Gelen SMS'te bu harf eksikse sakın tıklamayın
SMS'lerle ilgili yapılan yeni bir araştırma, SMS ile gönderilen giriş linkleri ve tek kullanımlık kodlar üzerinden yapılan kullanıcı doğrulamasının milyonlarca kişinin kişisel verilerini ciddi şekilde risk altına soktuğunu ortaya koydu.
Yeni yayımlanan araştırma, sigorta tekliflerinden iş ilanlarına, evcil hayvan bakıcısı ve özel ders platformlarına kadar pek çok hizmette kullanılan SMS tabanlı giriş yöntemlerinin dolandırıcılık, kimlik hırsızlığı ve yetkisiz hesap erişimlerine kapı araladığını ortaya koydu. Araştırmaya göre, 175’ten fazla hizmet adına SMS gönderen 700’ün üzerinde sistem noktası (endpoint), kullanıcı güvenliğini zayıflatan uygulamalar içeriyor.
En büyük sorunlardan biri, SMS ile gönderilen bağlantıların tahmin edilebilir veya kolayca çoğaltılabilir olması. Güvenlik belirteçleri basitçe değiştirildiğinde, saldırganlar başkalarının hesaplarına erişebiliyor, kişisel bilgileri görüntüleyebiliyor ve bazı durumlarda kullanıcı gibi işlem yapabiliyor.
Araştırmacılar, bu saldırıların temel-orta seviye web güvenliği bilgisiyle ve tüketici düzeyi donanımla büyük ölçekte gerçekleştirilebildiğini vurguluyor. Üstelik birçok link yıllarca geçerliliğini koruyor, bu da yetkisiz erişim riskini artırıyor.
“KOLAY VE SÜRTÜNMESİZ” AMA GÜVENSİZ
Sorunu ağırlaştıran bir diğer unsur, SMS’in şifreli olmaması. Geçmişte milyonlarca kısa mesajın depolandığı ve içinde isimler, adresler, kullanıcı adları, parolalar, finans başvuruları gibi hassas verilerin bulunduğu açık veritabanları tespit edilmişti. Buna rağmen, “kolay ve sürtünmesiz” olduğu gerekçesiyle SMS tabanlı giriş yaygınlığını sürdürüyor.
YÜZ BİNLERCE GİRİŞ LİNKİ İNCELENDİ
Araştırmacılar, 33 milyondan fazla mesajdan elde ettikleri 322 binin üzerinde benzersiz giriş linkini inceledi. Bunların 701 endpoint’ten gelen ve 177 hizmeti kapsayan kısmının, kimlik numarası, doğum tarihi, banka hesap bilgileri ve kredi skoru gibi kritik kişisel verileri açığa çıkarabildiği belirlendi. Hizmetlerin 125’i, düşük güvenlikli token’lar nedeniyle toplu link tahminine açık bulundu.
Uzmanlara göre sorumluluk büyük ölçüde hizmet sağlayıcılarda. Kullanıcılara “hassas bilgi vermeyin” demek yeterli değil; zira listede milyonlarca kullanıcısı olan, tanınmış platformlar da var.
“KRİPTOGRAFİK VE GÜÇLÜ” OLMALI
Öte yandan uzmanlar, “sihirli link” (magic link) yönteminin başlı başına güvensiz olmadığını; ancak kısa süreli, ilk girişte geçersizleşen ve kriptografik olarak güçlü olması gerektiğini vurguluyor. Bazı gizlilik odaklı siteler e-posta ile bu yöntemi kullanıyor; ancak bankalar ve büyük veri barındıran servisler için yeterli görülmüyor.
Güvenliği artırmak için ikinci bir güçlü doğrulama faktörü ve deneme sayısı sınırlaması da şart.
SAHTE SMS'LER NASIL ANLAŞILIR, NASIL KORUNMALIYIZ?
Kaynağı doğrulayın: Tanımadığınız numaralardan gelen SMS’lerdeki linklere tıklamayın.
Resmi kanalları kullanın: Banka, sigorta veya diğer hizmetlerin resmi uygulama ve web siteleri üzerinden giriş yapın.
Şüpheli linklere dikkat edin: URL’nin doğru ve güvenli (https) olduğundan emin olun eğer bu harfler yoksa gelen SMS'lere tıklamayın.
Kişisel bilgilerinizi paylaşmayın: SMS üzerinden istenen kimlik, banka veya kredi bilgilerini asla göndermeyin.
İki faktörlü doğrulama kullanın: Mümkünse SMS yerine uygulama tabanlı doğrulamayı tercih edin.
Cihazınızı koruyun: Telefonunuza güncel antivirüs ve güvenlik yazılımları yükleyin.