“Hacklenemez” Denilen FIDO Anahtarları, Yeni Bir Saldırıyla Aşılıyor!
Siber güvenlikte “altın standart” olarak kabul edilen ve oltalama (phishing) saldırılarına karşı en güçlü savunmalardan biri olan FIDO güvenlik anahtarları, siber suçlular tarafından geliştirilen yeni ve son derece sinsi bir saldırı tekniğiyle tehlike altında. Güvenlik firması Expel‘deki araştırmacılar, PoisonSeed adını verdikleri bir tehdit aktörünün, FIDO’nun kendisinde bir açık bulmak yerine, meşru bir özelliği kötüye kullanarak korumaları atlattığını ve kullanıcı hesaplarını ele geçirdiğini ortaya çıkardı.
Bu gelişme, en güvenli kimlik doğrulama yöntemlerinin bile, akıllıca tasarlanmış bir sosyal mühendislik saldırısıyla nasıl zayıflatılabileceğini gösteriyor.
FIDO Nedir ve Neden Bu Kadar Güvenliydi?
Bu saldırının önemini anlamak için önce FIDO‘nun ne olduğunu bilmek gerekir. FIDO (Fast IDentity Online), YubiKey gibi fiziksel USB anahtarlarından veya telefonunuzdaki parmak izi gibi platforma bağlı anahtarlardan oluşur. Geleneksel şifrelerin aksine, FIDO anahtarları oltalama saldırılarına karşı dayanıklıdır çünkü kimlik doğrulamayı, bir web sitesinin gerçek alan adına kriptografik olarak bağlarlar. Yani, sahte bir siteye yönlendirilmiş olsanız bile, anahtar sahte alan adıyla iletişim kurmayı reddeder ve kimlik bilgilerinizi korur.
Saldırı Nasıl Çalışıyor? “Cihazlar Arası Giriş” Tuzağı
Saldırganlar, FIDO’nun protokolünde bir hata bulmak yerine, onun son derece kullanışlı bir özelliği olan “cihazlar arası giriş” (cross-device sign-in) özelliğini bir silaha dönüştürüyor. Bu özellik, normalde parolasız anahtarınızın olmadığı bir bilgisayarda, anahtarınızın bulunduğu telefonunuzu kullanarak QR kod okutarak giriş yapmanızı sağlar.
İşte PoisonSeed’in adım adım saldırı zinciri:
| 👣 Adım | 🎭 Saldırganın Eylemi | 🤷♂️ Kurbanın Gördüğü |
| 1. Oltalama | Kurbana, kurumsal Okta portalını taklit eden sahte bir giriş sayfasına yönlendiren bir oltalama e-postası gönderir. | Güvenilir şirketinden gelmiş gibi görünen normal bir e-posta. |
| 2. Bilgi Toplama | Kurban, kullanıcı adını ve şifresini sahte siteye girer. Saldırgan bu bilgileri anında alır. | Normal bir giriş ekranı. |
| 3. Aracı Saldırısı (AitM) | Saldırgan, aldığı kimlik bilgilerini gerçek Okta portalına girer ve “cihazlar arası giriş” seçeneğini tetikler. | – |
| 4. QR Kod Tuzağı | Gerçek Okta portalı, saldırganın oturumu için bir QR kod oluşturur. Saldırgan bu QR kodunu anında kopyalar ve kurbanın bulunduğu sahte siteye yapıştırır. | “Kimliğinizi doğrulamak için lütfen telefonunuzla QR kodu okutun” diyen normal bir güvenlik adımı. |
| 5. Onay ve Sızma | Kurban, telefonundaki kimlik doğrulama uygulamasıyla sahte sitedeki (aslında gerçek olan) QR kodu okutur ve girişi onaylar. | Güvenli bir şekilde giriş yaptığını düşünür. |
| Sonuç | Kurban, aslında kendi telefonunu kullanarak, saldırganın kendi bilgisayarındaki oturumunu onaylamış olur. Saldırgan, kurbanın hesabına tam erişim kazanır. | Hesabına giriş yapamaz ve genellikle bir hata mesajı görür. |
Bu saldırı, FIDO’nun protokolünde bir kusur olduğu için değil, esnek uygulamasının kötüye kullanılması nedeniyle başarılı oluyor.
Bu Saldırı Her Zaman Çalışır mı?
Hayır. Bu tekniğin çalışması için, hedeflenen sistemin “cihazlar arası giriş” özelliğinde yakınlık kontrolü (proximity check) uygulamaması gerekiyor. Eğer sistem, QR kodu okutan telefonun, giriş yapılmaya çalışılan bilgisayara Bluetooth gibi bir yöntemle fiziksel olarak yakın olup olmadığını kontrol etmiyorsa, bu saldırı başarılı olabilir.
Kurumlar ve Kullanıcılar İçin Korunma Yöntemleri
Expel araştırmacıları, bu yeni nesil tehditlere karşı korunmak için şu adımları öneriyor:
- Donanım Anahtarlarını Zorunlu Kılın: Mümkün olduğunda, doğrudan giriş yapılan cihaza takılması gereken fiziksel FIDO güvenlik anahtarlarının kullanımını zorunlu kılın.
- Platforma Bağlı Doğrulayıcılar Kullanın: Tarayıcıya bağlı Face ID veya Windows Hello gibi platforma bağlı kimlik doğrulayıcılar, bu tür cihazlar arası saldırı riskini sınırlar.
- Anormal Girişleri İzleyin: Güvenlik ekipleri, olağandışı QR kod girişlerini veya yeni FIDO anahtarı kayıtlarını yakından izlemelidir.
- Kullanıcıları Bilgilendirin: Cihazlar arası giriş ekranlarında, girişin yapıldığı konum, cihaz türü gibi detayları gösteren ve kullanıcıyı şüpheli aktivitelere karşı uyaran net bilgiler sunun.
FIDO anahtarlarına yönelik bu “ortadaki düşman” saldırısı, siber güvenlikte %100 garantili bir çözüm olmadığını ve saldırganların her zaman en güçlü savunmaları bile atlatmak için yeni ve yaratıcı yollar bulduğunu gösteriyor. Bu, kimlik doğrulama altyapısının her adımında oltalama saldırılarına karşı dirençli yöntemler kullanmanın ne kadar hayati olduğunu bir kez daha kanıtlıyor.
Siz iki faktörlü kimlik doğrulamada hangi yöntemi kullanıyorsunuz? Bu tür sofistike bir saldırıya karşı korunabileceğinizi düşünüyor musunuz? Düşüncelerinizi yorumlarda bizimle paylaşın!
En yeni siber saldırı teknikleri ve dijital kimliğinizi nasıl koruyacağınıza dair en güncel bilgiler için techneiro.com‘u takip etmeye devam edin!
