SIM Kart Dolandırıcılığı ile Mücadele

If you are looking for an English version of this article, please visit here.

Günümüzde, kullandığımız e-posta hesabından sosyal medya hesabına, internet bankacılığı hesabından geliştirdiğimiz yazılımın kaynak kodunu barındırdığımız hesaba kadar giriş (login) esnasında güvenliğimiz için iki faktörlü kimlik doğrulama kullanıyoruz veya kullanmaya zorlanıyoruz. İki faktörlü kimlik doğrulama denildiğinde son yıllarda geniş kitleler tarafından sıklıkla kullanılması sebebiyle çoğumuzun aklına tek kullanımlık parola, OTP olarak SMS doğrulama kodu gelse de, tek kullanımlık parola üreten aygıtlar, uygulamalar hala hayatımızda fazlasıyla yer edinmektedir.

Yakın geçmişte yabancı basında SIM kartı değişikliği ile yapılan dolandırıcılık haberlerine sıkça rastlamaya başladık. Bu dolandırıcılıkların başarıyla ulaşmasının en büyük nedeni ise kullanıcıların doğrulama adına bir aygıt kullanmaması veya tek kullanımlık parola üreten bir aygıt, uygulama kullanmak yerine SMS doğrulama kodu kullanmalarıdır. Bu sayede telefon hattını üzerine geçiren bir dolandırıcı bundan sonra bankacılıktan sosyal medya hesaplarına kadar hedef kişinin giriş esnasında cep telefonununa gönderilen tek kullanımlık SMS doğrulama kodunu ele geçirerek kötü emellerine ulaşabilmektedir. Türkiye’de bu şekilde gerçekleştirilen dolandırıcılıklar ile yıllar yıllar önce karşılaşılmaya başlandığı için bugün GSM operatörleri ile finans kurumları arasında etkin bir işbirliği yapılması ile SIM kartı değişikliği ile gerçekleştirilmeye çalışılan internet/mobil bankacılığı dolandırıcılıkları önlenebilmektedir. Son zamanlarda ise zorlu hedeflerle uğraşmak yerine kolay olanları tercih eden dolandırıcıların SIM kartı değişikliği ile kripto para borsalarında hesabı olan kullanıcıları, yatırımcıları hedef aldığını görebilmekteyiz.

Kendi hesaplarım için olabildiğince Google Authenticator gibi tek kullanımlık parola üreten uygulamalar kullansam da APT41 gibi telekomünikasyon firmalarını hedef alıp SMS meajlarına göz diken devlet destekli hacker grupları, casusa dönüşme potansiyeli git gide artan akıllı telefonlar derken telefonumu doğrulama amacıyla kullanmak bir siber güvenlik araştırmacısı olarak pek güvende hissettirmemeye başlamıştı. Bir de bağlantılarımdan “Hocam peki sen kendi hesaplarının güvenliğini nasıl sağlıyorsun ?” vb. sorular ile de zaman içinde karşılaşmaya başladıkça bu yazı ile bilfiil hesaplarımın güvenliğini nasıl sağladığımı kısaca açıklamaya karar verdim.

SMS doğrulama koduna (something you have) kıyasla doğrulama faktörü olarak daha güvenli ne kullanabilirim diye kısa bir araştırma yaptığımda Google’ın Gelişmiş Güvenlik Programı‘nda da yer alan güvenlik anahtarı üreticisi Yubico‘nun web sayfasını incelemeye karar verdim. YubiKey NFC 5 anahtarını almaya karar verdikten sonra maalesef YubiKey’in bilinen e-ticaret mağazalarında satılmadığını öğrendim. Amazon.com üzerinde 45$’a satılan bu anahtara bir o kadar da kargo bedeli üzerine bir de vergi ödememek için ne yapmalı ne etmeli diye kara kara düşünürken imdadıma o esnada FireEye etkinliği için ABD’ye uçacak olan FireEye Türkiye Kıdemli Satış Mühendisi Ökkeş ÖZDEMİR koştu ve sağolsun dertsiz, tasasız bu güvenlik anahtarına sahip olabildim.

Yubikey

Anahtarı alır almaz http://yubico.com/start adresini ziyaret edip kurulum ile ilgili yönergeleri okuduktan sonra ilk iş olarak siber güvenlik ile ilgili haberleri takip etmek için çok sık kullandığım Twitter hesabımı güvenli hale getirmeye karar verdim. Twitter’a giriş yaptıktan sonra iki faktörlü yetkilendirme sayfasında kısa mesaj opsiyonunu devre dışı bıraktım. Ardından güvenlik anahtarı opsiyonunu aktif hale getirip yönergeleri takip ederek USB güvenlik anahtarımı Twitter’a başarıyla tanıtarak SMS doğrulama kodu ile girişten kurtulmayı başardım. WordPress yönetim sayfasına girişte de bu anahtarı kullanabilir miyim acaba diye araştırma yaparken Two-Factor WordPress eklentisi ile de karşılaşmak beni oldukça mutlu etti.

Yeri gelmişken güvenlik anahtarı ile doğrulamayı desteklemeyen platformlar için ise Yubico tarafından geliştirilmiş olan Google Authenticator muadili, NFC destekli Yubico Authenticator uygulaması sayesinde güvenlik anahtarınızı telefonunuza NFC üzerinden okutarak tek kullanımlık parola oluşturabileceğinizi de belirtmiş olayım.

Yubikey
Yubikey
Yubikey
Yubikey
Yubikey
Yubikey

Son olarak Google’ın Gelişmiş Güvenlik Programı‘na da dahil olup tüm Google hesaplarımı da güvenlik anahtarı destekleyen platformlarda olduğu gibi güvenli hale getirdikten sonra kendini bir nebze daha güvenli hisseden bir siber güvenlik araştırmacısı olarak mutlu sona ulaşmış oldum.

Bir sonraki yazıda görüşmek dileğiyle herkese güvenli günler dilerim.

image_pdfShow this post in PDF formatimage_printPrint this page
14 comments
  1. Mert Hocam elinize sağlık. Çok önemli bir konu, bunu son kullanıcıların kolaylıkla alabileceği ve kullanabileceği bir şekle dönüştürmek gerek.

  2. Hocam verdiğiniz çok kıymetli bilgiler için teşekkür ederim. Bu arada takip ettiğim tek blog sayfası sizin sayfanız. Bu konuda gerçekten son derece hızlı bir gerileme olduğu kanaatindeyim. Sizin gibi güzel insanların düzenli olarak bilgi paylaşımı yapmaları gelecek için çok kıymetli.
    Kaleminize yüreğinize sağlık.

  3. Merhaba. Yubico’nun arızalanma ihtimaline karşı bu cihazın yedeği oluşturabiliyor mu ? Ya da konfigürasyon yedeği alınıp başka cihaza aktarılabiliyor mu ?

  4. Hocam bu arada devlet destekli bir gurup tarafından saldırıya uğrasınız evinize yakın bir yerde femtocell ile sms leri alsalar yanlış bilmiyorsam sms ler DES ile şifreleniyor devlet destekli saldırılarda sahip olunan kaynak ile sanırım süresi dolmadan bile çözülebilir DES Yubikey mantıklı nfc özelliği var ise anti rfid bir kap kılıf veya cüzdanın içinde kullanın hocam avuçlarını yalarlar :)

  5. Peki Yubikey’in çalıması veya kaybolması durumunda içinde barındırdığı OTP, OPENPGP anahtarlarına ulaşılabilir mi?

Leave a Reply

Your email address will not be published. Required fields are marked *

You May Also Like
Read More

e-Devlet Hacklendi mi?

If you are looking for an English version of this article, please visit here. Öncelikle yazının sonunda söyleyeceğimi başta söyleyeyim, “Hayır, hack-len-me-di!” Peki bu durumda vatandaş olarak rahat bir nefes alabilir misiniz ? Maalesef hayır. Bunun sebebini de yazının devamında okuyabilirsiniz. Zaman zaman hortlayan “e-Devlet Hacklendi!”, “e-Devlet verileri çalındı!”, “85…
Read More
Read More

WhatsApp Dolandırıcıları

If you are looking for an English version of this article, please visit here. Başlangıç Son günlerde hemen hemen WhatsApp uygulaması kullanan herkesi rahatsız eden yabancı cep telefonu numaralarından gelen çağrılardan, mesajlardan ben de yakın zamanda nasibimi aldım ve tabii ki diğer dolandırıcılıklarla ilgili yazılarımda (Kripto Para Dolandırıcıları, LinkedIn Dolandırıcıları,…
Read More
Read More

LinkedIn Dolandırıcıları

If you are looking for an English version of this article, please visit here. Uzun yıllardan beri sosyal ağları ve medyayı etkin kullanan bir siber güvenlik araştırmacısı olarak bağlantılarım arasında yer alanlarınız özellikle hafta içi LinkedIn ve Twitter üzerinden okuduğum ve beğendiğim siber güvenlik makalelerini, haberleri paylaştıklarımı farkediyorlardır. Twitter hesabımın…
Read More
Read More

Bad Bad USB

If you are looking for an English version of this article, please visit here. Her yıl, Ağustos ayında, ABD’nin Las Vegas kentinde düzenlenen geleneksel Black Hat Bilgi Güvenliği Konferansı‘nın sonuncusunda, Karsten NOHL ve Jakob LELL adındaki iki araştırmacı, BadUSB adında dikkat çekici bir sunuma imza attı. Bu sunumda kısaca, USB’de…
Read More