Malezya Merkez Bankası Risk Yönetimi için MFA Güncellemesi

1. Giriş#

Bank Negara Malaysia (BNM), Haziran 2023 sürümünün yerini alarak Kasım 2025'te güncellenmiş Risk Management in Technology (RMiT) politikasını yayımladı. Güncelleme çok çeşitli teknoloji riski alanlarını kapsarken, en önemli değişiklikler kimlik doğrulama, cihaz bağlama, çok faktörlü kimlik doğrulama (MFA) ve dolandırıcılığı önleme alanlarında yer alıyor. Finansal kurumlar için bu Malezya bankacılık düzenlemesi artık yalnızca en iyi uygulamalar veya bir rehber değil, zorunlu bir standart haline gelmiştir.

BNM, kurumları 2023'ten beri yavaş yavaş SMS OTP'den uzaklaşmaya teşvik ediyordu. Nedeni basitti: Dolandırıcılar, müşteriler SMS kimlik doğrulama kodlarını görmeden önce bunları ele geçirecek araçlar geliştirdiler ve SIM değiştirme (SIM-swap) saldırıları, suçluların kodları kendi kontrol ettikleri cihazlara yönlendirmesine olanak tanıdı. 2024 yılına gelindiğinde Malezya bankaları, (yıllık raporlarına göre) toplamda 383 milyon Malezya Ringgiti (100 milyon ABD doları üzerinde) tutarında dolandırıcılık işlemini engelledi. Kasım 2025 güncellemesi bu ilerlemeyi temel alıyor ve bağlayıcı bir düzenleme haline getiriyor.

Bu makale, güncellenmiş RMiT'deki temel kimlik doğrulama ve MFA değişikliklerini analiz ediyor, düzenleyici bağlamı açıklıyor ve geçiş anahtarlarının (passkeys) ile kimlik avına dirençli kimlik doğrulamanın uyumluluk tablosuna nasıl oturduğunu gösteriyor. Aşağıdaki soruları yanıtlıyoruz:

1. RMiT politikası nedir ve kimleri kapsar?

2. Kasım 2025'ten önce kimlik doğrulama ortamı nasıldı?

3. Kimlik doğrulama ve MFA gereksinimlerindeki en önemli değişiklikler nelerdir?

4. Geçiş anahtarları, finansal kurumların güncellenmiş RMiT'ye uymasına nasıl yardımcı olur?

2. Bank Negara Malaysia (BNM) Teknoloji Risk Yönetimi (RMiT) Politikası Nedir?#

RMiT politikası, BNM'nin düzenlenen finansal kurumların teknoloji risklerini nasıl yöneteceğini belirleyen merkezi düzenleyici çerçevesidir. BNM RMiT uyumluluğu, dijital kanallar ve tehdit seviyeleri geliştikçe finansal hizmetleri kullanılabilir, dirençli ve güvenilir tutmak amacıyla BT yönetişimi, siber güvenlik, dijital hizmetler, bulut kullanımı ve kimlik doğrulama kontrolleri için gereksinimler belirler.

Politika aynı zamanda bulut kullanımını bir dış kaynak kullanımı (outsourcing) türü olarak değerlendirir ve kurumların müşteri verileri ile kriptografik anahtarlar üzerinde uygun mülkiyeti ve kontrolü sürdürmelerini şart koşar. Uygulamada RMiT, Malezya'daki lisanslı her finansal kurumun teknoloji risk duruşunu üzerine inşa etmesi gereken temel uyumluluk standardıdır.

3. RMiT Politikasına Kimler Uymalıdır?#

RMiT gereksinimleri BNM tarafından denetlenen tüm finansal kurumlar için geçerlidir. Kapsam geniştir ve sadece geleneksel bankaları değil, aynı zamanda sigortacıları, e-para ihraççılarını, ödeme sistemi operatörlerini ve para transferi kurumlarını da içerir. Aşağıdaki tablo ana kategorileri özetlemektedir:

Pratikte: Kuruluşunuz Malezya'nın finans sektöründe faaliyet göstermek için BNM'den bir lisansa, kayda veya onaya sahipse, RMiT sizin için de geçerlidir.

4. Kasım 2025 Öncesi BNM Kimlik Doğrulama Gereksinimleri Nasıldı?#

Kasım 2025 güncellemesinden önce RMiT zaten anlamlı kimlik doğrulama gereksinimleri içeriyordu, ancak birçoğu zorunlu standartlar olmaktan ziyade rehberlik seviyesindeydi. Temel durumu anlamak, ne kadarının değiştiğini netleştirmeye yardımcı olur.

4.1 MFA Kontrolleri#

• MFA, özellikle açık üçüncü taraf fon transferleri ve ödeme işlemleri gibi yüksek riskli işlemler için gerekliydi.

• 10.000 RM üzerindeki işlemlere özel bir odaklanma vardı, ancak 2023 sürümü tüm dijital işlemler için MFA kullanımını zorlamaya başladı.

• 2023 sürümü, açıkça "müdahaleye veya manipülasyona dirençli" kimlik doğrulamaya doğru geçişi teşvik ederek SMS tabanlı OTP'ler için sonun başlangıcının sinyalini verdi.

• MFA, 2023 yılında "Rehberlik" (en iyi uygulama) düzeyinden "Standart" (zorunlu) düzeyine yükseltildi.

4.2 Kimlik Doğrulama Kontrolleri ve Erişim Yönetimi#

• Kurumlar, en az ayrıcalık (least privilege) prensibini uygulamak ve erişim matrislerini yılda en az bir kez gözden geçirmek zorundaydı.

• Ayrıcalıklı hesaplar, erişimin dahili veya harici olup olmadığına bakılmaksızın zorunlu MFA dahil olmak üzere daha sıkı kontroller gerektiriyordu.

• Dahili ağlara (örneğin VPN üzerinden) uzaktan erişim için MFA tartışılamaz bir standart olarak gerekliydi.

4.3 Dijital Hizmet Kontrolleri#

2023 RMiT'sinin Ek 11'i dijital bankacılık güvenliği için kilit bir referanstı. İşlem imzalama (MFA'yı alıcı ve tutar gibi işlem ayrıntılarına bağlama), cihaz bağlama (bir kullanıcının dijital kimliğini güvenilir bir cihaza bağlama) ve genel dolandırıcılığa karşı önlemler gerektiriyordu.

5. BNM RMiT Politikasındaki En Önemli Değişiklikler Nelerdir?#

Kasım 2025 güncellemesi, 2022 ve 2024 dolandırıcılık önleme spesifikasyonları da dahil olmak üzere önceki birkaç genelgeyi ve spesifikasyonu pekiştirip güçlendiriyor. Sonuç, kurumların kullanıcıların kimliğini nasıl doğruladığına ve dijital hizmetleri nasıl koruduğuna dair daha keskin, zorunlu gereksinimler içeren tek ve kapsamlı bir politikadır. En çok önem taşıyan beş alan bulunmaktadır.

5.1 Varsayılan Olarak Kullanıcı Başına Tek Cihaz#

"Dijital hizmet işlemlerinde kimlik doğrulamanın varsayılan olarak hesap sahibi başına tek bir mobil cihaza veya güvenli cihaza sınırlandırılması için güvenli bağlama ve bağ kaldırma (unbinding) süreçlerinin sağlanması"

— RMiT Ek 3, paragraf 3(a)

Bu, dolandırıcıların mevcut bir hesaba yeni bir cihaz kaydedip meşru cihaz hala aktifken hesabı boşalttığı SIM değiştirme dolandırıcılığına ve hesap ele geçirme (ATO) saldırılarına doğrudan bir yanıttır. "Varsayılan" çerçevesi önemlidir: müşteriler birden fazla cihaz kullanmayı seçebilirler, ancak bunu açıkça talep etmeleri ve ilişkili riskleri kabul etmeleri gerekir. Kurum, çoklu cihazı varsayılan yapamaz.

Pratikte bu durum, işe alım ve kimlik doğrulama akışlarının cihaz kaydını izlemesi, varsayılan olarak tek bir bağlamayı zorunlu kılması ve müşteri tarafından talep edilen istisnalar için açık, denetlenebilir bir süreç sürdürmesi gerektiği anlamına gelir.

5.2 Telefon Numarası Değişiklikleri İçin Güçlü Doğrulama#

"Yeni bir cep telefonu numarasının kaydı veya mevcut cep telefonu numarasının değiştirilmesi işlemleri, yalnızca müşterinin kimliğini teyit etmek için güçlü doğrulama yöntemleri uygulandıktan sonra gerçekleştirilir"

— RMiT Ek 3, paragraf 3(c)

Birçok kurum, telefon numarası değişikliklerini mevcut numaraya gönderilen bir OTP'den başka bir şey olmadan hala işleme almaktadır. Numara zaten tehlikeye girmişse veya SIM değiştirilmişse bu yaklaşım başarısız olur. BNM'nin çerçevesindeki "Güçlü doğrulama", değiştirilen kanalın ötesine geçen yöntemler anlamına gelir: kimlik yeniden doğrulaması, biyometri kullanarak kademeli (step-up) kimlik doğrulama veya yüksek riskli değişiklikler için şube içi onay.

5.3 Yeni Cihazlar İçin Bekleme Süreleri ve İşlem Limitleri#

"Dijital hizmetlerin veya güvenli cihazların ilk kaydı ve ardışık yüksek hacimli işlemler veya diğer anormal işlem modelleri için uygun doğrulama ve bekleme süresi (cooling-off period) uygulanması"

— RMiT Ek 3, paragraf 3(e)

Yeni kaydedilen bir cihaz, anında tam işlem yeteneklerine sahip olmamalıdır. Kurumlar, cihaz ve kullanıcı davranışı bir güven geçmişi oluşturdukça kademeli olarak açılan zamana bağlı kısıtlamalar ve hız kontrolleri (velocity controls) uygulamalıdır. Bir bilgisayar korsanı erişim sağlarsa, tipik olarak günlük transfer limitini artırmaya ve parayı derhal taşımaya çalışır. Bir bekleme süresi, meşru sahibine ve bankanın dolandırıcılık ekibine oturumu tespit edip durdurmak için bir pencere sağlar.

Gerçek zamanlı davranışsal profil oluşturma ve risk puanlama gerektiren dolandırıcılık tespit standartlarıyla birleştirildiğinde bu durum net bir beklenti yaratır: kimlik doğrulama katmanının yalnızca kimlik bilgilerinin değil, bağlamın da farkında olması gerekir.

5.4 Şifrelenmemiş SMS'ten Daha Güvenli MFA#

Bu, güncellemedeki en önemli kimlik doğrulama gereksinimidir. BNM'nin yıllar süren rehberliğini temel alır ve bunu bağlayıcı bir standarta dönüştürür:

"Şifrelenmemiş SMS'ten daha güvenli MFA teknolojisinin ve kanallarının kullanılması ... MFA çözümü, kimlik doğrulama süreci boyunca herhangi bir üçüncü tarafın müdahalesine veya manipülasyonuna karşı dirençlidir"

— RMiT Ek 3, paragraf 5 ve 6

Politika, işlem bağlama (transaction binding) kavramını getirerek bir adım daha ileri gidiyor:

"Kimlik doğrulama kodu, ödemeyi yapan/gönderen tarafından MFA kullanılarak yerel olarak başlatılmalı ve oluşturulmalıdır ... ödemeyi yapan/gönderen tarafından oluşturulan kimlik doğrulama kodu, onaylanmış tanımlı alıcıya ve tutara özel olmalıdır"

— RMiT Ek 3, paragraf 6(c) ve 6(d)

İşlem bağlama, kimlik doğrulama kodunun yalnızca bir oturuma veya girişe değil, belirli işlem ayrıntılarına (alıcı ve tutar) bağlı olması gerektiği anlamına gelir. Bu, kullanıcı kimliğini doğruladıktan sonra dolandırıcıların işlemi manipüle ettiği "OTP yönlendirme (redirect)" saldırılarını doğrudan hedefler. Hesap A'ya yapılacak 500 RM'lik bir ödeme için oluşturulan bir OTP, Hesap B'ye yapılacak 50.000 RM'lik bir ödeme için yeniden kullanılamaz.

Birincil ikinci faktör olarak hala SMS OTP'ye güvenen kurumlar için bu şimdiye kadarki en net sinyaldir: geçiş yolu isteğe bağlı değildir. Aşağıdaki tablo, hangi MFA yöntemlerinin yeni gereksinimlerle uyumlu olduğunu özetlemektedir:

5.5 BNM RMiT İçin Geçiş Anahtarları ve Kriptografik Anahtar Tabanlı Kimlik Doğrulama#

BNM ayrıca kurumlara parolasız alternatifler sunmalarını da açıkça zorunlu kılıyor:

"Mevcut parola tabanlı kimlik doğrulama yöntemine alternatif olarak, müşterisine dijital sertifika veya parolasız sistemler gibi sağlam bir kriptografik anahtar tabanlı kimlik doğrulama seçeneği sunmak"

— RMiT Ek 3, paragraf 9

Bu, geçiş anahtarlarına, donanım destekli kimlik doğrulamaya veya sertifika tabanlı yöntemlere geçiş için net bir direktiftir. SMS OTP'nin değiştirilmesine odaklanan MFA yükseltmesinin aksine, bu gereksinim doğrudan parolanın kendisini hedefler. İki gereksinim birbirini tamamlar niteliktedir: kurumların ikinci faktör için SMS'in ötesine geçmesi ve birinci faktör için parolaya bir alternatif sunması gerekir.

Geçiş anahtarları buradaki en doğal uyumdur. Tek bir geçiş anahtarı kimlik bilgisi her iki gereksinimi de aynı anda karşılar. Kriptografik anahtar tabanlı bir kimlik doğrulama yöntemidir (paragraf 9), şifrelenmemiş SMS'ten daha güvenlidir (paragraflar 5-6) ve geçiş anahtarları kimlik doğrulamayı belirli bir kaynağa (web sitesi veya uygulama) bağladığı için işlem bağlamanın arkasındaki amacı da destekler.

6. Özet: Kasım 2025 Güncellemesi Öncesi ve Sonrası#

7. Bölgesel Bağlam: Malezya Yalnız Değil#

Malezya'nın güncellenmiş RMiT'si daha geniş bir bölgesel eğilimin içinde yer almaktadır. Asya-Pasifik genelinde, mali düzenleyiciler aynı gereksinimler setinde birleşmektedir: cihaza bağlı kimlik bilgileri, kimlik avına dirençli MFA ve parolalardan ve SMS OTP'den uzaklaşma.

• Singapur (MAS): Singapur Para Otoritesi, dijital bankacılık için uzun zamandır cihaz bağlamayı ve işlem imzalamayı zorunlu kılmış ve Teknoloji Risk Yönetimi (TRM) yönergelerini BNM'nin yaklaşımına çok benzeyen bir yönde kademeli olarak sıkılaştırmıştır.

• Hindistan (RBI): Hindistan Merkez Bankası, özellikle kartsız işlemler ve UPI işlemleri için ek kimlik doğrulama faktörleri ve işleme özel yetkilendirme konusunda baskı yapmıştır.

• Hong Kong (HKMA): Hong Kong Para Otoritesi'nin e-bankacılık yönergeleri, yüksek riskli işlemler için güçlü müşteri kimlik doğrulaması ve cihaz kayıt kontrolleri gerektirir.

• Vietnam (Vietnam Devlet Bankası): 45/2025 sayılı Genelge, belirli yüksek değerli işlemler için bankaların müşteri biyometrisini çip tabanlı Vatandaşlık Kimliği veya ulusal veri tabanı ile doğrulamasını zorunlu kılarak merkezi bir doğrulama adımı getirmektedir.

Kriptografik cihaz bağlama, geçiş anahtarları ve işlem düzeyinde kimlik doğrulama dahil olmak üzere RMiT uyumluluğu için gereken mimari, tüm bölgenin yöneldiği noktadır. Bu mimariye şimdiden yatırım yapan kurumlar, sadece ulusal bir politika için değil, bölgesel düzenleyici birliğine uyum için kendilerini konumlandırıyor.

8. Corbado Finansal Kurumların Güncellenmiş RMiT'yi Karşılamasına Nasıl Yardımcı Olur?#

Corbado platformu, güncellenmiş RMiT'nin ele almak üzere tasarlandığı kimlik doğrulama zorlukları için inşa edilmiştir. Temel gereksinimlerin Corbado'nun yetenekleriyle nasıl eşleştiği aşağıda açıklanmıştır:

• Kimlik avına dirençli MFA ve parolasız kimlik doğrulama: Corbado'nun geçiş anahtarı uygulaması, BNM'nin şifrelenmemiş SMS'ten daha güvenli MFA gereksinimleri (paragraf 5-6) ile parolalara alternatif olarak kriptografik anahtar tabanlı kimlik doğrulama (paragraf 9) ile uyumluluk için doğrudan bir yol sağlar. Tek bir geçiş anahtarı kimlik bilgisi her iki gereksinimi de aynı anda karşılar.

• Cihaz bağlama: Corbado, cihaza bağlı geçiş anahtarlarını ve belirli bir cihaza bağlı kriptografik kimlik bilgilerini destekler. Kayıt akışları, varsayılan kullanıcı başına bir cihaz kuralını tam denetim izine sahip, müşteri talebine dayalı istisnalar için net mekanizmalarla birlikte zorunlu kılabilir.

• Denetim ve uyumluluğa hazırlık: Corbado'nun telemetri, olay günlüğü ve raporlama yetenekleri, kimlik doğrulama kontrollerinin yalnızca tasarlandığını değil, aynı zamanda etkili bir şekilde çalıştığını göstermeyi basitleştirir. Corbado, ISO 27001 sertifikalı bir ISMS altında faaliyet gösterir ve SOC 2 Tip II tasdikine sahiptir, bu da kendi güvenlik duruşunu Malezya finansal kurumlarından beklenenlerle uyumlu hale getirir.

9. Sonuç#

Kasım 2025 RMiT güncellemesi, BNM'nin kimlik doğrulama güvenliğine ilişkin yıllarca süren rehberliğini bağlayıcı bir düzenlemeye dönüştürüyor. SMS OTP, bağımsız bir ikinci faktör olarak artık uyumlu kabul edilmiyor. Cihaz bağlama varsayılan olarak zorunludur. İşlem doğrulama belirli ödeme ayrıntılarına bağlı olmalıdır. Ve kurumlar parolalara karşı kriptografik anahtar tabanlı alternatifler sunmalıdır.

SMS'ten kimlik avına dirençli yöntemlere geçişe çoktan başlamış kurumlar için güncelleme zaten yapmakta oldukları şeyleri kurallaştırıyor. Geçişe başlamamış olanlar için mevcut uygulama ile yeni standart arasındaki uçurum önemlidir ve uyumluluk zaman çizelgesi artık sabittir.

Geçiş anahtarları, güncellenmiş gereksinimleri karşılamanın en doğrudan yoludur. Tek bir geçiş anahtarı kimlik bilgisi, tek bir uygulamada MFA yükseltmesini, parolasız alternatifi ve cihaz bağlama gereksinimlerini karşılar. Hassas operasyonlar için kademeli kimlik doğrulama (step-up) ve yeni kayıtlar için bekleme süresi mantığı ile birleştirildiğinde bu, kurumlara parçalı çözümler yerine tutarlı bir mimari kazandırır.

Bu konuyla ilgili en önemli soruları şu şekilde de yanıtlayabiliriz:

• RMiT politikası nedir ve kimleri kapsar? RMiT, bankalar, sigortacılar, e-para ihraççıları, ödeme sistemi operatörleri ve para transferi sağlayıcıları dahil olmak üzere Malezya'daki tüm düzenlenen finansal kurumlar için geçerli olan BNM'nin merkezi teknoloji risk çerçevesidir.

• Kasım 2025'ten önce kimlik doğrulama ortamı nasıldı? Yüksek riskli işlemler ve ayrıcalıklı erişim için MFA halihazırda zorunluydu, ancak SMS OTP hala tolere ediliyordu, çoklu cihaz kurulumları gevşek yönetiliyordu ve parolasız alternatif henüz gerekli değildi.

• Kimlik doğrulama ve MFA'daki en önemli değişiklikler nelerdir? Beş değişiklik öne çıkıyor: varsayılan olarak kullanıcı başına tek cihaz, telefon numarası değişiklikleri için güçlü doğrulama, yeni cihazlar için zorunlu bekleme süreleri, işlem bağlamalı (transaction binding) ve SMS'ten daha güvenli bir MFA ile geçiş anahtarları veya kriptografik anahtar tabanlı kimlik doğrulama sunma zorunluluğu.

• Geçiş anahtarları finansal kurumların uyumlu olmasına nasıl yardımcı olur? Geçiş anahtarları; MFA yükseltmesini, parolasız alternatifi ve cihaz bağlama gereksinimlerini tek bir uygulamada karşılarken aynı zamanda kimlik avına, SIM değiştirme ve OTP ele geçirme saldırılarına karşı da dirençlidir.

Corbado Hakkında

Corbado, büyük ölçekte tüketici kimlik doğrulaması yöneten CIAM ekipleri için Passkey Intelligence Platform'tur. IDP loglarının ve genel analytics araçlarının göremediğini görmenizi sağlarız: hangi cihazların, OS sürümlerinin, tarayıcıların ve credential manager'ların passkey desteklediğini; kayıtların neden girişe dönüşmediğini; WebAuthn akışının nerede başarısız olduğunu; bir OS ya da tarayıcı güncellemesinin girişi sessizce ne zaman bozduğunu — hem de Okta, Auth0, Ping, Cognito veya kendi IDP'nizi değiştirmeden. İki ürün: Corbado Observe, passkey'ler ve diğer tüm giriş yöntemleri için observability sağlar. Corbado Connect, analytics entegre managed passkey'ler sunar (IDP'nizin yanında). VicRoads, Corbado ile 5M+ kullanıcı için passkey çalıştırıyor (%80+ passkey aktivasyonu). Bir Passkey uzmanıyla görüşün →

Sıkça Sorulan Sorular#

BNM RMiT uyumluluğu bağlamında 'işlem bağlama' (transaction binding) ne anlama geliyor?#

İşlem bağlama, her bir kimlik doğrulama kodunun ödemeyi yapan tarafından yerel olarak oluşturulmasını ve yetkilendirilen belirli alıcı hesaba ve ödeme tutarına matematiksel olarak bağlanmasını gerektirir. Bu, kullanıcının kimliği doğrulandıktan sonra bir dolandırıcının işlem ayrıntılarını manipüle ettiği OTP yönlendirme saldırılarını önler. Bir hesaba yapılacak bir ödeme için oluşturulan bir kod, farklı bir ödemeyi veya tutarı yetkilendirmek için yeniden kullanılamaz.

RMiT 2025 güncellemesi neden bir müşteri yeni bir cihaz kaydettirdikten sonra bekleme süresi (cooling-off period) gerektiriyor?#

Bekleme süresi, bir hesaba erişim sağlayan dolandırıcıların yeni kaydedilen bir cihaz üzerinden anında fon transfer etmesini engeller. BNM, kurumların yeni kaydedilen cihazlar için ilk güven oluşturma aşamasında işlem limitleri ve zamana dayalı kısıtlamalar uygulamasını gerektirir. Bu durum hem meşru hesap sahibine hem de kurumun dolandırıcılık ekibine, tam işlem yetenekleri açılmadan önce bir tespit penceresi sunar.

Malezya'nın güncellenmiş RMiT'si diğer Asya ülkelerindeki kimlik doğrulama düzenlemeleriyle nasıl karşılaştırılır?#

Malezya'nın RMiT 2025'i; Singapur'un MAS'ı, Hindistan'ın RBI'si, Hong Kong'un HKMA'sı ve Vietnam Eyalet Bankası'nın tümünün cihaza bağlı kimlik bilgileri, kimlik avına dirençli MFA ve SMS OTP'nin ortadan kaldırılması konusunda birleştiği bölgesel Asya-Pasifik trendiyle aynı doğrultudadır. Vietnam'ın 45/2025 sayılı Genelgesi, yüksek değerli işlemler için çip tabanlı ulusal kimlik belgelerine karşı biyometrik doğrulama yapılmasını özellikle şart koşmaktadır. Bu nedenle RMiT uyumlu mimariye yatırım yapan kurumlar, sadece tek bir ulusal gereksinim için değil, bölgesel düzenleyici yakınsaması için de konumlanmaktadır.

BNM RMiT artık bir müşteri kayıtlı cep telefonu numarasını değiştirdiğinde hangi doğrulamaları gerektiriyor?#

Güncellenmiş RMiT, herhangi bir telefon numarası değişikliğini işleme koymadan önce, sadece mevcut numaraya bir OTP göndermenin ötesine geçerek güçlü bir doğrulama gerektirmektedir. Kabul edilebilir yaklaşımlar arasında kimlik yeniden doğrulaması, kademeli biyometrik doğrulama veya şube içi onay yer alır ve doğrulama kanalının değiştirilmekte olan kanaldan bağımsız olması sağlanır. Bu, aksi takdirde bir telefon numarasını zaten kontrol eden bir dolandırıcının kendi kendine değişikliğe yetki verebileceği SIM değiştirme saldırılarını doğrudan engeller.