SMS’i iki faktörlü kimlik doğrulama biçimi olarak kullanmak, kripto meraklıları arasında her zaman popüler olmuştur. Sonuçta, birçok kullanıcı zaten kriptolarını takas ediyor veya telefonlarında sosyal siteleri yönetiyor. Öyleyse neden hassas finansal içeriğe erişirken kendinizi doğrulamak için SMS kullanmıyorsunuz?

Ne yazık ki, son zamanlarda dolandırıcılar, SIM değiştirme veya birinin SIM kartını bir bilgisayar korsanının sahip olduğu bir telefona yönlendirme işlemi yoluyla bu güvenlik katmanının altına gömülü servetten yararlandı. Dünyanın birçok bölgesinde, telekom çalışanları basit bir taşıma talebini işleme koymak için devlet kimliği, yüz tanıma veya sosyal güvenlik numaraları istemez.

Kamuya açık kişisel bilgilerin hızlı bir şekilde aranması (Web 3.0 umutları için oldukça yaygın) ve tahmin edilmesi kolay kurtarma soruları ile birlikte, taklitçiler bir hesabın SMS 2FA’sını hızlı bir şekilde telefonlarına taşıyabilir ve onu kötü amaçlarla kullanmaya başlayabilir. Bu yılın başlarında, birçok kripto youtuber’ı, bilgisayar korsanlarının kanallarında görüntüleyenlere bilgisayar korsanının cüzdanına para göndermelerini söyleyen metinlerle dolandırıcılık videoları yayınladığı bir SIM takas saldırısının kurbanı oldu. Haziran ayında, Solana NFT projesi Duppies, resmi Twitter hesabını bir SIM takas yoluyla hackledi ve bilgisayar korsanları sahte bir gizli madeni paraya bağlantıları tweetledi.

finanskulis, konuyla ilgili olarak CertiK güvenlik araştırmacısı Jesse Leclere ile görüştü. Blockchain güvenliğinde lider olarak bilinen CertiK, 3.600’den fazla projenin 360 milyar dolar değerinde dijital varlığı güvence altına almasına yardımcı oldu ve 2018’den bu yana 66.000’den fazla güvenlik açığı keşfetti. İşte Leclere’nin söyledikleri:

“SMS 2FA hiç olmamasından iyidir, ancak şu anda kullanımda olan 2FA’nın en savunmasız şeklidir. Çekiciliği kullanım kolaylığında yatar: çoğu insan ya telefondadır ya da çevrimiçi platformlarda oturum açtıklarında yakınlardadır. Ancak SIM kart takasına karşı savunmasızlığı hafife alınmamalıdır.”

Leclerc, Google Authenticator, Authy veya Duo gibi özel kimlik doğrulama uygulamalarının SIM değiştirme riskini ortadan kaldırırken SMS 2FA’nın neredeyse tüm rahatlığını sunduğunu açıkladı. Sanal kartların mı yoksa eSIM kartların mı SIM takaslarıyla ilgili kimlik avı saldırıları riskini azaltıp azaltamayacağı sorulduğunda, Leclerc’in yanıtı kocaman bir hayır:

“SIM takas saldırılarının kimliğe bürünme ve sosyal mühendisliğe dayandığını unutmamalısınız. Bir saldırgan, bir telekom şirketinin çalışanını, fiziksel bir SIM kartla ilişkili bir numaranın yasal sahibi olduğuna inandırabilirse, aynısını bir eSIM için de yapabilir.

SIM kartı telefona kilitleyerek bu tür saldırıları engellemek mümkün olsa da (telekom şirketleri telefonların kilidini de açabilir), Leclere yine de fiziksel güvenlik anahtarlarını kullanmanın altın standardına işaret ediyor. Leclere, “Bu anahtarlar bilgisayarınızın USB bağlantı noktasına takılır ve bazıları mobil aygıtlarla daha kolay kullanım için yakın alan iletişimi (NFC) etkinleştirilmiştir,” diye açıklıyor. “Bir saldırganın yalnızca şifrenizi bilmesi değil, aynı zamanda hesabınıza erişmek için bu anahtarı fiziksel olarak alması gerekir.”

Leclere, Google’ın 2017’de çalışanların güvenlik anahtarlarını kullanmasını zorunlu kılmasının ardından başarılı bir kimlik avı saldırısı görmediğine dikkat çekiyor. “Ancak, o kadar etkilidirler ki, hesabınıza bağlı bir anahtarı kaybederseniz, büyük olasılıkla ona erişemezsiniz. Birden fazla anahtarı güvenli yerlerde tutmak önemlidir” diye ekledi.

Son olarak, Leclere, bir kimlik doğrulama uygulaması veya güvenlik anahtarı kullanmanın yanı sıra, iyi bir şifre yöneticisinin, birden fazla web sitesinde yeniden kullanmadan güçlü şifreler oluşturmayı kolaylaştırdığını söylüyor. “SMS olmayan 2FA ile eşleştirilmiş güçlü, benzersiz bir şifre, hesap güvenliğinin en iyi şeklidir” diye açıkladı.