Bilgisayar korsanlarının 2FA'yı (İki Faktörlü Kimlik Doğrulama) kırmak için kullanabileceği 4 yol ve neden yine de kullanmanız gerektiği

Bilgisayar korsanlarının 2FA'yı (İki Faktörlü Kimlik Doğrulama) kırmak için kullanabileceği 4 yol ve neden yine de kullanmanız gerektiği

İki faktörlü kimlik doğrulama, bilgisayar korsanlarına karşı ekstra bir savunma katmanı ekler; şifreniz çalınsa veya tahmin edilse bile, başka bir kontrol noktası hesap erişimini engeller. Özellikle değerli hesaplar (örneğin, birincil e-posta adresi, bankacılık hizmetleri vb.) için akıllıca bir güvenlik önlemi olarak 2FA'yı etkinleştirmeyi düzenli olarak tavsiye ediyorum. Ancak ne yazık ki, 2FA kusursuz değildir.

Doğrusunu söylemek gerekirse, hiçbir güvenlik önlemi kusursuz değildir. 2FA için saldırganlar, daha güçlü korumayı aşmanın yollarını keşfettiler. İster insan zayıflıklarından ister bilinen sistem açıklarından yararlansınlar, etkisi sürgüyü açmak için bir kapıyı tekmelemeye benzer.

İyi haber: 2FA'nın yaygın biçimlerinin nasıl aşılabileceğinin bilinmesi, bir bilgisayar korsanının hilelerinden kaçınmanıza ve arkanızda 2FA'nın tüm avantajlarından yararlanmaya devam etmenize yardımcı olacaktır. Bunu, ön kapınıza daha güçlü bir kilit ve daha uzun vidalar takmaya benzetebilirsiniz.

Çalınan SMS'ler

İki faktörlü kimlik doğrulamanın en basit biçimi, kısa mesaj yoluyla tek seferlik kodlar almaktır. Bu yöntem, mesajların birkaç farklı şekilde ele geçirilebilmesi nedeniyle 2FA'nın en zayıf biçimlerinden biri olarak kabul edilir.

Daha bilinen yöntem, bir bilgisayar korsanının tüm telefon numaranızı çaldığı SIM kart çalma yöntemidir. Temel olarak, numaranız sizin haberiniz olmadan aktarılır; saldırgan operatörünüzle iletişime geçer ve telefon numaranızı yeni bir SIM karta (veya eSIM) bağlar. Ardından, 2FA kodları da dahil olmak üzere tüm kısa mesajlarınızı alır.

Diğer yöntem ise SS7 saldırısı olarak bilinir ve SMS mesajı yönlendirilir. Mesajın size gönderildiğini veya başka birinin aldığını asla bilemezsiniz. Mesajlaşma protokollerinin çalışma şekli nedeniyle, bu tür saldırılardan doğrudan kaçınamazsınız.

Nasıl kaçınılır: SIM kart çalmaya karşı korunmak için, telefon operatörünüzün müşteri hizmetleriyle iletişime geçin (veya hesap ayarlarınıza bakın) ve yeni bir SIM karta geçiş de dahil olmak üzere hesap değişiklikleri için gerekli olacak özel bir hesap PIN kodu veya parolası oluşturup oluşturamayacağınızı sorun.

Ancak daha iyi bir koruma yöntemi, SS7 saldırılarındaki sorunları da çözen farklı bir 2FA yöntemi seçmektir. Metin tabanlı 2FA'nın zayıflıkları, telekomünikasyon sistemlerimizin çalışma şeklinin doğasında vardır.

Onay Spam'i

İki faktörlü kimlik doğrulamanın oldukça güçlü bir biçimi, telefonunuza yeni cihazları yetkilendirmek için izin isteyen bir anlık bildirim gönderen bir uygulama türüdür. İsteği onaylarsanız, hesap erişimi sağlanır.

Saldırganlar bu bildirim sistemini bir silaha dönüştürebilir. Bir telefonu veya cihazı isteklerle doldurarak, kullanıcı gerçekten farkında olmadan onay verebilir; bu, ya yoğunluktan dolayı yorgunluktan ya da bildirimleri temizlerken yanlışlıkla yanlış düğmeye basmasından kaynaklanabilir.

Nasıl kaçınılır: Hesaplarınız için benzersiz ve güçlü parolalar kullanın. Ayrıca kimlik avı saldırılarına karşı dikkatli olun. Bir saldırgan parolanızı çalamazsa, tahmin edemezse veya hackleyemezse, size onay istekleriyle spam gönderemez.

(Ve eğer bu tür bir 2FA yorgunluğu saldırısıyla karşılaşırsanız, hesap şifrenizi hemen değiştirin. Hesabınıza giriş yapmanız gerekiyorsa, kayıtlı bir yedek kod gibi alternatif bir 2FA doğrulama yöntemi kullanın.)

Kimlik Avı

Tek kullanımlık 2FA kodları, ister kısa mesaj yoluyla iletilsin ister bir uygulamada oluşturulsun, herkes tarafından kullanılabilir. Bu, kodu telefonda okursanız veya bir başkasına ekran görüntüsü gönderirseniz, şifreyi bilen birinin hesabınıza erişebileceği anlamına gelir.

Kimlik avı saldırıları hem şifrenizi hem de iki faktörlü kimlik doğrulama kodlarınızı çalabilir; bu bilgileri sahte veya ele geçirilmiş bir giriş sayfasına yazarsanız, bir bilgisayar korsanı kimlik bilgilerinizi kullanabilir. Aynı durum, biri sizi arayıp uygulamanızda görünen güncel 2FA kodunu isterse de geçerlidir.

Nasıl kaçınılır: Kodunuzu soran hiç kimseye vermeyin. Ziyaret ettiğiniz web sitelerine ve doldurduğunuz formlara dikkat edin. Ayrıca, uzmanlar tarafından yaygın olarak önerilmeyen uygulamaları veya tarayıcı uzantılarını indirmeyin. Cihazınıza yanlışlıkla 2FA kodlarınızı sessizce çalacak kötü amaçlı yazılımlar yükleyebilirsiniz.

FIDO anahtar atlama

Güvenlik anahtarları (Yubikey gibi), iki faktörlü kimlik doğrulamanın en güvenli biçimi olarak kabul edilir. 2FA doğrulama adımında kimlik doğrulamasını başarıyla gerçekleştirmek için fiziksel olarak orada bulunmanız gerekir; doğru zamanda anahtardaki bir düğmeye basmanız gerekir. Bir saldırgan güvenlik anahtarınızı ele geçirmediği sürece, onu kullanamaz.

Peki bu 2FA yöntemi nasıl tehlikeye girebilir? 2FA'nın daha zayıf bir biçimi. Bazı hizmetler, zaten yetkilendirilmiş bir cihazdan yeni cihazların doğrulanmasına izin verir. Belki önce oturum açtınız ve bunu yapmak için Yubikey'inizi kullandınız, ancak şimdi kimlik doğrulaması için mevcut cihazınızı kullanarak sonraki isteklerle başa çıkıyorsunuz.

Bilgisayar korsanları, yukarıda belirtildiği gibi bir onay spam saldırısı başlatabilir.

Nasıl kaçınılır: Hesabınız için bu oturum açma yöntemini devre dışı bırakın. 2FA kimlik doğrulama yöntemi olarak yalnızca güvenlik anahtarına bağlı kalın.

Kaynak: PC World