Credential Stuffing Saldırılarını Nasıl Tespit Edebilirsiniz?

1. Credential Stuffing Saldırısı Nedir?

Credential Stuffing (Kimlik Bilgisi Doldurma) saldırısı, siber suçluların, bir login alanı için çok sayıda çalınmış veya sızdırılmış oturum açma bilgilerini (kullanıcı adı ve parola çiftleri) elde edip (genellikle büyük veri ihlalleri sonrasında) diğer web sitelerinin oturum açma sayfalarında test ettiğinde gerçekleşir. Tehdit aktörlerinin amacı, mümkün olduğu kadar çok sayıda kullanıcı hesabına yetkisiz erişim sağlamak ve ardından başka saldırılar veya dolandırıcılık faaliyetleri gerçekleştirmektir. Bu faaliyetler tehdit aktörlerinin, kullanıcı bilgilerini ele geçirmesinin yanında çeşitli hesaplara da erişim sağlamasına neden olur. Hesapların ele geçirilmesi ile de saldırganlar, banka hesaplarından para çekebilir, büyük satın almalar gerçekleştirebilir veya sahte hesaplar oluşturabilir. Yaşanabilecek tehditlerden en kötüsü baz alındığında, saldırgan kuruluşun ağına sızarak, orada kalmak ve daha ciddi saldırılar gerçekleştirmek için kullanıcı ayrıcalıklarını yükseltmeye çalışabilir.

2. Credential Stuffing, Brute Force ve Password Spraying Saldırıları Arasındaki Fark Nedir?

Credential Stuffing (Kimlik bilgisi doldurma) saldırısı, OWASP tarafından kaba kuvvet saldırılarının (Brute Force) bir alt kategorisi olarak sınıflandırılır. Fakat Credential Stuffing saldırıları, normal kaba kuvvet saldırılarından farklı olarak üretilen parola ve kullanıcı adı yerine ele geçirilmiş kullanıcı bilgilerinden faydalanır.
Brute Force Saldırıları: Oturum açma bilgilerini, şifreleme anahtarlarını tahmin etmek veya gizli bir web sayfasını bulmak için deneme yanılma yöntemini kullanır. Saldırganlar, doğru tahminde bulunmayı umarak tüm olası kombinasyonlar (wordlist) üzerinde çalışır.
Verizon 2020 raporuna göre, 2019 yılında web uygulamalarına yönelik saldırıların %80’inden fazlası çalıntı kimlik bilgileri ile yapıldı. Ayrıca, aynı yıl veri ihlallerinin %43’ü web uygulamalarına yönelik saldırılar sonucunda meydana geldi. Credential Stuffing Saldırıları her ne kadar OWASP’ta bir alt sınıfı olarak tanımlansa da akıllara şu soruyu getiriyor. Neden Credential Stuffing saldırıları bu kadar popüler ve kazançlı?
F5 Labs ın 2016-2020 yıllarında ele geçirilen kimlik bilgileri üzerinden yapıtığı hesaplama Credential Stuffing saldırılarının neden popüler olduğunu gözler önüne sermektedir.
2.3 milyar ele geçirilmiş kullanıcı bilgisi = 0 $
Saldırı Oluşturma Tool’ları = 50$
100.000 CAPTCHA = 139 $
1000 Global IP = 10 $
+
—————————————————-
100.000 Kimlik Ele Geçirme (Account TakeOver-ATO) Denemesi = yaklaşık 200 $

3. Son Dönemlerde Yaşanan Credential Stuffing Saldırıları

20 bin müşteri detayına sahip olduğunu iddia eden bilgisayar korsanları Super Drug firmasını hedef aldı.

20 Ağustos 2018’de, İngiltere’deki sağlık ve güzellik perakendecisi Superdrug, bir şantaj girişimiyle hedef alındı. Bilgisayar korsanları, şirketin sitesine girdiklerini ve 20.000 kullanıcının kaydını indirdiklerini iddia eden kanıtlar gösterdi. Superdrug firması tarafından yapılan incelemede bahsedildiği gibi 20.000 kullanıcının değil sadece 386 kullanıcıya ait bilgilerin eşleştiği tespit edildi. Firma tarafından yapılan bilgilendirmede alınan veriler neticesinde kanıtların büyük olasılıkla başka sitelere ait hacklemelerden ve sızıntılardan elde edilmiş olabileceği bildirildi.

Ekim ve Kasım 2016’da saldırganlar, Uber (Uber BV ve Uber UK) geliştiricileri tarafından kullanılan özel bir GitHub deposuna, çalışanların önceki ihlallerde ele geçirilen kullanıcı adlarını ve parolalarını kullanarak erişim elde etti.

Bilgisayar korsanları, e-posta adresleri ve parolaları diğer platformlarda yeniden kullanarak 12 çalışanın kullanıcı hesabını ele geçirdiklerini iddia etti. Bilgisayar korsanları, 32 milyon ABD’li olmayan kullanıcının ve 3,7 milyon ABD’li olmayan sürücünün kayıtlarına ve ayrıca 100’den fazla S3 klasöründe şirketin AWS veri deposu için kimlik bilgilerini buldular. Saldırganlar, verileri silmeyi kabul etmek için 100.000 $ ödeme talep ederek Uber’i uyardı. Şirket ödeme yaparak olayı kapattı fakat bir yıldan fazla bir süre olayı etkilenen taraflara açıklamadı. İhlal ortaya çıktıktan sonra, şirket İngiltere Bilgi Komisyonu Ofisi tarafından 385.000 £ (308.000 £’a düşürüldü) para cezasına çarptırıldı.

Saldırının arkasındaki ABD’nin Florida eyaletindeki Brandon Glover (26) adlı şahısla Kanada’dan Vasile Mereacre (23) adlı şahıs mahkemede suçlarını itiraf etti. Ödemenin bitcoin şeklinde alındığı ve anlaşmanın CSO ile sağlandığını belirttiler. Olayın bir sene boyunca gizlenmesinden dolayı eski CSO’da yargılandı.

Joe Sullivan (Uber’in Eski CSO’su), adaleti engellemekle suçlandı.

4. Credential Stuffing Saldırıları Nasıl Önlenebilir?

Cross-Site Scripting, SQL injection veya Remote Code Execution gibi bazı saldırı türleri, saldırganın yazılım veya donanım güvenlik açıklarından yararlanma yeteneğine bağlıdır. Fakat, phishing saldırıları, zararlı yazılım bulaştırma saldırıları gibi Credential Stuffing saldırıları da, bilgi güvenliğinin en zayıf halkası olan insanlardan yararlanır. Bu yüzden saldırganlar bu yöntemi denemekte ısrar etmektedir. Bununla birlikte, bireyler ve işletmeler de kendilerini korumak için çeşitli önlemler alabilirler.

Kullanıcılar için:

• Her hesap için benzersiz parolalar kullanılmalı: Birçok insanın parolaları neden yeniden kullandığını anlamak kolaydır, ancak hiçbirimiz kullanmasaydık, kimlik bilgisi doldurma saldırıları olmazdı. Saldırganlara bu saldırıların hiçbir getirisi olmayacaktı. Bu zorluğun üstesinden gelmenin en iyi yolu bir parola yöneticisi kullanmaktır.
• Kimlik Bilgileri İfşa Edildiğinde Parolalar Değiştirilmeli: Birçok site kullanıcı adı olarak bir e-posta adresi kullanır, SOCRadar Account Breach https://labs.socradar.com/accountbreach/ sayfasından kimlik bilgilerinizin ne zaman ve nerede ele geçirildiğini görebilir düzenlik olarak sızıntı olup olmadığını takip edebilirsiniz.
• Kullanılmayan Gereksiz Hesaplar Kaldırılmalı/Silinmeli: Unuttuğunuz eski hesapları bulmak biraz zaman alabilir, ancak saldırganların mevcut hesaplarınızda eski kimlik bilgilerini deneyebileceğini unutmayın.
• Çok Faktörlü Kimlik Doğrulama (MFA) Kullanılmalı: Kullanıcı bilgilerinizin ele geçirildiğinden haberdar olmasanız dahi MFA kullanmanız durumunda saldırganlar, kullanıcı bilgilerinizin yanında koda da ihtiyaç duyacaktır.

Firmalar/Organizasyonlar için:

• Çok Faktörlü Kimlik Doğrulama (MFA) Kullanın
• CAPTCHA’ları kullanın: İnsanları botlardan ayırmak için garantili bir savunma değildir fakat bazı saldırganları caydırmak için yeterlidir.
• IP Kısıtlaması – Hız Sınırlaması Kullanın : Bu güvenlik denetimi, önceden ayarlanmış bir eşikten daha yüksek bir hızda, örneğin saniyede üçten fazla oturum açma girişiminde bulunan IP adreslerini engeller. Bir insanın manuel olarak girebileceğinden daha fazlası sayıdadır ve kesin olarak otomatik girişimleri gösterir.
• Bilinen kötü IP adreslerini engelleyin : Yetersiz kaynaklara sahip saldırganlar genellikle küçük bir IP adresi aralığı kullanarak kimlik bilgilerini doldurmaya çalışır. Birçok başarısız oturum açma girişiminin bu adreslerden kaynaklandığı açıksa, onları engelleyebilirsiniz. Burada dikkat edilmesi gereken bir husus, bazı adreslerin bilmeden botlar tarafından ele geçirilen meşru sistemleri temsil edebileceğidir.
• Web Sitesi Trafiğini Günlüğe Kaydedin ve İzleyin: Standart günlük inceleme sürecinin bir parçası olarak, bilinen çalıntı kimlik bilgileri listesiyle oturum açma girişimlerini kontrol edin ve eşleşen tüm istekleri engelleyin.
• Login Alanlarında Bulunan Hata Uyarılarında Saldırganlara Feedback (geri besleme) Vermeyin : Hatalı girişler için “şifre hatalı” veya “kullanıcı adı hatalı” yerine “giriş başarısız olmuştur (login failed)” gibi ipucu vermeyecek yanıtlar verin.
• Marketing Ekibinizi Eğitin ve Güvenlik Ekibinizle Koordine Edin: Güvenlik ekipleri ve pazarlama departmanları arasındaki ilişki iki yönlü olmalıdır. Birçok kuruluşta, dijital pazarlama ekipleri web sitesinin yönetiminde baskın söz sahibidir. Web sitesini ve müşterilerini en iyi şekilde nasıl güvende tutacakları öğretilmelidir.
• Veri Toplamayı Tek Bir Organizasyonun Ötesine Taşıyın: Örneğin Türkiye’de ikamet eden bir müşterinin İtalya’dan alışveriş yapması veya ortalama müşteri alışverişlerinin çok üzerinde alışveriş yapılması gibi durumlarda alarmlar oluşturun.
• Güçlü Parola Politikaları Uygulayın: Kullanıcıları nasıl ve neden güçlü parolalar oluşturacakları konusunda eğitin. Ayrıca, yaygın olarak kullanılan parolaları oluşturmalarına veya zaten ihlal edilmiş olanları kullanmalarına izin vermeyin (sistem içi kontroller ile bunu kontrolde edebilirsiniz). Belirli aralıklarla parola değişimini zorunlu kılın.

5. SOCRadar’ı Credential Stuffing Saldırılarını Erken Tespit Amaçlı Nasıl Kullanabilirsiniz?

SOCRadar Digital Risk Protection Modülü sayesinde Credential Stuffing saldırılarından korunma sağlayabilirsiniz.
• Şirketinize ait domainlerin taklitleri yaratıldığında bilgilendirme ve taklit domainin izlenmesi.
• Çalışanlarınıza ait eposta hesaplarının Dark&Deep Web’te araştırılarak açığa çıkması, şifrelerinin ele geçirilmesi durumunun bildirilmesi.
• Müşterilerinizle ilgili veri sızıntılarını Dark&Deep Web’te araştırılarak, kimlik bilgilerinin ele geçirilme durumunun bildirilmesi.
• VIP ve kritik personelin (finans, developer, bilgi güvenliği, Hukuk kısmı vb.) özel e-postalarının Dark&Deep Web’te araştırılarak açığa çıkma, parolalarının ele geçirilme durumunun bildirilmesi.
• Yayınlanan kombo listelerle birlikte tekilleştirilmiş kombo liste sunması.

SOCRadar Türkiye ekibi tarafından hazırlanmıştır.

Yorum Yaz

E-posta hesabınız yayımlanmayacak.

*
*

Mail listemize üye olarak eğitim fırsatlarını kaçırmayın!
Eğitim ve ücretsiz etkinliklerizden haberdar olmak için e-posta listesimize üye olun!.