Finansal hizmetler sektöründe son 12 ayda kaydedilen en yaygın siber saldırı yöntemi, parola hırsızlığı değil MFA (çok faktörlü kimlik doğrulama) sistemlerinin yanıltılması oldu. Siber suçlular, Microsoft Teams üzerinden yaptıkları sesli aramalarla şirket çalışanlarını ikna ederek hesaplarını sıfırlatıyor ve ardından kendi cihazlarını kurumsal ağa kayıt ettiriyor. CrowdStrike'ın 2026 Finansal Hizmetler Tehdit Raporu'na göre, bu yöntemle faaliyet gösteren Mutant Spider adlı grup, sektördeki en aktif tehdit aktörü konumuna yükseldi.
Sesli Aramalarla MFA'nın Aşılması: Yeni Tehdit Modeli
Mutant Spider ve diğer saldırgan gruplar, Microsoft Teams üzerinden yaptıkları sesli aramalarda kendilerini şirket IT destek ekibi olarak tanıtıyor. Çalışanları, "Şifremi unuttum" bahanesiyle MFA'yı sıfırlatmaya ikna ediyorlar. Bu işlem gerçekleştirildikten sonra saldırganlar, kendi cihazlarını kurumsal ağa ekleyerek kalıcı erişim sağlıyor. Güvenlik sistemlerinin doğru çalıştığı bu senaryoda asıl sorun, MFA'nın bu şekilde aşılabilmesi.
FBI'ın Mayıs 2026'da yayınladığı uyarıda, Kali365 adlı bir phishing-as-a-service platformundan bahsediliyor. Telegram üzerinden sadece 250 dolar aylık ücret karşılığında kiralanabilen bu platform, Microsoft 365 OAuth token'larını yakalayarak Outlook, Teams ve OneDrive'a süresiz erişim sağlıyor. MFA, saldırganın cihazında değil kurbanın cihazında tetiklendiği için sistemde herhangi bir uyarı oluşturmuyor.
Veri İhlallerinde Yeni Trend: Parola Hırsızlığının Gerilemesi
Verizon'un 2026 Veri İhlali İnceleme Raporu'nda yer alan verilere göre, veri ihlallerine yol açan ilk erişim vektörlerinde parola hırsızlığı oranı %13'e düştü. Bu oranın yerini, %31'lik oranla güvenlik açığı sömürüsü aldı. Aynı rapora göre, finansal kuruluşlara yapılan elle müdahaleli saldırılar 2025 yılında bir önceki yıla kıyasla %43 arttı. Kuzey Amerika'da bu artış oranı %48'e ulaşırken, dünya genelinde finansal hizmetler sektörü dördüncü en çok hedef alınan alan oldu.
CrowdStrike raporunda, 2025 yılında 423 finansal kuruluştan verilerinin sızdırıldığı belirtiliyor. Bu sayı, bir önceki yılda 334 olarak kaydedilmişti. REVENANT SPIDER adlı grup ise Qilin fidye yazılımı operasyonuyla en çok kurban bırakan eylemci olarak öne çıktı. Rapor döneminde bu grubun hedefindeki finansal kuruluş sayısı 14'ten 97'ye yükseldi.
State Sponsor Aktörlerinin Yeni Stratejileri
Devlet destekli siber saldırı grupları da finans sektörünü hedef almaya devam ediyor. Kuzey Kore bağlantılı DPRK-nexus aktörleri, 2025 yılında dijital varlık hırsızlığında %51'lik bir artış yaşayarak 2,02 milyar dolar değerinde kripto para çaldı. Şubat 2025'te Pressure Chollima adlı grup, Bybit borsasının desteklediği Safe{Wallet} platformunu hedef alarak 1,46 milyar dolarlık tek bir hırsızlık gerçekleştirdi. Bu saldırı, geliştiricinin kötü amaçlı Python projesiyle enfekte edilmiş bir makineden kaynaklandı.
Çin bağlantılı gruplar da küresel çapta finansal kurumlara yönelik saldırılarını sürdürdü. Hollow Panda, Filipinler, Endonezya ve Brezilya'daki bankaları Check Point VPN cihazlarındaki güvenlik açıklarını kullanarak hedef aldı. Vault Panda ise VPN ve diğer uzaktan erişim araçlarındaki zafiyetleri sömürerek saldırılarını gerçekleştirdi.
CrowdStrike'ın Saldırgan Operasyonları Kıdemli Başkan Yardımcısı Adam Meyers, durumu şöyle özetliyor: "Sıfır gün açığına ihtiyacınız varsa, sadece yardım masasına telefon açıp 'Şifremi unuttum' demek yeterli."
Sektörün Karşı Karşıya Olduğu Kritik Zafiyetler
Finansal hizmetler sektöründe MFA sistemlerinin aşılması, sadece parola temelli saldırıları değil, token tabanlı kimlik doğrulama sistemlerini de etkisiz hale getiriyor. CrowdStrike raporunda beş farklı saldırı yüzeyi tanımlanıyor:
- Sesli sosyal mühendislik (Microsoft Teams aramaları)
- OAuth token hırsızlığı (Kali365 ve benzer platformlar)
- VPN ve uzaktan erişim araçlarındaki güvenlik açıkları (Hollow Panda, Vault Panda)
- Geliştirici makinelerinin kötü amaçlı yazılımlarla enfekte edilmesi (Safe{Wallet} saldırısı)
- Fidye yazılımlarının entegre SaaS uygulamaları üzerinden yayılması (REVENANT SPIDER)
Bu saldırı yüzeylerinin her biri, MFA'nın koruma sağlayamadığı farklı bir zafiyeti hedef alıyor. Uzmanlar, şirketlerin sadece MFA'ya güvenmek yerine çok katmanlı savunma stratejileri uygulaması gerektiğini vurguluyor.
Geleceğe Yönelik Korunma Stratejileri
Finans sektöründeki siber tehditlerin giderek sofistike hale gelmesiyle birlikte, şirketlerin savunma mekanizmalarını da güncellemeleri gerekiyor. Uzmanlar, aşağıdaki adımların önemine dikkat çekiyor:
- Çalışan eğitimleri: Sesli sosyal mühendislik saldırılarına karşı bilinçlendirme programları
- Token yönetimi: OAuth token'larının sıkı şekilde denetlenmesi ve gereksiz erişimlerin kaldırılması
- VPN ve uzaktan erişim güvenliği: Sıfır güven modeline geçiş ve çok faktörlü kimlik doğrulamasının güçlendirilmesi
- Geliştirici güvenliği: Yazılım tedarik zincirinin korunması ve kötü amaçlı yazılımlara karşı sıkı kontroller
- Sürekli izleme: Anormal erişimlerin ve hareketlerin tespit edilmesi için gelişmiş tehdit algılama sistemleri
Finansal hizmetler sektörü, dijitalleşmenin getirdiği fırsatların yanı sıra siber tehditlerin de artmasıyla karşı karşıya. Sadece MFA sistemlerine güvenmek yerine, çok katmanlı savunma stratejileri uygulamak, gelecekteki saldırılara karşı en etkili koruma yöntemi olacak.
Yapay zeka özeti
Son bir yılda finans şirketlerini hedef alan siber saldırılarda parola hırsızlığı yerini MFA sıfırlamaya bıraktı. Yeni tehdit modelini ve korunma yollarını keşfedin.
