Çok Faktörlü Kimlik Doğrulama (MFA) Hackleme Yöntemleri

tarih:

                           


Bu teknik incelemenin bu bölümü, MFA (Çok Faktörlü Kimlik Doğrulama) çözümlerini hacklemenin bir düzineden fazla yolunu ele alacaktır. Bu saldırıların birçoğu, milyonlarca MFA korumalı kullanıcıya karşı başarıyla uygulanmıştır. Tartışılan saldırı yöntemleri, ilgili haber raporlarına bağlantılar ve bu yöntemlerin kullanıldığı örnekler içerecektir. Henüz halka açık saldırılarda kullanılmamış teorik saldırılar ise bu şekilde belirtilecektir.

Çoğu durumda, belirli bir MFA çözümü birden fazla hackleme yöntemine karşı savunmasız olabilir, bu nedenle saldırılar yalnızca tek bir MFA çözümüne özgü değildir. Her saldırı, genellikle sıkça hedef alındığı MFA yöntemine karşı açıklanacaktır, ancak bu yöntemler çoğu zaman diğer MFA çözümlerine karşı da kullanılabilir.

MFA'yı Hacklemenin Genel Yolları

MFA (Çok Faktörlü Kimlik Doğrulama) çözümlerine yönelik saldırılar genellikle üç genel kategoride sınıflandırılabilir:

  • Sosyal Mühendislik: Kullanıcıları kandırarak hassas bilgilerini paylaşmalarını sağlama.
  • Teknik: Sistem açıklarından veya güvenlik zafiyetlerinden yararlanma.
  • Karışık: Hem sosyal mühendislik hem de teknik yöntemleri bir arada kullanma.

Bu yollar, MFA çözümlerine yönelik farklı saldırı stratejilerinin temelini oluşturur.


Sosyal Mühendislik ve Teknik Manipülasyon

Sosyal mühendislik, MFA çözümünün yanlışlıkla atlanmasına veya yanlış kullanılmasına neden olan insan faktörüne atıfta bulunur. Bu, genellikle kullanıcıları kandırarak güvenlik önlemlerini devre dışı bırakmalarını veya hatalı bir şekilde kullanmalarını sağlamayı içerir.

Teknik manipülasyon ise, insan kullanıcıların bir hata yapmasına gerek kalmadan, sistem açıklarından veya güvenlik zafiyetlerinden yararlanarak gerçekleştirilen sömürü ve manipülasyon yöntemlerini ifade eder.

Aşağıda sunulan bilgisayar korsanlığı yöntemlerinin çoğu, hem insan hem de teknik zayıflıkların bir kombinasyonunu gerektirir.

Kimlik Doğrulama Süreçlerinde Zayıflıklardan Yararlanma

Bilgisayar korsanlığı yöntemleri ne olursa olsun, temel amaç kimlik, kimlik doğrulama gizliliği, kimlik doğrulama süreçleri veya yetkilendirme adımları arasındaki zayıflıklardan faydalanmaktır. Saldırılar, bu adımlardan bir veya birkaçının kötü niyetle kesilmesi, değiştirilmesi, yanlış temsil edilmesi ya da bu adımlar arasında geçiş yapılmasıyla gerçekleştirilir.

Not: Bir MFA çözüm sağlayıcısı genellikle, MFA çözümünün kendisinin başarısız olmadığını iddia ederek, sistemlerini başarılı bir saldırıya karşı savunur. Bu teknik olarak doğru olabilir, ancak MFA çözümleri yalnızca steril laboratuvar ortamlarında doğrudan saldırıların test edildiği koşullarda değerlendirilmez. Eğer bir MFA çözümü herhangi bir nedenle kullanıcıyı başarısızlığa uğratırsa, kullanıcı açısından bu çözüm başarısız olmuş kabul edilir. Kullanıcı, MFA çözümünün teknik olarak sorumlu olup olmadığıyla değil, sadece kendi deneyimiyle ilgilenir ve bu deneyim başarısızlığa uğradığında, tüm sistem gözünde başarısız olur.

Oturum Çalma

Oturum çalma, başarılı ve meşru bir kimlik doğrulamanın ardından, yetkisiz bir tarafın meşru kullanıcının oturumunu ele geçirdiği bir bilgisayar korsanlığı yöntemidir. Bu saldırı genellikle, kullanıcının erişim kontrol belirtecinin çalınmasıyla gerçekleştirilir. Kullanıcı bu durumun başlangıçta farkında olmayabilir ya da basit bir kimlik avı e-postasına yanıt vererek kendi oturumunun ele geçirilmesine istemeden katkıda bulunabilir.

Saldırgan, erişim kontrol belirtecini ele geçirdiğinde veya kopyaladığında, meşru kullanıcıdan oturumu uzaklaştırabilir ya da hileli bir şekilde manipüle edebilir. Oturum ele geçirildiğinde, saldırgan, o oturum süresince kullanıcının kimliğini üstlenir. Oturum çalma onlarca yıldır var olan ve kimlik doğrulama korsanlığının en yaygın biçimlerinden biridir ve MFA'ya karşı da aynı derecede etkili olabilir.


Oturum çalma, aşağıdakiler gibi çeşitli yöntemlerle gerçekleştirilebilir:

  • Oturum Benzersiz Tanımlayıcı Tahmini
  • Ağ İletişim Kanalında Oturum Belirtecinin Çalınması
  • Son Noktada Oturum Belirtecinin Çalınması

Oturum Benzersiz Tanımlayıcı Tahmini

Bir kullanıcı, MFA (Çok Faktörlü Kimlik Doğrulama) kullanarak veya kullanmadan bir web sitesine başarılı bir şekilde giriş yaptığında, benzersiz bir oturum belirteci (örneğin, bir çerez) veya URL dizesi geri gönderilir. Bu benzersiz tanımlayıcılar, meşru kullanıcıyı ve o kullanıcının web sitesindeki oturumunu tanımlamak için rastgele seçilmiş olmalıdır. Bu tanımlayıcıların, diğer üçüncü tarafların (yani, bilgisayar korsanlarının) bu belirteçleri veya URL dizelerini tahmin edebilmelerine imkân verecek kadar öngörülebilir olmaması kritik önem taşır.

Oturum korsanları, öngörülebilir benzersiz tanımlayıcılara sahip web sitelerini hedef alır. Bilgisayar korsanları, genellikle hedeflenen bir web sitesine birden fazla, farklı kimliği doğrulanmış kullanıcı olarak giriş yaparak bu süreci başlatır. Ardından, her kullanıcı için oluşturulan çerez veya URL dizelerindeki benzersiz tanımlayıcılar arasındaki ortak noktaları ararlar. Bazen, tanımlayıcılar arasında rastgelelik bulunmaz ve numaralar farklı kullanıcılar arasında mükemmel bir şekilde sıralanır ve tahmin edilebilir hale gelir. Saldırgan bir kez bu kalıbı çözdüğünde, farklı tanımlayıcı numaraları deneyerek istediği hedef hesaba veya erişime ulaşmayı dener.

Bu tür bir saldırıda, saldırgan hedeflenen kurbanı hiç dahil etmeden, yalnızca tahminlerle her kullanıcının oturumunu ele geçirebilir. Dolayısıyla, MFA kullanılsa bile, saldırgan başarılı bir kimlik doğrulamasından sonra sözde benzersiz tanımlayıcıları tahmin edebilirse, tüm oturumlar olmasa bile en azından belirli bir oturum için kullanıcının kimliğini ele geçirmiş olur. Bu tür bir güvenlik kodlama hatası, eskisi kadar yaygın olmasa da, tüm web sitesi geliştiricileri bu sorunun farkında olmadığından dolayı hâlâ yeterince sık rastlanabilmektedir.


Oturum Ele Geçirme Proxy Saldırısı

Bu saldırı türünde, bilgisayar korsanının önce istemci (kullanıcı) ve sunucu arasında başarılı bir şekilde konumlanması gerekir. Bu, genellikle bir "Ortadaki Adam" (Man-in-the-Middle, MitM) saldırısı ile gerçekleştirilir. Bir MitM saldırısı düzenlemek, çoğu kişinin düşündüğünden daha kolay olabilir. Örneğin, bir kafede paylaşılan bir kablosuz ağ ortamında, çeşitli ücretsiz bilgisayar korsanlığı araçları kullanılarak yerel düzeyde gerçekleştirilebilir. Ayrıca, uzaktan internet üzerinden, kurbanı sahte veya benzer bir URL'ye sahip bir web sitesini ziyaret etmeye ikna etmek için kimlik avı e-postaları kullanılarak da uygulanabilir.

Kullanıcı bir MitM saldırısının kurbanı olduğunda, gönderdiği her bilgi, MitM proxy hizmeti tarafından ele geçirilebilir. Bu, oturum belirteçlerinden kullanıcı adı ve şifre gibi kritik verilere kadar her türlü hassas bilginin saldırganın eline geçebileceği anlamına gelir.


                                     

Sahte Kimlik Doğrulama

Hack'lemeyi gerçekleştirmenin en kolay yollarından biri, aslında hiç hack'lememektir. Bu senaryoda, kullanıcıya sunulan kimlik doğrulama deneyimi, tamamen veya kısmen sahte bir web sitesi tarafından taklit edilir. Kurban, MFA (Çok Faktörlü Kimlik Doğrulama) belirtecine sahip olduğunu düşündüğü bir siteyi ziyaret etmek üzere kandırılır. Sahte site, normal oturum açma deneyimini simüle eder ve kullanıcı, oturum açma adı ve/veya parolayı girdikten sonra sahte bir MFA çözümü yanıtı için istek alabilir. Sahte web sitesi, oturum açma işlemi başarılıymış gibi davranır ve kurbanı saldırganın belirlediği bir açılış sayfasına yönlendirir.

Örneğin, kullanıcı, Google Authenticator MFA uygulamasını kullanarak kimlik doğrulaması yaptığına inanır. Ancak, sahte site, Google Authenticator MFA ile ilişkili olmamasına rağmen 6 basamaklı bir kod ister. Kullanıcı, deneyimin sahte olduğunu bilmeden bu kodu girer.

Bu tür bir saldırıda, sahte web sitesi, kullanıcının oturum belirtecini ele geçirmez. Dolayısıyla, saldırgan, kullanıcının gerçek web sitesine giriş yapamaz veya gerçek oturumunu kontrol edemez. Ancak, saldırganın sahte sitesi, ek güvenlik bilgileri gerekiyormuş gibi davranarak kullanıcıdan parola kurtarma soruları, sosyal güvenlik numarası, kredi kartı bilgileri gibi kritik bilgileri isteyebilir. Saldırgan, bu bilgileri elde ettikten sonra, kullanıcıyı gerçek web sitesine yönlendirebilir ve bir hata yaşanmış gibi gösterebilir.

Bazı MFA çözümleri, yalnızca önceden kaydedilmiş gerçek web sitesi dahil olmadıkça bir MFA yanıtı göndermeyerek bu tür saldırılardan kaçınmaya çalışır. Bu, istek güvenilir bir web sitesinden gelmediği sürece kullanıcıya sahte kimlik doğrulama için bir kod verilmesini engeller. Ancak, sahte web siteleri bu korumayı aşmak için kullanıcının yazdığı bilgileri gerçek web sitesine göndererek gerçek bir kod elde edebilir ve bu kodu kullanarak meşru web sitesinde oturum açabilir.

Bu tür saldırılarla mücadele etmek için bazı MFA çözümleri, oturum açan web sitesinin URL'sini ve kullanıcının konumunu birlikte gönderebilir. Bu şekilde, kullanıcı beklemediği bir konumdan oturum açma girişimi görürse bir MitM (Ortadaki Adam) saldırısından şüphelenebilir. Ancak, saldırganlar kullanıcının mevcut konumunu da taklit edebilir, bu nedenle bu koruma yöntemi de her zaman güvenilir değildir. Diğer olası korumalar, kullanıcı deneyimini zorlaştırabilir ve oturum açma sürecini uzatabilir. MFA çözümünün kendisi doğrudan saldırıya uğramadığından, bu tür sahte kimlik doğrulama saldırılarından tamamen kaçınmak oldukça zordur.


Uç Noktadaki Adam Saldırıları

Uç nokta saldırıları, bir saldırganın bir cihazda yönetici erişimi elde etmesi durumunda, cihazın yaptığı hiçbir şeye güvenilemeyeceğini belirten bir genel saldırı kategorisidir. Bu tür bir saldırıda, bilgisayar korsanı, oturum açmış kullanıcının yapabileceği her şeyi yapma yeteneğine sahip olur. Dolayısıyla, kullanıcı bir web sitesinde veya uygulamada kimlik doğrulaması yaptığında, bilgisayar korsanı bu kimlik doğrulamayı taklit edebilir ve meşru kullanıcının yapabileceği her şeyi yapabilir.

"Yerel" bir bilgisayar korsanı, oturum belirteçlerini doğrudan çalabilir ve önceki bölümlerde açıklanan saldırıları taklit edebilir. Bu tür saldırılarda, saldırgan genellikle bir MitM (Ortadaki Adam) saldırısı gerçekleştirmeden doğrudan hedeflenen cihazdan bilgi elde eder. Bu, cihaz üzerindeki yönetici erişiminden yararlanarak, oturum açma bilgilerini veya diğer hassas verileri çalmayı ve bunları kullanarak saldırılar gerçekleştirmeyi içerir.



Banco Truva Atları

Bir uç nokta saldırganı, meşru bir kimlik doğrulama oturumu sırasında ikinci bir gizli tarayıcı oturumu başlatabilir. Bu genellikle bankacılık truva atları (bancos trojanları olarak da bilinir) tarafından kullanılan bir yöntemdir. Bancos truva atı, sosyal mühendislik veya güvenlik açığı içeren yazılımlar aracılığıyla yerel bilgisayara sızabilir. Daha sonra, truva atı, kullanıcının tarama seçimlerini izleyerek "banka", "Bank of America" gibi önceden tanımlanmış anahtar kelimeleri arar.

Bancos truva atı, kullanıcının hedeflenen bir finans kurumuna giriş yaptığını gösteren bir anahtar kelime tespit ettiğinde, gizli bir tarayıcı oturumu başlatır. Meşru kullanıcı MFA (Çok Faktörlü Kimlik Doğrulama) kullanıyor veya oturum açmıyor olabilirken, bancos truva atı kullanıcıya ait iletişim bilgilerini değiştirir ve fonları sahte bir banka hesabına büyük bir elektronik transfer başlatır. Banka kullanıcıyı doğrulamak için ararsa veya e-posta gönderirse, truva atı, yeni sahte iletişim bilgilerini kullanır.

Bankalar bu tür saldırılara yanıt olarak, günümüz SMS MFA mesajlarına benzeyen ve yalnızca belirli bir işlem için geçerli olan “doğrulama kodları” göndermeye başlamıştır. Bancos truva atları, kullanıcının bir kod gerektiren bir işlem yaptığını bekleyip, yalnızca sahte işlemi gönderir. Kullanıcının kastettiği şeyin banco trojan işlemi olmadığını bilmeyen banka, sadece banco trojan işlemi için geçerli olan MFA kodunu gönderir. Son kullanıcı, gizli ikinci tarayıcı oturumundan habersiz olarak, truva atının kullandığı kodu girer.

Bancos truva atları, Güney Amerika bankalarını MFA çözümlerini erken ve sık kullanmaya zorladı. Dünya çapında bilinen bu truva atları, MFA kullanımına uyum sağladı ve yüz milyonlarca doları çalmaya devam etti. Bu tür saldırılara karşı savunma stratejisi, bankaların yalnızca onay kodunu değil, aynı zamanda işlemin tüm detaylarını (örneğin işlem tutarı, işlem türü vb.) onay koduyla birlikte göndermesidir. Kullanıcı, bir onay kodunu neden aldığını anlamalıdır. İki taraf da birbirine güvenmemelidir.

*Mali işlem MFA onay mesajları, kullanıcının onaylamadan önce işlemle ilgili kritik ayrıntıları her zaman göstermelidir. Bu, kullanıcının işlemin doğruluğunu ve geçerliliğini kontrol etmesine olanak tanır ve sahte işlemlerden korunmasına yardımcı olur.


Kötü Amaçlı MFA Yazılımında Değişiklik

Bir bilgisayar korsanı, kurbanın cihazına veya işletim sistemine yönetici erişimi elde ettiğinde, yazılım ve donanım üzerinde tam kontrol sahibi olabilir. Tüm MFA çözümleri, MFA seçeneğini etkinleştirmek ve kullanabilmek için bir yazılım parçasına (örneğin, program, API, arayüz vb.) ihtiyaç duyar. MFA çözümünüz, yazılımda yüklenmiş veya varsayılan olarak etkinleştirilmiş olabilir, ancak bu yazılımın nasıl yapılandırıldığı ve kullanıldığı önemli olabilir.

Bilgisayar korsanları, MFA yazılım programını veya arabirimini (Microsoft Windows'ta Şifreleme Hizmet Sağlayıcıları (CSP) veya Anahtar Depolama Sağlayıcıları (KSP) olarak bilinir) kötü niyetli bir şekilde değiştirerek, MFA tarafından sağlanan korumayı zayıflatabilir veya tamamen devre dışı bırakabilir. Bu özel saldırı türü, makalenin yazarının halka açık olarak kullanıldığına dair bir bilgi bulunmamakla birlikte, potansiyel olarak erişilebilir bir yöntemdir.

Kolluk kuvvetleri ve istihbarat teşkilatları tarafından kullanılan ilgili bir saldırı türü, hedefin ağ düğümünü tehlikeye atmayı ve şifrelenmiş içeriği okuyabilmek için kullanılan özel veya simetrik anahtarları çalmayı içerir. Bu tür bir saldırı, şifreleme iletişimlerini tehlikeye atarak hedefin güvenlik önlemlerini etkisiz hale getirebilir.


Kötü Amaçlı MFA Donanım Değişiklikleri

Kolluk kuvvetleri ve istihbarat teşkilatları, MFA donanımını hedeflerin güvenini tehlikeye atacak şekilde değiştirmiştir. Bu tür değişiklikler, MFA donanımının normalde sağladığı korumanın ortadan kalkmasına neden olabilir.

Bazı durumlarda, MFA donanım çözümleri fiziksel olarak değiştirilerek, sağlanan korumanın etkinliği sıfıra indirgenir. Diğer durumlarda, yetkililer tarafından bilinen önceden tanımlanmış şifreleme anahtarları, hedeflenen MFA çözümlerine yerleştirilir. Bu şekilde, hedefler MFA çözümlerini tamamen güvenli olduklarını düşünerek kullanırlar; ancak bu çözümler, ya çok az koruma sağlar ya da hiç koruma sağlamaz. Yetkililer, gerekli durumlarda bu MFA çözümlerini uzlaştırmak için kullanabilirler.


SIM Değiştirme Saldırıları

Çoğu cep telefonu ve hücresel ağ sağlayıcısı, bir abonenin kişisel bilgilerini ve telefonunun benzersiz tanımlayıcılarını bir Abone Kimlik Modülü (SIM) kartında saklar. SIM kart, aynı zamanda kullanıcının resimleri ve iletişim bilgileri gibi uygulama verilerini de depolayabilir.

SIM kartlar genellikle fiziksel (veya giderek sanallaşan) küçük bir bellek kartı şeklindedir. SIM değiştirme saldırıları, bu kartı hedef alarak kullanıcının kimlik doğrulama bilgilerini çalmak amacıyla gerçekleştirilir. Bu tür saldırılarda, saldırganın genellikle SIM kartı fiziksel olarak değiştirmesi veya yeni bir SIM kart ile hedefin kimliğini taklit etmesi gereklidir.



Bir kullanıcı yeni bir cep telefonu aldığında, genellikle mevcut SIM kartını yeni telefona taşıması veya SIM'deki bilgileri yeni telefona aktarması gerekir. SIM kart, cep telefonunu belirli bir hücresel şebeke sağlayıcısına (örneğin, AT&T, Verizon Wireless) "bağlayan" ve abonenin cep telefonu numarasını telefonuna iliştiren bir bileşendir.

Bilgisayar korsanları, on yılı aşkın bir süredir meşru bir abonenin SIM bilgilerini ele geçirerek bu bilgileri kendi telefonlarına aktarıyor. Bu, çeşitli yöntemlerle yapılabilir:

  • Fiziksel Mağaza Ziyareti: Bilgisayar korsanı, yerel bir cep telefonu mağazasına gidip kendini cep telefonunu yükseltmeye veya değiştirmeye çalışan meşru bir abone olarak tanıtabilir.
  • Uzaktan Saldırı: Hücresel ağ sağlayıcısının teknik desteğini kullanarak veya telefon mağazası çalışanlarına kötü niyetli SIM takasları yapmaları için rüşvet vererek gerçekleştirilebilir.

SIM kart değiştirilmişse, cep telefonunuz çalışmayı durdurur ve telefonunuza gelen aramalar ve Kısa Mesaj Servisi (SMS) mesajları artık bilgisayar korsanının telefonuna yönlendirilir.

Bu tür kötü amaçlı SIM takasları genellikle bilgisayar korsanının hedeflenen kurbandan bazı özel bilgileri toplamasını gerektirir. Hücresel ağ sağlayıcısının teknik desteğini kandırmak veya yerel bir mağazaya girip işlemi gerçekleştirebilmek için kurbanın telefon numarasına, adına, çevrimiçi oturum açma adına, kimlik bilgilerine ve ev adresine ihtiyaç duyulur. Bu bilgileri, genellikle kurbana yönelik önceki kimlik avı saldırılarından veya güvenliği ihlal edilmiş veritabanlarından elde ederler.


Hileli SIM Takasları

Hileli SIM takasları milyonlarca kez gerçekleşmiştir. Bu tür saldırılar genellikle kullanıcının sesli arama hizmetlerini etkilerken, daha sık olarak kullanıcıların SMS mesajlarını kötü niyetli bir şekilde yeniden yönlendirmek için yapılmaktadır. Bu durum özellikle önemlidir çünkü SMS tabanlı MFA, dünya genelinde en popüler kimlik doğrulama seçeneklerinden biridir.

Her cep telefonu kullanıcısı, güvenilir satıcılardan gelen şüpheli işlemleri doğrulamalarını isteyen veya MFA oturum açma işlemini tamamlamak için tarayıcılara MFA tarafından oluşturulan kodları girmelerini isteyen mesajlarla karşılaşır. Hileli SIM takasları, bu tür SMS tabanlı MFA sistemlerini tehlikeye atarak, bilgisayar korsanlarının kullanıcının MFA kodlarını ele geçirmelerine olanak sağlar.




Hileli SIM Takaslarının Etkileri

Bir bilgisayar korsanı kötü niyetli bir SIM takası gerçekleştirdiğinde, SMS tabanlı MFA mesajları bilgisayar korsanının cep telefonuna yönlendirilir, sizin cep telefonunuza değil. Bilgisayar korsanı bu şekilde ele geçirdiği MFA kodlarını kullanarak çevrimiçi hesaplarınıza erişim sağlayabilir.

Bu durum, o kadar yaygın hale geldi ki, ABD Ulusal Standartlar ve Teknoloji Enstitüsü (NIST) son Dijital Kimlik Yönergeleri, NIST Özel Yayını 800-63'te SMS tabanlı MFA çözümlerini meşru bir kimlik doğrulama yöntemi olarak kabul etmeyeceğini belirtmiştir. Bu, yıllar içinde büyük satıcıların SMS tabanlı MFA çözümlerini hala kullanıyor olmaları gerçeğiyle karmaşıklaşmaktadır. SMS tabanlı MFA, dünyanın en büyük satıcıları arasında genellikle varsayılan veya yedekleme bir seçenek olarak kalmaktadır, ancak güvenlik açısından daha güçlü alternatiflerle değiştirilmeleri önerilmektedir.

SMS Hileli Kurtarma (SMS Rogue Recovery) Saldırıları

SMS Hileli Kurtarma SMS mesajı oluşturma meşruiyetinin, SMS'in içinde izleyici tarafından kolayca doğrulanamamasında doğal bir sorun vardır. Herkes herhangi biri olduğunu iddia edebilir ve herhangi bir mesaj gönderebilir. Bu zayıflık, bilgisayar korsanlarına potansiyel kurbanlara sahte talimatlar gönderme fırsatı verir. Bu tür bir saldırıya örnek olarak SMS Rogue Recovery korsanlığı denir. SMS Rogue Recovery korsanlığının çalışması için bilgisayar korsanının yalnızca kurbanın e-posta adresini (zorla SMS kurtarmaya izin veren bir hizmetin) ve ilgili telefon numarasını bilmesi gerekir. Bunlar, erişilmesi zor bilgi parçaları değildir.

 Bu bilgilerle bilgisayar korsanı, kurbanın e-posta sağlayıcısından geldiğini iddia ederek kurbana sahte bir SMS kurtarma mesajı gönderir. Mesaj yanlışlıkla, kurbanın e-posta hesabının meşru sahipliğini ve kullanımını doğrulamak için kurbanın SMS göndericisine gönderilen bir yetkilendirme kodunu yazmasını gerektirecek bir olayın gerçekleştiğini gösteriyor (aşağıdaki örnek sahte SMS kurtarma mesajına bakın) . 


Adım 1: 

Örnek: Hacker, kurbanı gelecek yasal SMS kurtarma koduna hazırlamak için sahte SMS kurtarma mesajı gönderir.




Bu sahte mesajın neredeyse her şey olabileceğini unutmayın. SMS mesajlarının kendileri, belki HTTP/HTTPS bağlantıları veya listelenen e-posta adresleri ile yalnızca düz metindir. Bir SMS mesajında, gönderenin veya mesajının meşru olup olmadığını gösteren hiçbir şey yoktur.

Ön uyarı mesajını gönderdikten sonra, bilgisayar korsanı, e-posta sağlayıcısına şifresini unutmuş meşru kullanıcıymış gibi davranarak kurbanın e-posta hesabını kasıtlı olarak SMS kurtarma moduna gönderir. e-posta sağlayıcısının, e-posta hesabını kurtarma moduna sokan bilgisayar korsanının meşru kullanıcı olup olmadığını bilmesinin hiçbir yolu yoktur.


Adım 2: 

Örnek: Hacker kurbanın e-posta sağlayıcısının oturum açma sayfasına gider ve kurban oturum açma parolasını unutmuş gibi davranır. Hizmet genellikle bir veya daha fazla oturum açma kurtarma yöntemi sunar. 



Adım 3: Örnek: Bilgisayar korsanı, kurbanın e-posta hizmetinden alternatif kurtarma seçeneğini seçer. Hacker, kullanıcının önceden tanımlanmış telefon numarasına bir SMS doğrulama kodu göndermeyi seçer.



Adım 4: Örnek: Hacker, kullanıcının önceden tanımlanmış telefon numarasına bir SMS doğrulama kodu göndermeyi seçer. Meşru kullanıcı, e-posta satıcısından SMS kurtarma doğrulama kodu alır.



Adım 5: Kullanıcıya meşru kurtarma yöntemi doğrulama kodu gönderilir.



Adım 6: Kullanıcı, bilgisayar korsanının orijinal ön uyarı SMS mesajına yanıt olarak meşru SMS kurtarma doğrulama kodunu geri yazar.

Hacker gönderilen meşru kurtarma SMS doğrulama kodunu alır ve bunu e-posta sağlayıcısının web formuna yazarak hesabın kontrolünü ele geçirir.

SMS Rogue Recovery Hacking’e Karşı Savunma Yöntemleri:

  • Hileli Kurtarma Mesajlarının Farkında Olun:

    • Sahte kurtarma mesajlarını tanımak için dikkatli olun ve yalnızca resmi, doğrulanmış kaynaklardan gelen iletişimlere itibar edin.

  • SMS Kurtarma PIN’lerini Tarayıcılara Yazın:

    • SMS kurtarma PIN’lerini, genellikle tarayıcınıza girmelisiniz. SMS’e yanıt vermek yerine, güvenli bir tarayıcı arayüzüne PIN girme uygulamalarına dikkat edin.

  • Mümkün Olduğunca MFA Kullanın:

    • Multi-Factor Authentication (MFA) kullanarak hesaplarınızı ekstra güvenlik katmanlarıyla koruyun. MFA, SMS tabanlı doğrulamanın ötesinde güvenlik sağlar.

  • Alternatif E-posta Tabanlı Kurtarma Yöntemlerinden Kaçının:

    • E-posta tabanlı kurtarma yöntemlerinden kaçının, çünkü bu yöntemler genellikle SMS tabanlı sistemlerle aynı zayıflıklara sahiptir ve kolayca ele geçirilebilir.

  • SMS Tabanlı Kurtarma Yöntemlerinden Kaçının:

    • SMS tabanlı kurtarma yöntemlerinden kaçınarak, daha güvenli alternatifler tercih edin. SMS, genellikle kötü niyetli saldırılara karşı savunmasızdır.

  • Kurtarma Hesabı Yöntemleriyle İlgili Telefon Numaralarının Herkese Açık Olarak Gönderilmesini En Azından Azaltın:

    • Kurtarma hesabı yöntemleriyle ilgili telefon numaralarının açıkça paylaşılmasını en aza indirin. Bu numaraları yalnızca güvenli, gizli ortamlarda saklayın ve paylaşın.



Yinelenen Kod Üreticileri

Pek çok MFA (Çok Faktörlü Kimlik Doğrulama) çözümü, kullanıcılara oturum açma deneyimi sırasında bir "kod oluşturucu" sağlar. Bu kod oluşturucular, genellikle rastgele rakamlar veya karakterler içeren ve belirli bir süre içinde geçerli olan kodlar sunar. Kodlar genellikle 30 ila 600 saniye arasında geçerlidir.

Popüler Kod Üreticisi Örnekleri:

  • RSA SecurID™: Donanım tabanlı bir kod üreticisidir. Kullanıcıya fiziksel bir cihazda rastgele üretilen kodları sağlar.

  • Google Authenticator: Yazılım tabanlı bir kod üreticisidir. Mobil uygulama aracılığıyla kodlar oluşturur ve zaman tabanlı kodlar sağlar.

Bu tür kod üreticileri, MFA çözümlerinin bir parçası olarak kullanıcıların oturum açma işlemlerinde ek bir güvenlik katmanı sağlar. Kodlar, genellikle belirli bir süre boyunca geçerlidir ve zaman dolduğunda yenileri üretilir.




Yinelenen kodlar, genellikle "tek seferlik şifreler" (OTP) veya "zamana dayalı tek seferlik şifreler" (TOTP) olarak bilinir. Bu sistemler, kullanıcının güvenliğini artırmak için şifrelerin sadece belirli bir süre için geçerli olmasını sağlar. İşte bu sistemlerin nasıl çalıştığına dair detaylar:

  1. Kod Oluşturma:

    • Başlangıç Tohumu: Kod üretim süreci, bir başlangıç tohum değeriyle başlar. Bu değer genellikle rastgele üretilir ve cihazın kimliğiyle ilişkilendirilir.
    • Cihaz Tanımlayıcı: Her cihaz veya uygulama, benzersiz bir tanımlayıcıya sahiptir (örneğin, seri numarası).
    • Kod Üretimi: Cihazın veya uygulamanın kod üretim algoritması, tohum değerini ve geçerli zaman damgasını kullanarak geçerli kodları oluşturur. Kodlar, belirli bir süre boyunca geçerlidir ve genellikle 30 ila 600 saniye arasında değişir.

  2. Veritabanı ve Güvenlik:

    • Tohum Değerleri: Tohum değerleri, bir kimlik doğrulama veritabanında saklanır. Bu veritabanı, cihazın üreticisi, kurumsal kullanıcı ortamı veya ilgili güvenlik paydaşları tarafından korunur.
    • Saldırı Riski: Eğer bir saldırgan bu tohum değerlerine erişim sağlarsa, simüle edilmiş bir kod üretici oluşturabilir. Saldırgan, tohum değeri ve cihazın benzersiz tanımlayıcısını kullanarak geçerli OTP'leri üretmek için algoritmayı kullanabilir.

  3. Saldırı Senaryoları:

    • Sahte Kod Oluşturucular: Cain & Abel gibi bazı korsanlık araçları, bu tür saldırılara olanak tanıyan öykünücüler içerir. Bu araçlar, RS SecurID gibi sistemlere benzer şekilde çalışan kod üreticileri sağlar ve saldırganların kodları taklit etmesine izin verir.

Örnek Senaryo:

  • Bir saldırgan, tohum değeri veritabanına erişir.
  • Bu tohum değeri, cihazın tanımlayıcısı ve geçerli zaman damgasıyla birlikte kullanılarak geçerli OTP'ler üretilebilir.
  • Saldırgan, bu OTP'leri kötü niyetli amaçlar için kullanabilir.

Bu tür saldırılardan korunmak için, tohum değerleri ve cihaz tanımlayıcılarının güvenli bir şekilde saklanması ve erişimin kısıtlanması önemlidir. Ayrıca, OTP sistemlerinin düzenli olarak güncellenmesi ve güvenlik açıklarının takip edilmesi gereklidir.




Omuz Sörfü ve MFA Güvenliği

Omuz sörfü, bir kişinin ekranındaki hassas bilgileri görmek için, genellikle ekranın üzerinden veya arkasından bakarak gerçekleştirilen bir saldırı yöntemidir. Özellikle MFA (Çok Faktörlü Kimlik Doğrulama) uygulamaları açısından, bu yöntem belirli güvenlik açıklarını vurgular. MFA sistemlerinde genellikle kullanıcıların bir PIN veya şifre girerek kimliklerini doğrulaması gerekir. Bu tür bilgiler ekran üzerinden görülebiliyorsa, kötü niyetli kişiler bu bilgileri çalabilir.

Omuz sörfü, parolalar ve PIN'ler gibi hassas bilgileri gizlice gözlemleyerek elde etme yöntemidir. Bu teknik, MFA (Çok Faktörlü Kimlik Doğrulama) çözümlerine uygulandığında da geçerlidir. Davetsiz misafirler, özellikle kullanıcıların ekranında görünen MFA kodlarını gözlemleyebilir ve bu bilgileri kullanarak giriş yapabilir.

Zayıf MFA Çözümleri:

  • Noktaları Birleştirme veya Kaydırma Desenleri:
    • Bu MFA çözümleri, kullanıcıların bir dizi noktayı veya seçilen bir resim üzerinde belirli bir deseni kaydırarak kimlik doğrulaması yapmalarını gerektirir. Ancak, bu tür çözümler oldukça zayıf olabilir çünkü:
      • Gözlemlenebilirlik: Kullanıcıların desenleri nasıl kaydırdığını izlemek, bilgisayar korsanları için kolay olabilir. Özellikle kamu alanlarında veya kullanıcıların ekranının açıkça görülebileceği ortamlarda bu desenler kolayca gözlemlenebilir.
      • Tahmin Edilebilirlik: Kullanıcıların kaydırma desenleri genellikle belirli kalıplar izler, bu da bu desenlerin tahmin edilmesini kolaylaştırır.
      • Aşınma Desenleri: Kullanıcıların ekranlarda bıraktığı izler (aşınma desenleri) gözlemlendiğinde, bu desenler tahmin edilebilir hale gelebilir.

Güvenlik Tavsiyeleri:

  • Güçlü MFA Seçenekleri Kullanın: Ekran üzerinden görülemeyen ve daha güvenli MFA yöntemlerini tercih edin. Örneğin, biyometrik doğrulama veya donanım tabanlı MFA çözümleri daha güvenlidir.
  • Ekran Koruma: Gizliliği korumak için ekran koruyucular veya gizlilik filtreleri kullanın.
  • Fiziksel Güvenlik: Özellikle halka açık yerlerde, ekranınızı koruyarak başkalarının bu bilgileri gözlemlemesini engelleyin.

Bu tür MFA çözümleri genellikle daha az güvenlik sağlar ve omuz sörfü gibi tekniklerle kolayca aşılanabilir. Bu nedenle, daha güvenli MFA çözümleri tercih edilmelidir.


Göz Atma (Skimming) Saldırıları

Göz Atma (Skimming), MFA (Çok Faktörlü Kimlik Doğrulama) sistemlerini hedef alarak, kullanılan cihazların sırlarını çalma yöntemidir. Bu saldırı yöntemi, MFA çözümlerinin zayıf korunması veya korunmasız durumda olmalarından yararlanır.

Göz Atma Saldırılarının Yöntemleri:

  1. Fiziksel Göz Atma:

    • Kart Skimming: MFA kartlarında saklanan bilgilerin bir kart okuyucu veya manyetik şerit okuyucu cihazı kullanılarak fiziksel olarak kopyalanmasıdır. Saldırgan, kartın fiziksel yüzeyine yerleştirilen gizli bir cihaz kullanarak kartın verilerini çalabilir.
    • Kamera Kullanımı: ATM'ler gibi yerlerde, tuş takımı veya kart okuyucu üzerine yerleştirilmiş küçük kameralar kullanarak PIN veya kart bilgileri kaydedilebilir.

  2. Kablosuz Göz Atma:

    • RFID/NFC Skimming: Radyo Frekansı ile Tanımlama (RFID) veya Yakın Alan İletişimi (NFC) teknolojilerini kullanarak MFA cihazlarının kablosuz olarak taranmasıdır. Saldırgan, bu teknolojileri kullanarak cihazın verilerini uzaktan okuyabilir.

Örnek Senaryo: ATM Skimming:

  • ATM Kartları ve PIN'ler: Bir kullanıcı, ATM'de para çekmek için kartını kullanır ve PIN girer. Saldırgan, genellikle ATM'nin kart okuyucusuna gizlice eklenmiş bir skimmer cihazı kullanarak kartın manyetik şeridinden bilgileri kopyalar. Aynı zamanda, ATM'nin tuş takımına yerleştirilmiş bir kamera kullanarak kullanıcıların PIN'lerini kaydedebilir.

Göz Atma Saldırılarına Karşı Savunma:

  • Kart Koruma: MFA kartlarının ve benzeri fiziksel cihazların, bilgilerin korunmasını sağlayan güvenlik özellikleri ile donatılması. Örneğin, manyetik şeritlerin veya çiplerin güvenli bir şekilde şifrelenmesi.
  • Fiziksel Güvenlik: ATM'ler ve diğer benzer cihazlar üzerinde fiziksel gözden geçirme cihazlarının fark edilmesini engelleyen güvenlik önlemleri alınmalıdır.
  • Eğitim ve Bilinçlendirme: Kullanıcıların, kartlarını kullanırken dikkatli olmaları ve olası gözden geçirme cihazlarına karşı bilinçli olmaları sağlanmalıdır.

Göz atma saldırıları, MFA sistemlerini hedef alarak kimlik doğrulama bilgilerini çalmaya yönelik yaygın bir yöntemdir. Bu tür saldırılara karşı koruma, fiziksel ve kablosuz güvenlik önlemlerinin kombinasyonunu gerektirir.


Sürüm Düşürme ve Kurtarma Saldırıları

Sürüm Düşürme (Downgrade) Saldırıları: Sürüm düşürme saldırıları, kullanıcıların daha güvenli bir MFA çözümünden daha az güvenli bir alternatif çözüme geçmesini sağlamayı amaçlar. Bu tür saldırılar, MFA sistemlerinin otomatik veya manuel olarak sunulan yedek kimlik doğrulama yöntemlerinin güvenlik açıklarından yararlanır. Özellikle, karmaşık ve güvenli MFA çözümleri genellikle yedek kimlik doğrulama yöntemleri ile desteklenir. Bu yöntemler genellikle SMS veya e-posta gibi daha az güvenli çözümler olabilir.

Kurtarma Saldırıları: Kurtarma saldırıları, kullanıcıların MFA cihazlarını kaybetmesi, bozulması veya başka nedenlerle erişim sağlayamaması durumunda kullanılan yedek yöntemlerden yararlanır. MFA sistemleri genellikle bu durumlar için alternatif oturum açma veya kurtarma yöntemleri sunar, ancak bu yöntemler genellikle daha az güvenli olabilir.

Örnek Senaryo:

  • Hizmet Sağlayıcıları: Microsoft Office 365 veya Google Gmail gibi hizmet sağlayıcıları, kullanıcıların birincil MFA yöntemlerini devre dışı bıraktığında veya erişemediklerinde yedek kimlik doğrulama yöntemleri sunar. Bu yedek yöntemler, genellikle e-posta, otomatik sesli onay veya SMS mesajı gibi daha az güvenli seçeneklerdir.
  • Saldırı Senaryosu: Bir saldırgan, MFA yöntemini geçici olarak devre dışı bırakmaya çalışabilir ve ardından bu yedek yöntemlerden birini kullanarak erişim elde edebilir. Örneğin, saldırgan MFA kodunu almak için SMS mesajı veya e-posta yoluyla yedek kimlik doğrulama kodunu alabilir.

Kurtarma Yöntemleri ve Güvenlik:

  • Yedek Kimlik Doğrulama Yöntemleri: MFA sağlayıcıları, genellikle kullanıcıların alternatif bir yöntemle kimlik doğrulamasını sağlamak için e-posta, SMS veya otomatik sesli onay gibi yedek yöntemler sunar.
  • Güvenlik Açıkları: Bu yedek yöntemler, daha az güvenli olabilir ve bu nedenle saldırganların erişim sağlama şansını artırabilir. Saldırganlar, bu tür yedek yöntemleri hedef alarak hesaplara erişim sağlayabilirler.

Önerilen Savunma Yöntemleri:

  • Yedek Yöntemlerin Güvenliği: Yedek kimlik doğrulama yöntemlerini mümkün olduğunca güvenli hale getirmek ve bunları sınırlandırmak. Örneğin, SMS yerine daha güvenli yedek yöntemler kullanmak.
  • Düzenli Kontroller: MFA sistemlerinin güvenliğini düzenli olarak gözden geçirmek ve zayıf noktaları tespit etmek.
  • Kullanıcı Eğitimi: Kullanıcıların yedek kimlik doğrulama yöntemlerini nasıl güvenli bir şekilde kullanacakları hakkında bilgi sahibi olmalarını sağlamak.

Sürüm düşürme ve kurtarma saldırıları, MFA sistemlerinin güvenliğini tehlikeye atabilecek önemli tehditlerdir. Bu nedenle, MFA sistemlerinin yedek yöntemlerinin de güvenli bir şekilde yapılandırılması ve korunması gerekmektedir.


Kurtarma Sorusu Saldırıları

Kurtarma sorusu saldırıları, sürüm düşürme saldırılarının özellikle tehlikeli bir türüdür. Birçok web sitesine kaydolurken, genellikle birden fazla “kurtarma sorusu” ve/veya yanıt oluşturmanız istenir. Bu sorulara yanıt vermeden hesabınızı oluşturamazsınız. Kurtarma soruları genellikle “Annenizin kızlık soyadı”, “Babanızın orta adı”, “Favori öğretmeniniz”, “İlk arabanız” gibi soruları içerir.

Sorun şu ki, kurtarma sorularının yanıtları genellikle kolayca tahmin edilebilir ve bu yanıtlar, kullanıcılar tarafından çoğu zaman doğru bir şekilde hatırlanamaz. Google, kurtarma sorularının yabancılar (örneğin, bilgisayar korsanları) tarafından kolayca tahmin edilebileceğini ve bu soruları yanıtlayan kullanıcılar tarafından doğru hatırlanmadığını ortaya koymuştur.

Örneğin:

  • Bazı kurtarma soruları, ilk denemede %20 oranında doğru tahmin edilebilir.
  • Kullanıcıların %40’ı, kendi kurtarma yanıtlarını hatırlamakta zorlanmıştır.
  • Yanıtların %6’sı, bir kişinin sosyal medya profilinde bulunabilir.

Not: Kimlik doğrulama için kurtarma sorularının güvenilir olmadığını fark eden Google, Microsoft ve diğer şirketler, artık bu yöntemi kullanmamaktadır. Eğer çok faktörlü kimlik doğrulama (MFA) çözümünüz, daha az güvenli alternatif kimlik doğrulama yöntemlerine izin veriyorsa, kimlik doğrulamanız yalnızca en zayıf yöntem kadar güçlü olacaktır.


Sosyal Mühendislik ve Teknik Destek

Bir şirketin teknik destek mühendisleri, yalnızca insan oldukları için ellerinden gelenin en iyisini yapmaya ve sorunlara çözüm bulmaya odaklanmış kişilerdir. Bir şirketin çok faktörlü kimlik doğrulamanın (MFA) sosyal mühendislik saldırılarına karşı korunması için belirli teknik ve politika kontrolleri olsa da, aşırı yardımcı olmaya çalışan teknik destek çalışanları bu önlemleri atlayabilir. Bu, insanlar diğer insanlarla etkileşimde bulunduğu sürece ortadan kalkmayacak bir risktir.

                                           

Mevcut MFA güvenlik önlemlerini devre dışı bırakmak veya aşmak için kullanılan birçok sosyal mühendislik tekniği vardır. Bunlar arasında, "kullanıcı" (yani bilgisayar korsanı) şu tür iddialarda bulunabilir:

  • Mevcut MFA çözümünü kaybettiğini veya hasar gördüğünü söyler.
  • Mevcut PIN’ini veya şifresini hatırlamadığını iddia eder.
  • MFA çözümünü atlaması gerektiği için çok kızgın olduğunu belirtir.
  • Patron olduğunu ve kritik bir görev için acil bir bypass işlemine ihtiyacı olduğunu söyler.

Sosyal mühendislik saldırılarını gerçekleştiren bilgisayar korsanları, genellikle, hemen çözülmesi gereken kritik bir görev veya mali bir sorun gibi yapay "stres etkeni olayları" kullanır. En sevdiğim sosyal mühendislik gösterilerinden biri, sosyal mühendislik kullanarak bir kullanıcının cep telefonu hesabını ele geçiren bir kadının hikayesidir. Bu kadın, ağlayan bir bebeği olan ve bir şeyi yapmadığı için kocasıyla sorun yaşayan bir anne rolünde, teknik desteği manipüle eder.


Çalınan Biyometri

Tüm biyometrik öznitelikler, bir kez kaydedildikten sonra ya yerel olarak kaydedildikleri bilgisayarda ya da ağ üzerinden erişilebilen bir veri tabanında saklanır. Çoğu zaman, bu biyometrik kimlikler ülke veya dünya çapında birden fazla veri tabanında depolanır. Bilgisayar korsanları, bu veri tabanlarını hedef alarak biyometrik verileri çalabilirler. Bir biyometrik öznitelik çalındığında (veya başarıyla yeniden oluşturulduğunda), bu öznitelik gelecekteki kimlik doğrulama senaryolarında artık güvenilir olamaz.

                                         

Örneğin, 2015 yılında gerçekleşen tek bir saldırıda, ABD’den 5,6 milyon kişinin parmak izi çalınmıştır.

MFA Saldırılarına Karşı Savunmaları Özetleme

Daha önce tartışılan her MFA saldırı türü için, bölümün sonunda bir veya daha fazla savunma yöntemi özetlenmiştir. Bu bölüm, hızlı bir referans için bu yöntemlerin kısa bir özetini sunmaktadır.

Sosyal Savunmalar

  • Herhangi bir MFA çözümü de dahil olmak üzere, hiçbir şeyin tamamen hacklenemez olmadığının farkında olun.
  • Güvenlik farkındalığı eğitiminize, MFA korsanlığı farkındalığını ekleyin.
  • Bu teknik incelemeyi iş arkadaşlarınız ve yönetimle paylaşın.
  • Hileli bağlantılara tıklamaktan kaçının.
  • Hileli bağlantıları mümkün olduğunca engelleyin.
  • Bir URL’nin meşru olduğundan emin olun.

Teknik Savunmalar

  • Mümkün olduğunda zorunlu MFA’yı etkinleştirin.
  • Mümkün olduğunda SMS tabanlı MFA kullanmaktan kaçının.
  • İstemci tarafının sunucuya önceden kaydedilmesini gerektiren “1:1” MFA çözümlerini tercih edin.
  • Mümkün olduğunda iki yönlü, karşılıklı kimlik doğrulama kullanın ve/veya gerektirin.
  • Eski FIDO U2F'nin Kanal veya Token Bağlamasını kullanın.
  • MFA çözümünüzün, özellikle oturum belirteci hırsızlığı ve/veya kötü amaçlı tekrar oynatmalara karşı koruma sağladığından emin olun.
  • MFA sağlayıcınızın teknik destek ekibinin sosyal mühendislik saldırılarına karşı savunmasız olup olmadığını sorgulayın.
  • MFA sağlayıcılarının programlamalarında Güvenli Yazılım Geliştirme Yaşam Döngüsü (SDL) kullandığından emin olun.
  • MFA’nın “kötü deneme kısıtlaması” veya “hesap kilitleme” özelliklerinin etkinleştirildiğinden emin olun.
  • Farklı "kanallar" veya "bantlar" (bant içi/bant dışı) arasında güvenlik faktörlerini dağıtın.
  • MFA oturum açmalarının benzersiz tanımlaması için kullanılan kimlik özniteliklerini koruyun ve denetleyin.
  • Parola sıfırlama sorularına dürüst yanıtlar vermekten kaçının.
  • Ek faktörlerin gerektiği yerlerde, dinamik kimlik doğrulama kullanmayı teşvik edin ve bu tür siteleri/hizmetleri kullanın.
  • "Paylaşılan gizli" sistemlerin risklerini anlayın.
  • İşlem tabanlı kimlik doğrulama için, onay verilmeden önce kullanıcıya tüm kritik ayrıntıları bant dışı bir şekilde ilettiğinizden emin olun.

Sonuç Bu makaleden çıkarılacak temel noktalar şunlardır:

  • MFA tamamen hacklenemez değildir.
  • MFA, kimlik avı veya sosyal mühendislik saldırılarını tamamen engelleyemez.
  • MFA faydalıdır; herkes elinden geldiğince kullanmalıdır, ancak kırılmaz değildir.
  • MFA kullanıyorsanız veya kullanmayı düşünüyorsanız, güvenlik bilinci eğitimi, genel güvenlik savunmanızın önemli bir parçası olmalıdır.