Yeni yayımlanan araştırma, sigorta tekliflerinden iş ilanlarına, evcil hayvan bakıcısı ve özel ders platformlarına kadar pek çok hizmette kullanılan SMS tabanlı giriş usullerinin dolandırıcılık, kimlik hırsızlığı ve yetkisiz hesap erişimlerine kapı araladığını ortaya koydu. Araştırmaya nazaran, 175’ten fazla hizmet ismine SMS gönderen 700’ün üzerinde sistem noktası (endpoint), kullanıcı güvenliğini zayıflatan uygulamalar içeriyor.
En büyük sıkıntılardan biri, SMS ile gönderilen temasların iddia edilebilir yahut kolaylıkla çoğaltılabilir olması. Güvenlik belirteçleri basitçe değiştirildiğinde, saldırganlar diğerlerinin hesaplarına erişebiliyor, ferdî bilgileri görüntüleyebiliyor ve birtakım durumlarda kullanıcı üzere süreç yapabiliyor.
Araştırmacılar, bu taarruzların temel-orta düzey web güvenliği bilgisiyle ve tüketici seviyesi donanımla büyük ölçekte gerçekleştirilebildiğini vurguluyor. Üstelik birçok link yıllarca geçerliliğini koruyor, bu da yetkisiz erişim riskini artırıyor.
“KOLAY VE SÜRTÜNMESİZ” LAKİN GÜVENSİZ
Sorunu ağırlaştıran bir başka öge, SMS’in şifreli olmaması. Geçmişte milyonlarca kısa iletinin depolandığı ve içinde isimler, adresler, kullanıcı isimleri, parolalar, finans müracaatları üzere hassas bilgilerin bulunduğu açık veritabanları tespit edilmişti. Buna karşın, “kolay ve sürtünmesiz” olduğu gerekçesiyle SMS tabanlı giriş yaygınlığını sürdürüyor.
YÜZ BİNLERCE GİRİŞ LİNKİ İNCELENDİ
Araştırmacılar, 33 milyondan fazla iletiden elde ettikleri 322 binin üzerinde eşsiz giriş linkini inceledi. Bunların 701 endpoint’ten gelen ve 177 hizmeti kapsayan kısmının, kimlik numarası, doğum tarihi, banka hesap bilgileri ve kredi skoru üzere kritik şahsî dataları açığa çıkarabildiği belirlendi. Hizmetlerin 125’i, düşük güvenlikli token’lar nedeniyle toplu link varsayımına açık bulundu.
Uzmanlara nazaran sorumluluk büyük ölçüde hizmet sağlayıcılarda. Kullanıcılara “hassas bilgi vermeyin” demek kâfi değil; çünkü listede milyonlarca kullanıcısı olan, tanınmış platformlar da var.
“KRİPTOGRAFİK VE GÜÇLÜ” OLMALI
Öte yandan uzmanlar, “sihirli link” (magic link) prosedürünün başlı başına inançsız olmadığını; fakat kısa periyodik, birinci girişte geçersizleşen ve kriptografik olarak güçlü olması gerektiğini vurguluyor. Birtakım saklılık odaklı siteler e-posta ile bu metodu kullanıyor; lakin bankalar ve büyük data barındıran servisler için kâfi görülmüyor.
Güvenliği artırmak için ikinci bir güçlü doğrulama faktörü ve deneme sayısı sınırlaması da koşul.
SAHTE SMS’LER NASIL ANLAŞILIR, NASIL KORUNMALIYIZ?
Kaynağı doğrulayın:
Resmi kanalları kullanın: Banka, sigorta yahut başka hizmetlerin resmi uygulama ve web siteleri üzerinden giriş yapın.
Kişisel bilgilerinizi paylaşmayın: SMS üzerinden istenen kimlik, banka yahut kredi bilgilerini asla göndermeyin.
İki faktörlü doğrulama kullanın: Mümkünse SMS yerine uygulama tabanlı doğrulamayı tercih edin.
Cihazınızı koruyun: Telefonunuza aktüel antivirüs ve güvenlik yazılımları yükleyin.
