Digital Shadows, 15 milyardan fazla kimlik bilgisi ve şifrenin dark web’te kripto para karşılığında satıldığı konusunda yaptığı çalışmanın verilerini paylaştı.
Siber güvenlik firması Digital Shadows, 2,5 yıldır kripto para dünyasını da yakından ilgilendiren bir çalışma yürütüyordu. Geçtiğimiz günlerde yürüttüğü çalışmanın verilerini kamuoyuyla paylaştı. Çalışma genel anlamda kimlik bilgilerinin çeşitli yollarla ele geçirilip Dark Web üzerinden kripto para karşılığında satılmasını inceliyor. Kimlik verilerinin yani hesabın ele geçirilme (account takeover/ATO) yollarının incelediği raporda birkaç yol göze çarpıyor.
Çalışmaya göre siber suçlular Dark web’te satacakları kişisel bilgilere ve şifrelere, her gün kullanılan mobil veyahut internet bankacılığı uygulamalarının yanı sıra Netflix gibi video veyahut Spotify gibi müzik dağıtım platformlarından da ulaşabiliyor.
Dark web üzerinde 2018 yılından itibaren 15 milyardan fazla kimlik bilgisi ve şifrenin kripto para karşılığında satıldığına yer veren raporda, bazı kimlik bilgilerinin ücretsiz bile verildiğini ortaya çıkardı. Bununla birlikte daha önceki dönemlere göre 2018 yılından bu yana dark web üzerinde kimlik veyahut şifre satışının %300’lük bir artış gördüğü de belirtiliyor.
Ayrıca çalışma raporunda fidye yazılım gibi kötü niyetli yazılımların daha çok kurumsal ağlara sızma eğiliminde olduğu da belirtiliyordu. Dark web üzerindeki getirisinin bireysel kimlik bilgilerine göre daha fazla olduğu üzerine basarak söylenen şirket ağlarında, şirket geliri gibi faktörler göz önüne alındığında siber suçlu, şirket bilgilerini satmaktan 120 bin dolara kadar kazanabilir.
Bununla birlikte dark web üzerindeki satılan diğer veriler ve kazançları da raporda belirtilmiş. Bireysel kimlik bilgileri ile banka giriş bilgileri ortalama 71 dolardan satılıyor. Yok ben antivirüsü etkisiz hâle getirsem yeter diğer bilgilere kendim ulaşırım diyenler için antivirüs programlarına erişim ortalama 22 dolar olmakta.
Çare Güçlü Şifre, 2FA!
Durum böyle olunca çalışmayı gerçekleştiren uzmanlardan karışık şifre bilgileri kullanmaları gerektiği uyarısı yapılıyor. Proofpoint de karışık ve güvenilir bir şifre oluşturmak için daha önce birkaç öneride bulunmuştu. Digital Shadows’un çalışması üzerine Emsisoft yazılımın tehdit analisti Brett Callow, Cointelegraph’a konuşarak benzer önerilerde bulundu.
“Kimlik avından, kötü niyetli yazılımlara kadar sayılamayacak kadar çok yolla her gün birçok kullanıcının kimlik bilgileri ifşa ediliyor. Netflix oturumunun sızdırılması gibi küçük olaylarla veyahut banka hesabının patlatılması gibi büyük olaylarla da gerçekleşebiliyor. […] Asla aynı şifreyi iki kez kullanmayın, güçlü şifreler kullanın. En önemlisi destekleyen tüm servislerde 2FA gibi kimlik doğrulama yollarını kullanın.”