{"id":12438,"date":"2024-06-14T14:27:12","date_gmt":"2024-06-14T11:27:12","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=12438"},"modified":"2024-06-14T14:27:12","modified_gmt":"2024-06-14T11:27:12","slug":"when-two-factor-authentication-useless","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/when-two-factor-authentication-useless\/12438\/","title":{"rendered":"\u0130ki fakt\u00f6rl\u00fc kimlik do\u011frulama i\u015fe yaramad\u0131\u011f\u0131nda"},"content":{"rendered":"

Tek kullan\u0131ml\u0131k \u015fifrelerin (OTP\u2019ler<\/a>) kullan\u0131ld\u0131\u011f\u0131 iki fakt\u00f6rl\u00fc kimlik do\u011frulama (2FA) art\u0131k kimlik av\u0131, sosyal m\u00fchendislik, hesap h\u0131rs\u0131zl\u0131\u011f\u0131 ve di\u011fer siber tehlikelere kar\u015f\u0131 her derde deva bir \u00e7\u00f6z\u00fcm olarak g\u00f6r\u00fclmektedir. S\u00f6z konusu hizmet, oturum a\u00e7ma s\u0131ras\u0131nda bir OTP talep ederek kullan\u0131c\u0131 do\u011frulamas\u0131 i\u00e7in ek bir koruyucu katman sa\u011flar. Kod, do\u011frudan kullan\u0131c\u0131n\u0131n cihaz\u0131ndaki \u00f6zel bir uygulamada olu\u015fturulabilir, ancak ne yaz\u0131k ki \u00e7ok az ki\u015fi bir kimlik do\u011frulama uygulamas\u0131<\/a>\u00a0y\u00fckleme ve yap\u0131land\u0131rma zahmetine girer. Bu nedenle, siteler genellikle bir metin, e-posta, anl\u0131k bildirim, anl\u0131k mesaj veya hatta sesli arama \u015feklinde bir do\u011frulama kodu g\u00f6nderir.<\/p>\n

S\u0131n\u0131rl\u0131 bir s\u00fcre i\u00e7in ge\u00e7erli olan bu kod, g\u00fcvenli\u011fi \u00f6nemli \u00f6l\u00e7\u00fcde art\u0131rsa da sihirli bir de\u011fnek de\u011fildir: 2FA<\/a> ile bile ki\u015fisel hesaplar OTP botlar\u0131na (kullan\u0131c\u0131lar\u0131 sosyal m\u00fchendislik yoluyla OTP\u2019lerini vermeleri i\u00e7in kand\u0131ran otomatik yaz\u0131l\u0131mlar) kar\u015f\u0131 savunmas\u0131z kalmaya devam eder.<\/p>\n

Peki bu botlar kimlik av\u0131nda nas\u0131l bir rol oynar ve nas\u0131l \u00e7al\u0131\u015f\u0131r? Detaylar i\u00e7in okumaya devam edin\u2026<\/p>\n

OTP botlar\u0131 nas\u0131l \u00e7al\u0131\u015f\u0131r?<\/h2>\n

Bir web taray\u0131c\u0131s\u0131ndaki kontrol paneli veya Telegram arac\u0131l\u0131\u011f\u0131yla kontrol edilen bu botlar, bankalar gibi me\u015fru kurulu\u015flar\u0131 taklit ederek, kurban\u0131 g\u00f6nderilen bir OTP\u2019yi if\u015fa etmesi i\u00e7in kand\u0131rmay\u0131 ama\u00e7lar. Olaylar \u015f\u00f6yle geli\u015fir:<\/p>\n

    \n
  1. Doland\u0131r\u0131c\u0131, kurban\u0131n giri\u015f bilgilerini (parola d\u00e2hil) elde ettikten sonra (bu i\u015flemin nas\u0131l yap\u0131ld\u0131\u011f\u0131n\u0131 a\u015fa\u011f\u0131da anlat\u0131yoruz) kurban\u0131n hesab\u0131na giri\u015f yapar ve bir OTP girmesi istenir.<\/li>\n
  2. Kurban OTP\u2019yi telefonuna al\u0131r.<\/li>\n
  3. OTP botu kurban\u0131 arar ve \u00f6nceden kaydedilmi\u015f bir sosyal m\u00fchendislik senaryosu kullanarak al\u0131nan kodu girmesini ister.<\/li>\n
  4. Masum kurban, g\u00f6r\u00fc\u015fme s\u0131ras\u0131nda kodu telefonuna girer.<\/li>\n
  5. Kod, sald\u0131rgan\u0131n Telegram botuna iletilir.<\/li>\n
  6. Doland\u0131r\u0131c\u0131, kurban\u0131n hesab\u0131na eri\u015fim kazan\u0131r.<\/li>\n<\/ol>\n

    OTP botunun temel i\u015flevi kurban\u0131 aramakt\u0131r ve doland\u0131r\u0131c\u0131l\u0131\u011f\u0131n ba\u015far\u0131s\u0131 botun ne kadar ikna edici oldu\u011funa ba\u011fl\u0131d\u0131r zira OTP\u2019lerin \u00f6mr\u00fc k\u0131sad\u0131r, bu nedenle bir telefon g\u00f6r\u00fc\u015fmesi s\u0131ras\u0131nda ge\u00e7erli bir kod elde etme \u015fans\u0131 di\u011fer yollardan \u00e7ok daha y\u00fcksektir. Bu nedenle OTP botlar\u0131, \u00e7a\u011fr\u0131 parametrelerinde ince ayar yapmak i\u00e7in \u00e7ok say\u0131da se\u00e7enek sunar.<\/p>\n

    \"OTP<\/a>

    Bu OTP botu; birden fazla dilde haz\u0131rlanm\u0131\u015f ve \u00f6zelle\u015ftirilmi\u015f komut dosyalar\u0131, 12 \u00e7al\u0131\u015fma modu ve hatta 7\/24 teknik destek gibi bir d\u00fczineden fazla \u00f6zelli\u011fe sahiptir.<\/p><\/div>\n

    OTP botlar\u0131 bir sekt\u00f6rd\u00fcr, bu nedenle doland\u0131r\u0131c\u0131lar i\u015fe ilk olarak kriptoda haftal\u0131k 420 dolara mal olan bir abonelik sat\u0131n alarak ba\u015flarlar. Daha sonra botu kurban\u0131n ad\u0131, numaras\u0131 ve banka bilgileriyle beslerler ve taklit etmek istedikleri kurulu\u015fu se\u00e7erler.<\/p>\n

    \"OTP'leri<\/a>

    Kullan\u0131c\u0131 dostu bot men\u00fcs\u00fcne programlama becerisi olmayan doland\u0131r\u0131c\u0131lar bile eri\u015febilir<\/p><\/div>\n

    Doland\u0131r\u0131c\u0131lar, inand\u0131r\u0131c\u0131l\u0131k i\u00e7in, kurban\u0131n telefonunda g\u00f6r\u00fcnt\u00fclenen ve araman\u0131n geldi\u011fi g\u00f6r\u00fcnen telefon numaras\u0131n\u0131 belirterek yan\u0131ltma i\u015flevini etkinle\u015ftirebilir. Ayr\u0131ca botun dilini ve hatta sesini bile \u00f6zelle\u015ftirebilirler. T\u00fcm sesler yapay zeka taraf\u0131ndan \u00fcretilir, bu nedenle \u00f6rne\u011fin OTP botu \u0130ngilizceyi Hint aksan\u0131yla veya Kastilya \u0130spanyolcas\u0131yla \u201ckonu\u015fabilir\u201d. Bir arama sesli mesaja y\u00f6nlendirilirse, bot telefonu kapatmas\u0131 gerekti\u011fini bilir. Ve her \u015feyin do\u011fru yap\u0131land\u0131r\u0131ld\u0131\u011f\u0131ndan emin olmak i\u00e7in, doland\u0131r\u0131c\u0131lar bir sald\u0131r\u0131 ba\u015flatmadan \u00f6nce kendi test numaralar\u0131n\u0131 arayarak OTP bot ayarlar\u0131n\u0131 kontrol edebilirler.<\/p>\n

    Baz\u0131 OTP botlar\u0131, kurban\u0131n araman\u0131n ger\u00e7ek oldu\u011funa inanmas\u0131 ihtimalini g\u00fc\u00e7lendirmek i\u00e7in, numaray\u0131 \u00e7evirmeden \u00f6nce yakla\u015fan arama hakk\u0131nda bir k\u0131sa mesaj uyar\u0131s\u0131 g\u00f6nderebilir. Bu, hedefin dikkatini da\u011f\u0131t\u0131r \u00e7\u00fcnk\u00fc ilk bak\u0131\u015fta \u015f\u00fcpheli bir \u015fey yoktur: \u201cBankadan\u201d gelecek bir aramayla ilgili bir metin bildirimi al\u0131rs\u0131n\u0131z ve birka\u00e7 dakika sonra da ararlar, bu bir aldatmaca olamaz, de\u011fil mi? Ama ne yaz\u0131k ki \u00f6yledir.<\/p>\n

    Bir arama s\u0131ras\u0131nda baz\u0131 botlar yaln\u0131zca OTP de\u011fil, banka kart\u0131 numaras\u0131 ve son kullanma tarihi, g\u00fcvenlik kodu veya PIN, do\u011fum tarihi, belge ayr\u0131nt\u0131lar\u0131 gibi ba\u015fka veriler de talep edebilir.<\/p>\n

    OTP botlar\u0131n\u0131n i\u00e7 i\u015fleyi\u015fini daha derinlemesine incelemek i\u00e7in Securelist raporumuza<\/a> g\u00f6z at\u0131n.<\/p>\n

    Yaln\u0131zca botla de\u011fil<\/h2>\n

    OTP botlar\u0131 2FA\u2019y\u0131 atlamak i\u00e7in etkili ara\u00e7lar olsa da, kurban\u0131n ki\u015fisel verileri olmadan tek ba\u015flar\u0131na i\u015fe yaramazlar. Sald\u0131rganlar\u0131n hesaba eri\u015fim sa\u011flamak i\u00e7in en az\u0131ndan kurban\u0131n kullan\u0131c\u0131 ad\u0131, telefon numaras\u0131 ve parolas\u0131na ihtiya\u00e7lar\u0131 vard\u0131r. Ancak hedef hakk\u0131nda ne kadar \u00e7ok bilgiye sahip olurlarsa (tam ad, do\u011fum tarihi, adres, e-posta, banka kart\u0131 bilgileri), onlar i\u00e7in o kadar iyi olur. Bu veriler \u00e7e\u015fitli yollarla elde edilebilir:<\/p>\n