İyi düşünülmemiş bazı özellikler sayesinde siber suçlular, internetin en büyük platformlarından bazılarının çevrimiçi hesaplarına şifrelerini hiç bilmeden dahi girebilir.
Bilgisayar korsanları yine iş başında. Konuyu araştıran araştırmacılara göre bilmeleri gereken tek şey kurbanın e-posta adresi ve bu günümüzde pek de sorun değil.
Saldırıyı başarılı bir şekilde gerçekleştirmenin birkaç yöntemi var, ancak işin özü normal insanların terimleriyle şu: Saldırgan kurbanın e-posta adresini ve bir hizmette kayıtlı bir hesabı olmadığını biliyorsa, – e-posta adreslerini kullanarak (ve kurbanın e-posta bildirimini spam olarak reddetmesini umarak) onun adına hesap oluşturabilir.
E-posta yoluyla kullanıcı onayı gerektiren hizmetler için bir yakalama umudu var ancak saldırganlar farklı bir e-posta adresiyle bir hesap oluşturabilir ve daha sonra kurbanın adresine geçebilir.
Bilgisayar korsanları yine iş başında
İşte platformların hizmetleri özellikleri burada devreye giriyor, zira bazıları hesap birleştirmeye izin veriyor. Platform, kurbanın zaten kayıtlı olan bir e-posta ile bir hesap açmaya çalıştığını görürse, kurbana şifre sormadan tek bir oturum açma özelliği sunabilir. Kurban oturumunu açar, saldırgan da oturum açmaya devam eder. Parolalar asla değişmez.
Bazı durumlarda, saldırgan, oturumu gerektiği kadar etkin tutmak için otomatik bir komut dosyası da oluşturabilir.
Saldırıların nasıl çalıştığı ve kullanıcıların tehdidi tespit etmek ve azaltmak için neler yapabilecekleri hakkında daha fazla ayrıntı, bu haftanın başında yayınlanan Microsoft’un Güvenlik Müdahale ekibi tarafından yayınlanan “Web Kullanıcı Hesaplarında Ön Ele Geçirme Saldırıları” belgesinde bulunabilir.
Her zamanki gibi, kullanıcılara güvenlik anahtarlarını ve mümkün olan her yerde diğer çok faktörlü kimlik doğrulama biçimlerini ayarlamaları önerilir.
Windows 11, bu yılın sonunda üçüncü taraf widget’ları sunacak
