Hepimiz e-posta kullanıyoruz ve hepimiz parola kullanıyoruz – bu da kimlik avı saldırılarına karşı savunmasız olduğumuz anlamına gelir.
Pandemi sırasında suçlular daha etkili hale geldikçe ve saldırı fırsatları büyük ölçüde çoğaldıkça kimlik avı saldırılarının sıklığı ve başarı oranları hızla artıyor. Siber suçlardan kaynaklanan küresel kayıplar şu anda yaklaşık 1 trilyon dolar – başka bir yerde harcanması daha iyi olabilecek şaşırtıcı miktarda para.
Şimdiye kadar yanıt, e-postaların ve parola girişlerinin (Captcha formları, SMS kodları, onay e-postaları) üzerine ekstra güvenlik katmanları eklemek oldu.
Bu standart çok faktörlü kimlik doğrulama (MFA) yaklaşımları, temel sorunu ele almayan yapışkan sıvalardır. Hala parolalar ve OTP kodları gibi paylaşılabilir kimlik bilgilerine başvuruyorlar ve yalnızca bilgiye güvendikleri için kimlik avına karşı savunmasız kalıyorlar.
Kimlik bilgileri paylaşılabildiği sürece ele geçirilebilir ve kötüye kullanılabilir. Çalınan kimlik bilgileri, veri ihlallerine yol açan en yaygın saldırı vektörü olmaya devam ediyor.
İhtiyaç duyulan şey, bilgiye dayalı kimlik bilgilerinden, parolalar veya kodlar gibi çoğaltılabilen bilgilere dayanmayan, mülkiyete dayalı güvenliğe geçiştir. Bu, biyometri gibi diğer güçlü güvenlik önlemlerinin üzerine oturabilir.
Şimdi, ilk kez, mobil ağlarda yerleşik olarak bulunan sahiplik faktörü güvenliği, API tarafından kullanılabilir; bu, kimlik avı olasılığını en aza indirir ve kullanıcılarınızı saldırılardan korur.
Kimlik avı neden hala büyüyen bir sorun?
Kimlik avı ve diğer sosyal mühendislik türleri, bir kuruluşun zayıflıklarını aşmak için insan davranışına güvenir. Çoğumuzun çevrimiçi hizmetlere erişmek için kullandığı kullanışlı, bilgiye dayalı e-posta ve şifre yöntemini, bu kimlik bilgilerini paylaşmamız için bizi kandırarak kullanıyorlar.
Suçlular, düşük riskli, ölçeklenebilir ve tamamen uzak oldukları için bu yöntemleri kullanıyor. Ve giderek daha başarılı oluyorlar – karanlık ağda bulunan araçlar, saldırganların siber saldırıları otomatikleştirmesine ve tam ölçekli bir işletme olarak bir suç operasyonu yürütmesine yardımcı olabilir.
INTERPOL Genel Sekreteri Jürgen Stock’a göre, “Siber suçlular gelişiyor ve saldırılarını endişe verici bir hızla artırıyor.”
2FA kodları sorunun bir parçasıdır
Parolalar, paylaşılabilir bir kimlik bilgisi içeren bir bilgi faktörüdür ve bu nedenle kolayca dolandırıcılık yapılabilir. Bu nedenle çoğu hizmet daha ileri bir adım veya ikinci faktörlü kimlik doğrulama (2FA) gerektirir.
Ne yazık ki, çoğu 2FA yöntemi, kendisi de kimlik avına tabi tutulabilen paylaşılabilir bir kimlik bilgisi içerir – tipik olarak SMS veya e-posta yoluyla gönderilen tek seferlik bir parola (OTP) veya PIN kodu. Daha da kötüsü, suçlular özellikle bu yöntemleri hedefliyor: Araştırmacılar, 2FA kodlarını çalmak için tasarlanmış 1.200’den fazla kimlik avı kitinin kullanımda olduğunu keşfetti.
MFA için amaca yönelik donanım mevcut olsa da, aşırı derecede pahalıdır ve ortalama bir kişiye ait değildir.
Bu nedenle cevap, saldırganları gerçekten dışarıda tutmadan kullanıcı deneyimini öldüren daha fazla sürtüşme katmanı eklemekte yatamaz.
Kesintisiz, daha güçlü güvenlik, yalnızca yaygın olarak bulunan, kullanımı kolay, entegrasyonu kolay ve uygun maliyetli bir sahiplik faktörü ile çalışabilir. Şimdi, ilk kez, dünya çapında 5 milyardan fazla cep telefonunda zaten bulunan SIM kartları kullanarak bu mümkün.
Kimlik avına karşı yeni sahip olma faktörü
SIM kimlik doğrulaması, güvenlik dünyasının beklediği yeni çözümdür. SIM kartlar, her kredi kartında yerleşik olarak bulunan aynı yüksek düzeyde güvenli, kanıtlanmış mikroçip teknolojisidir. Her cep telefonunda bir SIM kart vardır – herkesin cebinde zaten bu güçlü donanım vardır.
SIM kartın kriptografik güvenliğini kullanmak, kullanımı kolay ve kurulumu basit olan güçlü, çok kanallı kimlik doğrulama sağlayabilir. Artık, nihayet, paylaşılabilir kimlik bilgilerine güvenmeyi bırakmanın ve sahiplik faktörü doğrulamasını herkes için erişilebilir hale getirmenin kolay ve uygun maliyetli bir yolu var.
SIM tabanlı kimlik doğrulama nasıl daha iyi çalışır?
Cep telefonlarımızı kullandığımızda (internette gezinmek, görüntülü arama yapmak veya bir uygulamadaki verileri kullanmak için) oturum açmak için e-posta adresimizi ve şifremizi yazmamız gerekmez – mobil ağ operatörü cep telefonunun şifreli bir kontrolünü gerçekleştirir. Geçerli olduğunu kanıtlamak için arka planda sessizce SIM kart. Bu noktadan itibaren, cihaz ile ağ arasındaki tüm iletişim tamamen şifrelenir.
Bu güçlü, kriptografik güvenlik, her cep telefonunda SIM kartta yerleşiktir ve mobil cihazımızı her kullandığımızda arka planda sessizce gerçekleşir. Ancak yakın zamana kadar, işletmelerin bir mobil ağın kimlik doğrulama altyapısını başka herhangi bir kod kadar kolay bir şekilde bir uygulamaya programlaması mümkün değildi.
Şimdi, ilk kez, bu kimlik doğrulama yeteneği, sahiplik faktörü API’si olarak mevcuttur. Sahiplik faktörü güvenliğini tüm kullanıcılarınız için anında kullanılabilir hale getirmek için tru.ID SDK’yı mevcut mobil uygulamanıza eklemeniz yeterlidir.
Güvenli uygulama kaydı, oturum açma, adım adım kontroller ve daha fazlası…
Geçmişte, uygulamanız için yeni bir kullanıcı kaydolduğunda, güvenebileceğiniz çok az veriniz vardı. Artık, SIM tabanlı kimlik doğrulamayla, cep telefonu numarasını güçlü ve güvenilir bir kimlik bilgisi olarak güvenli bir SIM kart sahipliği kontrolüyle birlikte kullanabilirsiniz.
Aynı şey, bir müşteri daha yüksek riskli bir işlem gerçekleştirmek üzereyken (örneğin ödeme yapmak veya hassas verilere erişmek) adım adım kontroller için de uygulanabilir. Artık, işlemin devam etmesine izin vermeden önce kullanıcının geçerli SIM kartı elinde tuttuğundan emin olmak için bir SIM kontrolü kullanabilirsiniz. Diğer MFA’ların aksine, müşterinin ek veri girmesine gerek kalmadan sessizce gerçekleşir ve hatta potansiyel SIM takas dolandırıcılığını tespit edebilir.
Daha fazlasını öğrenmeye hazır mısınız?
Yeni nesil kimlik doğrulamayı nasıl uygulayacağınızı ve kullanıcılarınıza yüksek güvenlik, düşük sürtünmeli kimlik doğrulama deneyimleri sunmayı öğrenmek için 30 dakikalık ücretsiz demonuzu ayırtın veya tru.ID web sitesini ziyaret edin. Geliştiriciler için tru.ID API belgelerinin tamamı çevrimiçidir: kaydolun ve https://tru.id/signup adresinden ücretsiz olarak test etmeye başlayın.
tru.ID hakkında
tru.ID, müşteriler ve çalışanlar için çeşitli mobil kimlik ve kimlik doğrulama çözümleriyle işletmelerin siber suç tehdidini azaltmasına yardımcı olur. tru.ID, her telefonda zaten bulunan SIM kartın kriptografik güvenliğinden yararlanan parolasız kimlik doğrulama çözümleri sunar. Bu devrim niteliğindeki yaklaşım, ayrı bir donanıma ihtiyaç duymadan API aracılığıyla sunulan, geniş ölçekte donanım düzeyinde güvenlik sunar. tru.ID, 2 milyardan fazla mobil hesabı kapsayan 20 pazarda zaten yayında.
yazar hakkında
Küresel mobil doğrulama platformu tru.ID, Paul’ün telekomünikasyon, mobil ve finansal hizmetlerde 20 yılı aşkın girişimciliğine dayanan üçüncü girişimidir. tru.ID’den önce Paul, Boku tarafından satın alınan Paymo Inc’i kurdu ve burada Yönetim Kurulu üyesi oldu ve dünya çapında iş geliştirmeyi yönetti. Paymo’dan önce Paul, mobil mesajlaşmanın öncüleri olan mBlox’un kurucu ortağı ve COO’suydu ve Sinch tarafından satın alınan 50’den fazla ülkede aktif bir iş kurdu. Paul’ün ilk kariyeri Booz, Allen & Hamilton’daydı. Paul, INSEAD’den MBA derecesine ve Cambridge Üniversitesi’nden Mühendislik derecesine sahiptir.