Tüm Yönleri ile E-ticaret Sektörüne Yönelik Yükselen Tehdit: Hesap Ele Geçirme Saldırıları (ATO)

Kısa adı ATO olan Account Takeover (Hesap Ele Geçirme)saldırıları, siber korsanların yasal bir e-ticaret sayfasındaki kullanıcı hesaplarını ele geçirip kötüye kullanımını tanımlıyor. Bu noktada ödeme ve dolandırıcılık önleme çözümleri sunan Riskified adlı kuruluş tarafından yayınlanan bir rapora göre e-ticaret şirketlerinin yüzde 35’i geride kalan 12 ayda hesaplarının en az yüzde 10’unun siber korsanlar tarafından ele geçirildiğini belirtiyor. Diğer yandan her ne kadar gelir ve itibar kaybına neden olsa da hesap ele geçirme saldırılarına karşı yeterince önlem alınmadığı görülüyor.

E-ticaret sayfalarında hesap bulundurmak, müşterilere çeşitli avantajlar ve daha hızlı alışveriş imkânı sunduğu için tercih ediliyor. Öte yandan güvenliğin yeteri kadar sağlanmaması halinde kullanıcı hesapları siber korsanların hedefi haline geliyor. Riskified raporu, e-ticaret şirketlerinin yüzde 66’sının, müşterilerin ise yüzde 69’unun siber saldırı endişesi taşıdığına işaret ediyor.

Siber korsanlar, ele geçirilen müşteri hesapları üzerinden yaptıkları işlemler ile yakalanma riskini azalttıkları gibi birçok şirket yüksek maliyetinden dolayı saldırıların kaynağını tespit etmekten çekiniyor. Siber korsanların yaptığı yasadışı işlemler, e-ticaret şirketinin mali zarara uğramasının yanı sıra itibarının da zedelenmesine neden oluyor.

Rapora göre hesaplarının ele geçirilmesi halinde müşterisi oldukları e-ticaret platformunu artık kullanmayacağını belirten kullanıcıların oranı yüzde 65, hesaplarını sileceğini belirten kullanıcıların oranı ise yüzde 54. Ankete katılanların yüzde 34’ü hesaplarını kapatıp başka bir e-ticaret platformu kullanacaklarını belirtirken, yüzde 30’u da saldırıya uğrayan şirketi kullanmaması için yakın çevresine tavsiyede bulunacağını ifade ediyor.

E-ticaret şirketlerinin yüzde 27’si ATO saldırılarına karşı hazırlıksız

Riskified raporunda, e-ticaret şirketlerinin ATO saldırılarına karşı mevcut güvenlik altyapısını tamamen kurmadığı gözler öne seriliyor. E-ticaret şirketlerinin yüzde 27‘si ATO saldırılarına karşı koyabilmek için önlemleri bulunmadığını itiraf ederken, yüzde 24’ü bir satın alım esnasında işlemin ATO olup olmadığını tespit edebilecek kapasiteye sahip değil.

Şirketlerin yüzde 14’ü, müşterilerinden kendilerine ihbar gelmediği sürece ATO saldırısına maruz kaldıklarını bile anlamadıklarını belirtiyor. Hesaplarının ATO saldırısına maruz kaldığını şirketlerinden öğrenen müşterilerin oranı ise yüzde 7,5.

ATO riskine karşı e-ticaret platformlarının en çok kullandığı güvenlik önlemi, iki adımlı doğrulama (2FA).

İkinci yöntem ise şifrelerde rakam, sembol ve küçük-büyük harfler kullanılmasını zorunlu kılmak olarak beliriyor.

Bu seçenekte bazı müşteriler zor şifrelere tepki gösterirken, aynı şifreyi birçok internet hesaplarında kullanıyorlar. Bu da tek bir e-ticaret hesabı üzerinden birçok çevrimiçi hesabın risk altına girmesine yol açıyor. Rapora göre, müşterilerin yüzde 47’si aynı şifreyi en az iki veya daha fazla e-ticaret sayfasında kullanıyor.

Finans sektörü giderek artan ATO tehdidi altında

Güvenlik uzmanları, koronavirüs karantina sürecinin başladığı Mart ayından bu yana küresel finans sektörünün giderek artan ATO saldırılarına maruz kaldığını kaydediyor. Finansal hizmetler sunan kurumlara yönelik DDoS saldırıları azalırken, ATO saldırıları artış eğilimindeydi.

Siber korsanların özellikle “brute force” ve “credential stuffing” yöntemleri ile ATO saldırıları gerçekleştirdikleri belirtildi. Brute force, bir hesabın şifresini kırabilmek için saniyeler içinde binlerce şifre kombinasyonu deneyebilen yazılımların kullanımına dayanıyor. Credential stuffing ise siber korsanların ele geçirdikleri şahsi bilgiler ile kullanıcılara ait çevrimiçi veya banka hesaplarına ait şifreleri kırmaya çalışması anlamına geliyor. ATO altında denenen üçüncü yöntem ise “password spraying“. Bu yöntemde siber korsanlar farklı kullanıcı adları için aynı şifreyi deneyerek hesaplara erişim sağlamaya çalışıyor.

Güvenlik uzmanları, ATO saldırılarının tümünü tespit etmenin çok zor olduğunu dolayısıyla tehdidin boyutunun arttığını ifade ediyorlar. Brute-force ve credential stuffing saldırılarının giderek artıyor olması, ATO riskini de artırıyor. Bunun sebeplerinden biri ele geçirilen kullanıcı adı ve şifre kombinasyonlarının geçmişe kıyasla daha kısa süre kullanılabilmesi. Diğeri ise ATO yöntemlerini kullanan siber suç örgütlerinin sayısının hızla artması. Uzmanlar, siber korsanların bir hesaba erişim sağlamayı başardıktan sonra motivasyonlarının daha çok saldırı için arttığını savunuyor.

Araştırmalar, özellikle Kuzey Amerika’da patlama yaşayan ATO saldırılarının “son 10 yılda ve son bir yıl içinde ele geçirilen çok yüksek miktardaki kullanıcı bilgisinden kaynaklandığı” savını destekliyor. 2017-2019 verilerine bakıldığında, ATO saldırılarının özellikle Kuzey Amerika’daki kullanıcıları hedef aldığı görülüyor. Söz konusu dönemde Asya-Pasifik, EMEA (Avrupa, Ortadoğu ve Kuzey Afrika) ve Kuzey Amerika bölgelerindeki saldırı oranı sırasıyla yüzde 15, 20 ve 60 civarındaydı.

Başarılı ATO saldırıları yenilerini doğuruyor

Son dönemde e-ticaret ve finans sektörünü hedef alan ATO, uzun zamandır birçok sektörün kabusuna dönüştü. 2018 yılına ait bir rapora göre, ATO tabanlı e-posta saldırıları 2017’de yüzde 126 artış gösterdi. Ele geçirilen e-posta hesapları üzerinden şirketlere yapılan saldırıların yüzde 44’ü ise başarıyla sonuçlandı.

E-posta odaklı ATO saldırıları üç farklı strateji ile kullanılıyor: Siber korsanlar, ele geçirdikleri hesap ile veri çalıyor ve sızdırdığı bilgileri satışa çıkarıyor. İkinci tercih, sızılan e-posta ağında pusuya yatarak şirket içi yazışmaları spesifik bir saldırı belirlemek için gözlemlemek. Üçüncü strateji ise üst düzey yöneticilerin e-posta hesaplarını ele geçirerek meşru olmayan bir faaliyet veya ödeme yapılması emrinin verilmesini içeriyor. Sosyal mühendislik içeren saldırılarının birçok yüksek profilli şirketi hedef aldığı 2018’de, şirketlerin bu etkiden dolayı yaşadığı mali zarar 9 milyar doları buldu.

Güvenlik uzmanları, ATO saldırılarının her başarılı eylemde bir diğerini doğurduğu tespitinde bulunuyor. Oltalama veya kimlik hırsızlığı gibi yöntemlerle sızılan her hesaptan başka yeni verilere ulaşılması riskin katlanarak artması anlamına geliyor. Bu sayede siber korsanlar bir kullanıcının çok sayıda hesabına veya kullanıcıların farklı hesaplarına saldırı imkânı elde ediyor.

ATO saldırıları nasıl önlenebilir? 

Yapılan araştırmalara göre kimlik verileri, siber suçlulara hesaplarını ele geçirmelerine yardım eden en kritik veriler durumunda. Analizler, ATO saldırılarının yüzde 80’inden fazlasının kimlik bilgileri ile gerçekleştirildiğini gösteriyor.

Şirketlerden çalınan kimlik bilgileri genelde dark web forumlarında kısa zamanda satışa çıkarılıyor. Bu sebeple, ATO saldırılarını önlemek için en iyi yöntem, gerçekleşmeden önce durdurmaktan geçiyor. Şirketlerin gelişmiş güvenlik önlemleri ile ATO saldırılarını tespit edip takip edebilmesi için gelişmiş güvenlik önlemleri kullanması elzem. Bu sayede olası bir saldırının oluşturabileceği hasar en aza indiriliyor.

Güvenlik uzmanları, şirketlerin alması gereken öncelikli kuralın “önceden kullanılmış ve tahmin edilmesi kolay şifreler kullanmamak” olduğunu belirtiyor. Bu aşamada çalışanlara tahmin etmesi zor ama hatırlayabilecekleri güçlü şifreler kullanmalarının şart koşulabileceği kaydediliyor.

Ek olarak saldırılara karşı koyabilmek için şirketlerin modern güvenlik altyapıları kurması ve hesaplara giriş ile ödeme süreçlerinde iki adımlı doğrulama prosedürünü şart kılması öneriliyor.

Ayrıca şirketlerin hesap güvenliğini sağlamasının yanı sıra e-posta sistemlerini de gerçek zamanlı şekilde denetleyerek olası saldırılara anında tepki verecek kapasiteye ulaşmaları gerekmekte.

Uzmanlar, yakın gelecekte yapay zekâ teknolojisi ile e-posta sistemlerindeki tehditlerin saldırı öncesinde tespit edilmesini sağlayacak güvenlik önlemleri geliştirilebileceğini düşünüyor. Her yıl trilyonlarca e-postadan veri işleyerek şüpheli içerikleri algılayabilecek yapay zekâ sistemi, ATO saldırı girişimlerini hedefine ulaşmadan önce bloke edebilir.