Sophos araştırmacıları tarafından dün bildirilen yeni saldırı yöntemi, halihazırda kullanımda büyüyor. Araştırmacılar, “çerez çalma siber suç yelpazesinin” geniş olduğunu ve çeşitli teknikler kullanarak “giriş düzeyindeki suçlulardan” ileri düzey düşmanlara kadar uzandığını yazdı.
Siber suçlular, karanlık web forumlarında çerez toplar veya çalınan kimlik bilgilerini “toplu olarak” satın alır. Fidye yazılımı grupları ayrıca çerezleri toplar ve hem mevcut hem de araç olarak getirilen meşru yürütülebilir dosyaları kötüye kullanmaları nedeniyle faaliyetleri basit kötü amaçlı yazılımdan koruma savunmaları tarafından tespit edilemeyebilir.
Faaliyetlerin büyük çoğunluğunun artık web tabanlı olduğu göz önüne alındığında, bilgisayar korsanları için şaşırtıcı bir hedef değil. Bulut altyapıları bile kullanıcılarının kimliğini doğrulamak için tanımlama bilgilerine güvenir.
Web oturumlarını klonlamak veya belirli örnekler aracılığıyla mevcut oturumları taklit etmek için çalınan kimlik bilgileri ve çeşitli saldırı açıları için büyük bir pazar var. Hedeflere bağlı olarak, bu tür ilk erişim, değerli verileri sızdırması, şirket sırlarını elde etmesi veya fidye talep etmek için şantaj mağdurları için özellikle çekici olabilir.
Hackerlar Çerezleri Nasıl Çalıyor?
Tarayıcılar, kullanıcıların kimlik doğrulamasını sürdürmelerine, parolaları hatırlamalarına ve formları otomatik doldurmalarına olanak tanır. Bu uygun görünebilir, ancak saldırganlar kimlik bilgilerini çalmak ve oturum açma sorgulamasını atlamak için bu işlevden yararlanabilir.
Perde arkasında, tarayıcılar tanımlama bilgileri içeren SQLite veritabanı dosyalarını kullanır. Bu tanımlama bilgileri, anahtar/değer çiftlerinden oluşur ve değerler genellikle belirteçler ve son kullanma tarihleri gibi kritik bilgileri içerir.
Hackerlar, çeşitli işletim sistemlerinde Chrome, Firefox ve hatta Brave gibi tüm büyük tarayıcılar için bu dosyaların tam adını ve konumunu bilir. Bu yüzden saldırı senaryolaştırılabilir. Bilgi çalma ve diğer kötü amaçlı yazılımlarda diğer modüllerle birlikte bu tür komut dosyalarını bulmak nadir değildir.
Örneğin, Emotet botnet’in en son sürümü, kayıtlı kredi kartlarını da içeren tarayıcılar tarafından saklanan tanımlama ve kimlik bilgilerini hedefler. Sophos araştırmacılarına göre, “Google’ın Chrome tarayıcısı, hem çok faktörlü kimlik doğrulama çerezlerini hem de kredi kartı verilerini depolamak için aynı şifreleme yöntemini kullanıyor.”
Saldırganlar, ilk erişim elde etmek için, çerez çalan kötü amaçlı yazılımları gizlice dağıtabilen damlalıklar yerleştirmek için kimlik avı ve hedef odaklı kimlik avı kampanyaları da gerçekleştirebilir.
Çerezler daha sonra kullanım sonrası ve yanal hareketler için kullanılır. Siber suçlular, kullanıcı hesaplarıyla ilişkili parolaları ve e-postaları değiştirmek veya kurbanları ek kötü amaçlı yazılım indirmeleri için kandırmak ve hatta Cobalt Strike ve Impacket kiti gibi diğer istismar araçlarını dağıtmak için bunları kullanabilir.
Kullanıcılar Erişimi Nasıl Koruyabilir?
Kullanıcılar, tarayıcı onları en azından bir ana parolayla şifrelemedikçe, parolaları kaydetmek için yerleşik özellikleri kullanmamalıdır. Kullanıcıların “parolaları hatırla” adlı ayarın işaretini kaldırmaları önerilir ve kullanıcıların muhtemelen kalıcı oturumlara da izin vermemesi gerekir.
Bu varsayılan davranış değildir, ancak tarayıcının her oturum açtığınızda şifreyi kaydetmek isteyip istemediğinizi sormasını önlemek için genellikle ayarları değiştirmek mümkündür. Ayrıca, tarayıcıyı kapattığınızda tüm çerezleri otomatik olarak silebilirsiniz.
Kulağa oldukça rahatsız edici gelse de, parola yöneticileri oturumları yeniden doğrulamanız gerekeceğinden kimlik bilgilerinizi yazma zahmetini ortadan kaldırabilir. Yine de, bazı kötü amaçlı yazılımlar, yerel trafiği ve parola yöneticiniz tarafından gönderilen verileri engelleyebilecek hileli uzantılar veya işlemler yükleyebileceğinden, kurşun geçirmez olmadığını unutmayın.
Yine de, Brave gibi güvenliği artırılmış çözümler kullansanız bile, kimlik doğrulamasını günlerce sürdürmek için tarayıcınızı kullanmaktan çok daha iyi bir stratejidir.
Araştırmacılar, Slack gibi bazı uygulamaların kalıcı çerezler kullandığını ve tarayıcı kapatıldığında oturuma özel çerezler temizlenmiş olsa bile bazı ortamlarda süresiz olarak açık kaldığını kaydetti.
Diğer uygulamalar, bazen son kullanma tarihi olmaksızın kendi çerez depolarını kullandıkları için çerez hırsızlığına karşı savunmasız olabilir.
Geliştirici Perspektifinden Çerezler
Bazı MFA uygulamaları zayıftır ve sistemi çeşitli sahtecilik türlerine maruz bırakır. Geliştiriciler, kimlik doğrulama çerezlerini düzgün bir şekilde güvenceye almazlarsa sorunun bir parçası olabilir.
Bu tür çerezlerin kısa bir son kullanma tarihi olmalıdır. Aksi takdirde, kalıcı kimlik doğrulama kalıcı bir tehdide dönüşebilir.
Çerezler gerekli bayraklara sahip olmadığı için (örneğin, HttpOnly, Secure özniteliği) harika güvenlik süreçlerine sahip olabilir ve yine de saldırıya uğrayabilirsiniz. Örneğin, kimlik doğrulama çerezleri SSL/TLS kanalları kullanılarak gönderilmelidir. Aksi takdirde veriler düz metin olarak gönderilebilir ve saldırganların yalnızca kimlik bilgilerini ele geçirmek için trafiği algılaması gerekir.
Bazı uygulamalar, bilgileri tersine çevrilebilir karmalara sahip çerezlerde saklayarak siber suçluların belirteçleri tahmin etmesine ve taklit etmesine olanak tanır. Algoritma kırılmışsa, uygulamanın isteklerin meşru bir kullanıcıdan mı yoksa bir sahtekardan mı geldiğini ayırt etmesinin hiçbir yolu yoktur.
Uzaktan gerçekleştirilebilecek kötü niyetli enjeksiyonları önlemek için uygun bir CORS politikasına sahip olmak çok önemlidir.
İş Kültürünün Bir Parçası Olarak Güvenlik
Siber güvenliğin önemli bir kısmı, derin teknik bilgiden çok sağduyuya dayanmaktadır. Siber güvenlik farkındalığı eğitimi, birçok çalışana daha iyi uygulamalar öğretebilir.
Örneğin, çalışmayı “hızlandırmak” için oturumlarını kapatmayabilirler, ancak bunun neden büyük bir güvenlik riski olduğunu görmek kolaydır. Çalışanlar kolaylık yerine güvenliği her feda ettiğinde, saldırganlar için bir engel daha az olur.
Kimlik doğrulama noktaları, doğası gereği tehlikeli noktalardır ve kuruluşlar, atlanabilse bile, mümkün olan her zaman MFA’yı etkinleştirmelidir. Teknikler büyük ölçüde değişebilir, ancak her zaman aynı taktiktir.
Bir güvenlik sistemi çok güçlüyse, kararlı Hackerlar insan faktörüne odaklanacaktır. Yeniden kimlik doğrulama, gerçekte en çok zaman alan görev değildir ve birçok işlem, ana parolalar, otomatik doldurma ve otomatik temizleme gibi tekniklerle otomatikleştirilebilir.
