Amazon kullanıcıları, siber saldırganların kimlik avı yöntemleriyle hesap şifrelerini çalmak için şirketi taklit etmesi nedeniyle büyük bir risk altında bulunuyor. Amazon, tüketicileri korumak için yatırım yapmaya devam ettiğini ve dolandırıcılık yöntemleri hakkında kamuoyunu eğittiğini belirtiyor. Ancak, kullanıcıların da kendi hesaplarını korumak için güçlü önlemler alması gerekiyor. Uzmanlar, hesapların zayıf şifreler veya üçüncü taraf veri ihlalleri sonucu ele geçirilme riskine dikkat çekiyor.
Son dönemde artan dolandırıcılık yöntemlerinden biri, kullanıcılara “yakın tarihli bir alışveriş için para iadesi” vaat eden SMS mesajları ile yayılıyor. Bu mesajlardaki bağlantıya tıklayan kullanıcılar, sahte bir giriş sayfasına yönlendiriliyor ve bu sayfa aracılığıyla şifreleri çalınıyor. Federal Ticaret Komisyonu (FTC) ve Better Business Bureau (BBB) da bu tür Amazon dolandırıcılıklarına karşı uyarılar yayınladı. Amazon, şüpheli dolandırıcılıkları kendilerine bildirmeleri konusunda tüketicileri teşvik ediyor.
Guardio şirketinin açıklamasına göre, para iadesi dolandırıcılığının yeni bir versiyonu 9 Ağustos’ta ortaya çıktı ve 10 Ağustos’ta %590 artış gösterdi. Birkaç gün içinde toplamda yaklaşık %1.000’lik bir artış kaydedildi. Bu durum, parola tabanlı erişimin ne kadar güvensiz olduğunu bir kez daha gözler önüne seriyor. Hesaplarını sadece kullanıcı adı ve parola ile koruyan kullanıcılar büyük risk altında. Özellikle zayıf parolalar, hesapların saldırganlara karşı savunmasız kalmasına neden oluyor.
ESET’ten Jake Moore, siber suçluların çalınan veya yaygın olarak kullanılan parolaları aynı anda birden fazla sitede test edebildiğini ve parolalarını birden fazla hesapta tekrar kullanan birçok kişinin hesaplarının ele geçirildiğini belirtiyor. Amazon, müşterilerini hesaplarını korumak için iki adımlı doğrulamayı ve geçiş anahtarlarını (Passkey) kullanmaya teşvik ediyor. Şirket, geçiş anahtarlarının önemi ve nasıl kaydolunacağı hakkında faydalı bir makale yayınladı.
Son iki raporda, en yaygın kullanılan parolalar mercek altına alındı ve hangi parolalardan kaçınılması gerektiği konusunda önemli tavsiyeler verildi. NordPass, “en yaygın parolalar” listesini yayınlarken, CyberNews ise “19 milyar sızdırılan parola” ihlalini analiz etti. Bu durum, sızdırılan parolaların büyük bir veri tabanını oluşturduğunu ve siber saldırganların bu listeleri kolayca edinebildiğini gösteriyor.
CyberGhost’un “son on yılın en kötü parolaları” listesi ise daha da çarpıcı bilgiler sunuyor. Bu liste, klavye desenleri, sayılar, hayvan isimleri, spor takımları, araba modelleri veya ünlüler gibi kişisel bilgilerin parolalarda kullanılmaması gerektiğini vurguluyor. Siber güvenlik uzmanları, evcil hayvan isimleri gibi kişisel bilgilerin parolalarda kullanılmasının dijital güvenliği tehlikeye atabileceği konusunda uyarıyor.
Amazon, iki faktörlü kimlik doğrulama (2FA) zorunluluğu getirmediği için çok sayıda hesabın sadece parola ile korunduğunu belirtiyor. CyberGhost’un uyarılarına göre, hesap ihlallerinin %81’i zayıf parolalardan kaynaklanıyor. Ayrıca, insanların %60’ı birden fazla hesapta aynı parolayı kullanıyor ve şaşırtıcı bir şekilde %90’ı hesaplarının ele geçirilmesi konusunda endişe duyuyor.
Jake Moore, güçlü parolalar oluşturmakta zorlananlar için parola yöneticilerini öneriyor. Parola yöneticileri, güçlü ve benzersiz parolalar oluşturup güvenli bir şekilde saklayabiliyor. Ayrıca, çok faktörlü kimlik doğrulama ile birleştirildiğinde, hesap güvenliğine önemli bir katkı sağlıyorlar. Sadece zayıf bir parolaya sahip olan kullanıcılar, hesaplarını tehlikeye atma riskiyle karşı karşıya kalıyor.
Amazon, 320 milyondan fazla müşterinin Amazon.com ve dünya genelindeki birçok alışveriş web sitesinde geçiş anahtarları ile parola olmadan giriş yapma kolaylığını deneyimlediğini açıkladı. Amazon, müşterilerinin geçiş anahtarlarını kullanmasından memnuniyet duyduğunu ve bu özelliğin daha fazla uygulama ve hizmette kullanılabilirliğini genişletmeye kararlı olduğunu belirtiyor. Ancak, hesaplara geçiş anahtarları eklenmiş olsa bile, eski bir parolanın hala geçerli olması bir güvenlik açığı oluşturabiliyor. Özellikle bu parolanın güçlü, SMS tabanlı olmayan 2FA ile desteklenmemesi durumunda risk devam ediyor. Bu nedenle, Amazon veya diğer hesaplardaki zayıf parolaların değiştirilmesi gerekiyor.
Cyber News, “düşürme saldırısı” adı verilen yeni bir tehdit konusunda uyarıda bulundu. Geçiş anahtarları, kimlik avına karşı dayanıklı ve güvenli bir kimlik doğrulama yöntemi olarak tanıtılsa da, kullanıcıların sadece bir geçiş anahtarı oluşturdukları için hesaplarının tamamen güvende olduğu yanılgısına kapılmaması gerekiyor. Özellikle eski kimlik doğrulama yöntemleri hala aktifse bu risk devam ediyor. Microsoft’un geçiş anahtarlarına yönelmesiyle birlikte parolaları tamamen silme hedefi de bulunuyor. Yeni geçiş anahtarlarının bir hesaba eklenen bir özellik olarak değil, parolaların tamamen yerini alan bir çözüm olarak görülmesi, kullanıcıların korunmasını sağlamak açısından kritik önem taşıyor.
Microsoft, “geçiş anahtarlarını kaydetmek önemli bir adım olsa da, bu sadece başlangıç” diyor. Şirket, bir milyardan fazla kullanıcının geçiş anahtarı kaydetmesini ve kullanmasını sağlansa bile, bir kullanıcının hem geçiş anahtarı hem de parolası varsa ve her ikisi de hesaba erişim sağlıyorsa, hesabın hala kimlik avı riskine açık olduğunu vurguluyor. Microsoft’un nihai hedefi, parolaları tamamen kaldırmak ve yalnızca kimlik avına karşı dayanıklı kimlik bilgileriyle desteklenen hesaplara sahip olmak.
Proofpoint, bu tür zorunlu güvenlik düşürmelerinin gerçek bir risk olduğunu belirtiyor. FIDO tabanlı geçiş anahtarları, yaygın kimlik avı ve hesap ele geçirme (ATO) tehditlerine karşı korunmak için şiddetle tavsiye edilen bir kimlik doğrulama yöntemi olarak kabul ediliyor. Ancak Proofpoint, araştırmacılarının FIDO tabanlı kimlik doğrulamasının bir düşürme saldırısı kullanılarak atlatılabileceğini bulduğunu belirtiyor. Özel bir kimlik avı aracı kullanılarak, saldırganlar FIDO tabanlı kimlik doğrulamasını daha az güvenli yöntemlere düşürerek hedefleri ortadaki saldırgan (AiTM) tehditlerine maruz bırakabiliyor.
Bu tür saldırılar henüz sahada görülmemiş olsa da, Proofpoint, FIDO kimlik doğrulama düşürme saldırılarını önemli bir yükselen tehdit olarak değerlendiriyor. Bu tür saldırıların sofistike saldırganlar ve gelişmiş kalıcı tehdit (APT) grupları tarafından gerçekleştirilebileceği belirtiliyor. Bu durum, devlet destekli aktörler veya teknik olarak yetenekli bilgisayar korsanlarını kapsıyor.
Tüm bunlar, herkesin zayıf parolalarını değiştirmesi ve tüm hesaplarına güçlü iki faktörlü kimlik doğrulama eklemesi gerektiği anlamına geliyor. CyberGhost ve diğer web siteleri, iyi bir parola ve kötü bir parola arasındaki farkı net bir şekilde ortaya koyuyor. Ancak, iyi ve özel bir parola yöneticisi açıkça daha iyi bir seçenek. Ayrıca, Amazon’daki 320 milyon müşteriye katılarak geçiş anahtarlarını kullanmaya başlamak gerekiyor. Microsoft’a göre, geçiş anahtarı ile giriş yapmak geleneksel paroladan üç kat, parola ve geleneksel 2FA kombinasyonundan ise sekiz kat daha hızlı. Dahası, kullanıcılar geçiş anahtarları ile parola kullanmaya göre üç kat daha başarılı (%98’e karşı %32) giriş yapıyor ve geçiş anahtarı kaydolma akışını başlatan kullanıcıların %99’u tamamlıyor.
