2FA kodlarınızın güvenliği

[Bthd]

Geçtiğimiz günlerde Escobar adlı yazılımın Android cihazlardaki 2FA kodlarına erişim için kullanıldığı tespit edildi. 2FA uygulamalarına yönelik zararlı yazılımların miktarı artmadan önce 2FA kodlarınızın güvende olduğundan emin olmak için önlemlerinizi gözden geçirmenizde fayda var.

Alabileceğiniz önlemlerden bir tanesi Yubikey, Google Titan yada Thetis gibi bir cihaz edinmek. Bu cihazlar her platformu desteklememek gibi bir dezavantaja sahip.

Yararlanabileceğiniz diğer bir yöntem ise eski bir cihazınızı 2FA deposu olarak kullanmak. Bu cihazı hiç bir zaman internete bağlamadan işlem gerçekleştirmek 2FA verilerinizin çalınmasını engelleyecektir. Hem daha ucuz hem de donanım cihazların dezavantajlarından kurtulmuş oluyorsunuz. Saati güncellemekte sorun yaşarsanız time.is kullanabilirsiniz.

Zararlı yazılımın nasıl çalıştığı hakkında bleepingcomputer üzerinde daha geniş bilgi bulabilirsiniz.

[1714719211]

1714719211

[1714719211]

1714719211

[1714719211]

1714719211

[1714719211]

1714719211

[1714719211]

1714719211

[velbet]

Özellikle Android cihazlarda dışarıdan indirilip kurulan APK'lar ve iOS cihazlardaki jailbreak işlemi cihazlarda güvenlik açıklarına yol açıyor. Bence artık 2FA ve Private keyler için özel cihazlar üretilmeli. Sadece bu işe hizmet edecek ve güvenliği en üst seviyede olacak şekilde. Mesela bazı telefon modellerinin bu işlem için bir çok özelliği sadeleştirilmiş ve sadece bu tarz bilgileri çevrimdışı olarak kayıt etmek amacıyla yapılmış. Dışarıdan tek müdahale yöntemiyse izin verilen cihaz tanımlamak ve onun üzerinden saat ya da farklı bilgileri tazeleme.

Android kullanan arkadaşların bazılarının custom rom kurduğunu görüyorum. Bu da büyük bir risk. Bu kadar cesaretli olmayın arkadaşlar. Ne olduğunu bilmediğiniz bir telefonun kuruyorsunuz ve arka planda hangi verilerinizi çektiği belli bile değil.

Herşeyi dijitale çevirdik fakat konu güvenlik olunca çevrimdışı olarak saklamamız gerekiyor. İronik değil mi?

[Bthd]

Xiaomi cihazların çok büyük bir kısmı yüksek vergiler yüzünden IMEI atılmış olarak kullanılıyor. IMEI atma işlemi sırasında BOOTLOADER kilidini açtıkları ve çoğu acemi kullanıcı tarafından IMEI atılmış cihazlarda android güncellemeleri yapılamadığı için özellikle bu cihazlar ciddi riskler içeriyor. Eğer işlem yapılmış bir cihaz kullanıyorsanız 2FA kodlarını bu cihazlarda kullanmak iyi bir fikir değil.

[vonutage]

Xiaomi cihazların çok büyük bir kısmı yüksek vergiler yüzünden IMEI atılmış olarak kullanılıyor. IMEI atma işlemi sırasında BOOTLOADER kilidini açtıkları ve çoğu acemi kullanıcı tarafından IMEI atılmış cihazlarda android güncellemeleri yapılamadığı için özellikle bu cihazlar ciddi riskler içeriyor. Eğer işlem yapılmış bir cihaz kullanıyorsanız 2FA kodlarını bu cihazlarda kullanmak iyi bir fikir değil.

Yıllarca Android cihazları kullanmayı daha efektif gören birisi olarak sırf bu nedenlerle Iphone bir cihaz edindim.
Sonra o Iphone cihazı kullandıkça Android'den soğudum. Yetinmedim pc yi değiştirdim MAC'e geçtim. Apple Watch aldım Neyse konumuza döneyim.

Bu konunun üzerinede günlük kullandığım cihazın dışında eski model bir iPhone kullanarak güvenlik verilerimi oraya aktardım. Şimdi 2 cihazla güvenliğimi sağlıyorum.
1- Sıcak cüzdanlar için sadece cüzdan ve dapp kullandığım iphone cihazım.
2- Soğuk cüzdan olarak  Ledger/Safepal kullanımı.

[wolwoo]

2FA'nın (olası) sorunlarından ve endişelerinden bıkmış biri olarak geçenlerde bir hesabımı sms'e çevirdim, bence daha basit ve kullanışlı....diğer hesaplarımı da bi ara sms'e çevirebilirim.

[velbet]

2FA'nın (olası) sorunlarından ve endişelerinden bıkmış biri olarak geçenlerde bir hesabımı sms'e çevirdim, bence daha basit ve kullanışlı....diğer hesaplarımı da bi ara sms'e çevirebilirim.

SMS sistemini hiç önermem.

Telefona kurup SMS okumasına izin verdiğiniz uygulamalar risk oluşturuyor.
Ayrıca SMS sistemi bazı borsalarda sorunlara sorun olabiliyor. Örneğin ben transfer yapmam gereken zamanlarda bazen borsa kaynaklı bazen de operatör kaynaklı sorunlardan dolayı sms alamadığım için hayatımdan çıkardım. 2FA çok daha efektif oluyor. Tavsiye ederim.

[wolwoo]

2FA'nın (olası) sorunlarından ve endişelerinden bıkmış biri olarak geçenlerde bir hesabımı sms'e çevirdim, bence daha basit ve kullanışlı....diğer hesaplarımı da bi ara sms'e çevirebilirim.

SMS sistemini hiç önermem.

Telefona kurup SMS okumasına izin verdiğiniz uygulamalar risk oluşturuyor.
Ayrıca SMS sistemi bazı borsalarda sorunlara sorun olabiliyor. Örneğin ben transfer yapmam gereken zamanlarda bazen borsa kaynaklı bazen de operatör kaynaklı sorunlardan dolayı sms alamadığım için hayatımdan çıkardım. 2FA çok daha efektif oluyor. Tavsiye ederim.

2FA kullanıyorum zaten ama bir uygulamada devre dışı bırakma kararı aldım, birkaç aydır gayet iyi çalışıyor. Telefon bozulursa kurtarma şifresini sakla cart curt derdi yok, zamanlama derdi yok, ohh ne rahat  SMS+ mail onayı olunca sıkıntı olmaz diye düşünüyorum, kim napsin benim gıçı gırıh bakiyemi

[Bthd]

2FA kullanıyorum zaten ama bir uygulamada devre dışı bırakma kararı aldım, birkaç aydır gayet iyi çalışıyor. Telefon bozulursa kurtarma şifresini sakla cart curt derdi yok, zamanlama derdi yok, ohh ne rahat  SMS+ mail onayı olunca sıkıntı olmaz diye düşünüyorum, kim napsin benim gıçı gırıh bakiyemi

Sadece sizin bakiyeniz değil sizin gibi düşünen pek çok kişinin bakiyesi bir araya geldiğinde kötü niyetli kişi için çalmaya değer bir şeyler ortaya çıkmış oluyor. Doğrulama için SMS ve/veya mail kullanımı bir çok açıdan sakıncalı. Sim kart kopyalamadan tutun da yüklediğiniz uygulamalar bile ciddi riskler oluşturuyor.

SMS kullandığınızda telefonunuz bir kişinin eline geçtiğinde hesabınıza doğrudan ulaşabilir konumda oluyor. Bu yüzden 2FA kodlarını da farklı offline bir cihazda saklamak çok daha makul.

[kastoriante]

Binance nft olayına da dikkat edin. Çok sayıda şikayet var. Adamlar hesaba girip 10 dolarlık şeye atıyorum 1000 dolar fiyat koyup alıyormuş. Şikayetlerde yazana göre Binance nft alıp onu transfer ederken onay da istemedi yazmışlar. Ben nft sayfasına girip 1000 dolar olan günlük limiti 100 dolar yaptım.
Güvenlik için de tavsiyem sms için bir yakınınızın numarasını verin. Telefonunuzu saldırganlar ele geçirirse bile sms onayı alamaz. Zaten sms sadece para çekerken veya ilk defa bir cihazdan giriş yaparken lazım oluyor.

[Bthd]

Binance nft olayına da dikkat edin. Çok sayıda şikayet var. Adamlar hesaba girip 10 dolarlık şeye atıyorum 1000 dolar fiyat koyup alıyormuş. Şikayetlerde yazana göre Binance nft alıp onu transfer ederken onay da istemedi yazmışlar. Ben nft sayfasına girip 1000 dolar olan günlük limiti 100 dolar yaptım.
Güvenlik için de tavsiyem sms için bir yakınınızın numarasını verin. Telefonunuzu saldırganlar ele geçirirse bile sms onayı alamaz. Zaten sms sadece para çekerken veya ilk defa bir cihazdan giriş yaparken lazım oluyor.

Kendi satışa koydukları ürünü satın alarak parayı legal yoldan kendilerine aktarmış oluyor dolandırıcılar. Böylece şikayetçi olabileceğiniz bir durum kalmıyor, o teklifi siz vermişsiniz gibi oluyor.

Güvenlik önlemi olarak sms kodunuza başkasının numarasını tanımlamak çok bir şeyi değiştirmeyecektir. Genellikle veri sızıntıları sonrası hesabın kayıtlı telefon hattını kopyalayarak sms koduna kolayca ulaşıyorlar. Yani sms kaydınızın kimin üzerine olduğu sonucu değiştirmez. Sadece telefonunuzu fiziksel olarak çaldırmanız v.b. durumlarda size fayda sağlama olasılığı var.

[ajanwalker]

Xiaomi cihazların çok büyük bir kısmı yüksek vergiler yüzünden IMEI atılmış olarak kullanılıyor. IMEI atma işlemi sırasında BOOTLOADER kilidini açtıkları ve çoğu acemi kullanıcı tarafından IMEI atılmış cihazlarda android güncellemeleri yapılamadığı için özellikle bu cihazlar ciddi riskler içeriyor. Eğer işlem yapılmış bir cihaz kullanıyorsanız 2FA kodlarını bu cihazlarda kullanmak iyi bir fikir değil.

Benim iki telefonumda Xiaomi ve 10s olarak aldığım tam da sizin dediğiniz gibi ucuza alayım diye IMEI attırdım ve 2Fa telefonda yüklü.
Yazınızı okuyunca beni bir endişe sardı açıkçası. Olmadı bazı borsalarda sms'e cevireyim bende.
Peki hocam borsaların hiç sms  göndermediği durum olur mu? Girmek için bazen ama geç gelebiliyor..mesela geçen gün gate'den çıkış yaptım sonra tekrar girmek için sms  çok geç geldi. 60 sn den çok sonra geldi. Bir de böyle bir durum var

[kastoriante]

Binance nft olayına da dikkat edin. Çok sayıda şikayet var. Adamlar hesaba girip 10 dolarlık şeye atıyorum 1000 dolar fiyat koyup alıyormuş. Şikayetlerde yazana göre Binance nft alıp onu transfer ederken onay da istemedi yazmışlar. Ben nft sayfasına girip 1000 dolar olan günlük limiti 100 dolar yaptım.
Güvenlik için de tavsiyem sms için bir yakınınızın numarasını verin. Telefonunuzu saldırganlar ele geçirirse bile sms onayı alamaz. Zaten sms sadece para çekerken veya ilk defa bir cihazdan giriş yaparken lazım oluyor.

Kendi satışa koydukları ürünü satın alarak parayı legal yoldan kendilerine aktarmış oluyor dolandırıcılar. Böylece şikayetçi olabileceğiniz bir durum kalmıyor, o teklifi siz vermişsiniz gibi oluyor.

Güvenlik önlemi olarak sms kodunuza başkasının numarasını tanımlamak çok bir şeyi değiştirmeyecektir. Genellikle veri sızıntıları sonrası hesabın kayıtlı telefon hattını kopyalayarak sms koduna kolayca ulaşıyorlar. Yani sms kaydınızın kimin üzerine olduğu sonucu değiştirmez. Sadece telefonunuzu fiziksel olarak çaldırmanız v.b. durumlarda size fayda sağlama olasılığı var.

Yanlış anlamayın, bilmediğimden soruyorum. Bu kadar kolaysa bankacılık işlemleri için sms kullanıyoruz. Şifremi unuttum deyince sms ile telefona şifre geliyor. Sonra giriş yapıp her türlü işlemi yapabiliyoruz. (Ziraat Bankası kullanıyorum) Telefon kopyalamak bu kadar basitse İnternet bankacılığı kullanmayalım mı?

[Bthd]

Yanlış anlamayın, bilmediğimden soruyorum. Bu kadar kolaysa bankacılık işlemleri için sms kullanıyoruz. Şifremi unuttum deyince sms ile telefona şifre geliyor. Sonra giriş yapıp her türlü işlemi yapabiliyoruz. (Ziraat Bankası kullanıyorum) Telefon kopyalamak bu kadar basitse İnternet bankacılığı kullanmayalım mı?

Elde gerekli veriler varsa SMS doğrulama yapan birisinin borsa hesaplarının çalınması evet çok basit. Bankalar için de basit ancak bankaların büyük bir kısmında telefon numaranız aynı olsa bile sim kart değişikliği gerçekleştirdiğinizde yeniden telefon numaranızı onaylamanız gerekir. Yine de hesapları bu şekilde boşaltılan çok insan var. Doğrulama mesajını SMS ile yapmaktan vazgeçip mobil uygulamalar üzerinden onaylama sistemine geçmelerinin sebebi bu zaten.

[velbet]

Binance nft olayına da dikkat edin. Çok sayıda şikayet var. Adamlar hesaba girip 10 dolarlık şeye atıyorum 1000 dolar fiyat koyup alıyormuş. Şikayetlerde yazana göre Binance nft alıp onu transfer ederken onay da istemedi yazmışlar. Ben nft sayfasına girip 1000 dolar olan günlük limiti 100 dolar yaptım.
Güvenlik için de tavsiyem sms için bir yakınınızın numarasını verin. Telefonunuzu saldırganlar ele geçirirse bile sms onayı alamaz. Zaten sms sadece para çekerken veya ilk defa bir cihazdan giriş yaparken lazım oluyor.

Kendi satışa koydukları ürünü satın alarak parayı legal yoldan kendilerine aktarmış oluyor dolandırıcılar. Böylece şikayetçi olabileceğiniz bir durum kalmıyor, o teklifi siz vermişsiniz gibi oluyor.

Güvenlik önlemi olarak sms kodunuza başkasının numarasını tanımlamak çok bir şeyi değiştirmeyecektir. Genellikle veri sızıntıları sonrası hesabın kayıtlı telefon hattını kopyalayarak sms koduna kolayca ulaşıyorlar. Yani sms kaydınızın kimin üzerine olduğu sonucu değiştirmez. Sadece telefonunuzu fiziksel olarak çaldırmanız v.b. durumlarda size fayda sağlama olasılığı var.

Yanlış anlamayın, bilmediğimden soruyorum. Bu kadar kolaysa bankacılık işlemleri için sms kullanıyoruz. Şifremi unuttum deyince sms ile telefona şifre geliyor. Sonra giriş yapıp her türlü işlemi yapabiliyoruz. (Ziraat Bankası kullanıyorum) Telefon kopyalamak bu kadar basitse İnternet bankacılığı kullanmayalım mı?

Yabancı borsaların bunu teyit etme şansı yok fakat ülkemizdeki kurumlar sizin sim kart değiştirdiğinizin bilgisini alıyor. Bu yazılımsal mı yoksa operatör mü bilmiyorum. Ben ülkeye geldiğimde e-sim'e geçtiğim için bankacılık işlemlerinde tek tek bloke kaldırmam gerekti fakat hiç bir borsada bu tarz bir işlem yapmam gerekmedi.

[Bthd]

Yabancı borsaların bunu teyit etme şansı yok fakat ülkemizdeki kurumlar sizin sim kart değiştirdiğinizin bilgisini alıyor. Bu yazılımsal mı yoksa operatör mü bilmiyorum. Ben ülkeye geldiğimde e-sim'e geçtiğim için bankacılık işlemlerinde tek tek bloke kaldırmam gerekti fakat hiç bir borsada bu tarz bir işlem yapmam gerekmedi.

Forumdaki geçmiş yazıları araştırırsanız bazı yerli borsalarla ilgili geçmişte çok ciddi hesap boşaltma problemlerinin yaşandığını görebilirsiniz. Bunların çoğu SMS doğrulama ve sim kart kopyalama kaynaklıydı. Veri sızıntısı olaylarını çok daha sonra kabul ettiler, bir satıcı tarafından veriler deep web'de satışa çıktıktan sonra.

[Konkordato]

Aslında mail,sms,2fa gibi güvenlik önlemlerinin hepsi aynı kapıya çıkıyor.. İnternet bağlantısı olan her cihaz benim için şu an risk barındırıyor.Barındırmaya da devam edecek. Yani bu güvenlik önlelerinin risklerinden kaçış yok sadece minimum düzeyde tutma gibi bir durumu ortaya çıkarıyor. Bilmediğim güvenmediğim uygulamayı kullanmam mesela,borsa maillerini telefondan açmam asla,para çekme ve giriş işlemleri için en üst koruma ile hesaplarımı güncel tutarım..

[Pierre 2]

Xiaomi cihazların çok büyük bir kısmı yüksek vergiler yüzünden IMEI atılmış olarak kullanılıyor. IMEI atma işlemi sırasında BOOTLOADER kilidini açtıkları ve çoğu acemi kullanıcı tarafından IMEI atılmış cihazlarda android güncellemeleri yapılamadığı için özellikle bu cihazlar ciddi riskler içeriyor. Eğer işlem yapılmış bir cihaz kullanıyorsanız 2FA kodlarını bu cihazlarda kullanmak iyi bir fikir değil.

Hocam söylediğin çok doğru ama anlat anlatabilirsen pek sevgili arkadaşım böyle IMEI atılmış cihaz kullanıyor riskli olduğunu söylüyorum ama dinlemiyor. Gerçi çok büyük paralar çevirmeyenler için büyük sorun değil ama ben artık kriptopara aleminin eskilerinden olarak güvenlik kaygıları duyuyorum çünkü binance ı taklit eden çok siteye denk geldim özellikle torrent dosyaları ve bilinmeyen (pornhub falan dışında kalan) porno siteleri de büyük riskler taşıyor.

[verbakalim]

Geçtiğimiz yıl kullandığım telefonun Huawei mate 10 lite haklendi. Telegramı kullanarak telefonun hafızasına eriştiler. Burada text dosyasında tuttuğum bazı bilgiler kullanılarak özellikle sanal kart bilgileri harcama yapıldı. Tesadüf olarak harcamanın yapıldığı 10 dakika içinde banka hesaplarını kurcalıyordum bu harcamayı gördüm.  Önce ne olduğunu anlamadım. Harcama kaynagını netleştirince bütün banka hesaplarımı kredi kartlarımı ve sanal kartlarımı kapattırdım. Telefonun herhangi bir açık tarafı olmamalıydı. Tek kusuru güvenlik güncellemeleri eskidiği için yapılmıyordu. Yani destek geri çekildiğinden dolayı sistemde açık oluşmuştu. Şimdi başka bir markanın pro modelini aldım. Pro modellerinde güncelleme daha önce geliyor ve daha uzun süre destek devam ediyor.

Bu arada bu olayı sadece 4.34 dolara atlattım. Dikkatli olmak gerekli.

[Bthd]

Geçtiğimiz yıl kullandığım telefonun Huawei mate 10 lite haklendi. Telegramı kullanarak telefonun hafızasına eriştiler. Burada text dosyasında tuttuğum bazı bilgiler kullanılarak özellikle sanal kart bilgileri harcama yapıldı. Tesadüf olarak harcamanın yapıldığı 10 dakika içinde banka hesaplarını kurcalıyordum bu harcamayı gördüm.  Önce ne olduğunu anlamadım. Harcama kaynagını netleştirince bütün banka hesaplarımı kredi kartlarımı ve sanal kartlarımı kapattırdım. Telefonun herhangi bir açık tarafı olmamalıydı. Tek kusuru güvenlik güncellemeleri eskidiği için yapılmıyordu. Yani destek geri çekildiğinden dolayı sistemde açık oluşmuştu. Şimdi başka bir markanın pro modelini aldım. Pro modellerinde güncelleme daha önce geliyor ve daha uzun süre destek devam ediyor.

Bu arada bu olayı sadece 4.34 dolara atlattım. Dikkatli olmak gerekli.

Evet, 2FA kodlarını saklamak için kullanılan cihazların hem halen güncelleme alıyor olması hem de Bootloader kilidinin açılmamış olması oldukça önemli. Çoğu kişi önemsemiyor olsa dahi özellikle android cihazlarda ek antivirüs programları kullanmakta olası tehlikeli durumların önüne geçebilir.

[Piratte]

Donanim kullanmakta genelde yorucu geliyor surekli islem yapan icin aktarma suresi uzadigindan maddi olarakta etkilliyor bazen