F5 Çalışması: Kimlik Bilgileri Olayları 2016'dan Bu Yana İki Katına Çıktı Kimlik Bilgileri Doldurma Raporu, kimlik bilgilerinin kötüye kullanımını kapsamlı bir şekilde araştırır. Kimlik bilgileriyle ilgili yıllık olayların sayısı 2016'dan 2020'ye neredeyse iki katına çıktı. Bu, geçerli F5 Kimlik Bilgileri Doldurma Raporu tarafından gösterilir.
Türünün en büyük çalışması, aynı dönemde çalınan kimlik bilgilerinin sayısında yüzde 46'lık bir düşüş gördü. Ortalama veri miktarı 63'da 2016 milyon kayıttan geçen yıl 17 milyona düştü. Medyan boyut, 2020'a göre 2'de yüzde 234'e (2019 milyon kayıt) yükseldi ve 2016'dan bu yana en yüksek (2,75 milyon kayıt) oldu.
Güvenliği ihlal edilmiş kimlik bilgileri ele geçirildi
Kimlik bilgisi doldurma, güvenliği ihlal edilmiş büyük hacimli kullanıcı adı ve/veya e-posta adresi ve parola çiftlerinden yararlanır. FBI'a göre bu tehdit, 2017 ile 2020 yılları arasında ABD finans sektöründeki güvenlik olaylarının en büyük payını (%41) oluşturuyor.
F5 Labs'ın kıdemli direktörü Sara Boddy, "Saldırganlar yıllardır milyarlarca kimlik bilgisi topluyor" dedi. “Çalınan kimlik bilgileri bir petrol tabakası gibidir: bir kez döküldüklerinde temizlenmeleri çok zordur çünkü şüphelenmeyen kullanıcılar bunları değiştirmez ve çok az şirket kimlik bilgileri doldurma çözümleri kullanır. Bu nedenle, bu çalışma döneminde ana saldırı türünde HTTP saldırılarından kimlik bilgisi doldurmaya geçiş gözlemlememiz şaşırtıcı değil.”
F5 Labs Tehdit Araştırma Evangelisti ve çalışmanın ortak yazarı Sander Vinberg, şirketleri uyanık olmaya çağırıyor. “İlginç bir şekilde, 2020'de sızdırılan kimlik bilgilerinin genel hacmi ve boyutu azaldı. Bununla birlikte, güvenlik ekiplerinin veri hırsızlığı ve dolandırıcılığa karşı savaşı kazanması pek olası değildir. En azından şimdiye kadar kaotik olan piyasa, olgunlaştıkça istikrar kazanıyor gibi görünüyor.”
Yetersiz parola depolama - daha gelişmiş saldırganlar
Araştırmaya göre, yetersiz parola depolama önemli bir sorun olmaya devam ediyor. Çoğu şirket parola karma algoritmalarını açıklamasa da, F5 uzmanları 90 özel olayı araştırmayı başardı.
Son üç yılda çalınan kimlik bilgilerinin yüzde 42,6'sı korumasızdı ve şifreler düz metin olarak saklanıyordu. Bunu, uygun şekilde tanımlanmamış parola karma algoritması SHA-1 (%20) ile erişim verileri izledi. Üçüncü sırada bcrypt algoritması (%16,7) yer aldı. Şaşırtıcı bir şekilde, tartışmalı MD5 karma algoritması, kimlik bilgilerinin yalnızca küçük bir kısmının çalınmasına neden oldu.
Saldırganlar "fuzzing" teknikleri kullanıyor
Saldırganların, kimlik bilgisi istismarının başarısını optimize etmek için giderek artan bir şekilde "bulanıklaştırma" teknikleri kullandığını da belirtmekte fayda var. Fuzzing ile güvenlik açıkları, ayrıştırıcıyı değiştirilmiş girdilerle tekrar tekrar test ederek bulunur. F5'e göre, çoğu belirsizleştirme saldırısı, güvenliği ihlal edilmiş kimlik bilgileri halka açıklanmadan önce gerçekleşir. Buna göre, bu uygulama deneyimli saldırganlar arasında daha yaygındır.
hırsızlığı tespit etmek
2018 Kimlik Bilgileri Doldurma Raporunda F5, bir kimlik bilgisi hırsızlığının kamuya açık hale gelmesinin ortalama 15 ay sürdüğünü bildirdi. Şu anda, olayları keşfetmenin ortalama süresi sadece 120 aydır. Ancak bu sonuç, zaman aralığının üç yıl veya daha uzun olduğu bazı olaylar nedeniyle çarpıktır. Olayları tespit etmek için ortalama süre XNUMX gündür. Ancak, çalınan veriler genellikle şirketler olayı duyurmadan önce karanlık ağda keşfedilir.
Dark Web'de Gündem
Bir hırsızlığın ifşa edilmesi, genellikle karanlık web forumlarında kimlik bilgilerinin ortaya çıkmasıyla bağlantılıdır. 2020 Kimlik Bilgileri Doldurma Raporu için F5, kimlik bilgilerinin çalınması ile karanlık ağda yayınlanması arasındaki gecikmeyi analiz etti.
Araştırmacılar, binlerce veri ihlalinden yaklaşık 9 milyar kimlik bilgisi örneği üzerinde "Koleksiyon X" adlı bir tarihsel analiz gerçekleştirdi. Kimlik bilgileri, Ocak 2019'un başlarında karanlık web forumlarında yayınlandı.
Kurbanlar arasında Fortune 500 müşterileri
F5, bu kimlik bilgilerini, kamuya açıklama tarihinden altı ay önce ve sonra müşterilere yönelik kimlik bilgileri doldurma saldırılarında kullanılan kullanıcı adlarıyla karşılaştırdı. Dört Fortune 500 müşterisi arasında iki banka, bir perakendeci ve bir bakkal şirketi vardı. Shape Security'nin teknolojisini kullanan araştırmacılar, hırsızlıktan satışa ve istismara kadar çalınan kimlik bilgilerini takip edebildiler.
2016-2020 takvim yılında çalınan kimlik bilgilerinin kullanım sıklığı (Grafik: F5).
12 ay boyunca, dört web sitesinde hem meşru işlemler hem de saldırılar için 2,9 milyar farklı kimlik bilgisi kullanıldı. Kimlik bilgilerinin neredeyse üçte biri (900 milyon) ele geçirildi. Çalınan kimlik bilgileri en sık bankalarla yapılan meşru insan işlemleri sırasında ortaya çıktı (vakaların sırasıyla %35 ve %25'i). Saldırıların yüzde 10'u perakendeciyi, yaklaşık yüzde 5'i ise bakkal şirketini hedef aldı.
İstismarın Beş Aşaması
2020 Kimlik Bilgileri Doldurma Raporu, kimlik bilgilerinin kötüye kullanılmasının beş aşamasını belirledi.
- Sessizce ve gizlice: Ele geçirilen kimlik bilgileri, kamuya açıklanmadan önce bir aya kadar gizlice kullanıldı. Ortalama olarak, her kimlik bilgisi dört web sitesine yapılan saldırılarda günde 15 ila 20 kez kullanıldı.
- Güçlü artış: Serbest bırakılmadan önceki 30 gün içinde, kimlik bilgileri karanlık ağda dolaştı. Daha fazla siber suçlu bunları kullandı, bu nedenle günlük saldırı sayısı istikrarlı bir şekilde arttı.
- doruk noktası: Kimlik bilgileri yayınlandıktan sonra, en büyük web sitelerinde "senaryo çocukları" ve diğer amatörleri denediler. Her hesap günde ortalama 130 defadan fazla saldırıya uğradığından, ilk hafta özellikle yoğundu.
- düşüş: İlk aydan sonra F5, kullanıcı adı başına günde yaklaşık 28 saldırı gibi yeni bir seviye gördü. İlginç bir şekilde, ilk aşamadaki 15 saldırılık ilk statüden daha yüksektir. Bunun nedeni, deneyimsiz saldırganların hala "eski" bilgileri kullanmasıdır.
- yeniden kullanım: Birçok web sitesinde kimlik bilgileri doldurma saldırıları gerçekleştirdikten sonra, bir grup suçlu geçerli kimlik bilgilerini yeniden paketlemek ve yeniden kullanmak için yola çıktı.
Tehdidi en aza indirin
Boddy, "Kullanıcıların çevrimiçi hesaplarda oturum açması gerektiği sürece kimlik bilgilerinin doldurulması bir tehdit olmaya devam edecek" diye ekliyor. Saldırganlar, saldırılarını dolandırıcılıkla mücadele tekniklerine uyarlamaya devam ederek, kimlik bilgileri doldurma ve dolandırıcılıkla ilgili uyarlanabilir, yapay zeka tabanlı kontroller için büyük bir ihtiyaç ve fırsat yaratacak. Tüm saldırıları anında tespit etmek imkansızdır. Ancak, dolandırıcıların vazgeçeceği kadar maliyetli saldırılar yapmak mümkündür. Çünkü aynı şey siber suçlular için de geçerli: Vakit nakittir.”
Doğrudan F5.com'daki rapora
F5 Ağları Hakkında F5 (NASDAQ: FFIV), dünyanın en büyük kuruluşlarına, hizmet sağlayıcılarına, devlet kurumlarına ve tüketici markalarına herhangi bir uygulamayı güvenli bir şekilde, her yerde ve güvenle sunma özgürlüğü verir. F5, işletmelerin hız ve kontrolden ödün vermeden seçtikleri altyapıdan yararlanmalarını sağlayan bulut ve güvenlik çözümleri sunar. Daha fazla bilgi için f5.com'u ziyaret edin. F5, ortakları ve teknolojileri hakkında daha fazla bilgi için bizi LinkedIn ve Facebook'ta da ziyaret edebilirsiniz.