Thursday, May 29, 2025
HomeTeknoloji2FA Güvenliği: Açıklar, Saldırılar ve Korunma Yolları
Teknoloji

2FA Güvenliği: Açıklar, Saldırılar ve Korunma Yolları

newadmin
By newadmin
0
6

2FA, iki faktörlü kimlik doğrulama, güvenlik, kimlik avı, SIM takası, siber güvenlik, hesap koruma, parola, kimlik hırsızlığı, çevrimiçi bankacılık, donanım anahtarı, geçiş anahtarları, OTP, tek kullanımlık şifre, kimlik doğrulama uygulaması, güvenlik açığı, man in the middle saldırısı, ortadaki adam saldırısı, kötü amaçlı yazılım, bilgi hırsızı, Lumma, Windows güvenliği, antivirüs, güvenlik ipuçları, sosyal mühendislik, PC güvenliği, çevrimiçi güvenlik, veri gizliliği, kimlik doğrulama çerezleri

İnternet hesaplarını yalnızca kullanıcı adı ve şifre ile korumak artık yeterli değil. Her ikisi de kolayca çalınabilir, tahmin edilebilir veya kırılabilir. Bu nedenle, tüm önemli erişim noktaları için iki faktörlü kimlik doğrulama (2FA) önerilir. Hatta online bankacılık için yıllardır zorunlu tutulmaktadır.

2FA ile bir hesaba, ağa veya uygulamaya erişmek için iki faktör kullanılır. Bir faktör, üç kategoriden gelebilen bir güvenlik özelliğidir:

  • Bildiğiniz bir şey: Şifre, PIN kodu, güvenlik sorusu gibi.
  • Sahip olduğunuz bir şey: Akıllı telefon, donanım token’ı, güvenlik anahtarı gibi.
  • Olduğunuz bir şey: Parmak izi, yüz tanıma, iris taraması gibi biyometrik özellikler.

2FA’nın iyi bir koruma sağlaması için kullanılan iki faktörün farklı kategorilerden gelmesi gerekir. İkiden fazla faktör kullanılıyorsa, buna çok faktörlü kimlik doğrulama denir.

2FA çok güvenli olsa da, tamamen yenilmez değildir. Hacker’ların bir hesabı ele geçirmek için kullanabileceği bazı hileler ve boşluklar vardır.

2FA’yı Tehlikeye Atan Saldırılar

  • Kimlik Avı (Phishing) Sayfaları: 2FA’ya yönelik en büyük tehditlerden biri kimlik avı saldırılarıdır. Siber suçlular, kullanıcıları giriş bilgilerini ifşa etmeye ikna etmek için sahte web siteleri kullanır. Mağdurlar genellikle e-postalar, SMS veya WhatsApp mesajları aracılığıyla meşru şirketlerden geliyormuş gibi görünen bu kimlik avı sitelerine çekilir.

Basit kimlik avı sayfaları "sadece" kullanıcının giriş verilerini çalar. Ancak, daha karmaşık "ortadaki adam" saldırılarında, web sitesi iki faktörlü kimlik doğrulama kodunu da ele geçirir. Saldırgan daha sonra verileri ilgili hizmete hemen giriş yapmak için kullanır. Bununla birlikte, tek kullanımlık şifre genellikle sadece birkaç saniye geçerli olduğundan, bu zaman açısından kritik bir durumdur. Saldırgan, potansiyel bir mağdurun sahte siteye verilerini girmesini beklerken hazır bulunması gerektiğinden, saldırı da zaman alıcıdır. Ancak, bu tür saldırılar genellikle doğrudan para çalmak için kullanılabildiğinden, suçlular her zaman bu yöntemi kullanmaya çalışırlar.

  • Tarayıcı Tabanlı Kötü Amaçlı Yazılımlar: "Ortadaki adam" tekniğinin bir varyasyonu, kurbanın tarayıcısına doğrudan gömülen kötü amaçlı yazılımları kullanır. Kötü amaçlı kod, kullanıcı bankasına giriş yapana kadar bekler, 2FA dahil ve ardından kurbandan arka planda bir transferi manipüle eder. Carberp, Emotet, Spyeye ve Zeus gibi kötü amaçlı yazılımlar buna örnektir. Transferin doğru miktarı ve alıcısı, kullanıcının tarayıcısında görünür. Bu nedenle, tek kullanımlık bir şifre ile onaylarlar. Ancak gerçekte, kötü amaçlı yazılım gizlice farklı bir alıcıya ve bankaya büyük bir miktar olarak bir transfer göndermiştir.

Kendinizi Nasıl Korursunuz?

Neredeyse tüm bankalar, yetkilendirme için tek kullanımlık şifreyi isterken transfer miktarını tekrar kontrol etmeniz için size gönderecektir. Çoğu durumda, alıcının IBAN’ı da kısmen veya tamamen iletilir. Bu verileri her zaman çok dikkatli bir şekilde kontrol edin.

  • Sosyal Mühendislik: Çoğu durumda, saldırganlar zaten bir online hesabın kullanıcı adını ve şifresini bilirler, çünkü bu verileri darknet’teki bir şifre koleksiyonundan elde etmişlerdir. Veya kurbanın bilgisayarına bir bilgi hırsızı, yani kötü amaçlı yazılım sokmuşlardır. Saldırganların kurbanın online hesabına giriş yapmak için hala ihtiyaç duyduğu şey ikinci faktördür. Bunu kurbanı arayarak elde ederler. Bankanın bir çalışanı gibi davranırlar ve örneğin yeni bir güvenlik prosedürü uygulamak istediklerini iddia ederler. Bunu yapmak için, müşterinin 2FA prosedürünü kullanarak yetkilendirmeye ihtiyaç duyduklarını iddia ederler. Kurban bu anda 2FA aracılığıyla bir eylemi yetkilendirirse, yeni bir güvenlik prosedürünü kabul etmemiş, paralarını saldırganların hesabına aktarmış olur.

Kendinizi Nasıl Korursunuz?

2FA kodlarını ve yetkilendirmelerini asla başkalarına vermeyin veya bir arayanın talimatıyla bunları vermeyin. Gerçek hizmet çalışanları asla sizden bu tür gizli bilgileri istemez.

  • SIM Değiştirme (SIM Swapping): Bir süredir, bir kullanıcının online hesabından kısa mesajla aldığı tek kullanımlık şifreler, iki faktörlü giriş için güvenli bir yöntem olarak kabul edildi. Ancak daha sonra suçlular SIM değiştirmeyi geliştirdiler ve 2FA korumalı online bitcoin borsalarından birkaç milyon da dahil olmak üzere çok sayıda online hesabı boşalttılar. Burada da ön koşul, saldırganın zaten kurbanın kullanıcı adını ve şifresini bilmesidir.

SIM değiştirmede, aynı zamanda SIM kaçırma olarak da bilinir, saldırgan kurbanın cep telefonu numarasının kontrolünü ele geçirir. Saldırgan, cep telefonu sağlayıcısının kendilerine yeni bir SIM kartı veya eSIM göndermesine neden olur. Saldırgan bunu kendi cep telefonunda etkinleştirir ve iki faktörlü giriş için tek kullanımlık şifre içeren kısa mesajı alır.

Saldırganlar genellikle cep telefonu sağlayıcısına cep telefonlarını kaybettiklerini söyler ve yeni bir SIM kartı talep ederler. Bu, yeni bir adrese gönderilmelidir. Cep telefonu sağlayıcısı bunu istemiyorsa, failler postanın kurbanın doğru adresine gelmesini bekleyebilir ve gerçek alıcıdan önce posta kutusunu boşaltabilirler. Bu elbette saldırganlar için çok zaman alıcıdır. Ancak, hesabında çok parası olan kurbanlar için, suçlular için çabaya değer.

Kendinizi Nasıl Korursunuz?

Mümkünse, 2FA için SMS kullanmayın. Örneğin, bir kimlik doğrulama uygulamasından alınan tek kullanımlık kodlar daha güvenlidir.

  • Tarayıcıları Hatırlama: İki faktörlü girişe sahip birçok hizmet, internet tarayıcısını bilgisayarınızda hatırlama seçeneği sunar. Daha sonra bu tarayıcıda bu bilgisayarda ikinci faktörü kullanarak yalnızca bir kez giriş yapmanız gerekir. Bir dahaki sefere giriş yaptığınızda, herhangi bir giriş detayına veya yalnızca kullanıcı adınıza ve şifrenize ihtiyacınız olmaz. Bu, rahatlığı büyük ölçüde artırır, ancak saldırı yüzeyini de artırır. Bu yöntemle, hizmet bilgisayarınıza şifreli biçimde giriş verilerinizi içeren bir kimlik doğrulama çerezi kaydeder. Saldırganlar, bir bilgi hırsızını, yani kötü amaçlı yazılımı bilgisayarınıza yerleştirmeyi başarırsa, giriş bilgileriyle çerezleri çalabilirler. Saldırgan, kendi bilgisayarında çerezleri kullanarak, giriş veya ikinci faktöre gerek duymadan online hizmeti açar.

Buna bir örnek, 2022’den beri bilgisayarlara saldıran ve Rusça yeraltı forumlarında "hizmet olarak kötü amaçlı yazılım" olarak sunulan Lumma gibi bir bilgi hırsızıdır.

Kendinizi Nasıl Korursunuz?

Elbette, her Windows bilgisayarında iyi bir antivirüs programı yüklü olmalıdır. Bu, Bilgi Hırsızını engellemelidir. Ek olarak, iki faktörlü girişli hesaplarınızı, her giriş yaptığınızda ikinci faktörü girmeniz gerekecek şekilde kullanabilirsiniz. Bu genellikle varsayılan ayardır.

  • Güvensiz İkinci Faktörler: 2FA ile ilgili yaygın bir hata, güvensiz bir ikinci faktör seçmektir. Birçok kullanıcı, online hizmetleri zaten daha iyi 2FA yöntemleri sunsa bile hala ikinci faktör olarak SMS kullanmaktadır. Ancak, ikinci faktör olarak SMS, SIM değiştirme gibi saldırılara karşı savunmasızdır. İkinci faktör olarak e-posta da yalnızca sınırlı ölçüde önerilir. E-posta gelen kutunuzu kendiniz güvenli bir iki faktörlü girişle korumadığınız sürece.

Yalnızca yedek olarak kullanırsanız, zayıf faktörler de tehlikelidir. Birçok online hizmet, tek bir hesapta birden fazla giriş faktörü saklama seçeneği sunar. Bu, bir şey işe yaramazsa başka bir faktöre geçebileceğiniz için de kullanışlıdır. Ancak, bir saldırgan da herhangi bir zamanda diğer giriş seçeneklerinden birine geri dönebilir. Bir kez daha, şu söz geçerlidir: Bir zincir yalnızca en zayıf halkası kadar güçlüdür. Bu nedenle, bir hesabı yalnızca kimlik doğrulama uygulamanızdan gelen tek kullanımlık şifreyle korumakla kalmayıp, aynı zamanda bir e-posta ile tek kullanımlık bir şifreyi bir giriş seçeneği olarak etkinleştirirseniz, bir saldırgan da bunu kullanabilir.

Kendinizi Nasıl Korursunuz?

Hizmetlerinize giriş yapmak için birden fazla faktör saklamak iyi bir fikirdir, örneğin kimlik doğrulama uygulamasından tek kullanımlık şifreler ve geçiş anahtarları. Ancak, SMS ve e-posta gibi güvensiz faktörlerden kaçının.

İki Faktörlü Kimlik Doğrulama Yöntemlerine Genel Bakış

İki faktörle giriş yapmak için güvenli ve daha az güvenli yöntemler vardır.

  • SMS Tabanlı OTP’ler: Bir tek kullanımlık şifre (OTP), SMS aracılığıyla kullanıcının cep telefonuna gönderilir.

Güvenlik: SMS OTP’leri, SIM değiştirme saldırılarına ve ortadaki adam saldırılarına karşı savunmasız oldukları için nispeten güvensizdir.

  • Uygulama Tabanlı OTP’ler: Bir tek kullanımlık şifre, Google Authenticator veya Aegis Authenticator gibi bir kimlik doğrulama uygulaması tarafından oluşturulur.

Güvenlik: Uygulama tabanlı OTP’ler, harici ağlar üzerinden gönderilmedikleri için SMS OTP’lerinden daha güvenlidir. Ancak, kimlik avı saldırılarına karşı hassastırlar.

  • E-posta Tabanlı OTP’ler: Bir tek kullanımlık şifre, e-posta ile kullanıcıya gönderilir.

Güvenlik: E-posta OTP’leri, e-postalar yakalanabildiği ve genellikle daha az güvenli ağlar üzerinden gönderildiği için diğer yöntemlerden daha az güvenlidir. Ek olarak, e-posta hesapları genellikle kimlik avı saldırılarının hedefidir.

  • Push Bildirimleri: Bir push bildirimi, kullanıcının cep telefonundaki bir kimlik doğrulama uygulamasına (örneğin, Microsoft Authenticator) gönderilir. Kullanıcının bildirimi kabul etmesi gerekir.

Güvenlik: Push bildirimleri, kullanıcıdan doğrudan etkileşim gerektirdikleri için nispeten güvenlidir. Ancak, kullanıcının bildirimi onaylaması için kandırıldığı sosyal mühendislik saldırılarına karşı savunmasızdırlar.

  • U2F/FIDO2 Token’ları: U2F/FIDO2 standartlarına dayalı USB veya NFC tabanlı donanım token’ları (örneğin, Yubikey).

Güvenlik: Bu token’lar, kimlik doğrulama için kriptografik anahtarlar kullandıkları ve kimlik avı ve ortadaki adam saldırılarına karşı dirençli oldukları için çok yüksek bir güvenlik düzeyi sunarlar.

  • Geçiş Anahtarları (Passkeys): Geçiş anahtarları, çoğu hizmet tarafından şifrelere ek bir seçenek olarak kullanılır.

Güvenlik: Geçiş anahtarı gerçek bir ikinci faktör olarak ayarlanırsa, giriş çok güvenlidir. Ancak, bir şifreye alternatif olarak, geçiş anahtarları bir şifreden biraz daha fazla koruma sunar, çünkü şifre girişine geçebilirsiniz.

  • Parmak İzi, vb.: Parmak izi sensörleri veya biyometrik bir kamera, kilidi açmak veya giriş yapmak için kullanılır.

Güvenlik: Parmak izlerinin birçok insanın düşündüğünden daha kolay taklit edilebildiği, en azından kurbanla doğrudan temas halindeyken.

Güvenlik Seviyeleri

  • En Yüksek Güvenlik: Donanım token’ları, fiziksel doğaları nedeniyle en yüksek güvenliği sunar.
  • Orta Düzeyde Güvenlik: Geçiş anahtarları, uygulama tabanlı OTP’ler, push bildirimleri ve biyometrikler, SMS ve e-posta OTP’lerinden daha güvenlidir, ancak sosyal mühendislik gibi saldırılara karşı savunmasızdırlar.
  • En Az Güvenli: SMS ve e-posta OTP’leri, saldırılara karşı en savunmasız olanlardır ve kaçınılmalıdır.
Previous article
Laneige Matcha & Taro Bubble Tea Lip Maskı! Dudak Bakımı
Next article
Nvidia App: GeForce Oyuncuları İçin Optimizasyon Rehberi & İpuçları
newadmin
newadmin
RELATED ARTICLES

LEAVE A REPLY

Please enter your comment!
Please enter your name here

Most Popular

Load more