Yıllarca hesap ele geçirme (ATO) saldırıları tahmin edilebilir bir senaryo izledi: Saldırganlar toplu halde çalıntı kimlik bilgileri satın aldı, bunları otomatik araçlarla test etti ve eşleşme bekledi. Kimlik bilgisi doldurma (credential stuffing) ucuz, ölçeklenebilirdi ve savunmacılar için nispeten iyi anlaşılmıştı. Ancak bu dönem sona eriyor. Saldırganlar pes ettiği için değil, ön kapıyı kırmak artık çok daha zor hale geldiği için.
Passkey'ler artık ana akım haline geldi. FIDO Alliance'ın 2026 araştırmasına göre, küresel tüketicilerin %75'i en az bir hesabında passkey etkinleştirdi. Aynı zamanda, iş yerlerinde de passkey kullanımı yaygınlaşıyor; şirketlerin %68'i çalışan girişleri için passkey kullanıyor, test ediyor veya tanıtıyor. Oltalama saldırılarına dirençli, şifresiz kimlik doğrulama artık bir hedef değil, varsayılan haline geliyor. Şifre ortadan kalktığında, çalıntı bir şifrenin değeri de yok oluyor.
Peki saldırı bundan sonra nereye yöneliyor? Akış aşağıya, sistemlerin hâlâ bir insanın kim olduğunu kanıtlamasına güvendiği anlara. Birincil giriş akışları sertleştiğinde, dolandırıcılık yok olmaz; en zayıf halkaya taşınır. Çoğu mimaride bu halka, kimlik doğrulama ve kurtarma katmanıdır. Hesap kurtarma, cihaz yeniden kaydı, yüksek değerli bir işlem için adımlı doğrulama veya 'sen olduğunu onayla' amaçlı gönderilen sihirli bağlantılar gibi akışlar, direncin en düşük olduğu yollar haline geliyor.
Önemli Gelişmeler
Sihirli bağlantı müdahalesi bunun açık bir örneği. E-posta ile tek kullanımlık giriş bağlantısı göndermenin rahatlığı, bir dezavantajı da beraberinde getiriyor: Saldırgan bu bağlantıyı doğrulanmamış bir mobil derin bağlantı, ele geçirilmiş bir gelen kutusu veya SIM takası yönlendirmesi yoluyla ele geçirebilir. Bu durumda amaçlanan kimlik doğrulama akışı tamamen by-pass edilebilir. Veriler de aynı yöne işaret ediyor: Veriff'in 2026 Dolandırıcılık Endüstri Nabzı Anketi'ne göre kuruluşlar, kimlik sahteciliği, kötü amaçlı yazılım, yetkilendirilmiş dolandırıcılık ve belge sahteciliği gibi kategorilerde yaygın bir artışla karşı karşıya.
ATO'yu yeniden şekillendiren ikinci güç ise üretken yapay zeka. Bu teknoloji, kimlik doğrulamayı doğrudan hedef haline getirdi. Veriff'in 2026 Kimlik Dolandırıcılığı Raporu'na göre, doğrulama girişimlerinin %4,18'i sahteydi ve dijital olarak sunulan medyanın önceki dönemlere göre yapay zeka tarafından üretilme veya değiştirilme olasılığı %300 daha fazlaydı. Kimlik sahteciliği artık şirketin gözlemlediği tüm dolandırıcılık saldırılarının %85'inden fazlasını oluşturuyor. Deepfake özçekimler, enjekte edilmiş video akışları ve sentetik belgeler artık uç teknikler değil; kimlik dolandırıcılığının ana akımı haline geldi.
Savunmacılar için çıkarım rahatsız edici ama net: Doğrulama adımınız kendisine sunulan medyanın gerçek olduğunu varsayıyorsa, geçen yılın tehdit modeline karşı savunma yapıyorsunuz demektir. Hesap ele geçirme savunması yeni bir aşamaya giriyor. Önümüzdeki 12-18 ay içinde kuruluşların kontrollerini güçlendirmek için üç değişim muhtemel: Niyet bağlama (intent binding) daha önemli hale gelecek; ağ etkisi verileri savunma avantajını belirleyecek; düzenleyici baskı taban çizgisini yükseltmeye devam edecek.
Pratik yol spekülatif değil. Zaten ATO'yu azalttığı kanıtlanmış kontrollere dayanıyor: Biyometrik canlılık tespiti, düzgün uygulandığında ATO'yu %80-90 oranında azaltıyor. Öncelikler: Şifresiz kimlik doğrulama ve biyometrik canlılık tespitini temel gereksinim haline getirin, premium eklenti olarak sunmayın. Oltalama dirençli kimlik bilgileri artı canlılık tespiti, kimlik sahteciliğinin maliyetini önemli ölçüde artırır. Yeniden doğrulama, sihirli bağlantı akışları ve adımlı doğrulamayı yüksek riskli olaylar olarak ele alın; saldırganlar ilk olarak bunları hedef aldığı için, ilk kayıtla aynı incelemeyi hak ediyorlar.
Gelecekte Ne Bekleniyor?
Niyet bağlama ve yapay zekaya dirençli doğrulama için plan yapın. Sistemlerinize ulaşan medyanın sentetik olabileceğini varsayın ve doğrulanmış kimliği doğrulanmış niyete bağlayan kontroller tasarlayın. Stratejik değişim basitçe ifade edilebilir ve görmezden gelinmesi zordur: Dolandırıcılık en az dirençli yolu izler; bu yol kimlik doğrulamadan doğrulamaya kaydı. 2026'da kazanan ekipler, saldırganların terk ettiği değil, zincirdeki bir sonraki halkayı şimdiden savunan ekipler olacak.
Kaynak: thehackernews.com