Parola Nasıl Çalınır? İşte Çok Kullanılan 6 Yöntem

“Güvenlik sızıntısı” terimini duyduğunuzda aklınıza Matrix usulü metinlerin aktığı bir monitörün başında oturan bir hacker mı geliyor? Yahut haftalardır gün ışığını görmemiş, bodrum katında adeta mahsur kalmış bir siber korsan? Yahut tüm dünyayı ele geçirmeye çalışan makûs niyetli bir üstün bilgisayar?

Gerçek, ekseriyetle bu durumlardan biraz farklı. Eline parolanızı geçiren rastgele biri, birçok zaman oyunu kazanmış demektir. Aslına bakarsanız, parolanız çok kısaysa ve kolaylıkla kestirim edilebiliyorsa işiniz çoktan bitmiş demektir. Parolaları ele geçirmekte en çok kullanılan 6 sistemi aşağıda sıraladık.

1. Kelamlık saldırısı (dictionary)

En sık başvurulan atak çeşitlerinden biri olan kelamlık saldırısı, sözlükteki her sözün parola karşısında denenmesiyle gerçekleştiriliyor. Bu sözlükte 123456, qwerty, maymun, prenses, beysbol, şifre, hunter2 üzere sıkça kullanılan parolalar da yer alıyor.

2. Kaba kuvvet (brute force)

Bu hücumda saldırgan, mümkün olan her karakter birleşimini deniyor. Bu halde teoride her parola kırılabilir, lakin parolanın uzunluğuna nazaran bu sistemin uygulanması çok lakin çok uzun sürebilir. Parolanızda büyük ve küçük harfler, sayılar ve $, & üzere karakterlerin tümünü kullanarak bu tıp taarruzlardan korunabilirsiniz. Elbette internet hizmetlerinin kaba kuvvet hücumlarına karşı kendi güvenlik tedbirleri de bulunuyor.

3. Olta saldırısı

Burada aslında tam bir “hack” kelam konusu değil. Olta atağında saldırgan, bazen yüz binlerce şahsa eposta göndererek kurbanın parolasını kendi elleriyle teslim etmesini umar. Gönderilen epostada çabucak harekete geçmeniz söylenir (hack’lenmemek için çabucak parolanızı değiştirin vs.) ve eposta, gerçek bir firmadan geliyor üzere görünür. Symantec 2017 internet tehditleri raporu, olta taarruzlarında bir numarada düzmece faturaların olduğunu söylüyor.

4. Toplumsal mühendislik

Toplumsal mühendislik, olta saldırısının gerçek hayata uygulanmış hali olarak tanımlanabilir. “Saldırgan” telefonda size ofisinizdeki yeni takviye grubundan olduğunu söyler ve belli bir iş için sizden parolanızı ister. Bu sırada karşınızda bir dolandırıcının olduğunu düşünmeden parolanızı kolay kolay teslim etmeniz mümkün.

Yıllardır iş gören toplumsal mühendislikte maksat, her vakit parolanız olmayabilir. Örneğin bazen geçersiz bir elektrikçi, inançlı binaya girmek için kapıyı açmanızı isteyebilir.

5. Rainbow tablosu

Rainbow tablosu çoklukla çevrimdışı bir ataktır. Örneğin saldırgan, kullanıcı isimlerini ve parolaları içeren bir listeyi eline geçirir fakat parolalar şifrelenmiştir. Hash’lenmiş parolalar, özgününden büsbütün farklı görünürler. Lakin birtakım durumlarda saldırgan, düz metin parolaları bir hashing algoritmasından geçirip, şifreli parola belgesindeki parolalarla karşılaştırabilir. Birtakım durumlarda ise şifreleme algoritmasında güvenlik açığı bulunabilir.

Rainbow tablosu, algoritmaya özel çok sayıda özel hash bedelinden (bu tabloları depolamak için bazen terabaytlarca alana gereksinim duyulur) oluşur. Rainbow tablosu, hash’lenmiş bir parolayı kırma müddetini çok kısaltır.

6. Ziyanlı / keylogger

Oturum açma bilgilerinizi çalmanın en garantili yollarından biri, zararlılardan ve keylogger’lardan faydalanmaktır. Saldırgan bu cins bir yazılımı PC’nize yerleştirmeyi başarırsa, tüm hesaplarınızı tıpkı anda ele geçirebilir. Zararlılar bazen belli bir data çeşidini de amaç alabilir.

Yorum bırakın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir