İki faktörlü kimlik doğrulama (2FA), müşterilerinin parasını güvende tutmak için finansal kurumlar tarafından dünya çapında yaygın bir şekilde kullanılan bir yöntemdir: Bu yöntemde, bankanız bir işlemi onaylamak için size 4-6 haneli kodlar gönderir. Bankalar bu tek kullanımlık şifreleri genellikle SMS mesajı aracılığıyla iletir. Ne yazık ki SMS, 2FA yöntemini uygulamanın en zayıf yollarından biridir. Çünkü kısa mesajlarınız başkaları tarafından ele geçirilebilir. Kısa bir süre önce Birleşik Krallık’ta işte tam da böyle bir olay yaşandı.
Suçlular mesajlarınızı nasıl ele geçirebilir? Bunun için farklı yöntemler var. Mesaj ve aramaları yönlendirmek için telekomünikasyon şirketleri tarafından kullanılan bir protokol SS7 protokolündeki bir güvenlik kusurundan faydalanmak, bunlardan sadece bir tanesi (daha fazla bilgiye bu gönderiden ulaşabilirsiniz). SS7 ağı, talebin kim tarafından gönderildiğini kontrol etmez. Yani, kötü niyetli kişiler ağa giriş yapmayı başarırsa, mesajları veya aramaları yönlendiren ağ, bu kişilerin komutlarını, tıpkı normal komutlar gibi yerine getirecektir.
Bu kurnaz plan şu şekilde uygulanır: Siber suçlular önce hedef kişinin internet bankacılığı kullanıcı adı ve şifresini – muhtemelen kimlik avı, tuş kaydediciler veya Bankacılık Truva Atları yoluyla – ele geçirir. Daha sonra, internet bankacılığına giriş yapıp para transferi talebinde bulunur. Artık çoğu banka, para transferi için ekstra doğrulama talep etmekte ve hesap sahibine doğrulama amaçlı bir kod yollamaktadır. Banka bu işlemi mesaj yoluyla yaptığı takdirde, kötü niyetli kişiler SS7 güvenlik açığını kötüye kullanabilir: Bu kişiler telefonunuza sahipmiş gibi mesajı ele geçirir ve gelen kodu girer. Banka ise bu transferi tamamıyla meşru bir işlem olarak onaylar, çünkü işlem önce şifrenizle, sonra da tek kullanımlık kodla olmak üzere iki defa doğrulanmıştır İşte bu şekilde paranız suçluların eline geçer.
Birleşik Krallık’ta hizmet veren Metro Bank, Motherboard platformuna yaptığı açıklamada, bazı müşterilerinin bu tür bir dolandırıcılıktan etkilendiğini doğruladı. 2017 yılında Süddeutsche Zeitung gazetesi, Alman bankalarının da böyle bir problem yaşadığını bildirmişti.
Ama iyi haberlerimiz de var. Metro Bank yetkililerinin de açıkladığı üzere, müşterilerinin çok küçük bir kısmı bu olaydan etkilendi ve “bunun sonucunda hiçbiri parasını kaybetmedi.”
Eğer bankalar mesaja dayalı olmayan başka bir 2FA yöntemi kullanmış olsalardı (mesela, kimlik doğrulayıcı uygulama veya Yubikey gibi bir donanım bazlı bir kimlik doğrulayıcı) böyle bir olay hiç yaşanmayabilirdi. Ne yazık ki günümüzde, finansal kurumlar (nadir görülen istisnalar dışında) genel olarak SMS dışında iki faktörlü kimlik doğrulama yöntemi kullanmıyor. Umuyoruz ki yakın gelecekte, dünya çapında daha fazla banka müşterilerini daha iyi korumak için farklı seçenekler sunacaktır.
Bu haberden şu dersi çıkarabiliriz:
- Mümkün olan her durumda iki faktörlü kimlik doğrulama kullanmak yararınıza olacaktır ancak, kimlik doğrulayıcı uygulama veya Yubikey gibi 2FA’nın güvenli versiyonlarını kullanmak çok daha avantajlıdır. Böyle bir seçenek mevcutsa SMS yerine bunları kullanmayı deneyin.
- Kullanıcı bilgilerinizin ve şifrelerinizin çalınmaması ve başınızın böyle olaylarla derde girmemesi için, Bankacılık Truva Atlarını ve tuş kaydedicilerini sisteminizden uzak tutacak güvenilir bir antivirüs yazılımı kullanın.