Tek Tıkla Dolandırıcılık SMS Linklerinde Gizli Tuzak

Yeni yayımlanan bir güvenlik araştırması, SMS ile gönderilen giriş linkleri ve tek kullanımlık şifrelerin milyonlarca kullanıcının kişisel verilerini ciddi risk altına soktuğunu ortaya koydu.

Sigorta tekliflerinden iş ilanlarına, evcil hayvan bakıcısı platformlarından özel ders hizmetlerine kadar geniş bir yelpazede kullanılan SMS tabanlı giriş yöntemlerinin, dolandırıcılık, kimlik hırsızlığı ve yetkisiz hesap erişimlerine kapı araladığı tespit edildi. Araştırmaya göre, 175'ten fazla hizmet adına SMS gönderen 700'ün üzerinde sistem noktası, kullanıcı güvenliğini tehlikeye atan ciddi açıklar içeriyor.

Tahmin Edilebilir Linkler Büyük Tehdit Oluşturuyor

Araştırmada ortaya çıkan en kritik sorunlardan biri, SMS ile gönderilen bağlantıların tahmin edilebilir veya kolayca kopyalanabilir olması. Güvenlik belirteçleri basit yöntemlerle değiştirildiğinde, saldırganlar başkalarının hesaplarına rahatlıkla erişebiliyor, kişisel bilgileri görüntüleyebiliyor ve bazı durumlarda kullanıcı gibi işlem gerçekleştirebiliyor. Güvenlik uzmanları, bu tür saldırıların temel-orta seviye web güvenliği bilgisiyle ve tüketici düzeyi donanımla büyük ölçekte yapılabildiğini vurguluyor. Durumu daha da vahim hale getiren nokta ise, birçok linkin yıllarca geçerliliğini koruması ve bu durumun yetkisiz erişim riskini katlanarak artırması.

Sorunu büyüten bir diğer önemli faktör, SMS'in şifreli olmaması. Geçmiş dönemlerde milyonlarca kısa mesajın depolandığı ve içinde isimler, adresler, kullanıcı adları, parolalar, finans başvuruları gibi son derece hassas verilerin bulunduğu açık veritabanları tespit edilmişti. Buna rağmen, "kolay ve sürtünmesiz" olduğu gerekçesiyle SMS tabanlı giriş sistemleri yaygınlığını sürdürüyor.

Yüz Binlerce Link İncelendi, Sonuçlar Şoke Etti

Araştırmacılar, 33 milyondan fazla mesajdan elde ettikleri 322 binin üzerinde benzersiz giriş linkini detaylı şekilde inceledi. Bu linklerin 701 farklı sistem noktasından geldiği ve 177 hizmeti kapsadığı belirlendi. Analiz sonuçları, bu hizmetlerin kimlik numarası, doğum tarihi, banka hesap bilgileri ve kredi skoru gibi kritik kişisel verileri açığa çıkarabildiğini gösterdi. Hizmetlerin 125'inin düşük güvenlikli token'lar nedeniyle toplu link tahminine açık olduğu tespit edildi.

Güvenlik uzmanlarına göre sorumluluk büyük ölçüde hizmet sağlayıcılarda. Kullanıcılara sadece "hassas bilgi vermeyin" demek yeterli değil; zira incelenen listede milyonlarca kullanıcısı olan tanınmış ve güvenilir olarak bilinen platformlar da bulunuyor. Uzmanlar, "sihirli link" yönteminin başlı başına güvensiz olmadığını ancak bu linklerin kısa süreli, ilk girişte geçersizleşen ve kriptografik olarak güçlü olması gerektiğini belirtiyor.

Kendinizi korumak için gelen SMS'lerdeki URL'nin doğru ve güvenli olduğundan emin olun. Eğer link "https" harfleriyle başlamıyorsa kesinlikle tıklamayın. İki faktörlü doğrulama kullanın ve mümkünse SMS yerine uygulama tabanlı doğrulamayı tercih edin.

Teknoloji Haberleri