PAROLALARI BÖYLE ÇALIYORLAR
Bilgisayar korsanlarının parolaları çalmak için kullandığı 5 yöntem...
08 Ocak 2022 Cumartesi 12:30
Parola kavramı yüzyıllardır hayatımızda ve parolaların bilgi işlem dünyasına girişi birçoğumuzun hatırlayabileceğinden bile eskiye dayanıyor. Ortalama bir kişinin hatırlaması gereken 100 giriş bilgisi olduğu ve bu sayının gittikçe arttığı bir çağda yaşıyoruz. Birçok kişi, kendilerine kolaylık olsun diye, kısa yolları tercih ediyor ve sonucunda da güvenlikle ilgili sorunlar ortaya çıkıyor. Bir siber suçlu ile kişisel ve finansal bilgileriniz arasındaki tek şeyin parola olduğunu düşünürsek, sahtekarların giriş bilgilerini çalmaya veya kırmaya neden bu kadar istekli olduğunu anlayabiliriz. Parolalar dijital dünyanın sanal anahtarlarıdır. Online bankacılığa, e-posta ve sosyal medya hizmetlerine, Netflix hesaplarına ve bulut depolamasında bulunan tüm verilere erişim sağlar.
Giriş bilgilerine sahip olan bilgisayar korsanları neler yapabilir:
Kişisel kimlik bilgilerini çalmak ve bu bilgileri başka suçlulara satmak
Hesabın kendisine erişim sağlama olanağını başkalarına satmak. Karanlık ağdaki suçlu sitelerinde bu kimlik bilgileriyle ticaret yapılır. Bu bilgileri alan kötü niyetli kişiler, ücretsiz taksi yolculuklarından ve video yayınlarından ele geçirilen uçuş mili hesaplarıyla indirimli seyahatlere kadar her şeye erişim sağlayabilir.
Aynı parolayı kullandığınız diğer hesaplara giriş yapmak için parolaları kullanmak.
Bilgisayar korsanları parolaları nasıl çalıyor?
Kimlik avı ve sosyal mühendislik
İnsan, hata yapabilen ve tahmin edilebilir bir varlıktır. Ayrıca, acele etmemiz istendiğinde yanlış kararlar vermeye de eğilimliyiz. Siber suçlular, sosyal mühendislik yoluyla bu zayıflıklarımızdan faydalanırlar. Sosyal mühendislik, yapmamamız gereken bir şeyi yapmamız için tasarlanan psikolojik bir kandırmadır. Kimlik avı büyük ihtimalle bunun en bilinen örneğidir. Kimlik avında bilgisayar korsanları arkadaş, aile ve iş ilişkiniz bulunan şirketler gibi gerçek kişilerin kimliğine bürünür. Size gelen e-posta veya mesaj gerçek gibi görünür, ancak e-postada veya mesajda kötü amaçlı bir bağlantı ya da ek bulunur. Bu bağlantıya veya eke tıkladığınızda kötü amaçlı bir yazılım indirirsiniz ya da kişisel bilgilerinizi girmeniz gereken bir sayfaya yönlendirilirsiniz.
Burada açıkladığımız üzere kimlik avı saldırısıyla ilgili işaretleri fark etmenin birçok yolu vardır. Dolandırıcılar, kurbanlarının giriş bilgilerini ve diğer kişisel bilgilerini ele geçirmek için doğrudan telefonla arayarak, genellikle teknik destek ekibi mühendisi gibi davranır. Bu tekniğe “sesli kimlik hırsızlığı” (ses tabanlı kimlik hırsızlığı) denir.
Kötü amaçlı yazılımlar
Parolalarınızı ele geçirmek için kullanılan popüler yollardan biri de kötü amaçlı yazılımlardır. Kimlik avı e-postaları, bu türdeki saldırılar arasında başlıca vektördür. Kötü amaçlı çevrimiçi bir reklama (zararlı reklam) tıklayarak veya güvenliği ihlal edilmiş bir web sitesini ziyaret ederek (istemeden indirme) kurban durumuna düşebilirsiniz. ESET araştırmacısı Lukas Stefanko tarafından birçok kez gösterildiği üzere kötü amaçlı yazılımlar, sıklıkla üçüncü taraf uygulama mağazalarında bulunan ve gerçek gözüken bir telefon uygulamasında gizlenmiş bile olabilir.
Bilgi çalmak için kullanılan çeşitli türlerde kötü amaçlı yazılım bulunur, ancak en yaygın olanlarından bazıları bastığınız tuşları kaydetmek veya cihazınızın ekran görüntüsünü alarak, bu görüntüyü saldırganlara göndermek üzere tasarlanır.
Deneme yanılma saldırıları
Ortalama bir kişinin bilmesi gereken ortalama parola sayısı 2020 yılında %25’lik bir artış gösterdi. Bunun sonucunda birçoğumuz hatırlaması kolay parolalar seçip bunları birden çok sitede kullanıyoruz. Ancak bu durum deneme yanılma saldırısı denilen teknikler için kapıları aralayabilir. Bunlardan en yaygın olanlarından biri kimlik hırsızlığıdır. Bu teknikte saldırganlar, daha önce ele geçirilmiş büyük hacimli kullanıcı/parola kombinasyonlarını otomatik bir yazılıma yükler. Daha sonra bu araç, kombinasyonları birçok sitede deneyerek eşleşme bulmaya çalışır. Bu sayede korsanlar yalnızca bir parola ile birçok hesabınızı ele geçirebilir. Bir hesaplamaya göre geçtiğimiz yıl dünya genelinde bu şekilde 193 milyar deneme olduğu hesaplandı. Geçtiğimiz günlerde bu teknikle ilgili olarak Kanada hükümeti kurban durumuna düştü. Diğer bir deneme yanılma tekniği ise parola püskürtmedir. Bu teknikte korsanlar, yaygın olarak kullanılan parolaları deneyerek sizin hesabınızın parolasını kırmak için otomatik bir yazılım kullanır.
Tahmin
Deneme yanılma yoluyla parolanızı ele geçirmek için otomatik araçlara sahip olmalarına rağmen, bilgisayar korsanları bazen bu araçlara ihtiyaç duymadan, deneme yanılma saldırılarında kullanılan daha sistematik yaklaşımın tam tersine yalnızca basit bir tahminle parolanızı ele geçirebilir. 2020 yılındaki en çok kullanılan parola “123456” idi, ikinci sırada ise “123456789” geliyordu. En çok kullanılan parolalar arasında dördüncü sırada ise “parola” kelimesi yer alıyordu. Birçok kişi gibi birden çok hesapta aynı parolayı kullanıyor veya benzer bir parola belirliyorsanız saldırganların işini kolaylaştırıyor, kimlik hırsızlığı ve dolandırıcılık ile ilgili riskinizi artırıyorsunuz demektir.
Omuz üzerinden sinsice izleme
Şu ana kadar incelediğimiz parola ihlalleri sanal ortamda uygulanan yöntemlerdi. Ancak kısıtlamaların azalması ve birçok çalışanın ofiste çalışmaya yeniden başlamasıyla birlikte, denenmiş ve işe yaradığı onaylanmış bazı dinleme tekniklerinin de risk oluşturduğunu hatırlatmakta fayda var. Omuz üzerinden sinsice izlemenin hala risk oluşturmasının tek nedeni bu değildir. Geçtiğimiz günlerde ESET çalışanı Jake Moore, basit bir teknik kullanarak birinin Snapchat hesabını ele geçirmenin ne kadar kolay olduğunu göstermek için bir deney yaptı. Bu saldırının Wi-Fi üzerinden dinleme yöntemiyle gerçekleştirildiği ve “bağlantıyı izinsiz izleme” olarak bilinen yüksek teknoloji versiyonunda, herkese açık Wi-Fi bağlantılarını izleyen korsanlar aynı ağa bağlı olduğunuz süre içerisinde girdiğiniz parolanızı çalar. Her iki teknik de yıllardır kullanıyor ve tehdit oluşturmaya devam ediyor.
Bu teknikleri engellemek için birçok şey yapabilirsiniz. Parolanıza ikinci bir kimlik doğrulama ekleyebilirsiniz, parolalarınızı daha etkili bir şekilde yönetebilirsiniz veya saldırı gerçekleşmeden önce hırsızı durdurmaya yönelik adımlar atabilirsiniz. ESET uzmanları bilgilerinizi korumak için yapabileceklerinizi şu şekilde özetliyor;
Bankacılık, e-posta ve sosyal medya hesaplarınız başta olmak üzere tüm çevrimiçi hesaplarınızda yalnızca güçlü ve eşsiz parolalar veya geçiş kodları kullanın
Birden çok hesapta aynı giriş bilgilerini kullanmaktan veya yaygın olarak yapılan parola hatalarından kaçının
Tüm hesaplarınızda iki faktörlü kimlik doğrulamaya (2FA) geçiş yapın
Tüm siteler ve hesaplar için güçlü, benzersiz parolaları saklayan ve bu sayede giriş yapmayı kolaylaştırıp güvenli hale getiren bir parola yöneticisi kullanın
Bir sağlayıcı, bilgilerinizin ihlal edildiğini size bildirir bildirmez parolanızı değiştirin
Giriş yapmak için yalnızca HTTPS siteler kullanın
Doğrulanmayan e-postalardaki bağlantılara tıklamayın veya ekleri açmayın
Yalnızca resmi uygulama mağazalarından uygulama indirin
Tüm cihazlarınız için saygın bir sağlayıcının güvenlik yazılımına yatırım yapın
Tüm işletim sistemlerinin ve uygulamaların en güncel sürümde olduğundan emin olun
Ortak kullanım alanlarında omuz üzerinden sinsice izleyenlere karşı dikkatli olun
Herkese açık Wi-Fi kullanıyorsanız asla bir hesaba giriş yapmayın, giriş yapmanız gerekirse VPN kullanın
Önümüzdeki on yıl içerisinde parolaların tarihe karışacağı tahmin ediliyor. Ancak parolaya alternatif yöntemler hâlâ parolanın yerini alma konusunda zorluklarla karşılaşıyor. Dolayısıyla bu konuda kullanıcılar inisiyatifi ele almalıdır. Dikkatli olun ve giriş verilerinizi güvende tutun.
- Geleneksel şifreler sıkıcı mı geliyor?Dünya Şifre Günü'nde 32 Milyon saldırı engellendi...02 Mayıs 2024 Perşembe 12:48TEKNOLOJİ
- Star Wars güncellendiStar Wars: The Old Republic’e büyük 7.5 güncellemesi geliyor02 Mayıs 2024 Perşembe 11:51TEKNOLOJİ
- Çevrimiçi reklamlar çocukları etkiliyor?Çevrimiçi reklamlar çocuklar için birçok tehlike arz ediyor....02 Mayıs 2024 Perşembe 09:59TEKNOLOJİ
- Şifrelerimizi nasıl güvende tutarız?Dünya Şifre Günü’ne özel olarak şifrelerin güvenliği için 6 ipucu...02 Mayıs 2024 Perşembe 09:05TEKNOLOJİ
- Kriptoda 2. çeyreğin odağı Ethereum ETFHong Kong Bitcoin ve Ethereum ETF’lerine 1 milyar dolar giriş bekleniyor...01 Mayıs 2024 Çarşamba 11:47TEKNOLOJİ
- Siber suçluların hedefi küçük işletmelerKüçük işletmeler, büyük riskler: Parola korumasını önceliklendirme...30 Nisan 2024 Salı 11:22TEKNOLOJİ
- Telefon dolandırıcılığını nasıl anlarısınız?Telefon dolandırıcılığı hakkında 6 bilgi...26 Nisan 2024 Cuma 11:07TEKNOLOJİ
- DuneQuixote'nin hedefi kamu kurumlarıYeni DuneQuixote siber casusluk kampanyası dünya genelindeki kamu kurumlarını hedef alıyor...26 Nisan 2024 Cuma 11:02TEKNOLOJİ
- Borç öderken tuzağa düşmeyinHedefte gençler, yaşlılar, düşük gelirliler ve düşük kredi puanına sahip bireyler var...26 Nisan 2024 Cuma 08:25TEKNOLOJİ
- Verilerimizi neden korumamız gerekir?Siber suçluların kişisel verilerin peşinden koşmasının 7 nedeni...25 Nisan 2024 Perşembe 10:41TEKNOLOJİ
- Orta Doğu kripto piyasası yükselişteGünlük Trader sayısı son yılda yüzde166 arttı...23 Nisan 2024 Salı 12:51TEKNOLOJİ
- Çocuğunuzu zararlı uygulamalardan koruyunÇocuğunuzun indirmek istediği uygulamayı mutlaka inceleyin...22 Nisan 2024 Pazartesi 11:56TEKNOLOJİ
- E-kitap okurları artıyorYapay zeka, kitap okuma alışkanlıklarını değiştiriyor...22 Nisan 2024 Pazartesi 11:30TEKNOLOJİ
- En yaygın mobil tehditlerMobil tehditleri hafife almayın...20 Nisan 2024 Cumartesi 10:25TEKNOLOJİ
- Giyilebilir cihazlar risk taşıyor mu?Giyilebilir cihazları güvende tutmak için ipuçları...19 Nisan 2024 Cuma 11:50TEKNOLOJİ
- Konsol devri kapanıyor mu?Konsol sistemleri 1980’lerin başından beri hayatımızda...18 Nisan 2024 Perşembe 15:33TEKNOLOJİ
- Bitcoin dolandırıcılığına dikkatBitcoin yarılanmasında kripto varlıklarınız sıfırlanmasın...18 Nisan 2024 Perşembe 12:42TEKNOLOJİ
- Veri hırsızlarına dikkatKullanıcı kimlik bilgilerinin peşinde olan veri hırsızlarına karşı uyarı...17 Nisan 2024 Çarşamba 12:21TEKNOLOJİ
- Fidye yazılımının kurbanı olmayınSızdırılan LockBit builder tabanlı fidye yazılımı, çalışanları taklit ederek kendiliğinden yayılıyor...16 Nisan 2024 Salı 11:57TEKNOLOJİ
- Sosyal medyada stresle mücadeleStres farkındalık ayı: Sosyal medyada stresle nasıl mücadele edilir?...15 Nisan 2024 Pazartesi 12:46TEKNOLOJİ
- Geri
- Ana Sayfa
- Normal Görünüm
- © 2015 Bursa Bakış
Türkçe karakter kullanılmayan ve büyük harflerle yazılmış yorumlar onaylanmamaktadır.