Çok faktörlü kimlik doğrulama, yani MFA ya da 2FA, yıllardır temel bir hesap güvenliği önlemi olarak görülüyor. Buna rağmen birçok banka ve çevrimiçi hizmette hâlâ zorunlu değil. Yakın zamanda yaşanan bir hesap ele geçirme vakası da bunun ne kadar somut sonuçlar doğurabileceğini gösterdi. 84 yaşındaki bir kullanıcının finansal hesaplarına giren saldırganlar, banka hesaplarından toplam $30,000 çalmayı başardı. Olayın dikkat çekici yanı, saldırının yalnızca tek bir kuruma değil, birden fazla finansal hesaba ve aynı zamanda Gmail hesabına kadar uzanması oldu.
Olayın başlangıcında emeklilik birikim hesabını yöneten kurum, şüpheli bir işlemi fark ederek kullanıcıya ulaştı. İşlemin doğrulanmaması üzerine ilgili hesap hızla korumaya alındı. Ancak kullanıcı daha sonra farklı bir kurumdaki banka hesabını kontrol ettiğinde, vadesiz ve tasarruf hesaplarından binlerce doların dışarı aktarıldığını gördü. Saldırganların günlük çekim limitlerini bildiği, hem para çekme hem de tanımlanmayan bir hesaba transfer yöntemlerini kullandığı belirtildi. Buna karşın ilgili banka bu hareketliliği başlangıçta dolandırıcılık olarak işaretlemedi.
Saldırının yalnızca bankacılık tarafıyla sınırlı kalmadığı da ortaya çıktı. Saldırganlar Gmail hesabına erişim sağlayarak, bankadan ve emeklilik hesabı sağlayıcısından gelen e-postaları doğrudan çöp kutusuna yönlendiren spam filtreleri oluşturdu. Böylece para transferlerine veya kullanıcı adına açılan sahte hesaplara ilişkin uyarıların görülmesi engellendi. Bu tür bir adım, saldırganların yalnızca giriş yapmadığını, hesabın güvenlik sinyallerini sistematik biçimde bastırdığını gösteriyor.
Dolandırıcılık bildirimi sonrasında kullanıcı saatler boyunca banka ile görüşmek zorunda kaldı. Sürecin yavaş, karmaşık ve ikna edilmesi güç bir yapıda ilerlediği, hatta işlemleri bir aile üyesinin yapmış olabileceği yönünde sorularla karşılaşıldığı aktarıldı. Banka daha sonra inceleme yapmayı kabul etti ve birkaç hafta içinde çalınan tutarı iade etti. Ancak burada kritik nokta, iadenin otomatik ya da garanti bir sonuç olmaması. ABD’de banka hesabından çalınan paranın geri ödenmesi her durumda kesin değil.
Tüketici finans kurallarına göre, hesap döküm tarihinden itibaren 60 gün içinde işlemlere itiraz edilmesi gerekiyor. Bankanın da inceleme için 45 güne kadar süresi bulunabiliyor. Ancak banka, işlemleri görünüşte meşru bulursa geri ödeme yapmamayı seçebiliyor. Böyle bir durumda kullanıcıların hukuki yola başvurması gerekebiliyor. Dolayısıyla olayın olumlu sayılabilecek sonu, daha geniş güvenlik sorununu ortadan kaldırmıyor.
Saldırganların hesaplara tam olarak nasıl girdiği kesin olarak bilinmese de, aynı ya da benzer parolaların birden fazla hesapta kullanılmış olması en güçlü ihtimal olarak öne çıkıyor. Ayrıca en az bir hesabın birkaç yıl önce yaşanan bir veri ihlalinde yer aldığı, dolayısıyla giriş bilgilerinin çevrimiçi ortamlarda dolaşıma girmiş olabileceği belirtiliyor. Bu tür senaryolarda saldırganlar, sızdırılmış kullanıcı adı ve parola kombinasyonlarını farklı servislerde deneyerek zincirleme erişim sağlayabiliyor. E-posta hesabı da ele geçirildiğinde, parola sıfırlama ve uyarı mekanizmaları da etkisiz hale gelebiliyor.
Burada temel tartışma, MFA’nın neden hâlâ birçok kurumda varsayılan ya da zorunlu olmaması. Bazı bankalar MFA’yı mecburi tutarken, bazı büyük kurumlar bunu isteğe bağlı bırakıyor. Benzer durum Google hesapları için de geçerli. Güvenlik tarafında bakıldığında ikinci doğrulama katmanının yokluğu, özellikle sızdırılmış parolalar söz konusu olduğunda saldırganlara doğrudan fırsat sunuyor. Kurumlar ise çoğu zaman ek giriş adımlarının müşteri deneyimini zorlaştırabileceği, destek taleplerini artırabileceği veya teknik bilgisi sınırlı kullanıcıları rahatsız edebileceği endişesiyle daha temkinli davranıyor.

Ne var ki hesap güvenliğinde isteğe bağlı yaklaşımın önemli bir zayıflığı var: Kullanıcıların büyük bölümü opsiyonel güvenlik önlemlerini etkinleştirmiyor. Bu da saldırganların en zayıf giriş noktasını hedeflemesini kolaylaştırıyor. Güvenlik kontrolleri yalnızca mobil uygulamada bulunuyorsa, web tarafı daha zayıf kalabiliyor. Mobil uygulama biyometrik doğrulama istese bile, web oturum açma akışında aynı seviye koruma sunulmuyorsa saldırganlar doğal olarak daha kolay yolu seçiyor.
MFA’nın ne kadar etkili olduğu konusunda sektör uzun süredir veri paylaşıyor. Microsoft’un 2019 tarihli bir değerlendirmesine göre MFA, hesaplara yönelik saldırıların %99.9’unu engelleyebiliyor. Yine de uzmanlar bu oranın bağlama göre fazla iyimser olabileceğini söylüyor; çünkü sosyal mühendislik, kod ele geçirme ve kullanıcı kandırma gibi yöntemlerle bazı MFA türleri aşılabiliyor. Özellikle SMS veya e-posta ile gönderilen tek kullanımlık şifreler, yaygın olmalarına rağmen doğaları gereği daha zayıf kabul ediliyor.
SMS tabanlı doğrulamada SIM değiştirme dolandırıcılığıyla telefon numarasının ele geçirilmesi mümkün olabiliyor. E-posta tabanlı tek kullanımlık kodlarda ise e-posta hesabının güvenliği tüm zincirin güvenliğini belirliyor. Ayrıca kimlik avı saldırılarında sahte banka giriş sayfaları oluşturularak kullanıcıdan hem parola hem de tek kullanımlık kod aynı anda alınabiliyor. Bu nedenle tek kullanımlık şifreler, ek güvenlik sağlasa da modern tehdit modeline karşı her zaman yeterli görülmüyor.
Bugün için daha güçlü yaklaşım olarak passkey öne çıkıyor. Passkey yapısında, kullanıcının cihazında bir özel anahtar, sunucuda ise eşleşen bir açık anahtar bulunuyor. Cihazdaki anahtara erişim için PIN, fiziksel güvenlik anahtarı veya yüz/fingerprint gibi biyometrik doğrulama gerekiyor. Bu yapı, kimlik avına ve ağ üzerinden kod yakalanmasına karşı çok daha dayanıklı kabul ediliyor. Bu yüzden passkey tabanlı girişler “phishing-resistant MFA” olarak anılıyor.
Buna rağmen bankacılık sektöründe geçiş henüz tamamlanmış değil. Bazı büyük bankalar passkey dağıtımına başlamış durumda olsa da, birçok kurum hâlâ e-posta, SMS ya da telefon çağrısı üzerinden tek kullanımlık kod seçenekleri sunuyor. Bazı örneklerde mobil uygulama tarafında parmak izi veya yüz tanıma ile giriş desteklenirken, web sitesinde aynı seviyede koruma bulunmuyor. Bu parçalı yapı, saldırganların koruması daha zayıf kanallara yönelmesine neden olabiliyor.
Sonuç olarak sorun tek bir kullanıcı hatasına indirgenemeyecek kadar yapısal. Aynı parolanın birden fazla yerde kullanılması ciddi bir risk, ancak finansal kurumların ve büyük çevrimiçi servislerin MFA’yı hâlâ opsiyonel tutması da saldırı yüzeyini gereksiz biçimde açık bırakıyor. Hesabın güvenliği, en zayıf giriş noktasının güvenliği kadar güçlü. Bu nedenle tüm erişim yollarında varsayılan olarak daha güçlü kimlik doğrulama uygulanmadığı sürece benzer hesap ele geçirme vakalarının sürmesi şaşırtıcı olmayacak.

