Son zamanlarda yeni bir dolandırıcılık yöntemi gündemde. Dolandırıcıların bu son yöntemi kan dondurdu. Dolandırıcılar, yeni tuzakları olan SS7 yöntemiyle, milyonlarca insan tarafından kullanılan iki faktörlü kimlik doğrulamayı (2FA) aşabiliyor. Vatandaşın telefonuna gönderilen doğrulama SMS'lerini kendilerine yönlendiren dolandırıcılar, güvenlik duvarını aşmayı başarıyor. 

Sabah'ta yer alan habere göre, kredi kartı, sosyal medya hesabı gibi kritik şifreleri ele geçiren dolandırıcılar, vatandaşları mağdur ediyor. Konuya ilişkin açıklamalarda bulunan Siber Güvenlik Uzmanı Eyüp Çelik, "SS7 protokolündeki güvenlik açıkları, dolandırıcılara sadece veri çalma değil, aynı zamanda iletişimi aktif olarak aldatma imkânı da tanır. Bunlardan ilki ve en yaygını, "kimlik taklidi" yöntemidir" dedi. 

SMS'LERİ VE ARAMALARI YÖNLENDİRİYOR

Eyüp Çelik sistemin nasıl işlediğini anlattı "SS7 ağına erişimi olan bir saldırgan, bir arama başlattığında veya SMS gönderdiğinde, gönderici numara kısmına istediği herhangi bir numarayı yazabilir. Bu sayede, size sanki bankanızdan veya bir yakınınızdan geliyormuş gibi görünen sahte aramalar veya SMS'ler göndererek sizi kolayca kandırabilir. SS7 ağı, bu gönderici bilgisinin doğruluğunu teyit etmediği için saldırı başarılı olur"

SS7'nin, telefon şebekeleri arasında iletişimi sağladığını vurgulayan Çelik, aramaları, SMS'leri ve mobil veri trafiğini yönlendirdiğini belitti.

İKİ FAKTÖRLÜ DOĞRULAMAYI BÖYLE AŞIYORLAR

Çelik, sözlerini şöyle sürdürdü; "Dolandırıcılar, SS7 saldırısını özellikle bankacılık ve finansal işlemler, kimlik hırsızlığı, telefon aramalarını yönlendirme ve kişisel veri ele geçirme gibi kötü amaçlı faaliyetler için kullanıyor. Günümüzde birçok hizmet, güvenlik için 2FA kullanıyor. Bu sistemde, kullanıcı adı ve şifrenin yanı sıra, kullanıcının cep telefonuna SMS ile bir doğrulama kodu gönderiliyor. Dolandırıcılar, SS7 saldırısı ile hedef aldıkları kişinin telefon numarasına gelen tüm SMS'leri ele geçiriyor.

Çelik, alınabilecek önlemleri de şöyle sıraladı: "Mümkünse SMS tabanlı 2FA yerine daha güvenli alternatifleri tercih edin. İnternet bağlantısı olmadan doğrudan telefonunuzda geçici kodlar üreten uygulamalar kullanın. Bankacılık ve sosyal medya hesaplarınızın güvenlik ayarlarından bu seçeneği aktif edin. USB veya NFC ile çalışan fiziksel anahtarlar, çok daha güvenlidir. Hesabınıza giriş denemesi olduğunda telefonunuza "Onaylıyor musunuz?" şeklinde bildirim gönderen yöntemi kullanın."