Çalınmış Kimlik Bilgileriyle Yapılan Saldırılar Neden Bu Kadar Etkili? Web Uygulamaları ve Kurumsal Hesaplar Açısından Teknik Gerçekler

Neden en sessiz saldırı türlerinden biridir?

Çalınmış kimlik bilgileriyle yapılan saldırılarda saldırgan, duvarı kırarak değil kapıdan girer. Bu yüzden görünürlüğü düşüktür. Sistem, meşru kullanıcı gibi görünen girişe çoğu zaman ilk anda tepki vermez. Özellikle doğru kullanıcı adı, parola ve bazen ikinci faktör de elde edilmişse olay çok daha karmaşık hale gelir.

Bu tür saldırılarda sorun yalnızca hesabın çalınması değildir. Asıl risk, sistemin bunu doğal kullanıcı davranışıyla karıştırabilmesidir.

Kimlik bilgileri nasıl kötüye kullanılır?

Kimlik bilgileri farklı yollarla elde edilebilir:

• phishing
• infostealer bulaşması
• eski veri sızıntıları
• parola tekrar kullanımı
• zayıf parola disiplini
• paylaşılan hesap kullanımı
• yanlış yapılandırılmış erişim akışları

Ama teknik ekip için asıl soru “nasıl çalındı” kadar “nasıl kullanıldı” sorusudur. Çünkü olayın görünür kısmı çoğu zaman kullanım davranışındadır.

Neden web uygulamaları ve bulut sistemler daha çok etkilenir?

Çünkü bu yapılar dış dünyaya açık, yoğun kullanılan ve çok sayıda kullanıcı davranışı içeren ortamlardır. Çalınmış kimlik bilgisiyle giriş yapan saldırgan, çoğu zaman sisteme ilk anda anormal görünmez. Bu da özellikle şu alanlarda risk yaratır:

• kurumsal e-posta
• yönetim panelleri
• web uygulamaları
• SaaS platformları
• bulut dosya depolama alanları
• VPN ve uzaktan erişim servisleri

Buradaki temel zorluk, başarılı girişi tespit etmekten çok, o girişin bağlamını değerlendirmektir.

Teknik ekip hangi işaretlere bakmalıdır?

Giriş bağlamı

• IP değişimi
• beklenmeyen ülke veya bölge
• yeni cihaz ya da tarayıcı
• olağan dışı saat

Davranış bağlamı

• girişten hemen sonra yüksek hacimli veri erişimi
• alışılmadık klasör, tablo veya posta kutusu hareketi
• beklenmeyen yönlendirme kuralı
• yetki artırımı girişimi
• MFA sonrası bile olağan dışı akış

İlişkilendirme bağlamı

• kullanıcı daha önce böyle davranmış mı?
• aynı anda başka oturum var mı?
• başarısız denemeler sonrası başarı mı gelmiş?
• oturum token’ı davranışı anormal mi?

Bu nedenle iyi analiz, yalnızca login satırına değil, log analizi ve davranış örüntüsüne bakar.

MFA varsa sorun çözülür mü?

MFA önemli bir savunma katmanıdır; ancak tek başına mutlak çözüm değildir. Oturum kaçırma, token istismarı, cihaz güveni, kullanıcı onay manipülasyonu ve zayıf işlem sonrası kontrol, riski sürdürebilir.

Bu yüzden kurumların yaptığı büyük hata, MFA kurulduktan sonra hesabı “çözülmüş risk” gibi düşünmektir. Oysa oturum sonrası davranış analizi ve olay görünürlüğü hâlâ kritik önemdedir.

En sık yapılan yapısal hatalar nelerdir?

• aynı parolanın farklı sistemlerde tekrar kullanılması
• servis ve insan hesaplarının ayrılmaması
• olay loglarının yetersiz tutulması
• eski oturumların kapatılmaması
• paylaşılan yönetici hesapları
• yüksek yetkili hesapların gereğinden fazla sayıda olması
• anormal kullanıcı davranışının normal kabul edilmesi

Bu hatalar, saldırganın meşru kullanıcı gibi görünmesini kolaylaştırır.

Olay şüphesinde ilk ne yapılmalı?

Kimlik bilgisi kötüye kullanımı şüphesinde teknik ekip sadece parola sıfırlamaya odaklanmamalıdır. Önce olayın kapsamı görülmelidir.

İlk adımlar

• aktif oturumları incelemek
• token ve cihaz ilişkisini kontrol etmek
• erişilen veri alanlarını görmek
• kural değişikliği ve yetki hareketlerini incelemek
• ilişkili logları korumak
• gerekiyorsa siber olay sonrası ilk 24 saat mantığıyla kayıt disiplinini sürdürmek

Sık sorulan sorular

Başarılı giriş her zaman normal midir?

Hayır. Başarılı giriş, meşru kullanım anlamına gelmeyebilir.

Çalınmış kimlik bilgisi nasıl anlaşılır?

Girişin bağlamı, cihaz, IP, saat ve sonraki davranış birlikte incelenmelidir.

Parola değiştirince sorun biter mi?

Her zaman değil. Aktif oturumlar, token’lar ve sonrasında yapılan işlemler de değerlendirilmelidir.

Çalınmış kimlik bilgileriyle yapılan saldırılar, teknik olarak en zor görülen saldırı türlerinden biridir. Çünkü saldırgan, sistemin alışık olduğu kimlikle hareket eder. Bu nedenle savunmanın merkezi sadece kimlik doğrulama değil; bağlam okuma, davranış analizi ve olay görünürlüğüdür. Hesabı korumak yetmez, hesabın nasıl kullanıldığını da anlayabilmek gerekir.