Hedefli Sızma Saldırıları: Çalınmış Kimlik Bilgilerinin Arama Pazarı

Giriş

Siber suç dünyasında son yıllarda dikkat çeken bir trend, saldırganların çalınmış kimlik bilgilerini (credentials) hedef odaklı olarak aratmalarıdır. Geleneksel yöntemde, saldırganlar milyonlarca kayıt içeren veri sızıntılarını elle incelemek zorundaydı. Ancak günümüzde, "Search Your Target" adı verilen yeraltı pazarı, saldırganlara özel şirketler, alan adları veya kullanıcı hesapları için otomatik arama hizmetleri sunmaktadır.

Bu makalede, Flare tarafından incelenen bu pazarın nasıl çalıştığını, kullanılan araçları ve bu tehdide karşı alınabilecek önlemleri detaylı olarak ele alacağız. Makale, beginner ve intermediate seviyedeki okuyucular için hazırlanmıştır.

Sorun: Veri Sızıntılarında Hedef Odaklı Arama İhtiyacı

Veri Sızıntılarının Boyutu ve Zorluğu

Çalınmış kimlik bilgilerinin yer aldığı veri sızıntıları genellikle milyonlarca kayıt içermektedir. Örneğin, 2021 yılında gerçekleşen bir sızıntıda 3,2 milyar kayıt yer almış ve bu veriler çeşitli forumlarda ve dark web sitelerinde satışa sunulmuştur. Bu kadar büyük bir veri setinde, belirli bir şirket ya da kullanıcıya ait kayıtları bulmak neredeyse imkansızdır.

Siber Suçluların Yeni Yaklaşımı

Siber suçlular, bu zorluğu aşmak için hedef odaklı arama hizmetleri sunan yeraltı pazarlara yönelmektedir. Bu hizmetler sayesinde, saldırganlar:

• Belirli bir şirketin alan adına ait kimlik bilgilerini aratabilir,
• Belirli bir kullanıcı adına ait kayıtları bulabilir,
• Belirli bir e-posta domainine ait tüm kayıtları listeleyebilir.

Bu hizmetler genellikle ücretli olup, saldırganlar tarafından kolayca satın alınabilmektedir. Flare'ın araştırmasına göre, bu pazarın büyümesiyle birlikte, saldırganların hedefli saldırılar gerçekleştirme hızı ve etkinliği önemli ölçüde artmıştır.

Çözüm Adımları: Hedef Odaklı Arama Pazarının İşleyişi

1. Yeraltı Pazarının Temel Bileşenleri

Hedef odaklı arama pazarı genellikle aşağıdaki bileşenlerden oluşmaktadır:

1. Veri Sağlayıcıları: Büyük veri sızıntılarını satın alan ve bunları analiz eden kişiler.
2. Arama Motorları: Veri setlerinde hedef odaklı arama yapabilen özel yazılımlar.
3. Hizmet Sağlayıcıları: Bu arama hizmetlerini saldırganlara sunan platformlar.
4. Ödeme Sistemleri: Cryptocurrency (örneğin Bitcoin) veya dark web para birimleri kullanılarak yapılan ödemeler.

2. Arama Hizmetlerinin Kullanımı

Saldırganlar, aşağıdaki adımları izleyerek hedef odaklı arama hizmetlerinden yararlanmaktadır:

1. Hedef Belirleme: Saldırgan, saldırı hedefini belirler (örneğin, "example.com" alan adına ait tüm kayıtlar).
2. Hizmet Satın Alma: Saldırgan, yeraltı pazarından ilgili arama hizmetini satın alır.
3. Arama Parametrelerinin Belirlenmesi: Hedef alan adı, kullanıcı adı, e-posta domaini gibi parametreler girilir.
4. Sonuçların Alınması: Arama motoru, belirlenen parametreye uygun kayıtları saldırgana teslim eder.
5. Saldırıların Gerçekleştirilmesi: Elde edilen kimlik bilgileri kullanılarak hedef sisteme sızma girişimleri yapılır.

3. Kullanılan Araçlar ve Teknolojiler

Bu pazarın temelini oluşturan araçlar genellikle aşağıdaki teknolojilere dayanmaktadır:

Veri Tabanı ve Arama Motorları

Veri sızıntıları genellikle SQL veri tabanları veya NoSQL veri tabanları (örneğin MongoDB) kullanılarak depolanmaktadır. Arama motorları ise bu veri tabanlarında hızlı ve verimli arama yapabilmek için özel olarak tasarlanmıştır. Örneğin:

-- Örnek SQL sorgusu: Belirli bir alan adına ait kayıtları bulma
SELECT * FROM credentials WHERE domain = 'example.com';

Bu sorgular, saldırganlar tarafından optimize edilmiş özel araçlar kullanılarak gerçekleştirilmektedir.

Otomatikleştirilmiş Arama Araçları

Bazı yeraltı pazarlarında, saldırganlara otomatik arama yapma imkanı sunan özel yazılımlar bulunmaktadır. Bu yazılımlar genellikle Python, Bash veya PowerShell gibi dillerde yazılmış scriptlerdir. Örnek bir Python scripti:

import requests

def search_credentials(target_domain):
    url = "https://underground-market.com/api/search"
    headers = {
        "Authorization": "Bearer ",
        "Content-Type": "application/json"
    }
    payload = {
        "target": target_domain,
        "type": "domain"
    }
    response = requests.post(url, headers=headers, json=payload)
    return response.json()

# Örnek kullanım
results = search_credentials("example.com")
print(results)

Dark Web ve Cryptocurrency Kullanımı

Bu pazarın önemli bir bileşeni de ödeme sistemleridir. Saldırganlar genellikle Bitcoin, Monero veya diğer cryptocurrency'ler kullanarak ödeme yapmaktadır. Bu durum, takip edilmeyi zorlaştırmakta ve saldırganlara gizlilik sağlamaktadır.

Uygulama: Hedef Odaklı Arama Hizmetlerine Karşı Korunma

1. Şirketlerin Alması Gereken Önlemler

Şirketlerin, bu tür saldırılara karşı korunmak için aşağıdaki adımları izlemesi gerekmektedir:

Kimlik Yönetimi ve Erişim Kontrolleri

1. Çok Faktörlü Kimlik Doğrulama (MFA): Tüm kullanıcı hesaplarına MFA uygulayarak, çalınan kimlik bilgilerinin kullanımını engelleyin.
2. En Az Ayrıcalık İlkesi: Kullanıcılara sadece ihtiyaçları olan erişim haklarını verin.
3. Sık Sızıntı Kontrolleri: Kullanıcıların kimlik bilgilerinin başka veri sızıntılarında yer alıp almadığını düzenli olarak kontrol edin.

Veri Sızıntılarının Tespiti ve Müdahalesi

1. Dark Web Monitoring: Şirketinizle ilişkili kimlik bilgilerinin dark web'de satışa sunulup sunulmadığını izleyin. Bu hizmetleri sağlayan birçok güvenlik firması bulunmaktadır (örneğin, Flare, Have I Been Pwned).
2. Sızma Testleri: Düzenli olarak penetration testleri yaparak, sistemlerinizin güvenlik açıklarını tespit edin.
3. İzinsiz Erişimlerin Tespiti: Anormal erişim denemelerini izleyin ve gerekli müdahaleleri gerçekleştirin.

Eğitim ve Farkındalık

1. Çalışan Eğitimi: Çalışanlara phishing saldırıları ve kimlik avı hakkında düzenli eğitimler verin.
2. Güvenlik Politikaları: Güçlü parola politikaları oluşturun ve kullanıcıları bu konuda bilinçlendirin.

2. Kullanıcıların Alması Gereken Önlemler

Kullanıcılar olarak, aşağıdaki adımları izleyerek hesabınızın güvenliğini artırabilirsiniz:

Parola Yönetimi

1. Güçlü Parolalar Kullanın: Parolalarınız en az 12 karakterden oluşmalı ve büyük/küçük harf, rakam ve özel karakterler içermelidir.
2. Parola Yöneticisi Kullanın: Tüm parolalarınızı güvenli bir şekilde saklayın ve farklı hesaplar için farklı parolalar kullanın.
3. Parola Değiştirme: Bir veri sızıntısından etkilendiğinizi öğrendiğinizde, ilgili hesapların parolalarını hemen değiştirin.

İki Faktörlü Kimlik Doğrulama (2FA)

1. 2FA'yı Etkinleştirin: Tüm önemli hesaplarınızda 2FA'yı etkinleştirin. SMS tabanlı 2FA yerine authenticator uygulamaları (Google Authenticator, Authy) veya fiziksel güvenlik anahtarları kullanın.
2. Yedek Kodları Saklayın: 2FA için kullanılan yedek kodları güvenli bir yerde saklayın.

Uyarılar ve İpuçları

Uyarı 1: Veri sızıntılarında yer alan kimlik bilgileri, saldırganlar tarafından otomatik olarak taranmaktadır. Bu nedenle, bir sızıntıda yer aldığınızı öğrendiğinizde, ilgili hesapların parolalarını hemen değiştirin ve 2FA'yı etkinleştirin.

İpucu 1: Güvenilir parola yöneticileri (Bitwarden, 1Password) kullanarak, tüm parolalarınızı güvenli bir şekilde saklayabilirsiniz. Bu araçlar, aynı zamanda parola güvenliği hakkında da öneriler sunmaktadır.

Uyarı 2: Dark web'de kimlik bilgilerinizin satışa sunulup sunulmadığını düzenli olarak kontrol edin. Bu konuda ücretsiz hizmetler sunan siteler bulunmaktadır (örneğin, Have I Been Pwned).

Sonuç

Hedef odaklı arama pazarı, siber suçluların daha etkili ve hızlı saldırılar gerçekleştirmelerine olanak sağlamaktadır. Bu pazarın büyümesiyle birlikte, şirketlerin ve kullanıcıların güvenlik önlemlerini artırması gerekmektedir. Çok faktörlü kimlik doğrulama, düzenli parola değiştirme, dark web monitoring ve güvenlik eğitimleri, bu tehdide karşı alınabilecek en önemli adımlardır.

Unutmayın, siber güvenlik sürekli bir mücadeledir ve tehditler her geçen gün gelişmektedir. Bu nedenle, güvenlik stratejilerinizi düzenli olarak gözden geçirin ve güncelleyin.