Beklenmeyen Doğrulama Kodları Alındığında Ne Yapılmalı?

E-posta veya kısa mesaj olarak gönderilen, kullanıcının tetiklemediği tek kullanımlık doğrulama kodu almak endişe kaynağı olmalıdır çünkü bu, muhtemelen bilgilerinizin çalındığı anlamına gelir.

Bir siber saldırının ilk bileşenlerinden biri, kurumsal ağlara ve çevrimiçi hizmetlere yönelik meşru kimlik bilgilerinin çalınmasıdır. Bu kimlik bilgileri, oltalama veya sosyal mühendislik saldırıları yoluyla çalınabilir. Çalınan kimlik bilgileri daha sonra veri hırsızlığı ve fidye yazılım saldırıları için veya tüketicilerin hesaplarını ele geçirip finansal kazanç elde etmek için kullanılır.

Kullanıcıların hesaplarını daha iyi güvenceye almak için birçok şirket, çok faktörlü kimlik doğrulama adı verilen ve etkinleştirildiğinde kullanıcıların hesaplarında oturum açmalarına izin verilmeden önce ek bir doğrulama yapmalarını gerektiren bir güvenlik özelliği sunar. Bu doğrulama, genellikle e-posta veya kısa mesaj olarak gönderilen tek seferlik bir şifrenin girilmesidir. Bir tehdit aktörü hesabı ele geçirse bile, ek doğrulama aşamasını geçmeden hesaba giriş yapamayacağından hesabın ele geçirilme olasılığı önemli ölçüde azalmış olur.

Bir hesap sahibine, hesaba giriş yapmadığı halde doğrulama kodu ulaşırsa, hesabının bir başkası tarafından ele geçirilmiş olma olasılığı yüksektir. Kodun iletildiği mesajın elbette meşru firmadan geldiği kesin ise. Bazı durumlarda içinde link veya başka bağlantı bulunan sahte doğrulama mesajları da kullanıcılara ulaşabilmektedir.

Gelen mesajın gerçekliği kontrol edildikten sonra, kullanıcı eğer doğrulama kodunu kendisi tetiklememişse, hesabının çalındığını varsayarak hesabının bulunduğu web sitesine gidip şifresini değiştirmelidir. Aynı şifre başka hesaplarda da kullanılıyorsa o hesapların da şifreleri değiştirilmelidir.

Kullanıcılar çok faktörlü doğrulamanın hesabı koruduğunu ve şifre değişikliğine gerek olmadığı düşüncesine kapılmamalıdır. Çünkü tehdit aktörleri bazen doğrulama kodunu da atlatabilmektedir. Ayrıca SMS ve e-posta ile iletilen doğrulama kodu en riskli kimlik doğrulama metodudur. SIM klonlama, zararlı yazılım gibi saldırılarla kullanıcıların cihazları, dolayısıyla doğrulama kodları da korsanların eline geçebilir. Bunun yerine, biyometrik doğrulama yöntemleri (parmak izi, yüz tanıma gibi), güvenlik anahtarları veya geçiş anahtarları kullanmak hesap güvenliği açısından daha etkili yöntemlerdir.