Yahoo'ya göre, SMS yoluyla gönderilen tek seferlik kimlik doğrulama kodları (OTP), iki faktörlü kimlik doğrulama sürecinde ikinci bir koruma katmanı olarak hâlâ yaygın olarak kullanılıyor ve kullanıcıların bankacılık, e-posta veya sosyal ağ uygulamalarına giriş yapmasına yardımcı oluyor.
Ancak Yahoo, SMS'in kimlik avı saldırılarına karşı çok savunmasız olması nedeniyle en zayıf güvenlik yöntemlerinden biri olduğu konusunda uyarıyor.
Bloomberg Businessweek ve Lighthouse Reports tarafından yapılan son bir araştırma, daha büyük bir riski ortaya koydu: Bu OTP'lere üçüncü taraflarca erişilebilirdi. Özellikle, az bilinen İsviçre telekomünikasyon şirketi Fink Telecom Services, Haziran 2023'te iki faktörlü kimlik doğrulama kodları içeren 1 milyondan fazla mesaja erişmişti.
Fink Telecom Services, kimlik doğrulama kodlarını üreten şirketler ile son kullanıcılar arasında aracı olarak mesajların içeriğini işleme ve görüntüleme hakkına sahiptir. Endişe verici olan ise, bu şirketin kullanıcı gözetimine katıldığından ve kişisel hesaplara müdahale ettiğinden şüphelenilmesidir.
SMS, üçüncü şahısların erişimine açık olması nedeniyle en zayıf güvenlik yöntemlerinden biri olarak kabul edilir.
Sızdırılan OTP'ler Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp gibi büyük şirketlerden ve çeşitli Avrupa bankalarından geldi. Mesajlar 100'den fazla ülkedeki kullanıcılara gönderildi.
Yahoo'ya göre, SMS iki faktörlü kimlik doğrulamanın güvenli olmamasının temel nedeni, şirketlerin SMS gönderimini genellikle birden fazla operatörle yapılan büyük sözleşmeler ve ülkeler arası bağlantı için kullanılan ağ adresleri olan "küresel başlıklar" sistemi aracılığıyla daha düşük maliyetle dış kaynak kullanımına vermeleridir. Bu sistemin zayıf noktası, bu hizmeti kullanan şirketlerin Fink Telecom Services gibi kuruluşlarla doğrudan değil, çok sayıda alt yüklenici aracılığıyla çalışması ve bu sayede veri güvenliğinin sağlanmasının daha karmaşık hale gelmesidir.
Wischain Company Limited'in kurucusu Bay Pham Manh Cuong, SMS mesajları yoluyla iki faktörlü kimlik doğrulama yönteminin artık güvenli olmadığını, çünkü siber saldırganların giderek daha karmaşık hale geldiğini ve güvenlik sistemindeki güvenlik açıklarından yararlanarak erişim elde etmeyi başardıklarını açıkladı.
Kimlik avı saldırılarının en yaygın biçimlerinden biri, kullanıcıları kullanıcı adı, parola veya OTP kodları gibi hassas bilgileri vermeleri için kandırmak amacıyla görünüşte güvenilir bir mesaj, e-posta veya web sitesi kullanılmasıdır.
Bununla da kalmayıp, SIM kart değiştirme de ciddi bir tehdit oluşturuyor. Dolandırıcılar, mağdurun telefon numarasını çalabiliyor ve bu numaradan SMS yoluyla kimlik doğrulama kodları alabiliyor.
Ayrıca, özellikle Android cihazlarda, pek çok kullanıcı hala kaynağı bilinmeyen yazılımlar yükleme alışkanlığına sahip ve bu da klavye tuşlarını gizlice kaydedebilen ve böylece erişim bilgilerini çalabilen casus yazılımlara veya tuş kaydedicilere yol açıyor.
SMS kimlik doğrulaması, her 30 saniyede bir değişen rastgele kimlik doğrulama kodları üreten ve mobil şebekelerden bağımsız bir uygulama olan Google Authenticator gibi modern yöntemlerle karşılaştırıldığında hâlâ belirli bir koruma katmanı olarak kabul edilse de, SMS'in giderek zayıf yönleri ortaya çıkıyor.
Kaynak: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm
![[Fotoğraf] Genel Sekreter To Lam, Savunma Sanayii Genel Müdürlüğü'nün 80. Yıldönümüne katıldı](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/15/fb8fd98417bb4ec5962de4f7fbfe0f6a)
![[Fotoğraf] Cumhurbaşkanı Luong Cuong, Ulusal Savunma Akademisi'nde yeni okul yılının açılış törenine katılıyor](https://vphoto.vietnam.vn/thumb/1200x675/vietnam/resource/IMAGE/2025/9/15/c65f03c8c2984e60bd84e6e01affa8a0)
Yorum (0)