Bilgisayar korsanlarının parolaları çalmasını engelleyin
Sosyal mühendislikten omzunuzun üzerinden bakmaya kadar, işte kötü adamların şifreleri çalmak için kullandığı en yaygın numaralardan bazıları
Parola kavramı yüzyıllardır ortalıkta dolaşıyor ve parolalar çoğumuzun hatırlayamayacağı kadar erken bir zamanda bilgisayarla tanıştırıldı. Parolaların kalıcı popülaritesinin bir nedeni, insanların içgüdüsel olarak nasıl çalıştıklarını bilmeleridir. Ama aynı zamanda bir sorun var, ortalama bir kişinin hatırlaması gereken 100 parolanın olduğu bir çağda yaşadığımız için, parola birçok insanın dijital yaşamının Aşil topuğudur. Bu nedenle pek çok insanın zarar görmesi şaşırtıcı değildir.
Bir siber suçlu ile kişisel ve finansal verileriniz arasında duran tek şeyin genellikle parola olduğu düşünüldüğünde, dolandırıcılar bu oturum açma bilgilerini çalmaya veya kırmaya fazlasıyla heveslidir. Çevrimiçi hesaplarımızı korumak için en az aynı ölçüde çaba göstermeliyiz.
Bir bilgisayar korsanı şifremle ne yapabilir?
Şifreler, dijital dünyanızın sanal anahtarlarıdır- çevrimiçi bankacılık, e-posta ve sosyal medya hizmetlerinize, Netflix ve Uber hesaplarımıza ve bulut depolamamızda barındırılan tüm verilere erişim sağlar. Çalışan oturum açma bilgileriyle bir bilgisayar korsanı şunları yapabilir:
- Kişisel kimlik bilgilerinizi çalar ve diğer suçlulara satar.
- Hesabın kendisine erişim satışı yapar. Dark web suç siteleri bu girişlerde hızlı bir ticaret yapabilir. Alıcılar, ücretsiz taksi yolculuklarından ve ücretsiz videolara, uçuş millerinden, indirimli seyahate kadar her şey için bu erişimi kullanabilir.
- Aynı şifreyi kullandığınız diğer hesapların kilidini açmak için şifreleri kullanır.
Bilgisayar korsanları şifreleri nasıl çalar?
Tipik siber suç tekniklerini öğrendiğinizde ve olası tehditleri yönetmek için çok daha iyi bir konumda olacaksınız:
- Kimlik avı ve sosyal mühendislik
İnsanlar yanılabilir ve aldatılabilir yaratıklardır. Ayrıca acele ettiğimizde yanlış kararlar vermeye daha meyilliyizdir. Siber suçlular, bu zayıflıklardan sosyal mühendislik yoluyla yararlanır; bu, bize yapmamamız gereken bir şeyi yaptırmak için tasarlanmış psikolojik bir hiledir. Kimlik avı belki de buna en önemli örnektir. Burada, bilgisayar korsanları meşru gibi görünür: arkadaşlar, aile ve iş yaptığınız şirketler vb. gibi kişilerden aldığınız e-posta veya metin orijinal görünecek, ancak tıklandığında kötü amaçlı yazılım indirecek veya kötü amaçlı bir bağlantı veya ek içeriyor olacaktır. Bu yazılım sonunda sizi kişisel bilgilerinizi doldurmanız için bir sayfaya götürecektir.
Neyse ki, burada açıkladığımız gibi, bir oltalama saldırısının uyarı işaretlerini tespit etmenin birçok yolu var. Dolandırıcılar, genellikle teknik destek birimleri gibi davranarak kurbanlarından doğrudan oturum açma bilgilerini ve diğer kişisel bilgileri almak için telefon görüşmelerini tercih ediyor. Bu, “vishing” (ses tabanlı kimlik avı) olarak tanımlanır.
- Kötü amaçlı yazılım
Parolalarınızı ele geçirmenin bir başka popüler yolu da kötü amaçlı yazılımlardır. Kimlik avı e-postaları bu tür saldırılar için başlıca vektörlerdir, ancak çevrimiçi olarak kötü amaçlı bir reklamı tıklatarak (kötü amaçlı reklamcılık) veya güvenliği ihlal edilmiş bir web sitesini ziyaret ederek bir kurban olabilirsiniz. ESET araştırmacısı Lukas Stefanko’nun birçok kez gösterdiği gibi, kötü amaçlı yazılım, genellikle üçüncü taraf uygulama mağazalarında bulunan meşru görünümlü bir mobil uygulamada gizleniyordur.
Bilgi çalan çeşitli kötü amaçlı yazılım türleri vardır, ancak en yaygın olanlarından bazıları, tuş vuruşlarınızı günlüğe kaydetmek veya cihazınızın ekran görüntülerini almak ve saldırganlara aktarmak için tasarlanmıştır.
- Kaba kuvvet
Ortalama bir kişinin yönetmesi gereken parola sayısı 2020’de tahmini olarak yıllık %25 oranında arttı. Sonuç olarak birçoğumuz hatırlaması (ve tahmin etmesi) kolay parolalar kullanıyoruz ve bunları birden çok sitede yeniden kullanıyoruz. Ancak bu, kaba kuvvet denilen tekniklerin kapısını açabilir.
En yaygın olanlardan biri kimlik bilgisi doldurmadır. Burada, saldırganlar daha önce ihlal edilmiş büyük hacimli kullanıcı adı/şifre kombinasyonlarını otomatik yazılımlarla besler. Araç daha sonra bir eşleşme bulmayı umarak bunları çok sayıda sitede dener. Bu şekilde, bilgisayar korsanları tek bir şifre ile birkaç hesabınızın kilidini açabilir. Bir tahmine göre, geçen yıl dünya çapında tahminen 193 milyar bu tür girişim oldu. Son zamanlarda kayda değer bir kurban da Kanada hükümetiydi.
Diğer bir kaba kuvvet tekniği ise parola püskürtmedir. Burada bilgisayar korsanları, hesabınızda yaygın olarak kullanılan şifrelerin bir listesini denemek için otomatik yazılım kullanır.
- Tahmin
Bilgisayar korsanlarının parolanızı kaba kuvvetle zorlayarak öğrenmek için ellerinde otomatik araçlar olmasına rağmen, bazen bunlara bile gerek duymazlar: kaba kuvvet saldırılarında kullanılan daha sistematik yaklaşımın aksine basit tahminler bile bu işi yapabilir durumda. 2020 yılının en yaygın şifresi “123456”, ardından “123456789” oldu.
Ve çoğu insan gibiyseniz ve birden fazla hesapta aynı parolayı geri dönüştürüyorsanız veya parolanın yakın bir türevini kullanıyorsanız, saldırganlar için işleri daha da kolaylaştırıyor ve kendinizi ek kimlik hırsızlığı ve dolandırıcılık riskine atıyorsunuz.
- Omuz sörfü
Şimdiye kadar araştırdığımız parola güvenliğini aşmanın tüm yolları sanaldı. Ancak karantinalar hafifledikçe ve birçok çalışan ofise geri dönmeye başladığından, denenmiş ve test edilmiş bazı gizli dinleme tekniklerinin de bir risk oluşturduğunu hatırlamakta fayda var. Omuz sörfünün hala bir risk olmasının tek nedeni bu değil ve ESET’ten Jake Moore kısa süre önce bu basit tekniği kullanarak birinin Snapchat’ini hacklemenin ne kadar kolay olduğunu bulmak için bir deney yaptı.
Wi-Fi gizli dinlemeyi içeren “ortadaki adam” saldırısı olarak bilinen daha yüksek teknolojili bir sürüm, halka açık Wi-Fi bağlantılarını kullanan bilgisayar korsanlarının, siz şifrenizi girerken şifrenizi gizlice dinlemesini sağlayabilir. Bu teknik de yıllardır var, biliniyor ancak bu hala bir tehdit olmadıkları anlamına gelmiyor.
Oturum açma kimlik bilgileriniz nasıl korunur
Bu teknikleri engellemek için yapabileceğiniz pek çok şey var- karışıma ikinci bir kimlik doğrulama biçimi ekleyerek, şifrelerinizi daha etkili bir şekilde yöneterek veya hırsızlığı en başta durdurmak için adımlar atarak.
Aşağıdakileri göz önünde bulundurun:
- Tüm çevrimiçi hesaplarınızda, özellikle bankacılık, e-posta ve sosyal medya hesaplarınızda yalnızca güçlü ve benzersiz şifreler veya parolalar kullanın.
- Oturum açma kimlik bilgilerinizi birden çok hesapta yeniden kullanmaktan ve diğer yaygın parola hatalarından kaçının
- Tüm hesaplarınızda iki faktörlü kimlik doğrulamayı (2FA) açın
- Her site ve hesap için güçlü, benzersiz şifreler depolayacak ve girişleri basit ve güvenli hale getirecek bir şifre yöneticisi kullanın
- Bir sağlayıcı size verilerinizin ihlal edilmiş olabileceğini söylerse şifrenizi hemen değiştirin
- Giriş yapmak için yalnızca HTTPS sitelerini kullanın
- İstenmeyen e-postalardaki bağlantılara tıklamayın veya ekleri açmayın
- Uygulamaları yalnızca resmi uygulama mağazalarından indirin
- Tüm cihazlarınız için saygın bir sağlayıcıdan güvenlik yazılımına yatırım yapın
- Tüm işletim sistemlerinin ve uygulamaların en son sürümde olduğundan emin olun
- Kamusal alanlarda omuz sörfçülerine dikkat edin
- Herkese açık Wi-Fi kullanıyorsanız asla bir hesaba giriş yapmayın; böyle bir ağ kullanmanız gerekiyorsa, bir VPN kullanın
- Parolanın ölümü on yıldan fazla bir süredir tahmin ediliyor. Ancak parola alternatifleri genellikle parolanın kendisini değiştirmekte zorlanıyor, bu da kullanıcıların sorunları kendi ellerine almaları gerektiği anlamına geliyor. Dikkatli olun ve oturum açma verilerinizi güvende tutun.