Merhabalar. Çok faktörlü doğrulama, MFA, modern kimlik güvenliğinin temel taşı olarak kabul edilir. "MFA açıksa hesabınız güvende" cümlesi hem kullanıcılara hem yöneticilere defalarca tekrar edilmiştir. Bu doğrudur ama eksiktir. MFA varlığı saldırıyı imkânsız kılmaz, yalnızca zorlaştırır. Saldırganlar bu zorluğu aşmak için son birkaç yılda çok gelişmiş teknikler geliştirmiştir. Bu yazımda MFA'nın nasıl atlatıldığını, her bypass tekniğinin arkasındaki mantığı, gerçek saldırı örneklerini ve savunma katmanlarını detaylıca anlatacağım. İyi okumalar.
MFA Neden Yeterli Değil?
MFA'nın ne yaptığını önce netleştirelim. Parola tek başına bir faktördür: bildiğiniz bir şey. MFA buna ikinci bir faktör ekler: sahip olduğunuz bir şey (telefon, donanım anahtarı) veya olduğunuz bir şey (parmak izi, yüz). İki faktörün aynı anda ele geçirilmesi tek faktöre kıyasla çok daha zordur.
Ama "çok daha zor" ile "imkânsız" arasında dağlar kadar fark vardır. MFA'nın atlatılabilmesinin nedeni temelde şudur: kimlik doğrulama süreci ağ üzerinden geçer, bu süreç gerçek zamanlıdır ve insan faktörü içerir. Bu üç özelliğin her biri bir saldırı yüzeyi oluşturur.
Saldırıların büyük çoğunluğu MFA'yı kırmaz. MFA'yı devre dışı bırakır, atlar veya kullanıcıyı kandırarak kendi kendine onaylatır. Fark önemlidir. Kriptografik olarak MFA'yı kıran bir saldırı neredeyse yoktur. Ama MFA'nın etrafından dolaşan onlarca teknik mevcuttur ve bunlar gerçek saldırılarda aktif olarak kullanılmaktadır.
MFA Prompt Bombing
Bu teknik son yılların en çok konuşulan MFA bypass yöntemidir ve şaşırtıcı derecede basittir. Saldırgan kullanıcının parolasını ele geçirmiştir. Oturum açmayı denediğinde sistem MFA push bildirimi gönderir. Kullanıcı bildirimi görür ve reddeder. Saldırgan tekrar dener. Kullanıcı tekrar reddeder. Saldırgan onlarca kez dener.
Belirli bir noktada kullanıcı yorulur, dikkati dağılır veya "galiba telefonum bozuk, onaylayayım da geçeyim" diye düşünür ve onayla düğmesine basar. Saldırgan içeri girer.
MFA Fatigue yani MFA yorgunluğu olarak da bilinen bu teknik, Uber'in 2022'deki ihlalinde kullanılmıştır. Saldırgan bir yüklenicinin kimlik bilgilerini ele geçirmiş, push bildirimlerini sürekli göndermiş ve kurban sonunda onaylamıştır. Bu tek onay milyarlarca dolarlık şirketin iç sistemlerine erişim kapısı olmuştur.
Tekniğin işe yaramasının nedeni psikolojiktir. Sürekli gelen bildirim can sıkıcıdır ve insanın onu durdurmak istemesi doğaldır. Özellikle gece geç saatlerde veya yoğun bir iş günü ortasında gelen onlarca push bildirimi baskı yaratır.
Adversary in the Middle (AiTM) — Oturumu Çalmak
Bu teknik hem en sofistike hem de en etkili MFA bypass yöntemidir. Saldırgan kullanıcının OTP kodunu veya push bildirimini hedeflemiyor, doğrudan oturum çerezini hedefliyor.
Şöyle çalışır: saldırgan meşru bir sitenin (örneğin Microsoft giriş sayfasının) tam kopyasını oluşturur. Ama bu kopya yalnızca bir arayüz değildir, aynı zamanda gerçek siteye proxy görevi görür. Kullanıcı sahte sayfaya kullanıcı adını girer, saldırganın proxy'si bunu gerçek Microsoft'a iletir. Gerçek Microsoft MFA ister. Kullanıcı MFA'yı tamamlar. Gerçek Microsoft oturum çerezini verir. Saldırganın proxy'si bu çerezi yakalar. Kullanıcıya ise yönlendirme yapılır ve her şey normal görünür.
Sonuç: kullanıcı MFA'yı eksiksiz tamamlamıştır ama saldırgan oturum çerezine sahiptir. Bu çerezle MFA'ya gerek kalmaksızın aynı oturumu ele geçirir.
Evilginx2, Modlishka ve Muraena bu saldırı için kullanılan açık kaynak araçlardır. Microsoft 365, Google Workspace, Okta ve diğer SSO sistemleri için önceden hazırlanmış phishlet konfigürasyonları mevcuttur. Bu araçlarla saldırganlar birkaç dakikada tam işlevsel bir AiTM proxy kurabilmektedir.
2022'de Microsoft, Office 365 kullanıcılarını hedef alan büyük bir AiTM kampanyası tespit etmiştir. On binlerce kullanıcının oturum çerezi bu yöntemle ele geçirilmiştir.
SIM Swap | Telefon Numarasını Ele Geçirmek
SMS tabanlı MFA, TOTP (altı haneli kod) tabanlı MFA'dan çok daha zayıftır. Bunun nedeni SMS'in altyapısal zayıflıklarında yatar. SIM Swap yani SIM değiştirme saldırısı bu zayıflığı doğrudan istismar eder.
Saldırı şöyle gerçekleşir: saldırgan operatörü arar veya mağazaya gider. Kurbanın kimliğini sosyal mühendislikle taklit eder. "Telefonum çalındı, numaramı yeni bir SIM'e aktarmak istiyorum" der. Operatör müşteri hizmetleri yeterli doğrulama yapmadan numarayı aktarır. Artık kurbanın telefon numarasına gelen tüm SMS'ler saldırgana gider.
Bu noktada SMS tabanlı MFA tamamen çökmüştür. Kurbanın parolası biliniyorsa oturum açılır, SMS kodu saldırgana gelir ve giriş tamamlanır.
ABD'de 2019'da kripto para borsası Coinbase'in birçok kullanıcısı bu yöntemle hesabını kaybetmiştir. Twitter kurucu ortağı Jack Dorsey'in hesabı 2019'da SIM swap ile ele geçirilmiştir. Bu saldırı teknik bilgi gerektirmez, yalnızca sosyal mühendislik ve operatörün yetersiz doğrulama süreci saldırıyı mümkün kılar.
SS7 protokol zafiyetleri ise SIM swap'a gerek kalmaksızın SMS'i doğrudan yakalamayı mümkün kılar. Eski ve zayıf tasarımlı SS7 protokolü, telekom altyapısına erişimi olan aktörlerin SMS'i yönlendirmesine izin verir. Bu saldırı çok daha karmaşık ve pahalıdır ama devlet destekli tehdit aktörlerinin kullandığı bilinmektedir.
Real-Time Phishing
AiTM proxy olmadan da OTP çalmak mümkündür. Gerçek zamanlı phishing denen bu yöntemde saldırgan kullanıcıdan OTP'yi doğrudan alır ve onu gerçek siteye birkaç saniye içinde girer.
Senaryo şöyle işler: sahte bir giriş sayfası hazırlanır. Kullanıcı kullanıcı adı ve parolasını girer. Sahte sayfa bu bilgileri saldırgana iletir. Saldırgan gerçek siteye bu bilgilerle giriş yapar, gerçek site OTP ister. Sahte sayfa kullanıcıdan OTP girmesini ister. Kullanıcı OTP'yi sahte sayfaya girer. Saldırgan bu OTP'yi alır ve birkaç saniye içinde gerçek siteye girer.
OTP'lerin geçerlilik süresi genellikle 30 saniyedir. Bu süre yeterliyse saldırgan oturum açar. Bu yöntem AiTM kadar otomatik değildir ama çok daha az teknik bilgi gerektirir. Üstelik bazı güvenlik sistemleri AiTM proxy'yi tespit edebilirken gerçek zamanlı phishing sayfasını tespit etmekte zorlanır.
Telegram botları bu saldırıyı otomatize eder. Saldırgan bir phishing kit satın alır veya indirir, Telegram botuyla entegre eder. Kullanıcı sahte sayfaya girdiğinde saldırgan Telegram'da anlık bildirim alır, birkaç tuşa basarak OTP'yi gerçek siteye girer. Tüm süreç saniyeler içinde tamamlanır.
OAuth ve SSO Saldırıları
Modern kimlik sistemleri çoğunlukla OAuth 2.0 ve OpenID Connect üzerine kuruludur. Bu protokoller uygulamaların birbirleri adına kimlik doğrulamasını mümkün kılar. MFA bu protokol akışlarında belirli bir noktada gerçekleşir ama protokolün kendisinde de saldırı yüzeyleri bulunur.
Rogue OAuth Application saldırısında saldırgan meşru görünen bir OAuth uygulaması oluşturur. Bu uygulama kullanıcıdan e-posta okuma, dosya erişimi veya kullanıcı profili izni ister. Kullanıcı kendi hesabına gerçekten giriş yapar, MFA'yı tamamlar ve uygulamaya izin verir. Saldırgan artık OAuth erişim jetonuna sahiptir. MFA'ya gerek yoktur çünkü kullanıcı zaten doğrulamayı tamamlamıştır ve gönüllü olarak erişim vermiştir.
Bu teknik consent phishing yani izin oltalama olarak da bilinir. Microsoft 365 ve Google Workspace ekosistemlerinde aktif olarak kullanılmaktadır. Zararlı uygulama kaldırılana kadar saldırgan kalıcı erişime sahiptir ve parola değişikliği, MFA yenileme hiçbir şeyi değiştirmez çünkü erişim doğrudan oturum değil uygulama izniyle sağlanmaktadır.
Token Theft da bu kategoridedir. OAuth refresh tokenları uzun süre geçerlidir ve yenileme gerektirmez. Bu tokenlar çalınırsa saldırgan uzun süre erişim hakkına sahip olur. Endpoint üzerinde token dosyaları veya tarayıcı depolama alanında saklanan tokenlar hedef alınır.
MFA Kurtarma Mekanizmaları | Zayıf Halkayı Hedeflemek
MFA sistemleri kurtarma seçenekleri sunar: "Telefonumu kaybettim, nasıl giriş yaparım?" Bu kurtarma mekanizmaları çoğunlukla MFA'nın kendisinden çok daha zayıftır ve saldırganlar bu halkaları hedefler.
Yedek kodlar ilk hedeftir. MFA kurulurken sisteme genellikle tek kullanımlık yedek kodlar verilir ve bunlar dosyaya kaydedilir ya da yazdırılır. Bu kodlar çalınırsa MFA devre dışı kalır. Endpoint'e sızan zararlı yazılım bu dosyaları arar ve sızdırır.
Destek hattı sosyal mühendisliği çok yaygın kullanılan bir yöntemdir. Saldırgan kurbanı taklit ederek müşteri hizmetleri veya IT destek hattını arar. "MFA cihazımı kaybettim, hesabımı sıfırlamanız gerekiyor" der. Destek hattı yetersiz doğrulamayla hesabı sıfırlarsa saldırgan MFA olmadan içeri girer.
E-posta tabanlı kurtarma da zayıf bir halkadır. Birçok sistem MFA sıfırlamayı e-posta ile yapar. E-posta hesabı ele geçirildiyse MFA sıfırlama e-postası da ele geçirilir ve MFA bypass gerçekleşir. Bu nedenle kurtarma e-posta adresinin MFA korumasının kritik bir parçası olduğu unutulmamalıdır.
FIDO2/WebAuthn | Gerçekten Dayanıklı MFA
Tüm bu bypass tekniklerine karşı dayanıklı olan tek MFA standardı FIDO2/WebAuthn'dır. Bunun nedeni bu standardın çalışma prensibinde yatar.
FIDO2 kimlik doğrulaması alan adına bağlıdır. Bir YubiKey veya passkey ile giriş yapıldığında cihaz şunu kontrol eder: "Bu kimlik doğrulaması gerçekten beklediğim alan adı için mi?" Eğer AiTM proxy devredeyse ve sahte domain kullanılıyorsa FIDO2 bunu fark eder ve kimlik doğrulamayı reddeder. Kriptografik seviyede domain bağlama yapılmaktadır.
Bu AiTM'yi tamamen etkisiz kılar. Sahte siteye ne kadar benzer görünürse görünsün FIDO2 gerçek alan adını doğrular ve yanlış alan adı için yanıt üretmez.
Prompt bombing da işe yaramaz çünkü FIDO2 push bildirimi kullanmaz. Fiziksel bir cihaza dokunma veya biyometrik doğrulama gerektirir. Saldırgan doğrulamayı uzaktan tetikleyemez.
SIM swap da geçersizdir çünkü FIDO2 SMS veya e-posta bağımlı değildir.
Passkey ise FIDO2'nin kullanıcı dostu versiyonudur. YubiKey gibi fiziksel bir donanım gerekmez. Telefonun biyometrik sensörü veya PIN'i FIDO2 anahtarı olarak kullanılır. Apple, Google ve Microsoft passkey desteğini tüm büyük platformlarda aktif hale getirmiştir.
Savunma Mimarisi
MFA bypass tekniklerinin tamamını anlayan bir güvenlik ekibi savunmasını çok daha doğru konumlandırır. Tek bir önlem yetmez, katmanlar gerekir.
Koşullu Erişim (Conditional Access) kimlik güvenliğinin temel taşıdır. MFA yalnızca "doğru kullanıcı mı?" sorusunu sorar. Koşullu erişim şunu sorar: "Doğru kullanıcı ama bu cihazdan, bu konumdan, bu saatte giriş yapıyor mu?" Şirket dışı bir cihazdan, yabancı bir ülkeden veya mesai saatleri dışında giriş yapılıyorsa ek doğrulama istenir veya erişim tamamen engellenir.
Sürekli kimlik doğrulama oturum boyunca riski değerlendirir. Giriş anında güvenli görünen bir oturum yarım saat sonra şüpheli bir aktivite gösterirse yeniden doğrulama istenir. Microsoft'un Continuous Access Evaluation sistemi tam bu işi yapar.
Ayrıcalıklı hesap yönetimi yönetici hesaplarını özelleştirilmiş kurallarla korur. Domain admin hesapları yalnızca belirli iş istasyonlarından, belirli ağ segmentlerinden erişilebilir olmalıdır. MFA zorunlu olmalıdır ve bu hesaplar için FIDO2 tercih edilmelidir.
Kullanıcı davranış analizi (UBA) anomaliyi tespit eder. Her kullanıcının normal davranış profili çıkarılır. Bu profilden sapmalar risk skoru üretir ve yüksek riskli olaylar otomatik müdahale tetikler.
Kısaca MFA bypass MFA'yı kırmaz, etrafından dolaşır. Prompt bombing kullanıcıyı yorarak onaylatır ve Uber ihlali bunun en çarpıcı örneğidir. AiTM proxy oturum çerezini gerçek zamanlı olarak yakalar ve MFA tamamlanmış olsa bile erişimi mümkün kılar. SIM swap SMS tabanlı MFA'yı operatör sosyal mühendisliğiyle tamamen geçersiz hale getirir. Gerçek zamanlı phishing OTP'yi saniyeler içinde çalar ve gerçek siteye girer. OAuth consent phishing kullanıcının gönüllü izniyle kalıcı erişim sağlar. Kurtarma mekanizmaları zayıf halkayı oluşturur. FIDO2/WebAuthn tüm bu tekniklere karşı kriptografik seviyede dayanıklıdır çünkü alan adı bağlama yaparak AiTM'i engeller. Savunmada Koşullu Erişim, Sürekli Kimlik Doğrulama, oturum token ömrünü kısaltmak ve mümkün olan her yerde FIDO2 kullanmak bu tehditlere karşı gerçek koruma sağlar.
Önemli Hatırlatma: Bu yazıdaki teknikler güvenlik araştırması, yetkili penetrasyon testi ve savunma amaçlı eğitim kapsamında paylaşılmıştır. Yetkisiz sistemlere erişim için bu tekniklerin kullanılması TCK Madde 243 ve ilgili maddeler kapsamında suçtur. Denemeyiniz efendim.
MFA Neden Yeterli Değil?
MFA'nın ne yaptığını önce netleştirelim. Parola tek başına bir faktördür: bildiğiniz bir şey. MFA buna ikinci bir faktör ekler: sahip olduğunuz bir şey (telefon, donanım anahtarı) veya olduğunuz bir şey (parmak izi, yüz). İki faktörün aynı anda ele geçirilmesi tek faktöre kıyasla çok daha zordur.
Ama "çok daha zor" ile "imkânsız" arasında dağlar kadar fark vardır. MFA'nın atlatılabilmesinin nedeni temelde şudur: kimlik doğrulama süreci ağ üzerinden geçer, bu süreç gerçek zamanlıdır ve insan faktörü içerir. Bu üç özelliğin her biri bir saldırı yüzeyi oluşturur.
Saldırıların büyük çoğunluğu MFA'yı kırmaz. MFA'yı devre dışı bırakır, atlar veya kullanıcıyı kandırarak kendi kendine onaylatır. Fark önemlidir. Kriptografik olarak MFA'yı kıran bir saldırı neredeyse yoktur. Ama MFA'nın etrafından dolaşan onlarca teknik mevcuttur ve bunlar gerçek saldırılarda aktif olarak kullanılmaktadır.
MFA Prompt Bombing
Bu teknik son yılların en çok konuşulan MFA bypass yöntemidir ve şaşırtıcı derecede basittir. Saldırgan kullanıcının parolasını ele geçirmiştir. Oturum açmayı denediğinde sistem MFA push bildirimi gönderir. Kullanıcı bildirimi görür ve reddeder. Saldırgan tekrar dener. Kullanıcı tekrar reddeder. Saldırgan onlarca kez dener.
Belirli bir noktada kullanıcı yorulur, dikkati dağılır veya "galiba telefonum bozuk, onaylayayım da geçeyim" diye düşünür ve onayla düğmesine basar. Saldırgan içeri girer.
MFA Fatigue yani MFA yorgunluğu olarak da bilinen bu teknik, Uber'in 2022'deki ihlalinde kullanılmıştır. Saldırgan bir yüklenicinin kimlik bilgilerini ele geçirmiş, push bildirimlerini sürekli göndermiş ve kurban sonunda onaylamıştır. Bu tek onay milyarlarca dolarlık şirketin iç sistemlerine erişim kapısı olmuştur.
Tekniğin işe yaramasının nedeni psikolojiktir. Sürekli gelen bildirim can sıkıcıdır ve insanın onu durdurmak istemesi doğaldır. Özellikle gece geç saatlerde veya yoğun bir iş günü ortasında gelen onlarca push bildirimi baskı yaratır.
Adversary in the Middle (AiTM) — Oturumu Çalmak
Bu teknik hem en sofistike hem de en etkili MFA bypass yöntemidir. Saldırgan kullanıcının OTP kodunu veya push bildirimini hedeflemiyor, doğrudan oturum çerezini hedefliyor.
Şöyle çalışır: saldırgan meşru bir sitenin (örneğin Microsoft giriş sayfasının) tam kopyasını oluşturur. Ama bu kopya yalnızca bir arayüz değildir, aynı zamanda gerçek siteye proxy görevi görür. Kullanıcı sahte sayfaya kullanıcı adını girer, saldırganın proxy'si bunu gerçek Microsoft'a iletir. Gerçek Microsoft MFA ister. Kullanıcı MFA'yı tamamlar. Gerçek Microsoft oturum çerezini verir. Saldırganın proxy'si bu çerezi yakalar. Kullanıcıya ise yönlendirme yapılır ve her şey normal görünür.
Sonuç: kullanıcı MFA'yı eksiksiz tamamlamıştır ama saldırgan oturum çerezine sahiptir. Bu çerezle MFA'ya gerek kalmaksızın aynı oturumu ele geçirir.
Evilginx2, Modlishka ve Muraena bu saldırı için kullanılan açık kaynak araçlardır. Microsoft 365, Google Workspace, Okta ve diğer SSO sistemleri için önceden hazırlanmış phishlet konfigürasyonları mevcuttur. Bu araçlarla saldırganlar birkaç dakikada tam işlevsel bir AiTM proxy kurabilmektedir.
2022'de Microsoft, Office 365 kullanıcılarını hedef alan büyük bir AiTM kampanyası tespit etmiştir. On binlerce kullanıcının oturum çerezi bu yöntemle ele geçirilmiştir.
SIM Swap | Telefon Numarasını Ele Geçirmek
SMS tabanlı MFA, TOTP (altı haneli kod) tabanlı MFA'dan çok daha zayıftır. Bunun nedeni SMS'in altyapısal zayıflıklarında yatar. SIM Swap yani SIM değiştirme saldırısı bu zayıflığı doğrudan istismar eder.
Saldırı şöyle gerçekleşir: saldırgan operatörü arar veya mağazaya gider. Kurbanın kimliğini sosyal mühendislikle taklit eder. "Telefonum çalındı, numaramı yeni bir SIM'e aktarmak istiyorum" der. Operatör müşteri hizmetleri yeterli doğrulama yapmadan numarayı aktarır. Artık kurbanın telefon numarasına gelen tüm SMS'ler saldırgana gider.
Bu noktada SMS tabanlı MFA tamamen çökmüştür. Kurbanın parolası biliniyorsa oturum açılır, SMS kodu saldırgana gelir ve giriş tamamlanır.
ABD'de 2019'da kripto para borsası Coinbase'in birçok kullanıcısı bu yöntemle hesabını kaybetmiştir. Twitter kurucu ortağı Jack Dorsey'in hesabı 2019'da SIM swap ile ele geçirilmiştir. Bu saldırı teknik bilgi gerektirmez, yalnızca sosyal mühendislik ve operatörün yetersiz doğrulama süreci saldırıyı mümkün kılar.
SS7 protokol zafiyetleri ise SIM swap'a gerek kalmaksızın SMS'i doğrudan yakalamayı mümkün kılar. Eski ve zayıf tasarımlı SS7 protokolü, telekom altyapısına erişimi olan aktörlerin SMS'i yönlendirmesine izin verir. Bu saldırı çok daha karmaşık ve pahalıdır ama devlet destekli tehdit aktörlerinin kullandığı bilinmektedir.
Real-Time Phishing
AiTM proxy olmadan da OTP çalmak mümkündür. Gerçek zamanlı phishing denen bu yöntemde saldırgan kullanıcıdan OTP'yi doğrudan alır ve onu gerçek siteye birkaç saniye içinde girer.
Senaryo şöyle işler: sahte bir giriş sayfası hazırlanır. Kullanıcı kullanıcı adı ve parolasını girer. Sahte sayfa bu bilgileri saldırgana iletir. Saldırgan gerçek siteye bu bilgilerle giriş yapar, gerçek site OTP ister. Sahte sayfa kullanıcıdan OTP girmesini ister. Kullanıcı OTP'yi sahte sayfaya girer. Saldırgan bu OTP'yi alır ve birkaç saniye içinde gerçek siteye girer.
OTP'lerin geçerlilik süresi genellikle 30 saniyedir. Bu süre yeterliyse saldırgan oturum açar. Bu yöntem AiTM kadar otomatik değildir ama çok daha az teknik bilgi gerektirir. Üstelik bazı güvenlik sistemleri AiTM proxy'yi tespit edebilirken gerçek zamanlı phishing sayfasını tespit etmekte zorlanır.
Telegram botları bu saldırıyı otomatize eder. Saldırgan bir phishing kit satın alır veya indirir, Telegram botuyla entegre eder. Kullanıcı sahte sayfaya girdiğinde saldırgan Telegram'da anlık bildirim alır, birkaç tuşa basarak OTP'yi gerçek siteye girer. Tüm süreç saniyeler içinde tamamlanır.
OAuth ve SSO Saldırıları
Modern kimlik sistemleri çoğunlukla OAuth 2.0 ve OpenID Connect üzerine kuruludur. Bu protokoller uygulamaların birbirleri adına kimlik doğrulamasını mümkün kılar. MFA bu protokol akışlarında belirli bir noktada gerçekleşir ama protokolün kendisinde de saldırı yüzeyleri bulunur.
Rogue OAuth Application saldırısında saldırgan meşru görünen bir OAuth uygulaması oluşturur. Bu uygulama kullanıcıdan e-posta okuma, dosya erişimi veya kullanıcı profili izni ister. Kullanıcı kendi hesabına gerçekten giriş yapar, MFA'yı tamamlar ve uygulamaya izin verir. Saldırgan artık OAuth erişim jetonuna sahiptir. MFA'ya gerek yoktur çünkü kullanıcı zaten doğrulamayı tamamlamıştır ve gönüllü olarak erişim vermiştir.
Bu teknik consent phishing yani izin oltalama olarak da bilinir. Microsoft 365 ve Google Workspace ekosistemlerinde aktif olarak kullanılmaktadır. Zararlı uygulama kaldırılana kadar saldırgan kalıcı erişime sahiptir ve parola değişikliği, MFA yenileme hiçbir şeyi değiştirmez çünkü erişim doğrudan oturum değil uygulama izniyle sağlanmaktadır.
Token Theft da bu kategoridedir. OAuth refresh tokenları uzun süre geçerlidir ve yenileme gerektirmez. Bu tokenlar çalınırsa saldırgan uzun süre erişim hakkına sahip olur. Endpoint üzerinde token dosyaları veya tarayıcı depolama alanında saklanan tokenlar hedef alınır.
MFA Kurtarma Mekanizmaları | Zayıf Halkayı Hedeflemek
MFA sistemleri kurtarma seçenekleri sunar: "Telefonumu kaybettim, nasıl giriş yaparım?" Bu kurtarma mekanizmaları çoğunlukla MFA'nın kendisinden çok daha zayıftır ve saldırganlar bu halkaları hedefler.
Yedek kodlar ilk hedeftir. MFA kurulurken sisteme genellikle tek kullanımlık yedek kodlar verilir ve bunlar dosyaya kaydedilir ya da yazdırılır. Bu kodlar çalınırsa MFA devre dışı kalır. Endpoint'e sızan zararlı yazılım bu dosyaları arar ve sızdırır.
Destek hattı sosyal mühendisliği çok yaygın kullanılan bir yöntemdir. Saldırgan kurbanı taklit ederek müşteri hizmetleri veya IT destek hattını arar. "MFA cihazımı kaybettim, hesabımı sıfırlamanız gerekiyor" der. Destek hattı yetersiz doğrulamayla hesabı sıfırlarsa saldırgan MFA olmadan içeri girer.
E-posta tabanlı kurtarma da zayıf bir halkadır. Birçok sistem MFA sıfırlamayı e-posta ile yapar. E-posta hesabı ele geçirildiyse MFA sıfırlama e-postası da ele geçirilir ve MFA bypass gerçekleşir. Bu nedenle kurtarma e-posta adresinin MFA korumasının kritik bir parçası olduğu unutulmamalıdır.
FIDO2/WebAuthn | Gerçekten Dayanıklı MFA
Tüm bu bypass tekniklerine karşı dayanıklı olan tek MFA standardı FIDO2/WebAuthn'dır. Bunun nedeni bu standardın çalışma prensibinde yatar.
FIDO2 kimlik doğrulaması alan adına bağlıdır. Bir YubiKey veya passkey ile giriş yapıldığında cihaz şunu kontrol eder: "Bu kimlik doğrulaması gerçekten beklediğim alan adı için mi?" Eğer AiTM proxy devredeyse ve sahte domain kullanılıyorsa FIDO2 bunu fark eder ve kimlik doğrulamayı reddeder. Kriptografik seviyede domain bağlama yapılmaktadır.
Bu AiTM'yi tamamen etkisiz kılar. Sahte siteye ne kadar benzer görünürse görünsün FIDO2 gerçek alan adını doğrular ve yanlış alan adı için yanıt üretmez.
Prompt bombing da işe yaramaz çünkü FIDO2 push bildirimi kullanmaz. Fiziksel bir cihaza dokunma veya biyometrik doğrulama gerektirir. Saldırgan doğrulamayı uzaktan tetikleyemez.
SIM swap da geçersizdir çünkü FIDO2 SMS veya e-posta bağımlı değildir.
Passkey ise FIDO2'nin kullanıcı dostu versiyonudur. YubiKey gibi fiziksel bir donanım gerekmez. Telefonun biyometrik sensörü veya PIN'i FIDO2 anahtarı olarak kullanılır. Apple, Google ve Microsoft passkey desteğini tüm büyük platformlarda aktif hale getirmiştir.
Savunma Mimarisi
MFA bypass tekniklerinin tamamını anlayan bir güvenlik ekibi savunmasını çok daha doğru konumlandırır. Tek bir önlem yetmez, katmanlar gerekir.
Koşullu Erişim (Conditional Access) kimlik güvenliğinin temel taşıdır. MFA yalnızca "doğru kullanıcı mı?" sorusunu sorar. Koşullu erişim şunu sorar: "Doğru kullanıcı ama bu cihazdan, bu konumdan, bu saatte giriş yapıyor mu?" Şirket dışı bir cihazdan, yabancı bir ülkeden veya mesai saatleri dışında giriş yapılıyorsa ek doğrulama istenir veya erişim tamamen engellenir.
Sürekli kimlik doğrulama oturum boyunca riski değerlendirir. Giriş anında güvenli görünen bir oturum yarım saat sonra şüpheli bir aktivite gösterirse yeniden doğrulama istenir. Microsoft'un Continuous Access Evaluation sistemi tam bu işi yapar.
Ayrıcalıklı hesap yönetimi yönetici hesaplarını özelleştirilmiş kurallarla korur. Domain admin hesapları yalnızca belirli iş istasyonlarından, belirli ağ segmentlerinden erişilebilir olmalıdır. MFA zorunlu olmalıdır ve bu hesaplar için FIDO2 tercih edilmelidir.
Kullanıcı davranış analizi (UBA) anomaliyi tespit eder. Her kullanıcının normal davranış profili çıkarılır. Bu profilden sapmalar risk skoru üretir ve yüksek riskli olaylar otomatik müdahale tetikler.
Kısaca MFA bypass MFA'yı kırmaz, etrafından dolaşır. Prompt bombing kullanıcıyı yorarak onaylatır ve Uber ihlali bunun en çarpıcı örneğidir. AiTM proxy oturum çerezini gerçek zamanlı olarak yakalar ve MFA tamamlanmış olsa bile erişimi mümkün kılar. SIM swap SMS tabanlı MFA'yı operatör sosyal mühendisliğiyle tamamen geçersiz hale getirir. Gerçek zamanlı phishing OTP'yi saniyeler içinde çalar ve gerçek siteye girer. OAuth consent phishing kullanıcının gönüllü izniyle kalıcı erişim sağlar. Kurtarma mekanizmaları zayıf halkayı oluşturur. FIDO2/WebAuthn tüm bu tekniklere karşı kriptografik seviyede dayanıklıdır çünkü alan adı bağlama yaparak AiTM'i engeller. Savunmada Koşullu Erişim, Sürekli Kimlik Doğrulama, oturum token ömrünü kısaltmak ve mümkün olan her yerde FIDO2 kullanmak bu tehditlere karşı gerçek koruma sağlar.
Önemli Hatırlatma: Bu yazıdaki teknikler güvenlik araştırması, yetkili penetrasyon testi ve savunma amaçlı eğitim kapsamında paylaşılmıştır. Yetkisiz sistemlere erişim için bu tekniklerin kullanılması TCK Madde 243 ve ilgili maddeler kapsamında suçtur. Denemeyiniz efendim.
