Parola Nasıl Çalınır? İşte Çok Kullanılan 6 Yöntem

“Güvenlik sızıntısı” terimini duyduğunuzda aklınıza Matrix şekli metinlerin aktığı bir monitörün başında oturan bir hacker mı geliyor? Yahut haftalardır gün ışığını görmemiş, bodrum katında adeta mahsur kalmış bir siber korsan? Yahut tüm dünyayı ele geçirmeye çalışan makûs niyetli bir muhteşem bilgisayar?

Gerçek, ekseriyetle bu durumlardan biraz farklı. Eline parolanızı geçiren rastgele biri, birden fazla zaman oyunu kazanmış demektir. Aslına bakarsanız, parolanız çok kısaysa ve basitçe kestirim edilebiliyorsa işiniz çoktan bitmiş demektir. Parolaları ele geçirmekte en çok kullanılan 6 usulü aşağıda sıraladık.

1. Kelamlık saldırısı (dictionary)

En sık başvurulan taarruz çeşitlerinden biri olan kelamlık saldırısı, sözlükteki her sözün parola karşısında denenmesiyle gerçekleştiriliyor. Bu sözlükte 123456, qwerty, maymun, prenses, beysbol, şifre, hunter2 üzere sıkça kullanılan parolalar da yer alıyor.

2. Kaba kuvvet (brute force)

Bu atakta saldırgan, mümkün olan her karakter birleşimini deniyor. Bu halde teoride her parola kırılabilir, lakin parolanın uzunluğuna nazaran bu formülün uygulanması çok fakat çok uzun sürebilir. Parolanızda büyük ve küçük harfler, sayılar ve $, & üzere karakterlerin tümünü kullanarak bu cins ataklardan korunabilirsiniz. Elbette internet hizmetlerinin kaba kuvvet ataklarına karşı kendi güvenlik tedbirleri de bulunuyor.

3. Olta saldırısı

Burada aslında tam bir “hack” kelam konusu değil. Olta hücumunda saldırgan, bazen yüz binlerce şahsa eposta göndererek kurbanın parolasını kendi elleriyle teslim etmesini umar. Gönderilen epostada çabucak harekete geçmeniz söylenir (hack’lenmemek için çabucak parolanızı değiştirin vs.) ve eposta, gerçek bir firmadan geliyor üzere görünür. Symantec 2017 internet tehditleri raporu, olta taarruzlarında bir numarada uydurma faturaların olduğunu söylüyor.

4. Toplumsal mühendislik

Toplumsal mühendislik, olta saldırısının gerçek hayata uygulanmış hali olarak tanımlanabilir. “Saldırgan” telefonda size ofisinizdeki yeni takviye grubundan olduğunu söyler ve muhakkak bir iş için sizden parolanızı ister. Bu sırada karşınızda bir dolandırıcının olduğunu düşünmeden parolanızı basitçe teslim etmeniz mümkün.

Yıllardır iş gören toplumsal mühendislikte gaye, her vakit parolanız olmayabilir. Örneğin bazen uydurma bir elektrikçi, inançlı binaya girmek için kapıyı açmanızı isteyebilir.

5. Rainbow tablosu

Rainbow tablosu çoklukla çevrimdışı bir akındır. Örneğin saldırgan, kullanıcı isimlerini ve parolaları içeren bir listeyi eline geçirir lakin parolalar şifrelenmiştir. Hash’lenmiş parolalar, özgününden büsbütün farklı görünürler. Fakat kimi durumlarda saldırgan, düz metin parolaları bir hashing algoritmasından geçirip, şifreli parola evrakındaki parolalarla karşılaştırabilir. Birtakım durumlarda ise şifreleme algoritmasında güvenlik açığı bulunabilir.

Rainbow tablosu, algoritmaya özel çok sayıda özel hash bedelinden (bu tabloları depolamak için bazen terabaytlarca alana gereksinim duyulur) oluşur. Rainbow tablosu, hash’lenmiş bir parolayı kırma mühletini çok kısaltır.

6. Ziyanlı / keylogger

Oturum açma bilgilerinizi çalmanın en garantili yollarından biri, zararlılardan ve keylogger’lardan faydalanmaktır. Saldırgan bu cins bir yazılımı PC’nize yerleştirmeyi başarırsa, tüm hesaplarınızı birebir anda ele geçirebilir. Zararlılar bazen muhakkak bir data tipini de gaye alabilir.

Yorum bırakın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir