Parola Nasıl Çalınır? İşte Çok Kullanılan 6 Yöntem

“Güvenlik sızıntısı” terimini duyduğunuzda aklınıza Matrix stili metinlerin aktığı bir monitörün başında oturan bir hacker mı geliyor? Yahut haftalardır gün ışığını görmemiş, bodrum katında adeta mahsur kalmış bir siber korsan? Yahut tüm dünyayı ele geçirmeye çalışan berbat niyetli bir harika bilgisayar?

Gerçek, ekseriyetle bu durumlardan biraz farklı. Eline parolanızı geçiren rastgele biri, birden fazla zaman oyunu kazanmış demektir. Aslına bakarsanız, parolanız çok kısaysa ve kolay kolay kestirim edilebiliyorsa işiniz çoktan bitmiş demektir. Parolaları ele geçirmekte en çok kullanılan 6 metodu aşağıda sıraladık.

1. Kelamlık saldırısı (dictionary)

En sık başvurulan akın çeşitlerinden biri olan kelamlık saldırısı, sözlükteki her sözün parola karşısında denenmesiyle gerçekleştiriliyor. Bu sözlükte 123456, qwerty, maymun, prenses, beysbol, şifre, hunter2 üzere sıkça kullanılan parolalar da yer alıyor.

2. Kaba kuvvet (brute force)

Bu hücumda saldırgan, mümkün olan her karakter birleşimini deniyor. Bu formda teoride her parola kırılabilir, fakat parolanın uzunluğuna nazaran bu tekniğin uygulanması çok lakin çok uzun sürebilir. Parolanızda büyük ve küçük harfler, sayılar ve $, & üzere karakterlerin tümünü kullanarak bu çeşit hücumlardan korunabilirsiniz. Elbette internet hizmetlerinin kaba kuvvet ataklarına karşı kendi güvenlik tedbirleri de bulunuyor.

3. Olta saldırısı

Burada aslında tam bir “hack” kelam konusu değil. Olta taarruzunda saldırgan, bazen yüz binlerce şahsa eposta göndererek kurbanın parolasını kendi elleriyle teslim etmesini umar. Gönderilen epostada çabucak harekete geçmeniz söylenir (hack’lenmemek için çabucak parolanızı değiştirin vs.) ve eposta, gerçek bir firmadan geliyor üzere görünür. Symantec 2017 internet tehditleri raporu, olta ataklarında bir numarada geçersiz faturaların olduğunu söylüyor.

4. Toplumsal mühendislik

Toplumsal mühendislik, olta saldırısının gerçek hayata uygulanmış hali olarak tanımlanabilir. “Saldırgan” telefonda size ofisinizdeki yeni takviye ekibinden olduğunu söyler ve makul bir iş için sizden parolanızı ister. Bu sırada karşınızda bir dolandırıcının olduğunu düşünmeden parolanızı basitçe teslim etmeniz mümkün.

Yıllardır iş gören toplumsal mühendislikte gaye, her vakit parolanız olmayabilir. Örneğin bazen uydurma bir elektrikçi, inançlı binaya girmek için kapıyı açmanızı isteyebilir.

5. Rainbow tablosu

Rainbow tablosu çoklukla çevrimdışı bir taarruzdur. Örneğin saldırgan, kullanıcı isimlerini ve parolaları içeren bir listeyi eline geçirir lakin parolalar şifrelenmiştir. Hash’lenmiş parolalar, özgününden büsbütün farklı görünürler. Fakat kimi durumlarda saldırgan, düz metin parolaları bir hashing algoritmasından geçirip, şifreli parola evrakındaki parolalarla karşılaştırabilir. Birtakım durumlarda ise şifreleme algoritmasında güvenlik açığı bulunabilir.

Rainbow tablosu, algoritmaya özel çok sayıda özel hash bedelinden (bu tabloları depolamak için bazen terabaytlarca alana gereksinim duyulur) oluşur. Rainbow tablosu, hash’lenmiş bir parolayı kırma müddetini çok kısaltır.

6. Ziyanlı / keylogger

Oturum açma bilgilerinizi çalmanın en garantili yollarından biri, zararlılardan ve keylogger’lardan faydalanmaktır. Saldırgan bu çeşit bir yazılımı PC’nize yerleştirmeyi başarırsa, tüm hesaplarınızı tıpkı anda ele geçirebilir. Zararlılar bazen makul bir data çeşidini de gaye alabilir.

Yorum bırakın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir