Kimlik Bilgisi Kâbusu! 2024’te 3,2 Milyar Hesap Ele Geçirildi!
BİLİM ve TEKNOLOJİ2024’te dünya genelinde 3,2 milyar kimlik bilgisi çalındı! Bu dramatik artış, siber suçluların kurumsal ağlara sızmak için en çok başvurduğu yöntemin hâlâ “çalınan parolalar” olduğunu gösteriyor. ESET, bu tehdide karşı sıfır güven mimarisi, çok faktörlü kimlik doğrulama ve sürekli izleme gibi güvenlik önlemlerinin önemine dikkat çekiyor.
Siber güvenlik alanında yapılan güncel araştırmalar, 2024 yılında küresel ölçekte 3,2 milyardan fazla kimlik bilgisinin çalındığını ortaya koydu. Bu rakam, bir önceki yıla göre %33’lük endişe verici bir artış anlamına geliyor. Çalınan bu veriler, siber suçluların kurumsal sistemlere ilk erişimi sağladığı en etkili araç olmaya devam ediyor.
GÖLGEDE KALAN TEHDİT: KİMLİK BİLGİLERİYLE SİSTEMLERE GİZLİ ERİŞİM
ESET uzmanları, saldırganların ele geçirdikleri parolalarla ağ keşfi yaptığını, komuta kontrol sunucularıyla bağlantı kurduklarını ve sistemlere zararlı yazılım yükleyerek veri sızdırabildiklerini belirtiyor. Bu saldırılar genellikle fark edilmeden gerçekleşiyor, çünkü ilk adımda kullanılan kimlik bilgileri gerçek kullanıcılara ait oluyor.
SİBER SALDIRGANLAR PAROLALARI NASIL ELE GEÇİRİYOR?
OLTALAMA (PHISHING)
Görünüşte BT departmanından gelen e-postalarla kullanıcılar sahte giriş sayfalarına yönlendiriliyor.
VISHING (SESLE KİMLİK AVI)
Saldırgan, telefonla kullanıcıyı arayarak parola veya MFA doğrulama kodlarını elde etmeye çalışıyor.
BİLGİ HIRSIZI YAZILIMLAR
Kullanıcının cihazına sızarak parolaları, oturum çerezlerini ve giriş bilgilerini topluyor.
KABA KUVVET SALDIRILARI
Botlar aracılığıyla yaygın parolalar deneniyor, ele geçirilen parolalar sistemlere uygulanıyor.
ÜÇÜNCÜ TARAF İHLALLERİ
Tedarikçi, MSP ya da SaaS sağlayıcısının veritabanı ihlal edilerek yüz binlerce kullanıcı bilgisi elde ediliyor.
MFA ATLATMA TEKNİKLERİ
Push bombing, ortadaki adam (AitM) saldırıları ve SIM takası gibi yöntemlerle iki faktörlü kimlik doğrulama sistemleri bile aşılabiliyor.
SIFIR GÜVEN STRATEJİSİ: HER ZAMAN DOĞRULA!
ESET, "Asla güvenme, her zaman doğrula" ilkesine dayanan Sıfır Güven Güvenlik Modeli’ni öneriyor. Bu yaklaşımda:
Kullanıcılar, cihazlar ve oturumlar risk profiline göre değerlendirilir.
Konum, zaman, cihaz türü ve kullanıcı davranışı analiz edilir.
Çok faktörlü kimlik doğrulama zorunlu tutulur.
Ağ segmentasyonu ve sürekli izleme uygulanır.
PERSONEL EĞİTİMİ VE KARANLIK WEB TAKİBİ KRİTİK
Gerçek saldırı simülasyonları içeren farkındalık eğitimleri, çalışanların sosyal mühendislik saldırılarına karşı hazırlıklı olmasını sağlıyor. Ayrıca Dark Web izleme araçları, kurumsal bilgilerinizin karanlık pazarlarda satışa sunulup sunulmadığını kontrol etme imkânı veriyor.
MDR HİZMETLERİ: KISITLI KAYNAKLARLA MAKSİMUM GÜVENLİK
Şirketinizin BT kaynakları sınırlıysa Yönetilen Tespit ve Müdahale (MDR) hizmetleriyle 7/24 uzman desteği alabilirsiniz. Bu hizmetler, kimlik bilgisi temelli saldırılarda:
Hızlı tespit ve yanıt
Tehdit avcılığı
Risk analizi
Olay müdahalesi sağlar
KAYNAK: MHA
İlginizi Çekebilir