İki faktörlü kimlik doğrulama (2FA), parolaların tek başına sağlayamayacağı ekstra bir güvenlik katmanı sağlar. Kullanıcıların kimliklerini doğrulamak için fazladan bir adım atmaları, bilgisayar korsanlarının verilere erişme şansını azaltır.
2FA’nın en yaygın yöntemlerinden biri SMS metin mesajlarıdır, fakat SMS aslında güvenli bir araç değildir. Çünkü bilgisayar korsanlarının SMS’leri engelleyebilecek, kimlik avı yapabilecek ve taklit edebilecek çeşitli araçları vardır. Bu güvenlik açığına ve kimlik doğrulama için daha iyi seçeneklere rağmen SMS tabanlı 2FA, başka hiçbir şeyin gerekli olmaması nedeniyle hala yaygın olarak kullanılmaktadır.
İlgili İçerik: 2FA ve MFA Arasındaki Fark Nedir?
Hackerlar SMS’leri Nasıl Ele Geçiriyor?
Güvenliği artırmak için herhangi bir uygulamaya 2FA eklemek her zaman önerilir, çünkü herhangi bir giriş için daha fazla kimlik doğrulama olması daha iyi koruma sağlar. Ancak parola saldırıları daha karmaşık hale geldikçe, karmaşık parolaların bile kırılabileceği görüldü.
Peki bu ekstra güvenlik adımı için neden güvensiz bir iletişim biçimi kullanılsın?
SMS’leri ele geçirmek aslında birçok bilgisayar korsanı için ”eski moda” olarak kabul edilir.
- Sesli mesajınız yalnızca 4 haneli bir PIN ile korunur ve çoğu operatörde sesli mesajınıza uzaktan erişebilirsiniz.
- Kimlik avı yapmak kolaydır. Eğer kişi hakkında bazı temel bilgileri biliyorsanız, PIN kodunu değiştirebilirsiniz.
- Sahtesini yapmak kolaydır. Bir SMS mesajını taklit etmek çok kolaydır. Gerçekten nereden geldiğini doğrulamak için SSL veya sertifika yoktur.
Spoofing ve Phishing
Spoofing, bir hesaba erişim sağlamak için kimlik avı ile birleştirilebilir. Bu süreç, bilgisayar korsanlarının bir mesajı tahrif ederek meşru bir kaynaktan geliyormuş gibi görünmesini sağlamasına olanak tanır. Mesaj, hedeflenen kişiyi güvenlik koduyla yanıt vermesi gerektiği konusunda uyarır. Aynı anda, bilgisayar korsanı bir giriş 2FA talebini tetikler. Hedeflenen kişi kodu yanıtlarsa, bilgisayar korsanı kodu erişim sağlamak için kullanabilir.
Kimlik avını önlemek için en iyi uygulamaları takip etmek SMS kimlik doğrulamasını güvenli hale getirmek için yeterli değildir. Hedeflenen kişi hakkında temel bilgilere sahip olan bir bilgisayar korsanı, PIN kodunu değiştirtmek için yeterli bilgiye sahip olabilir.
Aynı sosyal mühendislik yöntemi SIM bilgilerini bir telefon numarasıyla değiştirmek için de kullanılabilir.
Bir bilgisayar korsanı basitçe bir kurban gibi davranabilir ve numarayla yeni bir telefonu etkinleştirebilir. Hedeflenen kişi bunu fark etmeden önce, bilgisayar korsanı zaten herhangi bir 2FA’yı ihlal etmiş olacaktır. Bu işlem SIM değiştirme olarak bilinir.
Bu süreç biraz karmaşık görünebilir, ancak şaşırtıcı derecede etkilidir. Örneğin, Cloudflare benzer bir yöntem kullanılarak ihlal edilmiştir. Telefon sağlayıcıları AT&T, sesli mesajlarını yönlendirmesi için kandırılarak ardından 2FA hesap kurtarma işlemi yoluyla e-postalarına erişim sağlandı. Eğer bu olay siber güvenlik alanında bir endüstri liderinin başına gelebiliyorsa, herkesin başına gelebilir.
İlgili İçerik: Phishing Nedir? Kimlik Avı Saldırıları Nasıl Tanımlanır ve Önlenir?
Uzak Masaüstü Protokolü (RDP)
Bilgisayar korsanları ayrıca Uzak Masaüstü Protokolü (RDP) aracılığıyla SIM bilgilerini takas edebilir. Bu saldırılar, RDP programının yüklenmesi için başlangıçta sosyal mühendislik gerektirir. Joseph Cox’un Ocak 2019’da Vice’a bildirdiği gibi, bilgisayar korsanları telefon şirketi sistemlerine uzaktan erişim sağlamakta sorun yaşamamaktadır.
Sosyal Mühendislik Çağrıları
Bilgisayar korsanlarının 2FA SMS kodlarınızı ele geçirmek için kullandıkları son zamanlarda popüler olan bir yöntem, mobil servis sağlayıcınıza sosyal mühendislik uygulamak ve sizmişsiniz gibi davranmaktır. Hatta sizin hakkınızda başka yollarla elde ettikleri bilgileri kullanarak ikinci bir SIM talep edebilirler. SIM’i kaybettiklerini ya da çalındığını iddia edebilir ve ardından yeni SIM’in alımını engelleyip kullanabilirler. Bu durumda genellikle kendi SIM’iniz hemen hizmet dışı kalır çünkü numaranız artık tamamen bilgisayar korsanının kontrolü altındadır. Bu noktada, istedikleri zaman 2FA kodları talep edebilirler. Bu örnek, oldukça etkili olan düşük teknolojili bir yöntemdir.
2FA SMS için Alternatifler
SMS tabanlı 2FA’ya daha güvenli alternatifler var. Bu seçeneklerden birini uygulamak, hesaplarınızın bilgisayar korsanlarına karşı daha güvenli olmasını sağlamaya yardımcı olur.
1. Donanım Kimlik Doğrulaması
Donanım kimlik doğrulaması, hesap erişimi sağlayan özel bir fiziksel cihaza dayanır. Kullanıcıların parolanın yanı sıra cihaz tarafından üretilen rastgele bir belirteç kodu girmeleri de gerekecektir. Oluşturulan kod olmadan girişler otomatik olarak başarısız olacaktır.
Bu yöntemin fiziksel yapısı gereği cihazların kaybolma veya çalınma potansiyeli vardır, ancak SMS tabanlı 2FA’nın doğasında bulunan bazı güvenlik sorunlarını ele alır.
2. Yazılım Kimlik Doğrulaması
Yazılım kimlik doğrulaması temelde donanım kimlik doğrulaması ile aynı prensiptedir, ancak fiziksel bir cihaz gerektirmek yerine belirteç kodları bir mobil uygulama ile oluşturulur. En popüler kimlik doğrulama uygulaması Google Authenticator’dır, ancak başka birçok seçenek de vardır.
Bir mobil cihaza dayalı kimlik doğrulamayı önermek mantığa aykırı görünebilir, ancak yazılım kimlik doğrulama için SMS’e veya telefon ağına güvenmez, bu da SMS tabanlı 2FA’nın doğasında bulunan kusuru ortadan kaldırır. Bu tür bir kimlik doğrulama hala kimlik avına açıktır, bu nedenle olağan önlemler alınmalıdır.
3. IP Tabanlı Kimlik Doğrulama
Bu yöntem, oturum açarken kullanıcının IP adresini kontrol eder. Yalnızca bilinen IP adreslerinden ve aralıklarından oturum açılmasına izin verirsiniz. IP tabanlı kimlik doğrulama, başka bir güvenlik katmanı eklemek için diğer kimlik doğrulama biçimleriyle birlikte kullanılabilir.
Eline sağlık.