İki faktörlü kimlik doğrulama (2FA) artık kusursuz bir güvenlik yöntemi değil. İllüstrasyon fotoğrafı
Yeni saldırı biçimi
İki faktörlü kimlik doğrulama (2FA), siber güvenlikte standart bir güvenlik özelliği haline gelmiştir. Kullanıcıların kimliklerini ikinci bir kimlik doğrulama adımıyla, genellikle kısa mesaj, e-posta veya kimlik doğrulama uygulaması aracılığıyla gönderilen tek kullanımlık bir parola (OTP) ile doğrulamalarını gerektirir. Bu ek güvenlik katmanı, parolası çalınsa bile kullanıcının hesabını korumayı amaçlar.
2FA birçok web sitesi tarafından yaygın olarak benimsenmiş ve kuruluşlar tarafından gerekli kılınmış olsa da, Kaspersky siber güvenlik uzmanları son zamanlarda siber suçluların 2FA'yı atlatmak için kullandığı kimlik avı saldırılarını keşfetti.
Buna bağlı olarak, siber saldırganlar, kullanıcıları kandırmak ve hesaplarına yetkisiz erişim sağlamak için kimlik avını otomatik OTP botlarıyla birleştirerek daha karmaşık bir siber saldırı biçimine yöneldiler. Dolandırıcılar, özellikle kullanıcıları kandırarak bu OTP'leri ifşa etmelerini ve 2FA koruma önlemlerini aşmalarını sağlıyorlar.
Siber suçlular, kullanıcıları kandırmak ve hesaplarına yetkisiz erişim sağlamak için kimlik avını otomatik OTP botlarıyla birleştiriyor. İllüstrasyon fotoğrafı
Dolandırıcılar, sosyal mühendislik saldırıları yoluyla OTP kodlarını ele geçirmek için gelişmiş bir araç olan OTP botlarını bile kullanırlar. Saldırganlar genellikle kimlik avı veya veri açıklarından yararlanma gibi yöntemlerle kurbanların oturum açma bilgilerini çalmaya çalışırlar. Ardından kurbanın hesabına giriş yaparak, kurbanın telefonuna OTP kodlarının gönderilmesini tetiklerler.
Ardından, OTP botu, güvenilir bir kuruluşun çalışanı gibi davranarak kurbanı otomatik olarak arayacak ve önceden programlanmış bir konuşma betiği kullanarak kurbanı OTP kodunu açıklamaya ikna edecektir. Son olarak, saldırgan bot aracılığıyla OTP kodunu alır ve bunu kullanarak kurbanın hesabına yasa dışı erişim sağlar.
Dolandırıcılar genellikle kısa mesajlar yerine sesli aramaları tercih eder, çünkü kurbanlar bu yönteme daha hızlı yanıt verir. Dolayısıyla, OTP botları, güven ve ikna duygusu yaratmak için gerçek bir aramanın tonunu ve aciliyetini taklit eder.
Dolandırıcılar, OTP botlarını özel çevrimiçi panolar veya Telegram gibi mesajlaşma platformları aracılığıyla kontrol eder. Bu botlar ayrıca çeşitli özellikler ve abonelik planlarıyla birlikte gelir ve bu da saldırganların harekete geçmesini kolaylaştırır. Saldırganlar, botun özelliklerini kuruluşları taklit edecek, birden fazla dil kullanacak ve hatta erkek veya kadın ses tonu seçecek şekilde özelleştirebilir. Gelişmiş seçenekler arasında, arayanın telefon numarasını meşru bir kuruluştanmış gibi göstererek kurbanı karmaşık bir şekilde kandıran telefon numarası sahtekarlığı da bulunur.
Teknoloji geliştikçe, hesap korumasına olan ihtiyaç da artıyor. İllüstrasyon fotoğrafı
Bir OTP botunu kullanmak için dolandırıcının önce kurbanın oturum açma bilgilerini çalması gerekir. Genellikle bankaların, e-posta servislerinin veya diğer çevrimiçi hesapların gerçek oturum açma sayfalarına tıpatıp benzeyen kimlik avı web sitelerini kullanırlar. Kurban kullanıcı adı ve şifresini girdiğinde, dolandırıcı bu bilgileri otomatik olarak anında (gerçek zamanlı olarak) toplar.
Kaspersky güvenlik çözümleri, 1 Mart - 31 Mayıs 2024 tarihleri arasında, bankaları hedef alan kimlik avı kitleri tarafından oluşturulan web sitelerine 653.088 ziyareti engelledi. Bu web sitelerinden çalınan veriler, genellikle OTP bot saldırılarında kullanılıyor. Aynı dönemde uzmanlar, gerçek zamanlı iki faktörlü kimlik doğrulamayı atlatmak için bu kitler tarafından oluşturulan 4.721 kimlik avı web sitesi tespit etti.
Ortak şifreler oluşturmayın.
Kaspersky Güvenlik Uzmanı Olga Svistunova, "Sosyal mühendislik saldırıları, özellikle servis temsilcilerinden gelen aramaları meşru bir şekilde simüle edebilen OTP botlarının ortaya çıkmasıyla birlikte, son derece karmaşık dolandırıcılık yöntemleri olarak kabul ediliyor. Dikkatli olmak için, tetikte kalmak ve güvenlik önlemlerine uymak önemlidir." dedi.
Bilgisayar korsanlarının şifreleri kolayca bulmak için akıllı tahmin algoritmalarını kullanmaları yeterlidir. İllüstrasyon fotoğrafı
Kaspersky uzmanlarının Haziran ayı başında akıllı tahmin algoritmaları kullanarak gerçekleştirdiği 193 milyon parola analizinde, bunların da bilgi hırsızları tarafından karanlık ağda ele geçirilip satılan parolalar olduğu, bu analizde parolaların %45'inin (87 milyon parolaya eşdeğer) bir dakika içinde başarıyla kırılabildiği; parola kombinasyonlarının yalnızca %23'ünün (44 milyon parolaya eşdeğer) saldırılara karşı yeterince güçlü olduğu ve bu parolaların kırılmasının bir yıldan fazla süreceği ortaya çıktı. Ancak kalan parolaların çoğu hala 1 saat ile 1 ay arasında kırılabiliyor.
Siber güvenlik uzmanları ayrıca kullanıcıların şifre oluştururken en çok kullandıkları karakter kombinasyonlarını da açıkladı: İsim: "ahmed", "nguyen", "kumar", "kevin", "daniel"; popüler kelimeler: "forever", "love", "google", "hacker", "gamer"; standart şifreler: "password", "qwerty12345", "admin", "12345", "team".
Analiz, parolaların yalnızca %19'unun sözlükte yer almayan bir kelime, hem büyük hem küçük harfler, sayılar ve semboller içeren güçlü bir parola kombinasyonu içerdiğini ortaya koydu. Aynı zamanda, çalışma, bu güçlü parolaların %39'unun akıllı algoritmalar tarafından bir saatten kısa sürede tahmin edilebileceğini de ortaya koydu.
İlginçtir ki, saldırganların parolaları kırmak için özel bilgiye veya gelişmiş donanıma ihtiyacı yoktur. Örneğin, özel bir dizüstü bilgisayar işlemcisi, sekiz küçük harf veya sayıdan oluşan bir parola kombinasyonunu yalnızca 7 dakikada doğru bir şekilde kaba kuvvetle kırabilir. Entegre bir grafik kartı ise aynısını 17 saniyede yapabilir. Ayrıca, akıllı parola tahmin algoritmaları genellikle karakterleri ("e" yerine "3", "1" yerine "!" veya "a" yerine "@") ve yaygın dizeleri ("qwerty", "12345", "asdfg") kullanır.
Bilgisayar korsanlarının tahmin etmesini zorlaştırmak için rastgele karakter dizileri içeren parolalar kullanmalısınız. İllüstrasyon fotoğrafı
Kaspersky Dijital Ayak İzi İstihbaratı Başkanı Yuliya Novikova, "İnsanlar bilinçsizce, çoğunlukla ana dillerindeki sözlük kelimelerini, örneğin adları ve sayıları kullanarak çok basit parolalar seçme eğiliminde oluyorlar... Güçlü parola kombinasyonları bile nadiren bu eğilimden sapıyor, bu nedenle algoritmalar tarafından tamamen tahmin edilebilirler" dedi.
Bu nedenle, en güvenilir çözüm, modern ve güvenilir parola yöneticileri kullanarak tamamen rastgele bir parola oluşturmaktır. Bu tür uygulamalar, büyük miktarda veriyi güvenli bir şekilde depolayarak kullanıcı bilgileri için kapsamlı ve güçlü bir koruma sağlayabilir.
Parolaların gücünü artırmak için kullanıcılar aşağıdaki basit ipuçlarını uygulayabilirler: Parolaları yönetmek için ağ güvenlik yazılımı kullanın; farklı hizmetler için farklı parolalar kullanın. Bu şekilde, hesaplarınızdan biri saldırıya uğrasa bile diğerleri güvende kalır; parola ifadeleri, kullanıcıların parolalarını unuttuklarında hesaplarını kurtarmalarına yardımcı olur; daha az kullanılan kelimeler kullanmak daha güvenlidir. Ayrıca, parolalarının gücünü kontrol etmek için çevrimiçi bir hizmetten yararlanabilirler.
Doğum günü, aile üyelerinin adları, evcil hayvan adları veya takma adlar gibi kişisel bilgileri parola olarak kullanmaktan kaçının. Bunlar, saldırganların parolayı kırmaya çalışırken genellikle ilk deneyecekleri şeylerdir.
Kaynak
![[Fotoğraf] Başbakan Pham Minh Chinh, özel ekonomik kalkınma Yönlendirme Komitesi'nin ikinci toplantısına başkanlık ediyor.](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/11/01/1762006716873_dsc-9145-jpg.webp)
Yorum (0)