İkinci bir kimlik doğrulama faktörü için metinlere güvenen şirketler, sisteme saldırmak için gerekli bilgiler Dark Web’de satılan güvenliği ihlal edilmiş veritabanlarında mevcut olduğundan müşterilerinin yaklaşık %20’sini riske atıyor.
Çevrimiçi veritabanlarından sentezlenen yaklaşık 1 milyar kayıt – dünyadaki her beş cep telefonu kullanıcısından birini temsil ediyor – kullanıcıların adlarını, e-posta adreslerini, şifrelerini ve telefon numaralarını içeriyor. Siber güvenlik firması FYEO’nun CTO’su Thomas Olofsson, bunun saldırganlara SMS tabanlı kimlik avı saldırıları (smishing olarak da bilinir) yürütmek için ihtiyaç duydukları her şeyi sağladığını söylüyor.
Siber güvenlik uzmanları, bir kerelik SMS parolasının eklenmesinin, iki faktörlü kimlik doğrulamanın zayıf bir biçimi ve saldırganların tehlikeye atabileceği en basit iki faktörlü kimlik doğrulama biçimi olduğunu uzun zamandır biliyorlar. Ancak, bu tür saldırıları kullanıcılarla ilgili hazır bilgilerle birleştirmek, saldıran hesaplar için “mükemmel bir fırtına” ürettiğini söylüyor.
Black Hat USA’de Olofsson, bir araştırma sırasında probleme yönelik araştırmadan elde edilen bulguları gözden geçirmeyi planlıyor. oturum 10 Ağustos Çarşamba günü, “Smishmash — OSINT, Kimlik Avı Teknikleri ve Bir Yakıcı Telefon Kullanarak Metin Tabanlı 2FA Sahtekarlığı” olarak adlandırıldı.
Dark Reading’e, “Yaptığımız araştırma iki bölümden oluşuyor: 2FA’yı nasıl atlarsınız ve bir e-posta adresine ve şifreye kaç telefon numarası bağlayabiliriz” diyor. “Yani, yaklaşık beşte biri – bir milyar – insan için, e-posta adresinizi telefon numaranıza bağlayabiliriz ve bu gerçekten kötü.”
Analiz, güvenliği ihlal edilmiş kullanıcı adları ve şifrelerin bilinen veritabanlarından bilgi toplayarak, araştırmacıların 22 milyar kimlik bilgisinden oluşan bir veri tabanı oluşturabileceğini buldu. Bu kimlik bilgilerini bir telefon numarasına bağlamak, yaklaşık yarısı doğrulanmış olan 1 milyardan biraz daha fazla kayda maruz kalmayı azalttı.
Saldırganlar, bu kayıtları kullanmak için, ortadaki düşman saldırısı gerçekleştirebilir ve burada smishing saldırısı bir proxy’ye gider. Hedeflenen bir kullanıcı, bir mobil cihazda kötü amaçlı bir SMS mesajında bir bağlantı açtığında, ekran alanı çok küçük olduğundan, iOS ve Android’deki tarayıcılar URL gibi herhangi bir güvenlik bilgisi nadiren gösterir. Olofsson, bu nedenle, kullanıcıya saldırının birkaç işaretinin (varsa) sunulduğunu ve saldırıların çok daha etkili hale geldiğini söylüyor.
Ayrıca, smishing saldırılarının e-posta yoluyla gerçekleştirilen phishing saldırılarından yedi kat daha başarılı olduğunu söylüyor.
Olofsson, “Birinin bağlantıya tıklaması son derece muhtemel” diyor. “Saldırılarımıza bile bakıyorum ve vay be, buna kanabilirim” dedim.
Saldırganlar, son iki yılda finansal hesapları, özellikle de kripto para borsalarıyla bağlantılı olanları tehlikeye atmak için smishing kullandılar ve 2022’de şu ana kadar 1,6 milyar dolardan fazla kripto çalındı. Mayıs ayında yayınlanan bir analiz.
2FA için SMS: Riskli Biz
Bu arada, ABD federal hükümeti, ikinci bir kimlik doğrulama faktörü için herhangi bir SMS kullanımına ek kısıtlamalar getirdi. 2016 yılında, Ulusal Standartlar ve Teknoloji Enstitüsü (NIST), kullanıcıların kimliğini doğrulamak için ikinci bir faktör için kısa mesaj olarak gönderilen tek seferlik şifrelerin kullanılmasına karşı uyarıda bulundu.
“Bir cep telefonundan gönderilen bir SMS, örneğin bir Skype veya Google Voice telefon numarasına teslim edilen bir internet mesajına sorunsuz bir şekilde geçebilir. Kullanıcılar gönder tuşuna bastıklarında farkı bilmek zorunda değiller – bu İnternet’in büyüsünün bir parçası. Ancak güvenlik için önemli,” NIST politikanın bir açıklamasında yazdışunu ekliyor: “SMS ile birleştirilmiş bir parola, yalnızca parolalara göre çok daha yüksek bir koruma düzeyine sahip olsa da, NIST yönergeleri tarafından izin verilen diğer kimlik doğrulayıcılarda bulunan cihaz kimlik doğrulama mekanizmalarının gücüne sahip değildir”.
Bu tür saldırıların başarılı olma olasılığını azaltmak için, kullanıcılar SMS yoluyla gelen bildirimleri görmezden gelmeli ve bunun yerine doğrudan hesaplarına giriş yapmalıdır.
Olofsson, “Asla bir SMS mesajına güvenmeyin” diyor. “Bir şeylerin yanlış olduğunu düşünüyorsanız, tıklamayın, ona güvenmeyin. Bir bilgisayara gidin ve bir e-postanız olup olmadığına bakın, çünkü en azından o zaman başlıkları doğrulayabilirsiniz.”
Ne yazık ki, birçok finans kurumu ve diğer şirketler, ikinci kimlik doğrulama faktörü için bir seçenek olarak yalnızca SMS sundukları için, kullanıcıların daha iyi güvenlik uygulamalarını zorlaştırmaktadır. Olofsson, reCAPTCHA kontrollerinin eklenmesinin kullanıcılara bir şeylerin yanlış olduğuna dair bir ipucu verebileceğini, çünkü herhangi bir ortadaki düşman saldırısının kullanıcının IP adresini değil proxy sunucusunu görüntüleyeceğini belirtiyor.
