Federal Soruşturma Bürosu (FBI), takip edilmeden, işaretlenmeden veya engellenmeden büyük ölçekli kimlik bilgisi doldurma saldırıları gerçekleştirmek için konut proxy’lerini kullanan siber suçluların artan eğilimi konusunda uyarıyor.
Uyarı, kimlik bilgisi doldurma saldırılarına karşı savunma uygulaması gereken internet platformu yöneticileri arasında farkındalık yaratmak için geçen hafta sonlarında Büro’nun İnternet Suçları Şikayet Merkezi (IC3) hakkında Özel Sektör Bildirimi olarak yayınlandı.
Kimlik bilgisi doldurma, tehdit aktörlerinin diğer çevrimiçi platformlara erişmeye çalışmak için önceki veri ihlallerinde açığa çıkan büyük kullanıcı adı/şifre kombinasyonları kullandığı bir saldırı türüdür.
İnsanlar her sitede yaygın olarak aynı parolayı kullandığından, siber suçlular parolaları kırmadan veya başka herhangi bir bilgiyi avlamadan hesapları ele geçirmek için bolca fırsata sahiptir.
“Geçerli kullanıcı kimlik bilgilerini kullanan kötü niyetli aktörler, medya şirketleri, perakende satış, sağlık, restoran grupları ve yemek dağıtımını içeren birden fazla sektörde sayısız hesaba ve hizmete erişme potansiyeline sahiptir – sahtekarlıkla mal, hizmet elde etme ve finans gibi diğer çevrimiçi kaynaklara erişme. meşru hesap sahiplerinin pahasına hesaplar,” FBI’ın duyurusunu detaylandırıyor.
Konut vekillerinin kullanımı
Kimlik bilgisi doldurma saldırıları, onları normal oturum açma girişimlerinden ayıran belirli özellikler taşıdığından, web siteleri bunları kolayca algılayabilir ve durdurabilir.
FBI, temel korumaları geçersiz kılmak için, tehdit aktörlerinin gerçek IP adreslerini ev kullanıcıları ile yaygın olarak ilişkilendirilen ve engelleme listelerinde bulunma olasılığı düşük olanların arkasına gizlemek için konut proxy’leri kullandıkları konusunda uyarıyor.
Proxy’ler, istekleri kabul eden ve ileten çevrimiçi sunuculardır; bu, gerçek başlatıcı (saldırgan) yerine onlardan bir bağlantı varmış gibi görünmesini sağlar.
Yerleşik proxy’ler, koruma mekanizmalarının şüpheli ve normal tüketici trafiğini ayırt etmesini zorlaştırdığından, veri merkezinde barındırılan proxy’lere göre tercih edilir.
Tipik olarak, bu proxy’ler, aşağıdakiler gibi meşru konut cihazlarını hackleyerek siber suçluların kullanımına sunulur. modemler veya diğer IoT’ler veya kötü amaçlı yazılım aracılığıyla bir ev kullanıcısının bilgisayarını bilgisi olmadan bir proxy’ye dönüştüren.
Siber suçlular, bu araçları kullanarak, daha önce çalınan oturum açma kimlik bilgilerini kullanarak çok sayıda sitede oturum açmaya çalışan botlarla kimlik bilgisi doldurma saldırılarını otomatikleştirir.
Ayrıca, bu proxy araçlarından bazıları, benzersiz bir karaktere, minimum parola uzunluğuna vb. sahip olmak gibi belirli gereksinimleri karşılamak için saldırıyı değiştiren “yapılandırmalar” veya hesap parolalarını kaba zorlama seçeneği sunar.
FBI, kimlik bilgisi doldurma saldırılarının web siteleriyle sınırlı olmadığını ve zayıf güvenlikleri nedeniyle mobil uygulamaları hedef aldığını söyledi.
FBI danışmanı, “Siber suçlular, bir şirketin mobil uygulamalarını ve web sitesini de hedef alabilir” diye uyarıyor.
“Genellikle geleneksel web uygulamalarından daha zayıf güvenlik protokollerine sahip olan mobil uygulamalar, genellikle daha hızlı hesap doğrulamayı kolaylaştıran, dakika başına kontrol (CPM’ler) olarak bilinen daha yüksek oranda oturum açma girişimlerine izin verir.”
FBI ve Avustralya Federal Polisi’nin katıldığı ortak bir operasyonda, ajanslar, kimlik bilgisi doldurma saldırıları yoluyla elde edilen 300.000’den fazla benzersiz kimlik belgesi içeren iki web sitesini araştırdı.
FBI, bu web sitelerinin 175.000’den fazla kayıtlı kullanıcı saydığını ve hizmetleri için 400.000 doların üzerinde satış elde ettiğini söylüyor.
Yöneticilerin yapması gerekenler
FBI’ın tavsiyesi, yöneticileri, zayıf parolalar kullandıklarında bile, hesaplarını kimlik bilgisi doldurma saldırılarına karşı kaybetmekten korumaya yardımcı olmak için belirli uygulamaları takip etmeye çağırıyor.
Anahtar noktalar şunları içerir:
- MFA (çok faktörlü kimlik doğrulama) sunun ve tüm hesaplar tarafından benimsenmesini teşvik edin ve hatta zorlayın.
- Yaygın olarak bulunan sızdırılmış kimlik bilgilerini indirin ve eşleşmeleri bulmak ve parola sıfırlamalarını zorlamak için bunları müşteri hesaplarıyla karşılaştırın.
- Giriş yapmaya çalışan kişinin hesabın sahibi olduğundan emin olmak için parmak izi kontrollerini kullanın.
- Kimlik bilgisi doldurma saldırı araçları tarafından kullanılan varsayılan kullanıcı aracısı dizelerini belirleyin ve izleyin.
- Proxy araçlarının web siteniz için hangi yapılandırmaları kullandığını araştırın ve keşfedin ve bunları değersiz kılmak için hedeflenen değişiklikleri uygulayın.
- Şüpheli kullanıcıların/hesapların platformda onları engellemeden yapabileceklerini sınırlamak için “gölge yasaklama” uygulayın.
Normal kullanıcılar, hesaplarında MFA’yı etkinleştirerek, güçlü ve benzersiz parolalar kullanarak ve kimlik avı girişimlerine karşı tetikte kalarak kendilerini koruyabilirler.