Doğrulama kodlarını kesinlikle paylaşmayın

“Bu doğrulama kodunu hiç kimseyle paylaşmayın!” Konu tek seferlik kodlara ve şifrelere geldiğinde; o kadar açık bir durum söz konusudur ki, bu tavsiye defalarca tekrarlanır. Fakat sonra yine…

Küçük bir Yardım Ricası

Son zamanlarda “kimlik hırsızlığı” dolandırıcılığıyla karşılaştık. Biri, aşağıdakine benzer bir kısa mesaj alır:

“Merhaba, beni tanımıyorsunuz ancak telefon numaranız önceden bana aitti. Bu numaraya bağlı olan eski bir hesabıma giriş yapmaya çalışıyorum ve bu numaraya bir doğrulama kodu göndereceklerini söylüyorlar. Kodu istesem ve siz de gelen kodu bana yollasanız sizin için uygun olur mu diye sormak istedim. Uygun değilse de hiç sorun değil.”

Bir telefon numarasını uzun bir süre kullanmazsanız, operatörünüzün numaranın bağlantısını kesip başkasına satabileceği doğru. Bu durumda telefon numaranızın, özellikle de yeni aldıysanız, önceden başka bir kullanıcıya ait olma ihtimali var. Çoğu insan da bunu biliyor.

İstek kibar bir dille yazılmış ve oldukça ikna edici görünüyor. İyi niyetli insanlar kibarlığa değer verir, bu yüzden oldukça makul görünen bu isteği kabul etme ihtimalleri de oldukça yüksek. Kod gelir ve alıcı kodu bu kibar isteği yazan kişiye gönderir, o da büyük bir minnetle cevap verir. Ancak merhametinin kurbanı olan bu kişi aslında, biraz önce kendi hesabının erişimini elleriyle başkasına teslim etmiştir.

Peki, aslında ne oluyor?

Elbette, mesajın önceden numaranızın sahibi olan ve yardımınıza ihtiyaç duyan birinden gelmiş olması gibi çok küçük bir ihtimal var. Fakat yine de, bu pek olası değil. Kimlik hırsızlığı çok daha olası bir açıklama. Olaylar şu şekilde gerçekleşiyor:

Saldırgan, siber alemin derinliklerinde (size ait olan) bir telefon numarasına bağlı (yine size ait) bir e-posta adresi bulur. Yahoo, Twitter veya LinkedIn’de (ya da kullanıcı verilerini sızdırmış olan daha az bilinen yüzlerce servisten birinde) bir hesabınız varsa ya da geçmişte olduysa, e-posta adresinize hangi telefon numarasının bağlı olduğunu bulmak zor değil.

Saldırgan e-posta adresinizin erişimini çalarak başlar. Bunu yapmak için şifrenizi sıfırlaması gerekir. Sıfırlamaya çalıştıklarında servis, şifreyi sıfırlamaya çalışan kişinin hesabın sahibi olduğunu doğrulamak için hesaba bağlı olan numaraya bir doğrulama kodu içeren bir kısa mesaj gönderir.

Ancak bu adımı atmadan önce, dolandırıcı size yukarıda olduğu gibi dokunaklı ölçüde kibar bir kısa mesaj yazar. Kod sadece birkaç dakika için geçerlidir, bu nedenle siber suçlunun sizi mesajı gecikmeden gönderecek şekilde hazırlaması gerekmektedir.

E-postanıza erişimle, saldırgan adresinize bağlı -sosyal medya, diğer mail servisleri, çevrimiçi cüzdanlar gibi bütün hesapların şifrelerini sıfırlayabilir. Şifre sıfırlama için bağlantılar bu e-postaya gelir ve işte oldu! Siber suçlunun artık sizin bütün hesaplarınıza erişimi vardır, sizin ise hiçbir erişiminiz yoktur.

Bu yüzden, herhangi biri kibarca yardımınızı rica etse de, kısa mesaj ile gelen doğrulama kodlarının hiçbirini paylaşmamalısınız. Tek bir kod paylaşmak, sizi çevrimiçi varlığınızdan neredeyse tamamen ayırabilir.

Hesaplarınızı nasıl sıkı bir kontrol altında tutabilirsiniz?

• Doğrulama kodlarını hiç kimseyle kısa mesaj veya telefon görüşmesi yoluyla paylaşmayın. Bu kodlar, bir servisin sizin siz olduğunuzu anlaması için temel bir işlev görür.
• Mümkün oldukça, iki aşamalı kimlik doğrulamayı etkin hale getirin. E-posta adresinize erişiminizi kaybetseniz bile, bu yolla en azından diğer hesaplarınızın çalınmasını önleyebilirsiniz.
• Mobil cihazlar da dahil olmak üzere tüm cihazlarınızda güvenlik çözümleri kullanın. Diğer koruma özelliklerinin arasında, sizi SMS’ten kod ele geçirmeye çalışan Trojanlarla ilgili uyarırlar.