Tek kullanımlık parolalar (OTP’ler); geleneksel iki adımlı kimlik doğrulama (2FA) ve çok faktörlü kimlik doğrulamanın (MFA) temel bir parçasıdır.

Bir hesapta oturum açtığınızda veya bir işlemi doğruladığınızda, kimliğinizi onaylamak için bunları e-posta, SMS veya kimlik doğrulama uygulamaları aracılığıyla alırsınız.

Şimdi siber suçlular, OTP botlarını kullanarak bu korumaları atlatmanın bir yolunu buldular.

OTP botu nedir?

OTP botu, kimliğinizi doğrulamak için kullanılan tek kullanımlık parolaları ele geçiren veya çalan otomatik bir yazılım programıdır. Amaç, hesap ele geçirme saldırısı (veya ATO) olarak bilinen yöntemle hesabınızın kontrolünü ele geçirmektir.

Siber suçlular, yer altı pazarlarından, genellikle Telegram aracılığıyla, saldırı başına 10 dolar gibi düşük bir ücret karşılığında OTP botu saldırıları satın alabilirler. Bu düşük maliyetli ve ölçeklenebilir yaklaşım, saldırganların minimum çabayla aynı anda birçok kişiyi hedeflemesine olanak tanır.

OTP botları nasıl çalışır

OTP botları, tek kullanımlık bir parola aldığınız an ile bunu uygulamaya veya web sitesine girdiğiniz an arasındaki süreyi kötüye kullanmak üzere tasarlanmıştır. Bu süre genellikle bir dakikadan azdır.

Siber suçlular kodu genellikle üç şekilde ele geçirir:

Sosyal mühendislik yoluyla OTP botu hesap ele geçirme

    Saldırgan, meşru bir sitede OTP adımını tetiklemek için çalınan veya sızdırılan kimlik doğrulama bilgilerini kullanır. Ardından bir bot, aciliyet oluşturmak üzere tasarlanmış bir betik kullanarak (örneğin bir bankanın dolandırıcılık ekibini taklit ederek) SMS veya telefon görüşmesi yoluyla sizinle iletişime geçer. OTP’yi paylaşırsanız bot bunu gerçek zamanlı olarak saldırgana iletir ve hesabınıza erişim sağlar. Saldırgan daha sonra oturum açma kimlik bilgilerini değiştirebilir ve hesabınıza erişmenizi engelleyebilir.

    Araya girme yoluyla OTP botu hesap ele geçirme

      OTP’yi tetiklemek için çalınan kimlik doğrulama bilgilerini kullanan bot, kod size ulaşmadan önce onu ele geçirmeye çalışır. Yaygın yöntemler şunlardır:

      • SIM kart kopyalama saldırısı: Saldırgan, bir mobil operatörü telefon numaranızı kendi kontrol ettiği bir SIM karta aktarmaya ikna eder, böylece SMS kodları doğrudan kendisine teslim edilir. 
      • API istismarı: Bot, oluşturulan OTP’leri yakalamak için zayıf şekilde güvenceye alınmış kimlik doğrulama API’lerini hedef alır. 
      • Kaba kuvvet saldırısı: Saldırgan, kısa sayısal OTP’lerin tüm olası kombinasyonlarını dener; kullandığınız web sitesi veya uygulama tekrarlanan istekler için bir sınır belirlemediğinde bu durum mümkündür.

      Aktarım saldırısı yoluyla OTP botu hesap ele geçirme

        Bu varyasyon çalınan kimlik bilgilerine dayanmaz. Bunun yerine, sizi hem oturum açma ayrıntılarınızı hem de OTP’nizi bir saldırgana vermeniz için kandırır. Gerçeğine benzeyen sahte bir web sitesine ulaşırsınız ve kimlik doğrulama bilgilerini girersiniz. Bot, bu kimlik bilgilerini hemen gerçek web sitesinde oturum açmak için kullanır ve bu da telefonunuza gönderilen bir OTP’yi tetikler. Sahte web sitesi daha sonra sizden kodu girmenizi ister ve bot bunu gerçek zamanlı olarak gerçek web sitesine aktarır. Bu, saldırganın kodun süresi dolmadan önce oturum açma işlemini tamamlamasını sağlar.

        Diğer varyasyonlarda olduğu gibi, saldırgan daha sonra kimlik doğrulama bilgilerini değiştirebilir ve hesabınıza erişmenizi engelleyebilir.

        Bir OTP botunun işletmenizi nasıl etkileyebileceği

        OTP botu hizmetlerini elde etme kolaylığı, işletmelere yönelik saldırıları muhtemelen artıracaktır. Bankacılık ve e-ticaret yaygın hedefler olsa da her sektör etkilenebilir. Küçük ve orta ölçekli işletmeler (KOBİ’ler) genellikle daha sık hedef alınır(yeni pencere).

        Finansal kayıplar önemli olabilir ancak göz önünde bulundurmanız gereken tek risk bunlar değildir.

        Finansal kayıplar bir kuruluş için ne kadar zarar verici olabilse de, işletme sahiplerini endişelendirmesi gereken tek kayıp bu değildir.

        Müşteri güveninin kaybolması

        Bir veri sızıntısının(yeni pencere) ardından müşteri güveni genellikle düşer. Vercara tarafından(yeni pencere) yapılan 2024 tarihli bir araştırma, tüketicilerin yüzde 58’inin etkilenen markaları güvenilmez bulduğunu ve yüzde 70’inin bir güvenlik olayından sonra bir markadan alışveriş yapmayı bırakacağını ortaya koydu.

        Mevzuata uygunluk riskleri

        Herhangi bir fon çalınmasa bile, işletmeniz veri koruma gereksinimlerini karşılamadığı için para cezalarıyla karşı karşıya kalabilir. Örneğin, Genel Veri Koruma Tüzüğü (GDPR), konum veya şirket boyutuna bakılmaksızın AB sakinlerinin kişisel verilerini işleyen tüm kuruluşlar için geçerlidir. Uyumsuzluk cezaları önemli boyutlarda olabilir.

        İşletmenizi OTP botlarından nasıl korursunuz

        İnsan hatasının korunması en zor şey olduğu göz önüne alındığında, işletmeler mümkün olduğunca çok teknik önlem uygulamalıdır. Bunlar şunları içerebilir:

        Hız sınırlama ve kısıtlama

        Belirli bir zaman dilimi içinde tek bir IP adresinden, telefon numarasından veya hesaptan kaç adet tek kullanımlık parola (OTP) isteği yapılabileceğini sınırlayın. Bu durum, saldırganların sistemlerinizi otomatik isteklerle doldurmasını önler.

        CAPTCHA ve davranış analizi

        Şüpheli etkinlik görüldüğünde CAPTCHA testlerini kullanın ve hızlı form gönderimleri veya gerçekçi olmayan fare hareketleri gibi insan dışı kalıpları tespit etmek için davranış analizi uygulayın.

        Aygıt parmak izi

        Mükerrer ihlal yapanları tespit etmek ve farklı hesaplarda birden fazla OTP isteği gönderen aygıtları işaretlemek için aygıt özelliklerini izleyin.

        OTP’nin ötesinde çok faktörlü kimlik doğrulama

        Yalnızca OTP’ye olan bağımlılığı azaltmak için donanım güvenlik anahtarları, biyometrik doğrulama veya anlık bildirimler gibi daha güçlü kimlik doğrulama yöntemleri ekleyin.

        API güvenliğini sıkılaştırma

        Müdahaleyi veya manipülasyonu önlemek için kimlik doğrulama gerektirerek, istekleri imzalayarak, girdileri doğrulayarak ve güvenli iletişim kanalları kullanarak OTP API’lerinizi koruyun.

        İzleme ve algılama

        Bot etkinliğine işaret edebilecek olağan dışı davranışları belirlemek için kullanım kalıplarını izleyin. OTP isteklerindeki ani artışları veya beklenmeyen coğrafi erişimleri yakalamak için gerçek zamanlı uyarılardan yararlanın. Tehditleri erken tespit etmek için günlükleri düzenli olarak gözden geçirin.

        Kendinizi OTP botlarından nasıl koruyabilirsiniz?

        OTP botları tehlikeli olabilir ancak hesaplarınızı korumak için basit adımlar atabilirsiniz.

        Güçlü, benzersiz parolalar veya geçiş anahtarları kullanın

        Her bir hesap için benzersiz kimlik doğrulama bilgileri oluşturmak ve bunları saklamak için bir işletme parola yöneticisi kullanın. Mümkünse tek kullanımlık parola (OTP) ihtiyacını ortadan kaldıran geçiş anahtarlarını kullanın.

        Donanım güvenlik anahtarı kullanın

        YubiKey gibi fiziksel güvenlik anahtarları, aygıtınıza fiziksel erişim gerektirdiklerinden otomatik saldırılara karşı güçlü koruma sağlar.

        Kimlik avı girişimlerine karşı dikkatli olun

        Doğrulama kodları isteyen talep edilmemiş iletilere karşı dikkatli olun. OTP, birileriyle paylaşılmak için değil, bir siteye veya uygulamaya girilmek içindir.

        Hesap etkinliğinizi izleyin

        Olağan dışı etkinlikler için oturum açma geçmişini ve hesap ayarlarını düzenli olarak kontrol edin.

        Kısa mesaj yerine bir kimlik doğrulama uygulaması kullanın

        Zaman tabanlı tek kullanımlık parolalar (TOTP) — bir kimlik doğrulama uygulaması tarafından üretilen kodlar —, SIM kart kopyalama (SIM-swapping) saldırılarıyla ele geçirilebilecek kısa mesaj tabanlı OTP’lerden daha güvenlidir.

        İyi bir parola hijyeni, ilk savunma hattınızdır

        Güçlü teknik korumaları iyi bir kimlik doğrulama bilgisi hijyeniyle birleştirmek, saldırganları uzak tutmada büyük katkı sağlar.

        Bir işletme parola yöneticisi kullanabileceğiniz en basit ve en etkili araçlardan biridir — çalışanların hesaplar arasında zayıf parolaları yeniden kullanmamasını sağlar ki bu da tam olarak OTP botlarının istismar etmek üzere tasarlandığı güvenlik açığı türüdür.

        Bunu kimlik avına karşı dayanıklı kimlik doğrulama yöntemleri ve güvenlik bilinci kültürüyle birleştirdiğinizde, işletmenizi çok daha zorlu bir hedef haline getirirsiniz.