Kevin Mitnick, 2 Adımlı Doğrulamanın Nasıl Hacklenebileceğini Gösterdi

İki adımlı doğrulama, iki aşamalı doğrulama, tek kullanımlık şifre veya adına ne isterseniz deyin… Sizce sistemler gözümüz kapalı güvenebileceğimiz kadar iyi olabilirler mi? Kuşkusuz evet, fakat yalnızca gözümüzü kapatmak yerine fal taşı gibi açtığımız zamanlarda…

Dünyanın en popüler bilgisayar ve internet korsanlarından Kevin Mitnick, birçok geliştirici ve son kullanıcının merak ettiği soruya uygulamalı olarak yanıt verdi. Mitnick, banka hesaplarımız, Facebook ve Google gibi diğer tüm sosyal medya hesaplarımızda kullandığımız iki aşamalı doğrulama sisteminin aslında ne kadar basit bir dalgınlık sonucu kırılabileceğini ispatladı ve bunu bir YouTube videosu olarak yayınladı.

Videoda Mitnick’in kullandığı bazı araçlar Kevin Mitnick’in beyaz şapkalı hacker bir arkadaşı tarafından geliştirilmiş. Bu senaryoda; Mitnick bir kullanıcıya Linked’inden gelmiş gibi bir e-postayı “IIinkedin.com” adresinden gönderiyor. Basit bir sosyal mühendislik tekniği kullanan Mitnick, kurbana bir nevi mesaj gönderme isteği iletiyor. Kurban bu mesajla ilgilendiğini belirten butona tıkladığında, oturum açması için linkedin.com adresi yerine IIinkedin.com’a yönlendiriliyor. Kullanıcı giriş yaptığı sırada giriş işlemi aynı zamanda orijinal Linkedin üzerinden yapılıyor ve sıra iki aşamalı doğrulama kodunu geliyor. Girilen kod aynı yazılım tarafından çerez verisi olarak saklanıp, daha sonra doğrulama koduna ihtiyaç duymadan başka bir oturum açmaya yardımcı oluyor.



Kevin Mitnick’in videonun sonunda belirttiği gibi iki aşamalı doğrulama sistemleri hiçbir zaman kullanıcılara tam güvenlik sunmuyor. İnsan faktörünün söz konusu olduğu yerde, en başarılı güvenlik sistemleri bile kolayca alt edilebiliyor. Mitnick’in korunma tavsiyesi mi? Elbette eğitim!

Oldukça başarılı bir yöntem. Şahsen bundan sonra körü körüne iki aşamalı doğrulamaya güvenilmemesi gerektiğini anlamış oldum. Teknik hakkında siz ne düşünüyorsunuz?

Çok değişik kafalar yaşıyor insanlar.. Dediğiniz gibi insan faktörü çok mühim bir şey, birde yapay zekadan bahsedip askeri ordudan tutunda doktora kadar yapılması planlanıyor.. Geleceğimizi 2 parça koda emanet edeceğiz :)

Bana kalırsa bu konuyu silin. Ne kadar çok kişi bu yöntemi öğrenirse o kadar çok tehlike altında kalırız.

gurcu87 Bu yeni bir yöntem değilki...
Bu phishing ve hijacking karışımı olan bir hackleme yöntemidir.
bkz:
https://wmaraci.com/nedir/phishing
https://wmaraci.com/nedir/hijacking

gurcu87 bir nevi BarisYILMAZ 'ın da söylediği gibi bu yeni bir yöntem değil. Sadece uygulanabilirliği konusunda modern sistemlerin bile nasıl tongaya getirilebileceği gösterilmek için video çekilmiş.

Ayrıca bunu baştan sona izleyen ve biraz işten anlayan biri eminim kendine gelen maillere daha hassas yaklaşamaya çalışacaktır. Mesela 2 adımlı doğrulamaya bir çoğumuz garanti gözüyle bakıyoruz fakat yeri geldiğinde bu sistem bile insan faktörü sayesinde kolayca Bypass edilebiliyor.

Bu çok eskiden beri şifre çalmak için kullanılıyordu lamerler tarafından.

Şuanda da 2fa için mi yapmışlar :))

Bilmiyorum bu takıntı tek bendemi var ama ben şifremi gireceğim sitelerde adres çubuğunu hep kontrol ederim doğru sitemi diye.Birde gurcu87 bunu ne kadar çok kişi bilirse o kadar iyi bence çünkü insanlar.ona gore önlemini alır.

aslinda dogru, ne kadar kisi bilirse o kadar iyi, kendi adima konusayim; iyi veya kötü bir ilgi ceken paylasim gördügümde nasil yapildigini bulana kadar ugrasirim BEN, bazen herkesi kendim gibi zannettigim icin bu sekilde yazmistim. :D

Faydalı ve ögrenilmesi gereken bir konu. Tabi bu bazen yetersiz kalabiliyor, Her ne olursa olsun eksik olan konuların eğitime dayalı olarak tatminkar bir bilgiyle doldurulması gerekiyor.

Mitnick yaşlanmış açıkçası daha üst düzey birşeyler beklerdim.sonuçta hackerlerin babasi olarak tarihte anılır.
daha profosyonel yöntemler var.bunları örnek olarak göstermemiş.
hedefe yönelik çalışma yapmış.