SIM Swap Saldırısı: SIM Kartınız Ele Geçirilince Hesaplarınız Nasıl Boşaltılır ve Korunma

Hızlı Cevap: SIM swap, dolandırıcının operatörünüzü sosyal mühendislikle kandırıp telefon numaranızı kendi SIM kartına taşımasıdır. Numara ele geçince, hesaplarınıza gelen SMS doğrulama kodları artık saldırganın telefonuna düşer; o da şifre sıfırlama ve tek seferlik kodlarla banka, e-posta ve sosyal medya hesaplarınızı boşaltır. İlk belirti, telefonunuzun aniden şebekesiz kalmasıdır. En güçlü savunma, SMS yerine passkey ya da uygulama tabanlı çok faktörlü kimlik doğrulama kullanmak ve operatörünüzde hat taşıma kilidi açtırmaktır.

Telefon numaranız, modern dijital kimliğinizin anahtarı haline geldi: banka, e-posta ve sosyal medya hesapları doğrulama kodlarını SMS ile gönderir. SIM swap saldırısı tam da bu zinciri kırar. ABD'de FBI'ın İnternet Suçları Şikayet Merkezi (IC3), yalnızca 2021 yılında SIM swap kaynaklı 68 milyon dolarlık zarar bildirildiğini, bunun önceki üç yılın toplamının çok üzerinde olduğunu açıkladı. Saldırı teknik bir hack değil, çoğu zaman bir telefon görüşmesiyle operatör çalışanını kandırmaktır.

SIM swap nasıl çalışır

1. Bilgi toplama. Saldırgan, oltalama ya da veri sızıntılarından adınızı, numaranızı ve kimlik bilgilerinizi toplar.
2. Operatörü kandırma. "Telefonumu kaybettim, hattımı yeni karta taşıyın" diyerek operatörü ya da bayiyi sosyal mühendislikle ikna eder.
3. Numaranın taşınması. Numara saldırganın SIM kartına geçer; sizin kartınız şebekeden düşer ve telefonunuz aniden sinyalsiz kalır.
4. Hesapların ele geçirilmesi. Saldırgan, banka ya da e-posta hesabınızda "şifremi unuttum" der, sıfırlama kodu artık onun telefonuna SMS ile gelir, hesabı devralır ve para transferi yapar.

Neden SMS tabanlı 2FA zayıf

SMS ile gelen tek seferlik kod, çok faktörlü kimlik doğrulamanın en zayıf biçimidir. CISA, SMS ve sesli arama temelli doğrulamanın oltalamaya, SS7 protokol açıklarına ve SIM swap saldırılarına karşı savunmasız olduğunu belirtir ve kurumları phishing dirençli yöntemlere geçmeye çağırır. ABD standartlar enstitüsü NIST de 2025 kılavuzunda telefon şebekesi üzerinden gelen kodu kısıtlı bir kimlik doğrulayıcı olarak işaretler ve doğrulayıcıların kodu göndermeden önce SIM değişimi ve numara taşıma gibi risk göstergelerini dikkate almasını ister. SMS kodu, numaranızı ele geçiren ya da sizi sahte bir sayfaya kod girdiren herkese açıktır. Bu nedenle yeni nesil savunma, gizli sır paylaşmayan passkey ve donanım anahtarlarıdır; ayrıntıyı parola, 2FA ve passkey rehberimizde bulabilirsiniz.

Madde madde korunma

1. SMS 2FA yerine güçlü yöntem. Mümkün olan her hesapta passkey, donanım güvenlik anahtarı ya da kimlik doğrulayıcı uygulama kullanın. SMS'i yalnızca başka seçenek yoksa bırakın.
2. Operatörde hat taşıma kilidi. Operatörünüzden numara taşıma ve SIM değişimi için ek PIN ya da kilit açtırın; bazı operatörler bunu sunar.
3. e-Devlet SIM blokesi. e-Devlet iki aşamalı giriş, SIM değişiminde devreye giren bir güvenlik tedbiri ve yedek kod seçeneği sunar; bu özelliği etkinleştirin.
4. Ani sinyalsizliğe tepki verin. Telefonunuz beklenmedik biçimde uzun süre şebekesiz kalırsa hemen operatörü başka bir hattan arayın; SIM swap olabilir.
5. Banka ve e-posta uyarıları. Hesap hareketleri için anlık bildirim açın; şüpheli işlemde derhal müdahale edin.
6. Kişisel veri sızıntısını azaltın. Numaranızı ve kimlik bilgilerinizi her yere vermeyin; oltalamaya karşı dikkatli olun.

Saldırıya uğradıysanız ne yapmalı

Önce başka bir telefondan operatörü arayıp hattınızı geri alın ve SIM değişimini durdurun. Ardından banka ve e-posta şifrelerinizi değiştirin, tüm oturumları kapatın, çok faktörlü doğrulamayı SMS dışı yönteme taşıyın. Para transferi olduysa bankanızla iletişime geçip işlemi itiraz edin ve olayı USOM ile Cumhuriyet Başsavcılığına bildirin. Hesabınız ele geçirildiyse hesap ele geçirme kurtarma ve adli delil yazımız adım adım yol gösterir.

Sıkça Sorulan Sorular

SIM swap olduğumu nasıl anlarım? En net belirti, telefonunuzun aniden ve uzun süre şebekesiz kalması, ardından hesaplarınıza giriş yapamamanızdır.

Numaramı geri alabilir miyim? Evet, operatörünüze başvurarak hattı geri alabilirsiniz, ama bu sırada hesaplarınız ele geçirilmiş olabilir; paralel olarak şifre ve 2FA güvenliğini sağlayın.

SMS kodu hiç mi kullanmamalıyım? SMS, hiç yoktan iyidir, ama mümkün olan her yerde passkey ya da uygulama tabanlı doğrulamaya geçin.

Kaynaklar

• FBI IC3, SIM Swapping kamu duyurusu (Şubat 2022, 2021'de 68 milyon dolar zarar): https://www.ic3.gov/Media/Y2022/PSA220208
• FCC, Cell Phone Fraud ve SIM swap koruma kuralları: https://www.fcc.gov/consumers/guides/cell-phone-fraud
• NIST SP 800-63B-4, kısıtlı kimlik doğrulayıcı (PSTN/SMS, SIM değişimi risk göstergesi): https://pages.nist.gov/800-63-4/sp800-63b/authenticators/
• CISA, phishing dirençli çok faktörlü kimlik doğrulama: https://www.cisa.gov/sites/default/files/publications/fact-sheet-implementing-phishing-resistant-mfa-508c.pdf
• e-Devlet İki Aşamalı Giriş (SIM blokesi dahil): https://www.turkiye.gov.tr/2fa-tanitim
• USOM ihbar: https://www.usom.gov.tr/ihbar

Kurumsal kimlik doğrulama ve hesap güvenliğinizi güçlendirmek için DSET ile iletişime geçin.