Dijital dünyanın gelişmesiyle birlikte, müşteri kimliklerini güvence altına alma ihtiyacı da gelişti. Günümüzün müşterileri, kuruluşlardan güvenli bir deneyim beklemektedir. Bulut tabanlı hizmetlerin ve mobil cihazların artan kullanımı, veri ihlali riskini de artırdı. 2014 yılına kıyasla toplam hesap korsanlığı kayıplarının %61 artarak 2,3 milyar dolara ve olayların %31 arttığını biliyor musunuz?
SMS tabanlı Tek Kullanımlık Parola, web dünyasında karşı kimlik avı ve kimlik doğrulamayla ilgili diğer güvenlik riskleriyle başa çıkmak için icat edilmiş bir teknolojidir. Genelde iki faktörlü kimlik doğrulama çözümlerinde ikinci faktör olarak SMS tabanlı OTP’ler kullanılmaktadır. Kullanıcıların, web sitesinde kendilerini doğrulamaları için kimlik bilgilerini girdikten sonra benzersiz bir OTP göndermelerini gerektirir. 2FA, bilgisayar korsanlığı olaylarını azaltmanın ve kimlik sahtekarlıklarını önlemenin etkili bir yolu haline geldi.
Ancak ne yazık ki SMS tabanlı OTP günümüzde artık güvenli değil. Bunun arkasında iki ana neden var:
- İlk olarak, SMS tabanlı OTP’nin ana güvenliği metin mesajının gizliliğine dayanır. Ancak bu SMS, hücresel ağların güvenliğine dayanmaktadır ve son zamanlarda birçok GSM ve 3G şebekesi, bu SMS’lerin gizliliğinin esasen sağlanamayacağını ima etmiştir.
- İkincisi, bilgisayar korsanları müşteri verilerine girmek için ellerinden gelenin en iyisini yapıyorlar ve bu nedenle müşteri verilerine girmek için birçok özel cep telefonu truva atı geliştirdiler.
Onlar hakkında ayrıntılı olarak konuşalım!
SMS tabanlı OTP ile ilişkili başlıca riskler:
Saldırganın temel amacı bu tek seferlik şifreyi ele geçirmek ve bunu mümkün kılmak için cep telefonu Truva Atları, kablosuz dinleme, SIM Değiştirme saldırıları gibi birçok seçenek geliştirilmiştir. Bunları ayrıntılı olarak tartışalım:
1. Kablosuz Durdurma:
Karşılıklı kimlik doğrulama eksikliği, güçlü şifreleme algoritmalarının olmaması gibi GSM teknolojisini daha az güvenli hale getiren birçok faktör vardır. Ayrıca cep telefonları veya baz istasyonları arasındaki iletişimin dinlenebileceği ve bazı protokol zayıflıklarının yardımıyla şifresi de çözülsün. Ayrıca, femtocell’lerin kötüye kullanılmasıyla 3G iletişiminin de yakalanabileceği bulunmuştur. Bu saldırıda, femtocell’e değiştirilmiş bir ürün yazılımı kurulur. Bu bellenim, koklama ve müdahale etme yetenekleri içerir. Ayrıca bu cihazlar cep telefonlarına yönelik saldırılar düzenlemek için kullanılabilir.
2. Cep telefonu truva atları:
Mobil cihazlar için en son yükselen tehditler, cep telefonu kötü amaçlı yazılımları, özellikle Truva atlarıdır. Bu kötü amaçlı yazılımlar, Tek Kullanımlık Parolalar içeren SMS’leri engellemek için özel olarak tasarlanmıştır. Bu tür kötü amaçlı yazılımları oluşturmanın arkasındaki ana amaç para kazanmaktır. SMS tabanlı OTP’leri çalabilen farklı Truva atlarını anlayalım.
Bilinen ilk Truva atı, Symbian OS için ZITMO’ydu (Mobildeki Zeus). Bu trojan, mTAN’ları engellemek için geliştirildi. Trojan, SMS’lerin yakalanabilmesi için kendisini Symbian OS’ye kaydettirme yeteneğine sahiptir. Mesaj yönlendirme, mesaj silme vb. gibi daha fazla özellik içerir. Silme yeteneği, mesajın ulaştığı gerçeğini tamamen gizler.
Trojan-Spy.WinCE.Zot.a olarak adlandırılan Windows Mobile için benzer bir Truva Atı Şubat 2011’de tanımlandı. Bu Truva Atı’nın özellikleri yukarıdakine benziyordu.
Android için Truva atları ve RIM’in Black Berry’si de mevcuttur. Bilinen bu Truva atlarının tümü, kullanıcı tarafından yüklenen yazılımlardır, bu nedenle etkilenen platformun herhangi bir güvenlik açığından yararlanmazlar. Ayrıca, kullanıcıyı ikili dosyayı yüklemeye ikna etmek için sosyal mühendislikten yararlanırlar.
3. Halka açık ücretsiz Wi-Fi ve erişim noktaları:
Günümüzde, bilgisayar korsanlarının kötü amaçlı yazılım dağıtmak için güvenli olmayan bir WiFi ağı kullanması artık zor değil. Ağ üzerinden dosya paylaşımına izin veriyorsanız, mobil cihazınıza virüslü bir yazılım yerleştirmek artık zor bir iş değil. Ek olarak, bazı suçlular bağlantı noktalarını hackleme yeteneğine de sahiptir. Böylece, bağlantı işlemi sırasında bazı popüler yazılımları yükseltmelerini isteyen bir açılır pencere sunarlar.
4. SMS şifreleme ve çoğaltma:
SMS’in kurumdan müşteriye iletimi düz metin biçiminde gerçekleşir. Ayrıca, SMS toplayıcı, mobil satıcı, uygulama yönetimi satıcısı vb. gibi çeşitli aracılardan geçtiğini söylememe gerek yok. Ek olarak, bilgisayar korsanları çoğu zaman sahte bir kimlik kanıtı sağlayarak SIM’i bloke eder ve mobil operatörlerin perakende satış mağazasını ziyaret ederek kopya SIM’i alır. Artık bilgisayar korsanı, tüm OTP’lere erişmekte özgürse bu numaraya ulaştı.
5. Kötü amaçlı yazılım:
Madware, ücretsiz mobil uygulamalar sağlayarak Akıllı Telefonun verileri ve konumu aracılığıyla hedefli reklam sağlamaya yardımcı olan agresif reklam türüdür. Ancak bazı çılgın yazılımlar, Casus Yazılım gibi çalışma yeteneğine sahiptir, böylece kişisel verileri yakalayabilir ve bunları uygulama sahibine aktarabilir.
Çözüm nedir?
SMS tabanlı Tek Kullanımlık Şifre zafiyetine karşı güvenliğin sağlanması için bazı önleyici tedbirlerin alınması zorunludur. Burada Donanım belirteçlerini tanıtmak gibi birçok çözüm var. Bu yaklaşımda, bir işlem yapılırken token tek seferlik bir şifre üretecektir. Başka bir seçenek de tek dokunuşla kimlik doğrulama işlemi kullanmaktır. Ek olarak, OTP oluşturmak için cep telefonuna yüklenecek bir uygulama da gerekebilir. Aşağıda, SMS tabanlı OTP’yi güvence altına almak için iki ipucu daha bulunmaktadır:
1. SMS uçtan uca şifreleme:
Bu yaklaşımda, tek kullanımlık şifreleri korumak için uçtan uca şifreleme, böylece SMS’in gizlice dinlenmesi durumunda kullanılabilirliğini ortadan kaldırır. Günümüzde cep telefonlarının çoğunda bulunan “uygulama özel depolama” özelliğini kullanır. Bu kalıcı depolama alanı her uygulamaya özeldir. Bu verilere yalnızca verileri depolayan uygulama tarafından erişilebilir. Bu süreçte, ilk adım aynı OTP oluşturma sürecini içerir, ancak ikinci adımda bu OTP müşteri merkezli bir anahtarla şifrelenir ve OTP müşterinin cep telefonuna gönderilir. Alıcının telefonunda özel bir uygulama, şifresini çözdükten sonra bu OTP’yi görüntüler. Bu, Trojan SMS’e erişebilse bile gerekli anahtarın olmaması nedeniyle OTP’nin şifresini çözemeyeceği anlamına gelir.
2. Cep telefonu için ayrılmış sanal kanal:
Telefon Truva Atları, SMS tabanlı OTP için en büyük tehdit olduğundan, büyük ölçekte Truva atı saldırısı gerçekleştirmek artık zor olmadığından, bu işlem işletim sisteminden minimum destek ve mobil ağ sağlayıcılarından minimum düzeyde veya hiç destek gerektirmez. Bu çözümde, belirli SMS’ler yalnızca özel bir kanala veya uygulamaya gönderilerek dinlenmeye karşı korunur. İşlem, cep telefonu işletim sisteminde özel bir sanal kanal gerektirir. Bu kanal, bazı mesajları belirli bir OTP uygulamasına yönlendirerek onları dinlemeye karşı güvenli hale getirir. Uygulamaya özel depolamanın kullanılması, bu korumanın güvenliğini sağlar.
Son olarak, hangi işlemi seçerseniz seçin, hiçbir teknoloji size %100 güvenlik sağlayamaz. Buradaki anahtar, teknolojide meydana gelen hızlı değişimlere karşı dikkatli ve güncel olmaktır.