Parola püskürtme saldırısı nedir?
Parola püskürtme, kötü niyetli bir aktörün başka bir parola denemeden önce aynı parolayı birden fazla hesapta kullanmaya çalışmasını içeren bir kaba kuvvet saldırısı türüdür. Parola püskürtme saldırıları genellikle etkilidir çünkü birçok kullanıcı "parola" veya "123456" gibi basit ve tahmin edilmesi kolay parolalar kullanır.
Birçok kuruluşta, kullanıcılar belirli sayıda başarısız oturum açma denemesinden sonra kilitlenir. Parola püskürtme saldırıları tek bir parolanın birden fazla hesapta denenmesini içerdiğinden, genellikle tek bir hesabın çok sayıda parolayla kaba kuvvet kullanılarak zorlanması sırasında ortaya çıkan hesap kilitlenmelerini önler.
Parola püskürtmenin belirli bir özelliği - 'püskürtme' kelimesinden de anlaşılacağı üzere - tek bir hesap yerine binlerce hatta milyonlarca farklı kullanıcıyı aynı anda hedefleyebilmesidir. Süreç genellikle otomatiktir ve tespit edilmekten kaçınmak için zaman içinde gerçekleşebilir.
Parola püskürtme saldırıları genellikle belirli bir kuruluştaki uygulama veya yöneticinin yeni kullanıcılar için varsayılan bir parola belirlediği durumlarda gerçekleşir. Tek oturum açma ve bulut tabanlı platformlar da özellikle savunmasız olabilir.
Parola püskürtme diğer siber saldırı türlerine kıyasla basit görünse de, sofistike siber suç grupları bile bunu kullanmaktadır. Örneğin, 2022 yılında ABD Siber Güvenlik ve Altyapı Güvenliği Ajansı (CISA) devlet destekli siber aktörler hakkında bir uyarı yayınlamış ve hedeflenen ağlara erişim sağlamak için kullandıkları çeşitli taktikleri listelemiştir - parola püskürtme de buna dahildir.
Parola püskürtme saldırısı nasıl çalışır?
Parola püskürtme saldırıları tipik olarak bu aşamaları içerir:
Adım 1: Siber suçlular bir kullanıcı adı listesi satın alır veya kendi listelerini oluşturur
Bir parola püskürtme saldırısı başlatmak için, siber suçlular genellikle çeşitli kuruluşlardan çalınan kullanıcı adı listelerini satın alarak işe başlarlar. Dark web'de satılık 15 milyardan fazla kimlik bilgisi olduğu tahmin ediliyor.
Alternatif olarak, siber suçlular kurumsal e-posta adreslerinin izlediği formatları (örneğin, firstname.lastname@companyname.com) takip ederek ve LinkedIn veya diğer kamuya açık bilgi kaynaklarından elde edilen bir çalışan listesini kullanarak kendi listelerini oluşturabilirler.
Siber suçlular bazen belirli çalışan gruplarını (finans, yöneticiler veya C-suite) hedef alırlar çünkü hedefe yönelik yaklaşımlar daha iyi sonuçlar verebilir. Genellikle çoklu oturum açma (SSO) veya birleştirilmiş kimlik doğrulama protokollerini (örneğin Google kimlik bilgilerinizle Facebook'ta oturum açabilme) kullanan veya çok faktörlü kimlik doğrulama uygulamayan şirketleri veya departmanları hedef alırlar.
Adım 2: Siber suçlular yaygın parolaların bir listesini elde eder
Parola püskürtme saldırıları, yaygın veya varsayılan parolaların listelerini içerir. En yaygın parolaların neler olduğunu bulmak nispeten kolaydır - çeşitli raporlar veya çalışmalar her yıl bunları yayınlar ve Wikipedia'da en yaygın 10.000 parolayı listeleyen bir sayfa bile vardır. Siber suçlular parolaları tahmin etmek için kendi araştırmalarını da yapabilirler - örneğin, spor takımlarının adlarını veya hedeflenen bir kuruluşun yakınındaki önemli yerlerin adlarını kullanarak.
Adım 3: Siber suçlular farklı kullanıcı adı/parola kombinasyonlarını dener
Siber suçlunun elinde kullanıcı adları ve parolalardan oluşan bir liste olduğunda, amaç işe yarayan bir kombinasyon bulana kadar bunları denemektir. Süreç genellikle parola püskürtme araçlarıyla otomatikleştirilir. Siber suçlular çok sayıda kullanıcı adı için tek bir parola kullanır ve ardından oturum açma girişimlerini kısıtlayan kilitleme politikalarına veya IP adresi engelleyicilerine takılmamak için listedeki bir sonraki parola ile işlemi tekrarlar.
Parola püskürtme saldırılarının etkisi
Bir saldırgan parola püskürtme saldırısı yoluyla bir hesaba eriştiğinde, bu hesabın çalınacak kadar değerli bilgiler içerdiğini veya daha da hassas verilere erişim sağlamak için kuruluşun güvenlik önlemlerini daha da zayıflatmak için yeterli izinlere sahip olduğunu umacaktır.
Parola püskürtme saldırıları, başarılı olmaları halinde, kuruluşlara önemli zararlar verebilir. Örneğin, görünüşte meşru kimlik bilgilerini kullanan bir saldırgan, hileli alışverişler yapmak için finansal hesaplara erişebilir. Tespit edilmediği takdirde, bu durum etkilenen işletme için mali bir yük haline gelebilir. Bir siber saldırıdan sonra iyileşme süresi birkaç ay veya daha uzun sürebilir.
Bir kuruluşun mali durumunu etkilemesinin yanı sıra, parola püskürtme günlük operasyonları önemli ölçüde yavaşlatabilir veya kesintiye uğratabilir. Şirket genelindeki kötü niyetli e-postalar üretkenliği azaltabilir. Saldırgan tarafından ele geçirilen bir işletme hesabı özel bilgileri çalabilir, satın alımları iptal edebilir veya hizmetlerin teslim tarihini değiştirebilir.
Bir de itibar kaybı var - bir işletme bu şekilde ihlal edilirse, müşterilerin verilerinin o şirkette güvende olduğuna güvenme olasılığı azalır. İşlerini başka bir yere taşıyarak daha fazla zarara neden olabilirler.
Parola püskürtme örneği
"Bankam bir parola püskürtme saldırısına hedef olduğunda benden parolamı değiştirmem istendi. Kötü niyetli kişiler bankanın müşterilerine karşı milyonlarca kullanıcı adı ve şifre kombinasyonu deneyebildi ve ne yazık ki ben de onlardan biriydim."
Parola püskürtme ve kaba kuvvet
Parola püskürtme saldırısı, yaygın olarak kullanılan birkaç parolayla çok sayıda hesaba erişmeye çalışır. Buna karşılık, kaba kuvvet saldırıları, genellikle potansiyel parolaların büyük listelerini kullanarak parolayı tahmin ederek tek bir hesaba yetkisiz erişim elde etmeye çalışır.
Başka bir deyişle, kaba kuvvet saldırıları her kullanıcı adı için birçok parola içerir. Parola püskürtme, bir parolaya birçok kullanıcı adı eklenmesini içerir. Bunlar kimlik doğrulama saldırıları gerçekleştirmenin farklı yollarıdır.
Parola püskürtme saldırısının belirtileri
Parola püskürtme saldırıları genellikle birden fazla hesapta sık sık başarısız kimlik doğrulama denemelerine neden olur. Kuruluşlar, geçerli hesapların sistem ve uygulama oturum açma hataları için kimlik doğrulama günlüklerini inceleyerek parola püskürtme etkinliğini tespit edebilir.
Genel olarak, bir parola püskürtme saldırısının ana belirtileri şunlardır:
- Kısa bir süre içinde yüksek miktarda oturum açma etkinliği.
- Aktif kullanıcılar tarafından yapılan başarısız oturum açma denemelerinde artış.
- Var olmayan veya etkin olmayan hesaplardan yapılan girişler.
Parola püskürtme saldırılarına karşı nasıl korunulur?
Kuruluşlar bu önlemleri takip ederek kendilerini parola püskürtme saldırılarından koruyabilirler:
Güçlü bir parola politikası uygulayın
BT ekipleri, güçlü parolaların kullanılmasını zorunlu kılarak parola
püskürtme saldırıları riskini en aza indirebilir. Güçlü bir parolanın nasıl
oluşturulacağını buradan okuyabilirsiniz.
Oturum açma algılamasını ayarlayın
BT ekipleri, parola püskürtme girişimlerinin açık bir göstergesi
olduğundan, kısa bir süre içinde tek bir ana bilgisayardan gerçekleşen
birden fazla hesaba giriş denemeleri için de algılama uygulamalıdır.
Güçlü kilitleme ilkelerinin sağlanması
Etki alanı düzeyinde kilitleme ilkesi için uygun bir eşik ayarlamak
parola püskürtmeye karşı koruma sağlar. Eşiğin, saldırganların kilitleme
süresi içinde birden fazla kimlik doğrulama denemesi yapmasını önleyecek
kadar düşük olması, ancak meşru kullanıcıların basit hatalar nedeniyle
hesaplarının kilitlenmesine neden olmayacak kadar düşük olmaması
arasında bir denge kurması gerekir. Ayrıca, doğrulanmış hesap
kullanıcılarının kilidini açmak ve sıfırlamak için net bir süreç
olmalıdır.
Sıfır güven yaklaşımını benimseyin
Sıfır
güven yaklaşımının temel taşlarından biri, eldeki görevi tamamlamak
için herhangi bir zamanda yalnızca gerekli olana erişim sağlamaktır. Bir
kuruluş içinde sıfır güvenin uygulanması, ağ güvenliğine yönelik önemli
bir katkıdır.
Standart olmayan bir kullanıcı adı kuralı
kullanın
Kullanıcı adları için en yaygın yöntemler olan john.doe veya jdoe gibi
bariz kullanıcı adlarını e-posta dışındaki herhangi bir şey için
seçmekten kaçının. Tek oturum açma hesapları için standart olmayan ayrı
oturum açma bilgileri saldırganlardan kaçmanın bir yoludur.
Biyometrik kullanın
Saldırganların alfanümerik parolaların potansiyel zayıflıklarından
yararlanmasını önlemek için bazı kuruluşlar biyometrik oturum açma
zorunluluğu getirmektedir. Kişi olmadan saldırgan oturum açamaz.
Desenlere dikkat edin
Uygulanan güvenlik önlemlerinin, aynı anda oturum açmaya çalışan çok
sayıda hesap gibi şüpheli oturum açma modellerini hızlı bir şekilde
belirleyebildiğinden emin olun.
Parola yöneticisi kullanmak yardımcı olabilir
Parolalar hassas bilgileri kötü niyetli kişilerden korumayı amaçlar. Ancak günümüzde ortalama bir kullanıcının o kadar çok parolası vardır ki, özellikle her bir kimlik bilgisi setinin benzersiz olması gerektiğinden, hepsini takip etmek zor olabilir.
Bazı kullanıcılar takip edebilmek için açık veya tahmin edilmesi kolay parolalar kullanma hatasına düşer ve genellikle aynı parolayı birden fazla hesapta kullanır. Bunlar tam olarak parola püskürtme saldırılarına karşı savunmasız olan parola türleridir.
Saldırganların yetenekleri ve araçları son yıllarda önemli ölçüde gelişmiştir. Bilgisayarlar günümüzde şifreleri tahmin etmede çok daha hızlı. Saldırganlar otomasyonu parola veritabanlarına veya çevrimiçi hesaplara saldırmak için kullanır. Daha fazla başarı sağlayan belirli teknik ve stratejilerde ustalaşmışlardır.
Bireysel kullanıcılar için Kaspersky Password Manager gibi bir parola yöneticisi kullanmak yardımcı olabilir. Parola yöneticileri, kırılması zor parolalar sunmak için karmaşıklık ve uzunluğu birleştirir. Ayrıca, farklı giriş bilgilerini hatırlama zorunluluğunu ortadan kaldırır ve dahası, bir parola yöneticisi farklı hizmetler için parolaların tekrarlanıp tekrarlanmadığını kontrol etmeye yardımcı olur. Bireylerin kendilerine özgü kimlik bilgilerini oluşturmaları, yönetmeleri ve saklamaları için pratik bir çözümdür.
İlgili ürünler:
İlave okuma:
