Singapur Para Otoritesi (MAS), ülkedeki tüm büyük perakende bankalarını ilgilendiren yeni bir düzenlemeyle önümüzdeki üç ay içinde tek seferlik şifrelerin (OTP) kullanımının aşamalı olarak kaldırılmasını duyurdu.
Bu girişim, tüketicileri kimlik avı ve diğer dolandırıcılıklara karşı korumak amacıyla hükümet ve Singapur Bankalar Birliği (ABS) arasında kararlaştırıldı.
MAS duyurusunda, “OTP kullanımı, çevrimiçi güvenliği güçlendirmek amacıyla çok faktörlü kimlik doğrulama seçeneği olarak 2000’li yıllarda ortaya çıktı” ifadeleri yer aldı.
“Ancak, teknolojik gelişmeler ve daha karmaşık sosyal mühendislik taktikleri, dolandırıcıların müşterilerin OTP’sini daha kolay bir şekilde ele geçirmelerine olanak tanıdı; örneğin, gerçek web sitelerine çok benzeyen sahte banka web siteleri kurarak.”
Kimlik avı sitelerinin yanı sıra, OTP’ler de uzun yıllardır Android zararlı yazılımlarının hedefi haline gelerek operatörlerinin hedef hesaplardaki iki faktörlü kimlik doğrulama korumalarını aşmasına yardımcı oluyor.
Bu durum, Google’ı bu yıl ‘RECEIVE_SMS’, ‘READ_SMS’ ve ‘BIND_Notifications’ izinlerinin kötüye kullanılmasına karşı daha agresif önlemler almaya yöneltti; Singapur, yeni korumaları alan ilk ülkeler arasında yer aldı.
Ayrıca, OTP’ler aracı saldırılarla ele geçirilebilir ve eğer SMS tabanlıysa, SIM kart değiştirme saldırıları düzenleyen tehdit aktörleri tarafından ele geçirilebilir.
Singapur’daki banka müşterileri artık mobil cihazlarında etkinleştirmeleri gereken OTP’ler yerine dijital token kullanacak.
ABS’ye göre ülkenin üç büyük bankası DBS, OCBC ve UOB’nin müşterilerinin yüzde 60 ila yüzde 90’ı için dijital token’lar halihazırda aktif hale getirildi.
MAS, “Dijital token, dolandırıcıların çalabileceği veya müşterileri ifşa etmeye kandırabileceği bir OTP’ye ihtiyaç duyulmadan müşterilerin oturum açmasını doğrulayacak” şeklinde açıklıyor.
Dijital token’larını henüz etkinleştirmemiş olanların, kimlik avı aktörlerine ve dolandırıcılara karşı daha iyi güvenlikten yararlanmak için bunu en kısa sürede yapmaları şiddetle tavsiye edilir.
Dijital token’larını aktive etmeyen müşteriler daha önce olduğu gibi OTP almaya devam edecekler, ancak bunların giderek azalan bir azınlık olması bekleniyor.
