OTP botları: Ne oldukları ve saldırıları önlemek için nasıl

Çevrimiçi hizmetlere artan bağımlılıkla birlikte çok faktörlü kimlik doğrulama (MFA), siber saldırılara karşı kritik bir savunma hattı haline geldi. En yaygın olarak kullanılan MFA unsurlarından biri, yetkisiz erişime karşı hesapları güvence altına almak için tasarlanmış, geçici, benzersiz bir kod olan tek kullanımlık parola (OTP) olarak kabul edilir. Ancak OTP'ler eskisi kadar kusursuz değil. OTP botlarını içeren yeni bir siber suç dalgası, etkinliklerini zorlamakta ve hem işletmelere hem de bireylere ciddi tehditler oluşturmaktadır.

OTP botlarının nasıl çalıştığını, saldırı yöntemlerini ve bunlara karşı korunma stratejilerini anlamak önemlidir. Bu rehber, OTP botlarının ardındaki mekanikleri inceleyecek ve kuruluşunuzun güvenliğini artırmak için alabileceğiniz uygulanabilir adımları sağlayacaktır.

OTP nedir?#

One-time password (OTP), tek kullanımlık kimlik doğrulama için kullanılan benzersiz, zaman duyarlı bir koddur. Zaman senkronizasyonu veya kriptografik hesaplamalara dayalı algoritmalarla üretilen OTP'ler, oturum açma işlemleri veya çok faktörlü kimlik doğrulama (MFA) sistemleri için ek bir güvenlik katmanı sağlar.

OTPlar birkaç şekilde teslim edilebilir:

• SMS kodları: Metin veya sesli mesaj yoluyla gönderilir.
• E-posta kodları: Kullanıcının gelen kutusuna doğrudan gönderilir.
• Doğrulayıcı uygulamalar: Google Authenticator veya Microsoft Authenticator gibi hizmetler aracılığıyla yerel olarak üretilir.

Kısa ömürlü doğası güvenliği artırır, uygulama tarafından üretilen kodlar genellikle 30 ila 60 saniye aralığında sona ererken, SMS veya e-posta kodları 5 ila 10 dakika sürer. Bu dinamik işlevsellik, OTPları statik parolalardan çok daha güvenli hale getirir.

Ancak, teslimatlarında bir ana güvenlik açığı bulunur çünkü saldırganlar bunları yakalamak için sistem zayıflıklarını veya insan hatasını sömürebilir. Bu riske rağmen, OTP'ler çevrimiçi güvenliğini artırmak için güvenilir ve etkili bir araç olarak kalır.

OTP'lerin MFA'daki rolü nedir?#

Çok faktörlü kimlik doğrulama (MFA) sistemlerinin anlaşılması, günümüzün dijital dünyasında çok önemlidir. MFA, kullanıcıların kimliklerini birden fazla faktörle doğrulamalarını gerektirerek güvenliği güçlendirir, yetkisiz erişimi önlemek için ek bir koruma katmanı ekler.

Tipik bir MFA süreci şu adımları içerir:

1. Kullanıcı tanımlayıcı: Bu, sistemin kullanıcıları nasıl tanıdığını gösterir. Bu, bir kullanıcı adı, e-posta adresi, telefon numarası, kullanıcı kimliği, çalışan kimlik numarası, bankamatik kartı numarası veya hatta bir sosyal kimlik olabilir.
2. Birinci kimlik doğrulama faktörü: Genellikle, bu bir şifredir, ancak aynı zamanda bir e-posta OTP veya SMS OTP olabilir.
3. İkinci kimlik doğrulama faktörü: Bu adım, SMS OTP'leri, doğrulayıcı uygulama OTP'leri, fiziksel güvenlik anahtarları veya parmak izi ve yüz tanıma gibi biyometrikler gibi ilkinden farklı bir yöntem kullanır.
4. Opsiyonel üçüncü kimlik doğrulama katmanı: Bazı durumlarda, ek bir katman eklenir. Örneğin, yeni bir cihazda bir Apple hesabına giriş yapmak, ekstra doğrulama gerektirebilir.

Bu çok katmanlı süreç güvenliği önemli ölçüde artırıyor çünkü saldırganların bir hesaba erişim sağlamak için her katmanı atlamaları gerekecek.

MFA genellikle üç kategoride kimlik doğrulayıcı faktörlere dayanır:

Bu yöntemlerin birleştirilmesiyle, MFA yetkisiz erişime karşı sağlam bir savunma oluşturur. Bir katman bile tehlikeye atılsa bile, hesabın genel güvenliği bozulmadan kalır ve kullanıcılar giderek daha bağlantılı olan bir dünyada daha iyi bir koruma sağlar.

OTP botları nedir?#

OTP botları, tek kullanımlık parolaları (OTP'leri) çalmak için özel olarak tasarlanmış otomatik araçlardır. Brute-force saldırıların aksine, bu botlar aldatma ve manipülasyon üzerine rely, güvenlik protokollerini atlamak için insan hatalarını, sosyal mühendislik taktiklerini veya sistem açıklarını sömürür.

"E-posta (tanımlayıcı olarak) + Şifre (ilk doğrulama adımı olarak) + Yazılım/SMS OTP (ikinci doğrulama adımı olarak)" ortak doğrulama sürecini ele alırsak, saldırı genellikle şu adımlarda gelişir:

1. Saldırgan, bir düzenli kullanıcı gibi uygulamanın giriş sayfasına veya API'sine erişir.
2. Saldırgan, kurbanın sabit kimlik bilgilerini, örneğin e-posta adreslerini ve şifrelerini girer. Bu kimlik bilgileri, genellikle çevrimiçi olarak satın almaya uygun sızdırılmış kullanıcı bilgileri veritabanlarından elde edilir. Birçok kullanıcı, farklı platformlarda parolalarını tekrar kullanma eğilimindedir ve bu da onları daha savunmasız hale getirir. Ayrıca, phishing teknikleri genellikle kullanıcıları hesap detaylarını açığa çıkarmaları için kandırmak için kullanılır.
3. Bir OTP botunu kullanarak, saldırgan kurbanın tek kullanımlık parolasını engeller veya alır. Geçerli zaman dilimi içinde, iki aşamalı doğrulama sürecini atlarlar.
4. Saldırgan hesaba erişim sağladıktan sonra, varlıkları veya hassas bilgileri aktarmaya devam edebilirler. Kurbanın ihlali fark etmesini geciktirmek için saldırganlar genellikle bildirim uyarılarını veya diğer uyarı işaretlerini silme adımlarını atlar.

Önümüzde, OTP botlarının nasıl uygulandığını ve bu güvenlik açıklarını istismar etmelerini sağlayan mekanizmaları daha ayrıntılı olarak keşfedeceğiz.

OTP botları nasıl çalışır?#

Aşağıda, gerçek dünya örnekleriyle birlikte belirtilmiş OTP botları tarafından kullanılan en yaygın teknikler yer almaktadır.

Phishing botları#

Phishing, OTP botları tarafından en yaygın kullanılan yöntemlerden biridir. İşte nasıl çalıştığı:

1. Yem (sahte mesaj): Kurban, banka, sosyal medya platformu veya popüler bir çevrimiçi hizmet gibi güvenilir bir kaynaktan gelen sahte bir e-posta veya metin mesajı alır. Bu mesaj genellikle şüpheli bir oturum açma girişimi, ödeme sorunu veya hesap askıya alma gibi acil bir sorunun olduğunu iddia ederek, kurbanı hemen harekete geçmeye zorlar.

2. Sahte giriş sayfası: Mesaj, kurbanı resmi web sitesine çok benzeyen sahte bir giriş sayfasına yönlendiren bir bağlantı içerir. Bu sahne, kurbanın giriş bilgilerini yakalamak için saldırganlar tarafından kurulmuştur.

3. Kimlik bilgilerinin çalınması ve MFA'nin tetiklenmesi: Kurban, sahte sayfada kullanıcı adı ve şifresini girdiğinde, phishing botu hızla bu çalıntı kimlik bilgilerini gerçek hizmete giriş yapmak için kullanır. Bu giriş denemesi daha sonra kurbanın telefonuna gönderilen tek kullanımlık bir parola (OTP) gibi bir çok faktörlü kimlik doğrulama (MFA) talebini tetikler.

4. Kurbanı OTP için kandırma: Phishing botu, kurbanın telefonuna gönderilen kodu ("Doğrulama için lütfen telefonunuza gönderilen kodu girin" gibi) sahte sayfada bir uyarı göstererek kurbanını kandırır. Kurban, bunun meşru bir süreç olduğunu düşünerek OTP'yi girer ve saldırganın gerçek hizmete girişini tamamlaması için gereken her şeyi bilmeden sağlar.

Örneğin, Birleşik Krallık'ta "SMS Bandits" gibi araçlar, metin mesajları aracılığıyla sofistike phishing saldırıları gerçekleştirmek için kullanılmıştır. Bu mesajlar resmi iletişimleri taklit ederek, kurbanları hesap kimlik bilgilerini ifşa etmeye kandırmaktadır. Kimlik bilgileri tehlikeye atıldığında, SMS Bandits suçluların OTP hırsızlığını başlatarak çok faktörlü kimlik doğrulamayı (MFA) atlamalarına olanak sağlar. Alarm verici bir şekilde, bu botlar, bir hedefin telefon numarası girildiğinde yaklaşık %80 başarı oranına ulaşmaktadır ve bu tür phishing düzenlerinin tehlikeli etkinliğini ortaya çıkarmaktadır. Daha fazla bilgi edinin

Kötü amaçlı yazılım botları#

Kötü amaçlı yazılım tabanlı OTP botları ciddi bir tehdittir, SMS tabanlı OTP'leri engellemeye direkt hedef alınırlar. İşte nasıl çalıştığı:

1. Kurbanlar kötü amaçlı uygulamaları bilmeden indirir: Saldırganlar, bankacılık veya üretkenlik araçları gibi yasal yazılımlara benzeyen uygulamalar oluşturur. Kurbanlar, genellikle yanıltıcı reklamlardan, resmi olmayan uygulama mağazalarından veya e-posta veya SMS ile gönderilen phishing bağlantılarından bu sahte uygulamaları kurar.
2. Kötü amaçlı yazılım hassas izinlere erişim sağlar: Uygulama yüklendiğinde, kurbanın cihazındaki SMS, bildirimler veya diğer hassas verilerin erişimine izin istemektedir. Birçok kullanıcı, risklerin farkında olmadan, bu izinleri uygulamanın gerçek amacını fark etmeden verir.
3. Kötü amaçlı yazılım OTP'leri izler ve çalar: Kötü amaçlı yazılım, arka planda sessizce çalışarak, gelen SMS mesajlarını izler. Bir OTP alındığında, kötü amaçlı yazılım, saldırganlara otomatik olarak ileterek iki faktörlü kimlik doğrulamayı atlamalarını sağlar.

Bir rapor, SMS mesajlarını, OTP'ler dahil çalmak için kötü amaçlı Android uygulamaları kullanan bir kampanyayı ortaya çıkardı ve 113 ülkeyi etkiledi, Hindistan ve Rusya en çok zarar gören ülkelerdi. 107.000'den fazla kötü amaçlı yazılım örneği bulundu. Enfekte olan telefonlar farkında olmadan hesapların kaydına ve 2FA OTP'lerinin toplanmasına kullanılabilir ve ciddi güvenlik riskleri teşkil eder. Daha fazla bilgi edinin

SIM değişimi#

SIM değiştirme yoluyla bir saldırgan, telekom sağlayıcıları kandırarak kurbanın telefon numarasını ele geçirir. Nasıl çalıştığı:

1. Taklit: Saldırgan, kurban hakkında kişisel bilgiler (ad, doğum tarihi veya hesap ayrıntıları) toplar, phishing, sosyal mühendislik veya veri ihlalleri yoluyla.
2. Sağlayıcıyı İletişim Kurma: Bu bilgileri kullanarak, saldırgan kurbanın telekom sağlayıcısına kurban gibi davranarak SIM kart değişikliği talep eder.
3. Transfer Onayı: Sağlayıcı, kurbanın numarasını saldırganın kontrolündeki yeni bir SIM karta transfer ederek kandırılır.
4. Engelleme: Transfer tamamlandıktan sonra, saldırgan aramalara, mesajlara ve SMS tabanlı tek kullanımlık parolalar (OTP'ler) erişir, bankacılık hesapları, e-posta ve diğer hassas hizmetler için güvenlik önlemlerini atlarken.

SIM değiştirme saldırıları artışta, ciddi finansal zararlara neden olmaktadır. Sadece 2023 yılında, FBI 1,075 SIM değiştirme olayını araştırdı ve 48 milyon dolarlık kayıplara yol açtı. Daha fazla bilgi edinin

Sesli çağrı botları#

Sesli botlar, kurbanları OTP'lerini (tek kullanımlık parolalarını) ifşa etmeleri için kandırmak amacıyla gelişmiş sosyal mühendislik teknikleri kullanır. Bu botlar, önceden ayarlanmış dil komut dosyaları ve özelleştirilebilir ses seçenekleri ile donatılmıştır ve yasal çağrı merkezlerini taklit edebilirler. Güvenilir varlıklar gibi davranarak, telefon üzerinden hassas kodları ifşa etmeleri için kurbanları manipüle eder. Nasıl çalıştığı:

1. Bot, arama yapar: Bot, bankalarından veya bir hizmet sağlayıcıdan olduğunu iddia ederek kurbanla iletişime geçer. Kurbanın hesabında "şüpheli bir etkinlik" tespit edildiğini bildirerek aciliyet ve korku yaratır.
2. Kimlik doğrulama isteği: Bot, kurbanın hesabını güvende tutmak için kimlik doğrulamasını "doğrulamalarını" ister. Bu, kurbanın OTP'yi (gerçek hizmet sağlayıcı tarafından gönderilir) telefon üzerinden girmesini isteyerek gerçekleştirilir.
3. Anında hesap ihlali: Kurban OTP'yi sağladığında, saldırgan dakikalar içinde kurbanın hesabına erişim sağlamak için bunu kullanır ve genellikle para veya hassas verileri çalar.

Telegram platformu, siber suçlular tarafından botlar oluşturmak ve yönetmek veya operasyonları için bir müşteri destek kanalı olarak kullanılmaktadır. Örneğin, BloodOTPbot, bir bankanın müşteri desteğini taklit eden, SMS tabanlı otomatik çağrılar üretebilen bir bottur.

SS7 Saldırıları#

SS7 (Signaling System 7), arama yönlendirme, SMS ve dolaşım için önemli olan bir telekom protokolüdür. Ancak, hackerların SMS, tek kullanımlık parolalar (OTP'ler) dahil olmak üzere, interception yapmalarına ve iki faktörlü kimlik doğrulamayı (2FA) atlamalarına izin veren zafiyetlere sahiptir. Bu saldırılar, karmaşık olsalar da, büyük siber suçlarda kullanılmakta, veriler ve para çalınmaktadır. Bu durum, SMS tabanlı OTP'lerin yerine daha güvenli seçenekler, örneğin uygulama tabanlı doğrulayıcılar veya donanım jetonları ile değiştirmenin gerekliliğini göstermektedir.

OTP bot saldırılarını nasıl durdurabilirsiniz?#

OTP bot saldırıları giderek daha etkili ve yaygın hale gelmektedir. Çevrimiçi hesapların artan değeri, bunlar finansal hesaplar, kripto para cüzdanları ve sosyal medya profilleri dahil olmak üzere siber suçlular için kazançlı hedefler haline getirir. Buna ek olarak, Telegram tabanlı botlar gibi araçlar üzerinden saldırıların otomasyonu, bu tehditleri yeni başlayan bilgisayar korsanlarına bile daha erişilebilir hale getirmiştir. Son olarak, birçok kullanıcı MFA sistemlerine körü körüne güvenmekte, OTP'lerin nasıl kolayca istismar edilebileceğini çoğu zaman hafife almaktadır.

Bu nedenle, kuruluşunuzu OTP botlarından korumak için güvenliğinizi birkaç önemli alanda güçlendirmeniz gerekir.

İlk kimlik doğrulama güvenliğini güçlendirin#

Bir kullanıcı hesabına erişim sağlamak, çok sayıda koruma katmanını aşmayı zorlaştırdığı için, ilk kimlik doğrulama katmanı kritik önem taşır. Daha önce belirtildiği gibi, parolalar tek başına OTP bot saldırılarına karşı son derece savunmasızdır.

• sosyal giriş veya kurumsal SSO kullanın: Birincil kimlik doğrulama için güvenli üçüncü taraf kimlik sağlayıcıları (IdP'ler) kullanın, Google, Microsoft, Apple'ı sosyal giriş için, veya Okta, Google Workspace ve Microsoft Entra ID için SSO ile. Bu parola yerine kullanılan yöntemler, saldırganların kolayca sömürebileceği şifreler için daha güvenli bir alternatif sunar.
• CAPTCHA ve bot algılama araçlarını uygulayın: Bot algılama çözümleri uygulayarak sisteminizi otomatik erişim denemelerinden koruyun.
• Parola yönetimini güçlendirin: Şifre kullanımı devam ederse, daha sıkı parola politikaları uygulayın, kullanıcılara Google Şifre Yöneticisi veya iCloud Şifreler gibi parola yöneticilerini benimsemeleri için teşvik edin ve güvenliği artırmak için periyodik parola güncellemeleri gerektirin.

Daha akıllı Çok Faktörlü Kimlik Doğrulama'yı uygulayın#

İlk savunma hattı kırıldığında, ikinci doğrulama katmanı kritik hale gelir.

• Donanım tabanlı kimlik doğrulamaya geçin: SMS OTP'leri güvenlik anahtarları (YubiKey gibi) veya geçiş anahtarları ile değiştirin, FIDO2 standardına uyan. Bu fiziksel mülkiyet gerektirir, phishing, SIM değiştirme ve ortadaki adam saldırılarına karşı dirençlidir, çok daha güçlü bir güvenlik katmanı sunar.
• Uyarlanabilir MFA uygulayın: Uyarlanabilir MFA, kullanıcıların konumu, cihazları, ağ davranışları ve oturum açma kalıpları gibi bağlamsal faktörleri sürekli olarak analiz eder. Örneğin, bir giriş denemesi tanınmayan bir cihazdan veya alışılmadık bir coğrafi konumdan yapıldığında, sistem otomatik olarak ek adımlar isteyebilir; bir güvenlik sorusunu yanıtlamak veya biyometrik kimlik doğrulaması ile kimliği doğrulamak gibi.

Kullanıcı eğitimi#

İnsanlar kesinlikle en zayıf halkadır, bu nedenle eğitimi en üst önceliğiniz yapın.

• Phishing risklerini en aza indirmek için marka ve URL'yi açık bir şekilde kullanın.
• Kullanıcıları ve çalışanları phishing girişimlerini ve kötü amaçlı uygulamaları tanımaya yönelik eğitin. Kullanıcılara, ne kadar ikna edici görünse de, sesli aramalarda veya phishing sayfalarında OTP'leri paylaşmaktan kaçınmalarını düzenli olarak hatırlatın.
• Anormal hesap etkinliği tespit edildiğinde, yöneticileri hemen bilgilendirin veya işlemi programatik olarak sonlandırın. Denetim kayıtları ve webhooks bu sürecin çalışmasına yardımcı olabilir.

Adanmış araçlarla kimlik doğrulamayı yeniden düşünmek#

Kendi içinde kimlik yönetim sistemi uygulamak maliyetli ve kaynak yoğun bir iştir. Bunun yerine, işletmeler profesyonel kimlik doğrulama hizmetleri ile kullanıcı hesaplarını daha verimli bir şekilde koruyabilir.

Logto gibi çözümler, esneklik ve sağlam güvenliğin güçlü bir kombinasyonunu sunar. Uyarlanabilir özellikleri ve kolay entegrasyon seçenekleri ile Logto, OTP botları gibi gelişen güvenlik tehditlerine karşı kuruluşların öncelik kazanmasına yardımcı olur. Aynı zamanda işiniz genişledikçe güvenliği ölçeklendirmek için maliyet açısından etkili bir seçenektir.

Logto'nun yeteneklerinin tam yelpazesini keşfedin, Logto Cloud ve Logto OSS dahil olmak üzere Logto web sitesini ziyaret ederek öğrenin: