Aynı parolayı birden fazla hesapta kullanmak pratik görünebilir; ancak bu alışkanlık, dijital dünyada zincirleme güvenlik risklerini beraberinde getirir. Dolandırıcıların sıkça başvurduğu “kimlik bilgisi doldurma” yöntemi de bu risklerin başında yer alıyor. Siber güvenlik şirketi ESET, bu saldırı tekniğini mercek altına alarak kullanıcıların alabileceği önlemleri paylaştı.
Kimlik bilgisi doldurma, kötü niyetli kişilerin daha önce ele geçirilmiş kullanıcı adı ve parola listelerini alarak, farklı çevrimiçi hizmetlerin giriş alanlarında bu bilgileri sistematik biçimde denemesine dayanıyor. Aynı oturum bilgilerini birden fazla platformda kullanmak, saldırganların ilgisiz görünen pek çok hesaba tek hamlede erişmesine kapı aralayabiliyor. Bu yöntem, tek bir anahtarla evinizi, ofisinizi ve kasanızı aynı anda açmaya benzetilebilecek ölçüde tehlikeli bir dijital suç olarak tanımlanıyor. Söz konusu bilgiler, geçmiş veri ihlallerinden, siber suç pazarlarından ya da “infostealer” olarak bilinen ve ele geçirilen cihazlar ile tarayıcılardan veri çalan zararlı yazılımlar aracılığıyla elde edilebiliyor.
Birçok kullanıcı, çevrimiçi bankacılık, e-posta, sosyal medya ve alışveriş platformları gibi kritik hesaplarda bile aynı parolayı kullanmayı tercih ediyor. Saldırganlar ise bir noktada ele geçirdikleri giriş bilgilerini, mümkün olan her yerde deniyor. Bu süreçte botlar ve otomatik araçlar devreye giriyor; IP adresleri değiştiriliyor, gerçek kullanıcı davranışları taklit edilerek sistemlerin dikkatinden kaçılmaya çalışılıyor.
Rastgele ya da yaygın kalıplarla parola tahmin etmeye dayanan brute force saldırılarına kıyasla, kimlik bilgisi doldurma çok daha az çaba gerektiriyor. Çünkü bu yöntemde, zaten geçerli olduğu bilinen bilgiler kullanılıyor. Bu nedenle de, art arda hatalı giriş denemeleriyle alarm üreten saldırı türlerinin aksine, kimlik bilgisi doldurma çoğu zaman fark edilmeden gerçekleşebiliyor.
Kendinizi nasıl koruyabilirsiniz?
ESET uzmanları, kullanıcıların dijital güvenliklerini artırmak için şu adımlara dikkat çekiyor:
- Aynı parolayı birden fazla site veya hizmette kullanmaktan kaçının. Parola yöneticileri, her hesap için güçlü ve benzersiz parolalar oluşturup saklamayı kolaylaştırır.
- Mümkün olan her yerde iki faktörlü kimlik doğrulamayı (2FA) aktif hale getirin. Parolanız ele geçirilse bile, ikinci doğrulama adımı olmadan hesabınıza erişilemez.
- Düzenli olarak e-posta adresinizin veya kimlik bilgilerinizin geçmiş veri sızıntılarında yer alıp almadığını kontrol edin. Bu tür kontroller için haveibeenpwned.com gibi servislerden yararlanabilirsiniz.
- Bilgilerinizin açığa çıktığını fark ederseniz, özellikle hassas veriler barındıran hesaplar için parolalarınızı vakit kaybetmeden değiştirin.
