SMS ile 2FA neden riskli olabilir?

SMS ile İki Faktörlü Doğrulama: Güvenli Sandığınız Kadar Değil

Hesaplarınızı korumak için SMS ile gelen doğrulama kodlarına güveniyorsanız, bu yazı tam size göre. SMS ile 2FA neden riskli olabilir sorusunun cevabı, telekomünikasyon altyapısındaki köklü açıklardan SIM kart dolandırıcılığına kadar uzanan geniş bir yelpazede gizli. Kısa cevap: SMS tabanlı iki faktörlü kimlik doğrulama, hiç 2FA kullanmamaktan iyidir; ancak günümüzün tehdit ortamında “yeterince güvenli” sayılmıyor.

Kısa Tanım: SMS 2FA, şifrenizi girdikten sonra telefonunuza gelen tek kullanımlık kodu (OTP) ikinci doğrulama katmanı olarak kullanan bir güvenlik yöntemidir. Sorun şu ki, bu kod size ulaşana kadar birçok zayıf halkadan geçiyor.

SS7 Protokolü: 50 Yıllık Güvenlik Açığı

SMS mesajlarının omurgasını oluşturan SS7 (Signaling System 7) protokolü, 1970’lerde tasarlandı. O dönemde siber saldırı kavramı bile yoktu; protokol tamamen güvene dayalı çalışıyordu. Bugün bu durum ciddi bir handikap.

SS7 açıkları sayesinde saldırganlar şunları yapabiliyor:

• SMS mesajlarınızı kendi cihazlarına yönlendirme
• Gerçek zamanlı konum takibi
• Telefon görüşmelerini dinleme
• Doğrulama kodlarını ele geçirme

Kilit Çıkarım: 2019’da İngiltere’de bir banka, SS7 açığı kullanılarak hacklenmiş ve müşteri hesaplarından para çekilmişti. Bu izole bir olay değil; güvenlik araştırmacıları bu tür saldırıların tespit edilenden çok daha yaygın olduğunu belirtiyor.

SIM Swapping: En Yaygın Tehdit

SIM değiştirme saldırısı (SIM swapping), teknik bilgi gerektirmeyen ama son derece etkili bir yöntem. Saldırgan, operatörünüzü arayarak veya mağazaya giderek sizin adınıza yeni SIM kart çıkartıyor. Bunun için gereken tek şey: biraz sosyal mühendislik ve internetten toplanabilecek kişisel bilgiler.

Saldırı nasıl işliyor?

1. Saldırgan, sosyal medya ve veri sızıntılarından kişisel bilgilerinizi toplar
2. Operatörü arayarak “telefonumu kaybettim” senaryosu uydurur
3. Kimlik doğrulamasını geçerse, numaranız yeni SIM’e aktarılır
4. Artık tüm SMS kodlarınız saldırganın eline geçer
5. E-posta, banka, kripto cüzdanı… hepsi risk altında

2025 verilerine göre, yalnızca ABD’de SIM swap dolandırıcılığından kaynaklanan kayıplar 26 milyon doları aşmış durumda. Kripto para yatırımcıları özellikle hedef alınıyor çünkü işlemler geri alınamıyor.

Risk Seviyesi: Yüksek – Özellikle kamuya açık profili olan kişiler, kripto yatırımcıları ve yüksek bakiyeli hesap sahipleri için.

SMS Phishing: Smishing Saldırıları

SMS tabanlı oltalama (smishing), klasik e-posta phishing’inin mobil versiyonu. “Hesabınız askıya alındı” veya “Kargonuz bekliyor” gibi mesajlarla sahte sitelere yönlendiriliyorsunuz. Bu siteler gerçek 2FA kodunuzu çalıp anında kullanabiliyor.

Scattered Spider gibi organize saldırı grupları, bu yöntemi kurumsal hedeflere karşı aktif olarak kullanıyor. Çalışanları kandırarak VPN ve iç sistemlere erişim sağlıyorlar.

SMS 2FA Alternatifleri: Hangisi Daha Güvenli?

Authenticator Uygulamaları

Google Authenticator, Microsoft Authenticator veya Authy gibi uygulamalar, kodları cihazınızda yerel olarak üretiyor. Ağ üzerinden iletim olmadığı için SS7 veya SIM swap saldırılarından etkilenmiyorsunuz.

Artılar (+):

• Tamamen ücretsiz
• İnternet bağlantısı gerektirmiyor
• Kurulumu 2 dakika sürüyor

Eksiler (-):

• Telefon kaybolursa erişim zorlaşabilir (yedekleme şart)
• Cihaz ele geçirilirse kodlar da risk altında

Donanım Güvenlik Anahtarları

YubiKey veya Google Titan gibi fiziksel anahtarlar, phishing’e karşı en dirençli yöntem. Sahte bir siteye kod girmeniz mümkün değil çünkü anahtar, bağlandığı sitenin gerçekliğini kriptografik olarak doğruluyor.

Pro İpucu: Donanım anahtarı kullanacaksan mutlaka iki tane al. Birini yedek olarak güvenli bir yerde sakla. Tek anahtarı kaybetmek, hesaplarından tamamen kilitlenmek anlamına gelebilir.

SMS 2FA Ne Zaman Kabul Edilebilir?

Her şeye rağmen, SMS 2FA’nın tamamen işe yaramaz olduğunu söylemek haksızlık olur. Bazı durumlarda hâlâ mantıklı:

• Düşük riskli hesaplar: Haber sitesi üyelikleri, forum hesapları
• Tek seçenek olduğunda: Bazı bankalar ve devlet kurumları yalnızca SMS destekliyor
• Hiç 2FA’dan iyidir: Alternatif sunulmuyorsa, SMS bile sıfırdan iyi

Kesinlikle SMS kullanmayın:

• Kripto para borsaları ve cüzdanları
• Ana e-posta hesabınız (diğer tüm hesapların sıfırlama noktası)
• Finansal hesaplar (mümkünse)
• Kurumsal/iş hesapları

Kendinizi Nasıl Korursunuz?

1. Kritik hesaplarda SMS 2FA’yı authenticator uygulamasıyla değiştir
2. Operatörünüzde SIM değişikliği için PIN veya şifre tanımlayın
3. Telefon numaranızı sosyal medyada paylaşmayın
4. Veri sızıntılarını takip edin (Have I Been Pwned gibi servisler)
5. Mümkünse donanım anahtarına geçiş yapın

Maliyet: Authenticator uygulaması ücretsiz, donanım anahtarı 300-800 TL arası. Potansiyel kayıplarla karşılaştırıldığında ihmal edilebilir bir yatırım.

Sıkça Sorulan Sorular

SMS 2FA’yı tamamen kapatmalı mıyım?

Hayır. Eğer bir hesap yalnızca SMS destekliyorsa, kullanmaya devam edin. Hiç 2FA olmamasından kesinlikle daha güvenli. Ancak alternatif sunuluyorsa geçiş yapın.

Authenticator uygulamam silinirse ne olur?

Kurulum sırasında verilen yedekleme kodlarını güvenli bir yerde saklayın. Authy gibi bazı uygulamalar bulut yedekleme sunuyor; ancak bu da ayrı bir risk faktörü.

Operatörüm SIM swap’a karşı koruma sağlıyor mu?

Türkiye’deki operatörler kimlik doğrulama prosedürlerini sıkılaştırdı, ancak sosyal mühendislik her zaman bir risk. Ek PIN tanımlamak için müşteri hizmetlerini arayın.

Sonuç

SMS ile iki faktörlü doğrulama, 2010’ların güvenlik standardıydı; ancak artık saldırganlar bu sistemi aşmanın birden fazla yolunu biliyor. SS7 protokolündeki yapısal açıklar, SIM swapping saldırılarının artışı ve gelişmiş phishing teknikleri, SMS OTP’yi güvenilir bir seçenek olmaktan çıkardı.

Yapmanız gereken basit: Kritik hesaplarınızda authenticator uygulamasına geçin, mümkünse donanım anahtarı kullanın ve operatörünüzde ek güvenlik önlemleri tanımlayın. Bu adımlar 10 dakikanızı alır; potansiyel olarak binlerce liranızı ve dijital kimliğinizi kurtarır.