Singapur’daki perakende bankacılık kuruluşlarının, kimlik avı saldırıları riskini azaltmak amacıyla çevrimiçi hesaplara giriş yaparken kimlik doğrulama amacıyla tek seferlik parola (OTP) kullanımını aşamalı olarak kaldırmaları için üç ay süreleri bulunuyor.
Karar, Singapur Para Otoritesi (MAS) ve Singapur Bankalar Birliği (ABS) tarafından 9 Temmuz 2024 tarihinde duyuruldu.
MAS’tan yapılan açıklamada, “Mobil cihazlarında dijital token’larını aktifleştiren müşteriler, tarayıcı veya mobil bankacılık uygulaması üzerinden banka hesaplarına giriş yapmak için dijital token’larını kullanmak zorunda kalacaklar” denildi.
“Dijital token, dolandırıcıların çalabileceği veya müşterileri ifşa etmeye kandırabileceği bir OTP’ye ihtiyaç duyulmadan müşterilerin oturum açmasını doğrulayacak.”
MAS ayrıca müşterilerini, kimlik bilgilerini çalmak ve finansal dolandırıcılık yapmak amacıyla hesaplarını ele geçirmek için tasarlanmış saldırılara karşı korunmak amacıyla dijital token’larını etkinleştirmeye çağırıyor.
ABS yöneticisi Ong-Ang Ai Boon bir bildiride, “Bu önlem müşterilere banka hesaplarına yetkisiz erişime karşı daha fazla koruma sağlıyor,” dedi. “Bazı rahatsızlıklara yol açabilseler de, bu tür önlemler dolandırıcılıkları önlemeye ve müşterileri korumaya yardımcı olmak için gereklidir.”
OTP’ler başlangıçta hesap güvenliğini artırmak için ikinci faktörlü kimlik doğrulamanın (2FA) bir biçimi olarak tanıtılmış olsa da siber suçlular, benzer siteleri kullanarak bu tür kodları toplayabilen bankacılık truva atları, OTP botları ve kimlik avı kitleri tasarladılar.
Telegram üzerinden erişilebilen ve 100 ila 420 dolar arasında bir fiyata reklamı yapılan OTP botları, kullanıcıları arayarak hesap korumalarını aşmalarına yardımcı olmak için telefonlarındaki 2FA kodunu girmelerini sağlayarak sosyal mühendisliği bir üst seviyeye taşıyor.
Bu tür botların esas olarak kurbanın OTP kodunu yağmalamak için tasarlandığını ve dolandırıcıların geçerli kimlik bilgilerini veri ihlalleri, karanlık web’de satışa sunulan veri kümeleri ve kimlik bilgisi toplayan web sayfaları gibi diğer yollarla elde etmesini gerektirdiğini belirtmek önemlidir.
Kaspersky tehdit araştırmacısı Olga Svistunova yakın tarihli bir raporda “OTP botunun temel görevi kurbanı aramaktır. Dolandırıcıların güvendiği aramalar bunlardır çünkü doğrulama kodları yalnızca sınırlı bir süre için geçerlidir” dedi.
“Bir mesaj bir süre cevapsız kalabilirken, kullanıcıyı aramak kodu alma şansını artırır. Telefon görüşmesi aynı zamanda ses tonuyla mağdurda istenilen etkiyi yaratmaya çalışmak için bir fırsattır.”
Geçtiğimiz hafta SlashNext, görünüşte yalnızca “eğitim amaçlı” olmasına rağmen, savunmaları aşarak büyük ölçekte kimlik avı kampanyaları düzenlemek isteyen tehdit aktörleri için teknik çıtayı düşüren FishXProxy adlı “uçtan uca” bir kimlik avı araç setinin ayrıntılarını açıkladı.
Şirket, “FishXProxy, siber suçlulara çok katmanlı e-posta kimlik avı saldırıları için müthiş bir cephanelik sağlıyor,” diye belirtti. “Kampanyalar, ilk incelemeyi atlatarak benzersiz şekilde oluşturulmuş bağlantılar veya dinamik eklerle başlar.”
“Kurbanlar daha sonra Cloudflare’in CAPTCHA’sını kullanan ve güvenlik araçlarını filtreleyen gelişmiş antibot sistemleriyle karşı karşıya kalıyor. Akıllı bir yönlendirme sistemi gerçek hedefleri gizlerken, sayfa son kullanma tarihi ayarları analizi engelliyor ve kampanya yönetimine yardımcı oluyor.”
FishXProxy’ye yapılan bir diğer dikkat çekici ekleme, saldırganların farklı kimlik avı projeleri veya kampanyaları genelinde kullanıcıları tanımlamasına ve izlemesine olanak tanıyan çerez tabanlı bir izleme sisteminin kullanılmasıdır. Ayrıca, yan adım tespitinden kaçınmayı mümkün kılan HTML kaçakçılığı tekniklerini kullanarak kötü amaçlı dosya ekleri oluşturabilir.
Cisco Talos, “HTML kaçakçılığı, e-posta ağ geçitleri ve web proxy’leri gibi çevresel güvenlik kontrollerini aşmada iki ana nedenden dolayı oldukça etkilidir: HTML5 ve JavaScript’in meşru özelliklerini kötüye kullanır ve farklı kodlama ve şifreleme biçimlerini kullanır” dedi.
Mobil kötü amaçlı yazılımların yıllar içinde artış göstermesi, Google’ı, kullanıcıların Android uygulama izinlerini kötüye kullanarak OTP’leri okuyan ve hassas verileri toplayan belirli uygulamaları yan yüklemesini önlemeyi amaçlayan Singapur’da yeni bir pilot program duyurmaya yöneltti.