SMS ile giriş doğrulama çok riskli; alternatif nedir?

Yahoo'ya göre, SMS yoluyla gönderilen tek kullanımlık doğrulama kodları (OTP'ler), iki faktörlü kimlik doğrulamada ikinci bir koruma katmanı olarak hala yaygın olarak kullanılmakta ve kullanıcıların bankacılık uygulamalarına, e-postaya veya sosyal ağlara giriş yapmalarına yardımcı olmaktadır.

Ancak Yahoo, SMS'in kimlik avı saldırılarına karşı çok savunmasız olması nedeniyle en zayıf güvenlik yöntemlerinden biri olduğu konusunda uyarıyor.

Bloomberg Businessweek ve Lighthouse Reports tarafından yapılan son bir araştırma, daha büyük bir riski ortaya çıkardı: Bu OTP kodlarına üçüncü şahıslar erişebiliyordu. Özellikle, daha az bilinen İsviçre telekomünikasyon şirketi Fink Telecom Services, Haziran 2023'te iki faktörlü kimlik doğrulama kodları içeren 1 milyondan fazla mesaja erişim sağladı.

Kimlik doğrulama kodları üreten şirketler ile son kullanıcıları birbirine bağlayan bir aracı kuruluş olan Fink Telecom Services, mesaj içeriklerini işleme ve görüntüleme hakkına sahiptir. Endişe verici olan, bu şirketin kullanıcı gözetimi yaptığı ve kişisel hesaplara müdahale ettiği şüphesidir.

Sızdırılan OTP kodları, Google, Meta, Amazon, Tinder, Snapchat, Binance, Signal, WhatsApp ve Avrupa'daki birçok banka gibi çok sayıda büyük şirketten geldi. Mesajlar 100'den fazla ülkedeki kullanıcılara gönderildi.

Yahoo'ya göre, SMS yoluyla iki faktörlü kimlik doğrulamanın güvensiz olmasının temel nedeni, şirketlerin genellikle daha düşük maliyetle SMS mesajları göndermek için aracı kuruluşlarla çalışması ve bu aracı kuruluşların birden fazla operatörle büyük sözleşmeler yapması ve uluslararası bağlantılar için kullanılan ağ adresleri (küresel adresler) kullanmasıdır. Bu sistemin zayıf noktası, bu hizmetleri kullanan şirketlerin Fink Telecom Services gibi kuruluşlarla doğrudan çalışmaması, bunun yerine alt yükleniciler aracılığıyla çalışması ve bu durumun veri güvenliğini daha da karmaşık hale getirmesidir.

Wischain Co., Ltd.'nin kurucusu Bay Pham Manh Cuong, siber saldırganların giderek daha karmaşık hale gelmesi ve güvenlik sistemlerindeki zafiyetlerden kolayca yararlanarak erişim sağlamaları nedeniyle, SMS yoluyla yapılan iki faktörlü kimlik doğrulama yönteminin artık güvenli olmadığını açıklıyor.

Yaygın bir kimlik avı saldırısı türü, kullanıcıları kullanıcı adları, şifreler veya OTP kodları gibi hassas bilgileri vermeye kandırmak için görünüşte meşru mesajlar, e-postalar veya web siteleri kullanmayı içerir.

Ayrıca, SIM değiştirme teknikleri de ciddi bir tehdit oluşturmaktadır. Suçlular kurbanların telefon numaralarını çalabilir ve ardından SMS yoluyla gönderilen doğrulama kodlarını alabilirler.

Dahası, birçok kullanıcı, özellikle Android cihazlarda, bilinmeyen kaynaklardan yazılım yükleme alışkanlığına sahip olmaya devam ediyor; bu da gizlice tuş vuruşlarını kaydedebilen ve giriş bilgilerini çalabilen casus yazılımlara veya keylogger'lara yol açıyor.

SMS kimlik doğrulaması, Google Authenticator gibi modern yöntemlerle karşılaştırıldığında (bu uygulama her 30 saniyede bir değişen ve mobil ağa bağlı olmayan rastgele kimlik doğrulama kodları üretir), hala belirli bir koruma katmanı olarak kabul edilse de, zayıf yönlerini giderek daha fazla ortaya koymaktadır.

Kaynak: https://nld.com.vn/xac-thuc-hai-yeu-to-qua-sms-rat-rui-ro-nen-dung-ung-dung-nao-196250621114624897.htm