Yeni bir dolandırıcılık yolu gündem oldu. Dolandırıcılar, yeni tuzakları olan SS7 tekniğiyle, milyonlarca insan tarafından kullanılan iki faktörlü kimlik doğrulamayı (2FA) aşabiliyor. Vatandaşın telefonuna gönderilen doğrulama SMS’lerini kendilerine yönlendiren dolandırıcılar, güvenlik duvarını aşmayı başarıyor.
Sabah’ta yer alan habere nazaran, kredi kartı, toplumsal medya hesabı üzere kritik şifreleri ele geçiren dolandırıcılar, vatandaşları mağdur ediyor. Bahse ait açıklamalarda bulunan Siber Güvenlik Uzmanı Eyüp Çelik, “SS7 protokolündeki güvenlik açıkları, dolandırıcılara yalnızca bilgi çalma değil, tıpkı vakitte irtibatı etkin olarak aldatma imkânı da tanır. Bunlardan birincisi ve en yaygını, “kimlik taklidi” yöntemidir” dedi.
SMS’LERİ VE ARAMALARI YÖNLENDİRİYOR
Eyüp Çelik sistemin nasıl işlediğini anlattı “SS7 ağına erişimi olan bir saldırgan, bir arama başlattığında yahut SMS gönderdiğinde, gönderici numara kısmına istediği rastgele bir numarayı yazabilir. Bu sayede, size güya bankanızdan yahut bir yakınınızdan geliyormuş üzere görünen düzmece aramalar yahut SMS’ler göndererek sizi kolaylıkla kandırabilir. SS7 ağı, bu gönderici bilgisinin doğruluğunu teyit etmediği için hücum başarılı olur”
SS7’nin, telefon şebekeleri ortasında bağlantısı sağladığını vurgulayan Çelik, aramaları, SMS’leri ve taşınabilir bilgi trafiğini yönlendirdiğini belitti.
İKİ FAKTÖRLÜ DOĞRULAMAYI BU TÜRLÜ AŞIYORLAR
Çelik, kelamlarını şöyle sürdürdü; “Dolandırıcılar, SS7 saldırısını bilhassa bankacılık ve finansal süreçler, kimlik hırsızlığı, telefon aramalarını yönlendirme ve şahsî bilgi ele geçirme üzere berbat emelli faaliyetler için kullanıyor. Günümüzde birçok hizmet, güvenlik için 2FA kullanıyor. Bu sistemde, kullanıcı ismi ve şifrenin yanı sıra, kullanıcının cep telefonuna SMS ile bir doğrulama kodu gönderiliyor. Dolandırıcılar, SS7 saldırısı ile maksat aldıkları kişinin telefon numarasına gelen tüm SMS’leri ele geçiriyor.
Çelik, alınabilecek tedbirleri de şöyle sıraladı: “Mümkünse SMS tabanlı 2FA yerine daha inançlı alternatifleri tercih edin. İnternet teması olmadan direkt telefonunuzda süreksiz kodlar üreten uygulamalar kullanın. Bankacılık ve toplumsal medya hesaplarınızın güvenlik ayarlarından bu seçeneği etkin edin. USB yahut NFC ile çalışan fizikî anahtarlar, çok daha inançlıdır. Hesabınıza giriş denemesi olduğunda telefonunuza “Onaylıyor musunuz?” formunda bildirim gönderen sistemi kullanın.”