için hazır araçları kullanan saldırganlar sıklıkla uğrar.
Bazen siber suçlular, tek amacı kullanıcı verilerini çalmak olan meşru işletmelermiş gibi görünmek üzere tasarlanmış kendi halka açık Wi-Fi ağlarını oluştururlar. Herkese açık Wi-Fi ağları doğası gereği güvensizdir.
Aslında, aktif olarak onları çalmaya çalışan saldırganların sayısı gibi, kullanılan şifrelerin sayısı da artmaya devam ediyor. Parola koruması ciddiye alınmalıdır, bu nedenle devam edin ve bu ipuçlarından olabildiğince çoğunu uygulayın.
"Polis, saldırıya uğramış bir bulut sunucusunda gizlenmiş 225 milyon çalıntı şifre buldu"
Bu manşetler ne yazık ki yeni bir şey değil. Parolanızın sızdırılmasının/çalınmasının tehlikeleri artık iyi bilinmektedir. Teknoloji sihirbazları, sonunda parola kullanımının yerini alacak araçlar geliştiriyor ve test ediyor, ancak geçişin yakın zamanda tam olarak uygulanması beklenmiyor.
Web sitelerinin ve uygulamaların çoğu, biyometrik veriler aracılığıyla kimlik doğrulamaya izin vermez, yani biz kullanıcılar hala mütevazı parolayı kullanmakla sınırlıdır. Gerçek şu ki, birçok kişi hala şifre yöneticileri kullanmıyor ve aynı şifreyi çevrimiçi bankacılık gibi önemli olanlar da dahil olmak üzere birden fazla web sitesi ve uygulamada yeniden kullanıyor.
Bu, varlıklarınızı korumak istiyorsanız parolalarınızı korumak için önlem almanın (yine bir parola yöneticisi kullanmadığınız sürece) zorunlu olduğu anlamına gelir.
Yine de oraya gitmeden önce, belki de en iyisi veri sızıntılarının/hırsızlıklarının nasıl gerçekleştiğine bakmaktır, çünkü süreci anlamak onu önlemede büyük rol oynayabilir.
Şifreler Nasıl Hacklenir ve Çalınır? 
Tahmin - en basit yöntem
2020 yılında en çok kullanılan şifrelerden üçünün "123456", "123456789" ve "şifre" olduğu tespit edildi. HaveIBeenPwned'de bulunan araçlar (kesinlikle görülmeye değer) kullanılarak arandığında, bu şifrelerin, ihlal edilen verilerin taranması sırasında on milyonlarca kez göründüğü tespit edildi. İşte Ocak 2022 itibariyle raporlama sonuçları:- 123456 - 37.359.195 görünüş
- 123456789 - 16.629.796 görünüş
- şifre - 9.545.824 görünüş
Kimlik avı ve diğer sosyal mühendislik saldırısı türleri
Siber suçlular genellikle hedefleriyle telefon (vishing), e-posta (phishing), metin mesajı (smishing) veya sosyal medya hesapları aracılığıyla doğrudan iletişim kurar. Bu saldırılarda, dolandırıcılar, kurbanlarını oturum açma kimlik bilgileri gibi hassas bilgileri sağlamaya ikna etmek için genellikle başkalarını taklit eder.Hedeflerinin iş yaptığı şirketleri temsil ettiklerini iddia edebilirler. Genellikle kolluk kuvvetleri personeli, vergi acenteleri ve Sosyal Güvenlik İdaresi çalışanları dahil olmak üzere devlet görevlilerinin kimliğine bürünürler. Bazen hedeflerinin aile üyeleri veya arkadaşları adına aradıklarını iddia ederler.
Bu suçlular, talep ettikleri bilgileri sağlayarak hemen harekete geçmezlerse, bir aciliyet duygusu vermeye çalışacak ve hatta belki de hedeflerini tutuklama veya yardımlara erişimin kaybıyla tehdit edeceklerdir.
Kaba kuvvet ve doldurma saldırıları
Belirtildiği gibi, bilgisayar korsanlarının hızlı bir şekilde rastgele şifreler oluşturabilen ve hedeflenen hesaplara erişim sağlayıp sağlamayacaklarını belirlemek için bunları test edebilen araçları vardır. Kaba zorlamanın bir çeşidi olan doldurma, ihlallerde açığa çıkan ve Dark Web aracılığıyla suçluların kullanımına sunulan önceden çalınmış kimlik bilgilerinin kullanılmasını içerir.Bu kimlik bilgileri, eşleşmeleri bulmayı ve erişim elde etmeyi umarak çok sayıda siteye karşı hızla test eden uygulamalara yüklenir. Her yıl kaydedilen bu türden yüz milyonlarca saldırı var.
Kimlik bilgilerini çalan kötü amaçlı yazılım
Kimlik avı e-postalarındaki kötü amaçlı bağlantılara tıkladığınızda, virüslü e-posta eklerini açtığınızda, yanlışlıkla bir saldırganın web sitesini ziyaret ettiğinizde veya saygın bir kaynaktan gelmeyen bir uygulama yüklediğinizde, cihazlarınıza kimlik bilgilerini çalan kötü amaçlı yazılım bulaşabilir.Kimlik bilgilerini çalan uygulamalar ve işlevler, yalnızca şifrelerinizi değil, tüm tuş vuruşlarınızı kaydeden ve ardından bunları kötü oyuncuya ileten tuş kaydediciler, kötü amaçlı yazılım paketleri olabilir.
Kimlik bilgilerini çalan kötü amaçlı yazılımlar, saygın kuruluşlara benzemek üzere tasarlanmış sitelere de yerleştirilebilir. Örneğin, bir saldırgan, hedefin banka hesabında şüpheli etkinlik gözlemlendiğini ve hedefin parolayı hemen değiştirmek için hesabına giriş yapması gerektiğini iddia eden bir kimlik avı mesajı gönderebilir.
Kurban, mesajdaki bir bağlantıya tıklar ve şifre sıfırlama işlemini başlatmak için oturum açma bilgilerini girmesi talimatı verilen meşru görünen bir banka sitesine götürülür. Bunu yapmak, saldırgana kurbanın banka hesabı kimlik bilgilerini sağlar.
Bazı kötü niyetli benzer siteler, rastgele kişilerin yanlışlıkla bu sitelere geleceği ve kullanıcı adları ve şifrelerinden dolandırılacağı umuduyla oluşturulur.
Omuz sörfü ve ortadaki adam saldırıları
"Omuz sörfü" terimi, birinin bilgisayarında veya aygıtının ekranında ne olduğunu gözlemlemek için omzunun üzerinden bakma ve parolaları veya diğer hassas bilgileri keşfetmeye çalışma taktiğini tanımlar.Bunun yüksek teknoloji versiyonu, ortadaki adam saldırısıdır. Genel Wi-Fi ağlarına, ağ trafiğini izlemek ve ağları kullananlardan hesap oturum açma kimlik bilgileri de dahil olmak üzere hassas verileri çalmak için hazır araçları kullanan saldırganlar sıklıkla uğrar.
Bazen siber suçlular, tek amacı kullanıcı verilerini çalmak olan meşru işletmelermiş gibi görünmek üzere tasarlanmış kendi halka açık Wi-Fi ağlarını oluştururlar. Herkese açık Wi-Fi ağları doğası gereği güvensizdir.
10 Basit Adımda Şifrelerimi Hacklenmekten Nasıl Korurum
Parolalarınızı, hesaplarınızı ve hassas bilgilerinizi korumak için kolayca uygulayabileceğiniz stratejiler şunlardır:- Temel bir kural: Bir şifre yöneticisi/kasa alın. Bunlar, şifrenizi güvende tutmak için özel olarak tasarlanmış uygulamalardır. Onlarla, tek yapmanız gereken tek bir ana şifreyi hatırlamak (hala aşağıdaki kurallara uyarak!)
- Gerçek kelimeleri dahil etmeyin. Mümkünse, “tahmin edilmesi” muhtemel olmayan kendi kelimelerinizi oluşturun (örneğin, “Radamabla”)
- Kendiniz hakkında doğum günlerini ve diğer kolayca tanımlanabilen verileri kullanmayın (örn. soyadı)
- Zayıf (basit) şifreler kullanmayın. Parolalarınız uzun, karmaşık olmalı ve büyük ve küçük harfler, sayılar ve özel karakterler içermelidir.
- Hesaplarınızın her biri için farklı bir şifre kullanın. Bir hesap tehlikeye girerse, aynı kimlik bilgilerini kullanmaları nedeniyle diğer hesaplar tehlikeye girmez (özellikle e-posta hesaplarında ve finansal hesaplarda şifreleri tekrarlamayın)
- Mümkün olan her yerde 2FA (iki faktörlü kimlik doğrulama) kullanın. Bu, oturum açma işlemine başka bir bileşen ekler. Çoğu durumda, cihazınıza metin veya e-posta yoluyla gönderilen bir PIN'dir. Bir saldırgan oturum açma kimlik bilgilerinizi çalabilirse, bu ek faktör olmadan oturum açma işlemini yine de tamamlayamaz.
- Bir e-posta, metin veya sosyal medya mesajının kaynağına güvenebileceğinizden emin değilseniz ve özellikle mesajla ilgili olağandışı veya şüpheli bir şey varsa, ekleri açmaktan veya içerdiği bağlantılara tıklamaktan kaçınmalısınız.
- Web sitelerini ziyaret ettiğinizde, HTTPS kullandıklarından emin olun. Tarayıcınızın üst kısmında site URL'sinin solunda, bu güvenlik protokolünün kullanıldığını gösteren kilitli bir asma kilit görüntülenmelidir. Bazı suçlular artık sitelerinde HTTPS kullanmaya başladılar, bu nedenle bu yöntem bilgilerinizi dolandırıcılardan korumada %100 etkili değildir, ancak bu öneriye uymak kötü amaçlı sitelerden kaçınmanıza yardımcı olacaktır.
- Cihazlarınızdaki işletim sistemlerinin güncel olduğundan ve güncellemeleri otomatik olarak indirip yükleyecek şekilde ayarlandığından emin olun. Ayrıca, tüm cihazlarınızın kötü amaçlı yazılımdan koruma/virüsten koruma uygulamaları çalıştırdığından emin olun.
- Cihazınızda ayrıca bir sanal özel ağ (VPN) uygulaması yoksa ve bu uygulama kullanımda değilse, herkese açık Wi-Fi kullanmaktan kaçının. VPN'ler, cihazınıza gidip gelen verileri şifreler. Kötü bir aktör tarafından ele geçirilse bile, verilerin kodu çözülemez ve okunamaz. Bir VPN'niz yoksa ve herkese açık Wi-Fi kullanmanız gerekiyorsa, herhangi bir hesapta oturum açmaktan veya mesajlaşma servisleri aracılığıyla hassas bilgiler göndermekten kaçının.
Son düşünceler
On yıldan fazla bir süredir, teknoloji yayınları şifrenin sonunu tahmin ediyor, ancak hala burada.Aslında, aktif olarak onları çalmaya çalışan saldırganların sayısı gibi, kullanılan şifrelerin sayısı da artmaya devam ediyor. Parola koruması ciddiye alınmalıdır, bu nedenle devam edin ve bu ipuçlarından olabildiğince çoğunu uygulayın.