Singapur Bankaları ve Passkey'ler: SMS OTP'nin Yerini Alan Teknoloji

Singapur Para Otoritesi (MAS), ülkedeki tüm büyük perakende bankaların önümüzdeki üç ay içinde OTP'leri aşamalı olarak kaldırıp yerlerine "dijital token'lar" getirmesi gerektiğini duyurdu. Singapur Bankalar Birliği (ABS) ile iş birliği içinde atılan bu adım, 2023'te 14 milyon doların üzerinde zarara yol açan oltalama (phishing) ve diğer dolandırıcılık türlerinden tüketicileri korumayı amaçlıyor. Bu blog yazısında şu konuları ele alacağız:

• OTP'nin Kaldırılması: MAS neden OTP'lerin kullanımına son verilmesini önceliklendiriyor?
• Dijital Token'lar: Dijital token'lar nedir ve neden daha güvenlidir?
• Passkey'ler: Passkey'ler yeni gereksinimleri karşılamaya yardımcı olabilir mi?

İlk olarak Singapur Para Otoritesi'nin (MAS) "Singapur'daki Bankalar Oltalama Dolandırıcılıklarına Karşı Dayanıklılığı Artıracak" başlıklı duyurusuna daha yakından bakalım.

9 Temmuz 2024'te Singapur Para Otoritesi (MAS) ve Singapur Bankalar Birliği (ABS), Tek Kullanımlık Şifrelerin (OTP) kullanımını aşamalı olarak kaldırarak dijital bankacılık güvenliğini artırmak için önemli bir adım attıklarını duyurdu. Bu geçişin önümüzdeki üç ay içinde kademeli olarak gerçekleşmesi planlanıyor ve dijital bankacılıkta ana tehdit haline gelen oltalama (phishing) dolandırıcılıklarına karşı tüketicileri daha iyi korumayı amaçlıyor. Duyuruda yalnızca "Tek Kullanımlık Şifreler" ve OTP'lerden bahsedilse de, özellikle SMS ile gönderilen OTP'ler hedefleniyor.

Mobil cihazlarında dijital token'larını etkinleştiren müşterilerin artık tarayıcılar veya mobil bankacılık uygulamaları üzerinden banka hesaplarına giriş yapmak için bu token'ları kullanmaları gerekecek. Dijital token, dolandırıcıların çalabileceği veya müşterileri ifşa etmeleri için kandırabileceği OTP'lere ihtiyaç duymadan müşterilerin girişlerini doğrulayacak. Dijital token'ların ne olduğu hakkında daha fazla bilgiyi bir sonraki bölümde vereceğiz.

Teknolojik gelişmeler ve karmaşık oltalama (phishing) teknikleri, SMS OTP'lerin bir zamanlar sağladığı güvenliği geride bıraktı. Dolandırıcılar artık gerçek sitelere çok benzeyen sahte banka web siteleri oluşturarak müşterileri OTP'lerini ve diğer kimlik bilgilerini girmeye teşvik ediyor. Oltalama saldırılarına dayanıklı kimlik doğrulama faktörlerine geçiş, güvenliği güçlendirerek dolandırıcıların bir müşterinin hesabına yetkisiz erişim sağlamasını önemli ölçüde zorlaştırıyor.

Oltalama dolandırıcılıkları Singapur'da sürekli bir endişe kaynağı olmaya devam ediyor. Bankalar, değişen dolandırıcılık ortamına karşı kolektif direncimizi güçlendiren önlemler geliştirmek ve uygulamak için MAS ve Singapur Polis Gücü ile yakın iş birliği içinde çalışmaya devam ediyor. ABS Direktörü Bayan Ong-Ang Ai Boon, yeni önlemin bazı rahatsızlıklara yol açabileceğini ancak dolandırıcılığı önlemek ve müşterileri korumak için gerekli bir adım olduğunu vurguladı.

MAS'ta Politika, Ödemeler ve Finansal Suçlar'dan sorumlu Genel Müdür Yardımcısı Bayan Loo Siew Yee, MAS'ın tüketicileri dijital bankacılık dolandırıcılıklarına karşı korumak için bankalarla yakın çalışmaya kararlı olduğunu belirtti. Bu son önlemin, müşterilerin bankacılık kimlik bilgilerini korumak gibi iyi siber hijyen uygulamalarını tamamlayacağını da ekledi.

MAS ve ABS tarafından atılan bu adım, dijital token kullanımını zorunlu kılarak dijital bankacılık güvenliğini artırma konusundaki kararlılıklarını gösteriyor. Duyurunun eksik kaldığı nokta ise, dijital token'lar için kimlik doğrulama anlamında gereksinimlerin ne olduğuna dair net bir çerçeve sunmamasıdır. Bir sonraki bölümde bu konuyu daha yakından inceleyelim.

Dijital token'lar, geleneksel SMS Tek Kullanımlık Şifrelere (OTP) göre daha güçlü bir alternatif sunarak çevrimiçi güvenlikte bir ilerlemeyi temsil ediyor. SMS (veya e-posta) yoluyla iletilen ve ele geçirilebilen veya oltalama saldırılarına maruz kalabilen SMS OTP'lerin aksine, dijital token'lar genellikle bir cep telefonu gibi belirli bir cihaza bağlıdır. Bu sayede yalnızca cihaz sahibinin gerekli kimlik doğrulama kodlarını üretebilmesi sağlanır.

Dijital token'lar farklı şekillerde çalışabilir:

• Zaman tabanlı dijital token (daha az güvenli): Bu token'lar, bir kullanıcının kimliğini doğrulamak için kullanılan zaman tabanlı, dinamik kodlardır. Bankanın kendi uygulaması gibi kullanıcının mobil cihazındaki bir yerel uygulama tarafından üretilirler. Çoğu uygulamada, artık gerçek kod gösterilmez; bunun yerine kullanıcıdan işlem detaylarıyla birlikte onay isteyen bir anlık bildirim gönderilir ve bu onay bankacılık sunucusuna geri iletilir.
• Kriptografik dijital token (daha güvenli): Kriptografik bir dijital token, zaman tabanlı token'lara kıyasla daha da güvenli bir kimlik doğrulama yöntemini temsil eder. Uygulama içinde veya cep telefonunun güvenli bölgesinde (secure enclave) saklanan bir açık-özel anahtar çifti kullanır. Kimlik doğrulama işlemi sırasında, bankacılık sunucusu kullanıcının cihazına bir sorgu (challenge) gönderir. Cihaz, bu sorguyu imzalamak için özel anahtarını kullanır ve imzalanan yanıt sunucuya geri gönderilir. Sunucu, imzayı ilgili açık anahtarı kullanarak doğrular. Bu yöntem, bir saldırgan iletişimi ele geçirse bile, kullanıcının cihazında güvenli bir şekilde saklanan özel anahtarına erişimi olmadan kimlik doğrulama sürecini taklit edememesini sağlar.

Dijital token'ların güvenliği, birkaç temel özellik sayesinde daha güçlüdür:

1. Cihaz Bağlama: Token belirli bir cihaza bağlıdır, bu da kimlik doğrulama kodlarının yalnızca o cihaz tarafından üretilebileceği anlamına gelir. Bu cihaz bağlama özelliği, saldırganların token'ı kopyalamasını veya başka bir cihaza aktarmasını son derece zorlaştırır.
2. Çok Faktörlü Kurulum: Dijital token'ın ilk kurulumu genellikle kullanıcının kimliğini doğrulamak için SMS ve e-posta yoluyla gönderilen OTP'lerin yanı sıra bankacılık PIN'inin kullanılmasını içerir (bazı bankalar bu yaklaşımla fiziksel token'ları da kullanımdan kaldırır. Bu durumda, fiziksel OTP token'ı kullanılabilir). Token etkinleştirildikten sonra, kimlik doğrulama için birincil yöntem haline gelir ve gelecekteki OTP'lere ve bunlarla ilişkili zayıflıklara olan ihtiyacı ortadan kaldırır. Örneğin, DBS Bank, dijital token'ın ilk kurulumu sırasında SMS ve e-posta OTP'lerinin bir kombinasyonunu kullanır, sonrasında ise devam eden kimlik doğrulama yalnızca token'a dayanır.
3. Zaman tabanlı veya kriptografik koruma: Dijital token'lar, kimlik doğrulama kodlarını oluşturmak için güçlü kriptografik algoritmalar veya zaman tabanlı algoritmalar (TOTP) kullanır. Bu, cihaz ile kimlik doğrulama sunucusu arasındaki iletişim ele geçirilse bile kodların kolayca çözülememesini veya taklit edilememesini sağlar.

Singapur'un önde gelen finans kurumlarından DBS Bank, müşterileri için güvenliği artırmak amacıyla dijital token'ları başarıyla uygulamıştır. Banka, bir müşterinin mobil cihazında dijital token kurulumu için şunları istemektedir:

• Kullanıcının bildiği bir şey: PIN
• Kullanıcının sahip olduğu bir şey: SMS OTP (telefon numarasına atanmış telefona erişim)
• Kullanıcının sahip olduğu bir şey: e-posta OTP (hesaba atanmış e-postaya erişim)

Kurulum tamamlandıktan sonra, dijital token girişleri ve işlemleri doğrulamak için tek yöntem haline gelir ve OTP'leri hedef alan oltalama saldırıları riskini etkili bir şekilde azaltır.

Bağlı e-posta adresinin güncel olmaması ve fiziksel bir token'ın bulunmaması durumunda, kullanıcı yedek seçeneklerle dijital token'ı kurabilir:

Yedek seçenekler arasında Singpass ile dijital kimlik kullanımı, müşteriye yakın bir şubedeki Video Vezne Makinesi'ni (VTM) kullanma veya 3-5 gün içinde posta yoluyla gönderilecek bir kayıt kodu talep etme yer alır.

OTP'lerden dijital token'lara geçiş, geleneksel kimlik doğrulama yöntemleriyle ilişkili birçok zayıflığı giderir:

• Kısmi Oltalama Direnci: Dijital token'lar doğrudan kullanıcının cihazında üretilip kullanıldığı için oltalama yoluyla ele geçirilme riski yoktur. Bir dolandırıcı kullanıcıyı kandırarak giriş bilgilerini alsa bile, cihaza fiziksel erişimi olmadan gerekli kimlik doğrulama kodunu üretemez.
• Azaltılmış Saldırı Yüzeyi: Kimlik doğrulama kodları için iletim kanalı olarak SMS ve e-postaya olan ihtiyacı ortadan kaldıran dijital token'lar, dolandırıcıların istismar edebileceği saldırı yüzeyini azaltır.
• Kullanıcı Kolaylığı: İlk kurulum ek adımlar gerektirse de, dijital token'ların sürekli kullanımı kullanıcılar için sorunsuz ve rahattır. Artık SMS veya e-posta ile bir OTP'nin gelmesini beklemek zorunda kalmazlar, ki bu bazen gecikebilir veya engellenebilir.

Oltalama saldırılarına karşı kısmi bir iyileşme sağlansa da, yeni risk artık müşterilerin MFA yorgunluğu saldırılarının kurbanı olmalarıdır. Sürekli olarak dijital token kimlik doğrulama isteklerine alışan kullanıcıların bu durumundan bir saldırgan faydalanabilir ve bir oltalama sayfasından böyle bir istek gönderebilir.

İşte bu nedenle Google ve Microsoft gibi çok sayıda ihlal yaşamış büyük teknoloji şirketleri, müşterileri korumak için bu anlık bildirimlere, örneğin doğru sayıyı seçme gibi doğrulamalar eklemeye başladı.

Dijital token'lar, dijital bankacılık ortamında kimlik doğrulama için daha güvenli bir yöntem sunar ancak oltalama riskini tamamen ortadan kaldırmaz. Bir saldırgan, kurbanı dijital token isteklerini onaylamaya ikna ederek kendi erişimini doğrulamasını sağlayabilir. DBS Bank'ın uygulaması, mevcut faktörleri birleştirerek müşterileri kolayca başka bir kimlik doğrulama yöntemine kaydetmenin mümkün olduğunu göstermiştir. Bu noktada akla şu soru geliyor: MAS ve DBS Bank neden Passkey'leri kullanıma sunmuyor? Gelin bu konuya bir göz atalım.

Gördüğümüz gibi, dijital token'lar geleneksel SMS OTP'lere kıyasla dijital bankacılık işlemlerini güvence altına almada bir adım ileriyi temsil ediyor. Ancak, dijital token'lar gelişmiş güvenlik özellikleri sunsa da, oltalama saldırılarına karşı tamamen dayanıklı değillerdir. Bir saldırgan, kurbanı dijital token istemlerini onaylamaya ikna ederek sahte bir isteği doğrulamasını sağlayabilir. Bu devam eden zayıflık, dijital token'ların bir iyileştirme olmasına rağmen, çevrimiçi bankacılığı güvence altına almak için yeterince cesur bir hamle olmadığını göstermektedir.

Passkey'ler, oltalama saldırılarına karşı gerçekten dayanıklı bir kimlik doğrulama yöntemi sunar. Dijital token'ların aksine, Passkey'ler doğası gereği oltalama saldırılarına karşı dirençlidir çünkü yalnızca doğru web sitesinde veya uygulamada kullanılabilirler. Bu, kullanıcıların kimlik bilgilerini sahte bir siteye girmeleri için kandırılamamasını sağlar. Passkey'ler, özel anahtarın kullanıcının cihazında güvenli bir şekilde saklandığı ve bağlı işletim sistemi bulutunda güvenli bir şekilde şifrelendiği açık-özel anahtar kriptografisine dayanır. Açık anahtar ise kimlik doğrulama hizmetiyle paylaşılır.

İşte Passkey'lerin güvenliği nasıl artırdığı:

1. Oltalama Direnci: Passkey'ler, sahte web sitelerine kimlik doğrulama bilgilerini girme riskini ortadan kaldırır. Kimlik doğrulama süreci yalnızca sorguyu gönderen meşru sitede ilerleyebileceği için oltalama girişimleri etkisiz hale gelir. Bir Passkey'i yanlış sayfada kullanmak teknik olarak imkansızdır ve ortalama bir tüketicinin bir Passkey'i yabancı bir tarafa aktarması da imkansızdır.
2. Çoklu Cihaz Desteği: Genellikle tek bir cihaza bağlı olan dijital token'ların aksine, Passkey'ler aynı bulut veya şifre yöneticisi içindeki doğrulanmış cihazlar arasında güvenli bir şekilde senkronize edilebilir. Bu, bankacılık hizmetlerine çeşitli cihazlardan erişen kullanıcılar için esneklik ve kolaylık sağlar.
3. Güçlü Cihaz Güvenliği: Passkey'ler, mobil telefon ekosistemlerinde (iOS veya Android gibi) 2FA özelliğinin etkinleştirilmesini gerektirir. Bu ek güvenlik katmanı, bir cihaz ele geçirilse bile saldırganın Passkey'lere erişmek için cihazın 2FA özelliğini aşması gerektiğini garanti eder. Passkey'ler ve SCA/PSD2 detaylarını açıklarken bu konuya değinmiş ve senkronize Passkey'lerin neden bankacılık için kullanılabileceğini açıklamıştık.

Avustralya, siber güvenlik için en iyi uygulamaları özetleyen Essential Eight standardında oltalama saldırılarına dayanıklı kimlik doğrulamanın önemini kabul etmiştir. Standart, oltalama risklerini azaltan teknik gereksinimlere özel olarak değinerek Avustralya'yı Asya-Pasifik bölgesinde siber güvenlik alanında bir lider olarak konumlandırmaktadır. Gelişmiş dijital altyapısıyla Singapur, Passkey'leri standardına ve kurumsal önerilerine entegre ederek Avustralya'nın izinden gitmelidir. Bu, sadece güvenliği güçlendirmekle kalmaz, aynı zamanda Singapur'u dijital güvenlikteki küresel en iyi uygulamalarla aynı hizaya getirir.

Bankacılık sektörü, senkronize Passkey'lerin bankacılıkta kullanımına açıkça izin verecek net bir düzenleyici rehberlik beklemektedir. Böyle bir hamle, bankalara bu ileri teknolojiyi benimseme ve müşterilerine gerçekten güvenli ve kullanışlı bir kimlik doğrulama yöntemi sunma konusunda güven verecektir. Singapur Para Otoritesi (MAS), Passkey'lerin kullanımını onaylayarak dijital bankacılık güvenliğinde yeni bir standart belirleme fırsatına sahiptir. Bunu yaparak MAS, Singapur'un dijital bankacılık inovasyonunun ön saflarında kalmasını sağlayarak en son teknoloji güvenlik önlemlerine öncülük etme taahhüdünü göstermiş olacaktır.

Kullanıcıları daha güvenli dijital token'lara geçirmek, Singapur'da çevrimiçi bankacılık güvenliğini artırma yolunda önemli bir adımdır. Ancak ileriye bakıldığında, bankaların web kimlik doğrulaması için fiili standart haline gelecek olan Passkey'leri benimsemeye başlaması esastır. İşte Singapur bankalarının güvenlik altyapılarını geleceğe hazırlamaları için bazı temel öneriler:

1. Passkey'leri Erken Toplamaya Başlayın: Dijital token'lara geçiş yaparken, bankalar aynı zamanda kullanıcılardan Passkey toplamaya da başlamalıdır. Bu proaktif yaklaşım, Passkey'ler yaygın olarak kabul edilip benimsendiğinde bankaları sorunsuz bir geçişe hazırlayacaktır. Bankalar, Passkey toplama sürecini mevcut kullanıcı kaydı ve kimlik doğrulama süreçlerine entegre ederek kademeli olarak güvenli bir Passkey veritabanı oluşturabilir.
2. PIN'leri Passkey'lerle Değiştirin: Passkey'leri benimsemeye yönelik pratik ve acil bir adım, geleneksel PIN'leri Passkey'lerle değiştirmektir. Passkey'ler, açık-özel anahtar kriptografisinden yararlanarak PIN'lere göre daha güvenli ve kullanışlı bir alternatif sunar. Bankalar, Passkey'leri birincil kimlik doğrulama yöntemi olarak uygulayarak güvenliği artırırken daha sorunsuz bir kullanıcı deneyimi sağlayabilir.
3. Passkey'leri Birinci Faktör veya Ek Risk Önlemi Olarak Kullanın: Passkey'ler, kimlik doğrulamanın ilk faktörü olarak veya çok faktörlü kimlik doğrulama (MFA) kurulumlarında ek bir risk önlemi olarak kullanılabilir. Passkey'leri kimlik doğrulama sürecine dahil etmek, ekstra bir güvenlik katmanı sağlayarak saldırganların kullanıcı hesaplarını ele geçirmesini önemli ölçüde zorlaştıracaktır. Bankalar, Passkey'leri isteğe bağlı bir güvenlik özelliği olarak sunarak başlayabilir ve kademeli olarak kimlik doğrulama sürecinin standart bir parçası haline getirebilir.
4. Müşterileri Passkey'ler Hakkında Bilgilendirin: Passkey'lerin başarılı bir şekilde uygulanması, müşteri farkındalığı ve kabulünü gerektirir. Bankalar, müşterileri Passkey'lerin faydaları ve güvenlik özellikleri hakkında bilgilendirmek için eğitim kampanyalarına yatırım yapmalıdır. Passkey'lerin nasıl çalıştığı ve oltalama saldırılarına karşı korunmadaki rolü hakkında net iletişim, daha fazla müşteriyi bu teknolojiyi benimsemeye teşvik edecektir.
5. Düzenleyiciler ve Sektör Paydaşlarıyla İş Birliği Yapın: Bankalar, Passkey uygulaması için standartlaştırılmış yönergeler oluşturmak amacıyla Singapur Para Otoritesi (MAS) gibi düzenleyici kurumlar ve sektördeki diğer paydaşlarla aktif olarak iş birliği yapmalıdır. Ortak çabalar, bankacılık sektöründe tutarlı ve güvenli bir yaklaşım sağlayarak Singapur'daki genel dijital bankacılık güvenliğini artıracaktır.
6. Altyapı ve Destek Sistemlerine Yatırım Yapın: Passkey'leri uygulamak, sağlam bir altyapı ve destek sistemleri gerektirir. Bankalar, güvenli anahtar yönetim sistemleri ve mevcut kimlik doğrulama çerçeveleriyle entegrasyon da dahil olmak üzere Passkey kimlik doğrulamasını desteklemek için gerekli teknoloji ve kaynaklara yatırım yapmalıdır. Sorunsuz ve güvenli bir kullanıcı deneyimi sağlamak, yaygın benimseme için çok önemli olacaktır.
7. Gelişen Tehditleri İzleyin ve Uyum Sağlayın: Tehdit ortamını düzenli olarak izlemek ve güvenlik önlemlerini buna göre güncellemek, bankaların potansiyel risklerin bir adım önünde olmasına yardımcı olacaktır. Passkey'ler, devam eden güvenlik geliştirmeleriyle birleştiğinde, ortaya çıkan oltalama ve dolandırıcılık taktiklerine karşı dirençli bir savunma sağlayacaktır.

Bu önerileri takip ederek, Singapur Bankacılık sektöründeki kimlik doğrulama güvenliği daha da artabilir ve şu anda Passkey'leri bir kimlik doğrulama teknolojisi olarak belirtmekten yoksun olan Güvenli Uygulama Standardı gibi uyumluluk çerçevelerine ve standartlarına entegrasyonlarını bulabilir.

Özetle, Singapur Para Otoritesi'nin (MAS) SMS OTP'leri aşamalı olarak kaldırıp dijital token'lara geçme duyurusu, dijital bankacılık güvenliğini güçlendirmede çok önemli bir adımdır. Bu hamle, tüketicileri ve bankacılık sektörünü önemli ölçüde etkileyen artan oltalama dolandırıcılığı tehdidine karşı bir önlemdir.

• OTP neden kaldırılmalı: MAS, oltalama ve ele geçirilmeye karşı savunmasız olmaları nedeniyle OTP'lerin kullanımına son verilmesini önceliklendiriyor. Dolandırıcılar, SMS OTP'lerin zayıflıklarını istismar ederek daha güvenli kimlik doğrulama yöntemlerine olan ihtiyacı ortaya çıkardı.
• Dijital Token'lar nedir: Dijital token'lar, cihaza bağlı olmaları ve güçlü kriptografik algoritmalar kullanmaları sayesinde gelişmiş güvenlik sağlar. Bu, onları geleneksel OTP'lere kıyasla oltalama saldırılarına karşı daha dirençli hale getirir. Ayrıca kolaylık sunar ve SMS veya e-posta tabanlı kimlik doğrulama kodlarına olan ihtiyacı ortadan kaldırarak saldırı yüzeyini azaltır.
• Passkey'ler Singapur bankacılığına yardımcı olabilir mi: Passkey'ler, sağlam ve oltalama saldırılarına karşı dayanıklı bir kimlik doğrulama sunan üstün bir alternatif olarak ortaya çıkıyor. Açık-özel anahtar kriptografisi kullanarak, Passkey'ler kimlik doğrulamanın yalnızca meşru sitelerde gerçekleşmesini sağlar ve oltalama risklerini önemli ölçüde azaltır. Çoklu cihaz desteği ve güçlü cihaz güvenliği, çekiciliklerini daha da artırır.

Dijital token'ların avantajlarını incelerken, oltalama risklerini tamamen ortadan kaldırmadaki sınırlılıklarını da belirttik. Passkey'ler ise, dijital güvenlikteki uluslararası en iyi uygulamalarla uyumlu, kapsamlı bir çözüm sunar. Dijital token'lara geçiş ileriye doğru bir adım olsa da, nihai hedef dijital bankacılık kimlik doğrulaması için geleceğin standardı olarak Passkey'leri benimsemek olmalıdır.