İki Faktörlü Kimlik Doğrulama Sandığınız Kadar Güçlü Bir Kalkan Değildir
İki faktörlü kimlik doğrulamayı etkinleştirdiniz. Bu iyi bir adım.
Çoğu güvenlik kılavuzu bir şeyi gözden kaçırıyor. Son üç yıldaki en büyük hesap hırsızlıkları kodunuzu kırmadı. Saldırganlar, kodu size kendi elinizle verdirtmenin veya bu adımı işlevsiz hale getirmenin yollarını buldular.
İşte saldırganların 2FA'nızı atlatmak için kullandığı üç ana yöntem:
- MFA Yorgunluğu (MFA Fatigue) Saldırganlar, çalınan kullanıcı adınızı ve şifrenizi kullanarak push bildirimlerini tetiklerler. Gece boyunca onlarca istek gönderirler. Çoğu insan sadece o gürültüyü durdurmak için "Onayla" (Approve) butonuna basar. Bu, saldırgana geçerli bir oturum sağlar. Uber, 2022 yılında bunun kurbanı oldu.
- Çözüm: Sayı eşleştirme (number matching) özelliğini etkinleştirin. Ekranınızda gösterilen bir kodu uygulamanıza yazmanız gerekir. Bu, körü körüne onaylamayı engeller.
- Ortadaki Saldırgan (Adversary-in-the-Middle - AiTM) Bir saldırgan sahte bir giriş sayfası kurar. Siz giriş yaptığınızda, proxy (vekil sunucu) bilgilerinizi gerçek siteye gönderir. Gerçek site bir 2FA doğrulaması gönderir. Proxy bu doğrulamayı size iletir. Siz kodunuzu girersiniz. Proxy ise oturum çerezinizi (session cookie) çalar. Saldırgan artık hesabınıza sahiptir.
- Çözüm: Passkey'leri veya donanım güvenlik anahtarlarını kullanın. Bunlar, gerçek web sitesi alan adına bağlı kriptografi kullanır. Bir proxy bunları kandıramaz.
- SIM Değiştirme (SIM Swapping) Bir saldırgan mobil operatörünüzü arar. Sizin olduğunuzu iddia ederek numaranızı kendi SIM kartına taşır. Artık her SMS kodu onlara gider.
- Çözüm: Önemli hiçbir şey için SMS kullanmayı bırakın. Google Authenticator veya Authy gibi kimlik doğrulama uygulamalarını kullanın. Bunlar kodları cihazınızda oluşturur ve SIM değiştirme yoluyla ele geçirilemezler.
Güvenlik Yöntemi Karşılaştırması:
• SMS OTP: Sadece kimlik bilgisi doldurma (credential stuffing) saldırılarını durdurur. • Kimlik Doğrulama Uygulaması: Kimlik bilgisi doldurma ve SIM değiştirme saldırılarını durdurur. • Standart Push: Kimlik bilgisi doldurma ve SIM değiştirme saldırılarını durdurur. • Sayı Eşleştirmeli Push: Kimlik bilgisi doldurma, push bombardımanı (push bombing) ve SIM değiştirme saldırılarını durdurur. • Donanım Anahtarı / Passkey: Her şeyi durdurur.
Hedef, kimlik avına (phishing) karşı dirençli MFA'dır. Donanım anahtarları ve passkey'ler gerçek web sitesinde olduğunuzu kanıtlar. Çalınacak bir kod yoktur.
Hesaplarınızı güvence altına almak için şu adımları izleyin:
- Bu hafta: Finansal hesaplarınızdan SMS 2FA'yı kaldırın. Bir kimlik doğrulama uygulamasına geçin.
- Bu ay: Push uygulamalarınızda sayı eşleştirmeyi etkinleştirin.
- Hazır olduğunuzda: E-posta hesabınız ve şifre yöneticiniz için bir donanım anahtarı edinin.
2025 tehditleri için 2019 güvenliğini kullanmayın.
Gerçek ihlal örnekleriyle tam döküm: https://lucas8.com/mfa-fatigue-attack-two-factor-bypass