SMS OTP’de Kapıyı Kapatmak
Rubaiyyaat Aakbar •
15 Ocak 2024
Filipinler, Aralık 2020: BDO Unibank hesap sahiplerinin, sahte isimle Union Bank of the Filipinler hesabına yetkisiz transferlerin yapıldığı çevrimiçi bankacılık dolandırıcılığı nedeniyle binlerce peso mevduatlarını kaybettiği bildirildi.
Ayrıca bakınız: Forrester Wave™ IaaS Platformu Yerel Güvenlik Raporu
Filipinler, Haziran 2021: Lazada, kullanıcıları para göndermeleri için kandırmak amacıyla tek seferlik pinler gönderen resmi Lazada SMS hesabını kullanarak yeni bir dolandırıcılık yapıldığını doğruladı.
Singapur, Eylül 2021: Bilgisayar korsanları, sahte kredi kartı ödemelerinden yaklaşık 500.000 dolar kazanmak için 75 banka müşterisi gibi davrandılar. Bankalar tarafından SMS mesajları yoluyla gönderilen tek kullanımlık şifreleri veya OTP’leri ele geçirmek için karmaşık bir yöntem kullandılar.
Singapur, Haziran 2023: Singapur Polis Gücü’nün 28 Haziran’da yaptığı açıklamaya göre, bu yılın Haziran ayından bu yana kimlik avı dolandırıcılığının kurbanları tarafından en az 20.000 S$ – 14.000 $ kaybedildi. Sahte bir SMS’in gönderildiği iddia edilen bu dolandırıcılığın en az 12 kurbanı var. Singtel ve sahte bir URL bağlantısıyla gömülü.
Bilgisayar korsanları, kullanıcı hesaplarının güvenliğini tehlikeye atabilecek SMS mesajlarına müdahale etmenin yollarını buldu. 2016’da ilk kez, ABD NIST Özel Yayını 800-63B: Dijital Kimlik Yönergeleri şu tavsiyede bulundu: “SMS mesajlarının ele geçirilmesi veya yeniden yönlendirilmesi riski nedeniyle, yeni sistemlerin uygulayıcılarının alternatif kimlik doğrulayıcıları dikkatle düşünmesi GEREKİR.” Yedi yıl geçmesine rağmen durum pek düzelmedi.
Son yıllarda gördüğümüz çok sayıda güvenlik olayına rağmen PayPal, Amazon ve Meta gibi büyük şirketlerin kullanıcı kimlik doğrulaması için hâlâ SMS OTP’ye güvenmeleri endişe verici. Berlin’deki Northeastern Üniversitesi ve Technische Universität, 2013 yılında SMS üzerinden OTP’yi çevreleyen güvenlik risklerini geniş ama derinlemesine inceleyen “SMS Tabanlı Tek Kullanımlık Şifreler: Saldırılar ve Savunma” başlıklı bir makale yayınladı.
SMS OTP, çok faktörlü kimlik doğrulamanın en zayıf biçimlerinden biri olarak kabul edilir ve onu siber suçluların kullanımına açık hale getiren güvenlik açıkları içerir. OTP’yi almak ve onaylamak için kullanıcının cep telefonuna güvenir, böylece bir bilgisayar korsanı bir kullanıcının telefonuna erişim kazanırsa, OTP’yi içeren SMS mesajını kolayca ele geçirebilir ve kullanıcının hesabına erişebilir.
SS7 veya Sinyal Sistemi No. 7, başlangıçta çağrı yönlendirme, SMS ve numara çevirisi gibi telefon hizmetleri için tasarlandı. Ancak protokol, bilgisayar korsanlarının yararlanabileceği güvenlik açıkları içeriyor ve bu da kullanıcıları güvenlik ihlallerine açık hale getiriyor. 2014 yılında Almanya’daki güvenlik araştırmacıları, bu tür bir güvenlik açığının, ortadaki adam saldırıları kullanılarak 2G/3G ağlarında SS7 aracılığıyla SMS OTP’lerine müdahale edilmesi olduğunu söyledi. 2017 yılında Almanya’daki O2-Telefonica müşterilerinin banka hesapları, SS7’yi kullanan iki aşamalı bir saldırı kullanılarak boşaltıldı. Giderek daha fazla operatör 4G/5G’ye geçtikçe bu tehdit azalacaktır.
SMS mesajlarının sahtekarlığı kolayca yapılabilir; bu, bilgisayar korsanlarının yasal bir servis sağlayıcının kimliğine bürünerek kullanıcıları hassas bilgiler vermeleri için kandırmak amacıyla sahte OTP mesajları gönderebileceği anlamına gelir. Kimlik avı saldırıları veya “smishing”, kullanıcıları OTP’leri vermeleri için kandırmak için kullanılabilir. Saldırganlar, bir SMS mesajının gönderen bilgilerini kolayca değiştirerek mesajın meşru görünmesini sağlayabilir ve kurbanı kötü amaçlı bir bağlantıya tıklaması için kandırabilir. Bir mesajın içindeki herhangi bir bağlantıya tıklamadan önce mesajın gerçekliğini doğrulamak önemlidir.
Ücretli dolandırıcılık veya AIT olarak da bilinen SMS pompası dolandırıcılığında, özel tarifeli numaraları engellemek için büyük miktarda pahalı SMS trafiği oluşturulur. Bu, hedeflenen işletme için mali kayıplara neden olabilir. Dolandırıcılık Kontrol Derneği, SMS pompa dolandırıcılığı nedeniyle küresel kayıpların 2021’de yaklaşık 6,7 milyar dolar olduğunu tahmin etti. Elon Musk, Twitter’ın SMS pompa dolandırıcılığından 60 milyon dolar kaybettiğini iddia etti.
Bankacılık sektörünün dijitalleşmesi, kimlik avı saldırıları gibi sosyal mühendislik dolandırıcılıklarında da artışı beraberinde getirdi. Aralık 2021’de yaklaşık 800 kişi, bir bankanın kimliğine bürünen ve OCBC Bank müşterilerini hedef alan kimlik avı dolandırıcılığının kurbanı oldu ve bunun sonucunda 13,7 milyon dolar zarar oluştu. OCBC Bank daha sonra Ocak 2022’de tüm mağdurlara tam iyi niyet ödemesi yapacağını doğruladı.
Çevrimiçi hesapların güvenliğini sağlamak için çok faktörlü kimlik doğrulama çok önemli olsa da SMS OTP, MFA’nın en güvenli biçimi değildir. Diğer, daha güvenli yöntemlerin hacklenmesi veya kopyalanması daha zordur, bu da onları yüksek riskli işlemler için daha güvenli bir seçenek haline getirir. SMS OTP güvenlik sorunlarını gidermek için WhatsApp OTP’yi bir çözüm olarak kullanmak, uçtan uca şifreleme sunduğu ve SMS’den daha ucuz olduğu için basit ama etkili bir çözüm olabilir. Sosyal Giriş yoluyla Tek Oturum Açma, finansal olmayan uygulamalar için iyi bir seçenektir.
Şirketler, kullanıcılarının güvenliğini sağlamak için daha güvenli MFA seçeneklerini keşfetmelidir.
Dolandırıcılığa ve mali kayıplara karşı korunmak için en güvenli ve güvenilir kimlik doğrulama yöntemini seçmek önemlidir. Donanım tabanlı tokenler en güvenli seçenek olsa da taşımaları zahmetli olabilir. Biyometrik kimlik doğrulama, mobil kimlik doğrulama uygulamaları ve FIDO standartları gibi daha iyi alternatifler mevcut.
Kimlik doğrulama uygulaması (bir mobil uygulama), zamana dayalı, tek kullanımlık şifreler veya TOTP’ler oluşturarak çevrimiçi hesaplarınıza ekstra bir güvenlik katmanı sağlar. Bu şifreler iki faktörlü kimlik doğrulama için kullanılır ve hesaplarınızın yetkisiz erişime karşı korunmasına yardımcı olur.
Çoğu bankacılık uygulaması artık kimliğinizi doğrulamak için tek seferlik jetonlar üretebiliyor veya mobil uygulama istemleri veya yüz tanıma gibi biyometrik doğrulama yoluyla işlemleri yeniden onaylayabiliyor.
Sessiz Ağ Kimlik Doğrulaması, belirli bir cihazdan onay gerektiren daha karmaşık çözümler sunabilir. Bu, kullanılan cihazın cep telefonu numarasını doğrulamak ve bunu müşterinin hesabına bağlamak için SIM kartta yerleşik olan şifreleme güvenliğinden yararlanır ve hesaba yalnızca yetkili cihazların erişebilmesini sağlar.
FIDO – Fast ID Online – Alliance, şifresiz bir oturum açma deneyimi için çalışıyor. Apple, Microsoft ve Google gibi büyük teknoloji şirketleri, kimlik doğrulama amacıyla FIDO standartlarını mobil cihazlarda uygulamayı taahhüt etti. Bu yeni yaklaşımla akıllı telefonlar, güvenli geçiş anahtarı depoları görevi görecek ve daha güvenli ve kullanışlı kimlik doğrulama yöntemleri sağlayacak.
Şirketler, kullanıcılarının güvenliğini sağlamak için daha güvenli MFA seçeneklerini keşfetmelidir. MAS, Singapur bankalarını yüksek riskli işlemlerin doğrulanmasına yönelik SMS OTP’lerini aşamalı olarak kaldırmaya çağırdı. Malezya’daki Maybank, Haziran 2023’ten bu yana çevrimiçi işlemler için Secure2u’ya geçiş yaptı. Akıllı telefonunuz, güvenli OTP için hâlâ bazı farklı yanıtları barındırabilir ancak şüphesiz SMS OTP artık güvenli değil. Anahtarı çevirmenin zamanı geldi.