Hackerlar 2026'da MFA'yı Nasıl Aşıyor ve Bunu Nasıl Önleyebilirsiniz?

Özet

• Cihaz kodu kimlik avı saldırıları 2026'da 37 kat arttı; 18 farklı saldırı kiti bu yöntemi hazır özellik olarak sunuyor.
• Saldırganlar MFA'yı şifrenizi çalmadan aşıyor — doğrudan oturum belirtecinizi ele geçiriyorlar.
• SMS ve uygulama tabanlı klasik MFA bu saldırıyı durduramıyor. Kimlik avına dayanıklı MFA (geçiş anahtarları, FIDO2 donanım anahtarları) ve Koşullu Erişim politikaları işe yarıyor.

Çok faktörlü kimlik doğrulama (MFA) uzun süre kesin çözüm olarak görüldü. İkinci bir doğrulama adımı ekle — telefonuna gelen kod, push bildirimi, kimlik doğrulayıcı uygulama — şifreni ele geçirseler bile sisteme giremezler. Yıllarca bu yeterliydi. 2026'da artık değil.

Cihaz kodu kimlik avı bu dengeyi tersine çevirdi. Şifrenizi çalmaya çalışmıyor. Tek kullanımlık kodunuzu ele geçirmeye çalışmıyor. Bunun yerine sizi tamamen doğrulanmış bir oturum belirtecini teslim etmeye ikna ediyor — ve MFA hiç devreye giremiyor.

---

MFA Neden Artık Tek Başına Yeterli Değil?

MFA, kimlik bilgilerini korumak için tasarlandı. Temel varsayım şuydu: saldırgan şifrenizi ele geçirse bile ikinci bir faktör onu durdurur.

Cihaz kodu kimlik avı bu varsayımı tamamen devre dışı bırakıyor. Microsoft 365, Google Workspace ve diğer kurumsal platformlarda meşru bir kimlik doğrulama akışı olan cihaz yetkilendirme iznini kötüye kullanıyor. Kimlik bilgisi el değiştirmiyor. Kod ele geçirilmiyor. Kendi tarayıcınız doğrulamayı yapıyor; saldırgan ise bu oturumun ürettiği belirteci alıyor.

Bu teorik bir tehdit değil. Push Security ve BleepingComputer'ın raporlarına göre 2026'nın ilk yarısında cihaz kodu kimlik avı tespitlerinde 37 katlık artış yaşandı. On sekiz farklı kimlik avı kiti bu saldırı yöntemini standart özellik olarak sunuyor. Bir zamanlar yalnızca devlet destekli tehdit aktörlerinin kullandığı bu teknik artık hazır araç setleriyle herkese açık.

SMS kodları, TOTP uygulamaları (Google Authenticator, Microsoft Authenticator) ve push bildirimleri dahil olmak üzere geleneksel MFA, bu saldırı sınıfına karşı sıfır koruma sağlıyor.

---

Cihaz Kodu Kimlik Avı Nedir? (Sade Bir Anlatımla)

Saldırıyı anlamak için "cihaz kodu akışı" kavramını bilmek gerekiyor.

Cihaz kodu akışı, meşru bir OAuth 2.0 özelliğidir. Tarayıcı açamayan cihazlar için — akıllı TV'ler, yazıcılar veya komut satırı araçları gibi — tasarlanmıştır. Cihaz kısa bir kod ve bir URL gösterir. Siz telefon ya da bilgisayarınızdan o URL'ye gider, normal şekilde oturum açar (MFA dahil) ve cihaz kimlik doğrulamanızı onaylayan bir belirteç alır.

Cihaz kodu kimlik avı bu akışı ele geçiriyor. İsteği bir TV veya yazıcı değil, saldırgan başlatıyor. Microsoft'un ya da Google'ın kendi kimlik doğrulama altyapısını kullanarak bir cihaz kodu üretiyor; ardından bu kodu ve URL'yi sıradan bir BT bildirimi, paylaşılan belge bağlantısı veya Microsoft Teams uyarısı gibi göstererek size gönderiyor.

Siz meşru Microsoft veya Google oturum açma sayfasına gidiyorsunuz. Oturum açıyorsunuz. MFA adımını tamamlıyorsunuz. Her şey normal görünüyor — çünkü gerçekten normal. Tek fark şu: siz az önce saldırgana hesabınız için geçerli, uzun ömürlü bir erişim belirteci teslim ettiniz. Saldırgan şifrenize ya da MFA kodunuza hiç dokunmadı.

---

Saldırı Adım Adım Nasıl İlerliyor?

1. Saldırgan bir cihaz kodu isteği başlatır. Microsoft'un ya da Google'ın kendi kimlik doğrulama uç noktasını kullanarak bir kullanıcı kodu (örn. ABCD-1234) ve doğrulama URL'si (microsoft.com/devicelogin) üretir.

2. Hedefe bir kimlik avı mesajı gönderilir. Bu mesaj; BT desteği, belge paylaşımı bildirimi veya güvenlik uyarısı kılığında e-posta, Teams mesajı ya da SMS olarak gelir. Mesajda kullanıcı kodu ve doğrulama URL'sine bağlantı bulunur.

3. Hedef meşru oturum açma sayfasına gider. URL gerçekten microsoft.com veya accounts.google.com olduğu için tarayıcı güvenlik uyarısı vermez. Sahte bir alan adı tespit etme şansı yoktur.

4. Hedef MFA dahil tüm doğrulama adımlarını tamamlar. Kodu girer, gerçek kimlik bilgileriyle oturum açar ve MFA istemini onaylar. Her şey meşru görünür.

5. Saldırgan geçerli bir erişim belirteci alır. OAuth akışı saldırganın cihazında tamamlanır. Artık elinde şifresiz ve gelecekte MFA gerektirmeden e-postaya, dosyalara, takvime ve Teams'e tam erişim sağlayan bir oturum belirteci vardır.

6. Kalıcı erişim sağlanır. Saldırgan kiracıya kendi cihazını veya uygulamasını kaydeder; kurban şifresini değiştirse bile erişim devam eder.

---

İstanbul KOBİ'leri ve Microsoft 365 Kullanıcıları Neden En Fazla Risk Altında?

Büyük kurumsal yapılar, anormal token kullanımını ve alışılmadık oturum açma konumlarını izleyen güvenlik operasyon merkezlerine sahiptir. Türkiye'deki çoğu KOBİ bu imkândan yoksundur.

Cihaz kodu kimlik avı KOBİ'leri özellikle etkiliyor:

• Özel güvenlik ekibinin olmaması. Kimlik doğrulama günlüklerini aktif olarak izleyen biri yoksa, çalınan bir belirteç haftalarca fark edilmeden kalabilir.
• MFA'ya gereğinden fazla güven. Pek çok KOBİ MFA'yı açıp işi bitmiş saydı. Bu saldırı bunun yanlış olduğunu kanıtlıyor.
• OAuth akışlarına aşinalık eksikliği. Son kullanıcıların gerçekten microsoft.com üzerinde barındırılan bir oturum açma sayfasından şüphelenmesi için herhangi bir nedenleri yok.
• Varsayılan olarak geniş izinler. Küçük Microsoft 365 kiracılarında kullanıcılar genellikle bölümleme olmaksızın kuruluş genelindeki hassas verilere erişebiliyor. Tek bir ele geçirilmiş hesap her şeye erişim anlamına gelebiliyor.
• Uzaktan ve hibrit çalışma düzeni. Kişisel cihazlardan ve ev ağlarından bağlanan çalışanlar alışılmadık oturum açma kalıplarını normalleştirdi; bu durum anomali tespitini güçleştiriyor.

Microsoft 365 veya Google Workspace kullanan ve güvenlik duruşunuz "MFA açık" noktasında kalıyorsa, riskiniz var.

---

Her KOBİ'nin Bugün Uygulaması Gereken 6 Savunma Önlemi

1. Kimlik Avına Dayanıklı MFA Kullanın

SMS kodlarını, TOTP uygulamalarını ve push bildirimlerini FIDO2 donanım güvenlik anahtarlarıyla (YubiKey gibi) veya geçiş anahtarlarıyla (passkey) değiştirin. Bu yöntemler meşru etki alanına kriptografik olarak bağlıdır ve saldırganın cihaz kodu oturumundan kullanılamaz. Bu, en etkili tek önlemdir.

2. Kiracınızda Cihaz Kodu Akışını Devre Dışı Bırakın

Kuruluşunuz cihaz kodu akışı gerektiren cihazlar kullanmıyorsa (çoğu KOBİ kullanmıyor), bunu tamamen devre dışı bırakın. Microsoft Entra ID'de (eski adıyla Azure AD) Koşullu Erişim politikalarıyla urn:ietf:params:oauth:grant-type:device_code izin türü tüm kullanıcılar için engellenebilir.

3. Adlandırılmış Konumlar ve Cihaz Uyumluluğuyla Koşullu Erişimi Etkinleştirin

Erişim belirteçlerinin yalnızca uyumlu, yönetilen cihazlardan ve bilinen konumlardan kullanılabilmesini zorunlu kılın. Saldırganın sunucusundan beklenmedik bir ülke üzerinden kullanılan çalıntı bir belirteç otomatik olarak engellenmelidir.

4. Anormal Token Kullanımını İzleyin

Microsoft Entra ID oturum açma günlüklerini etkinleştirin; cihaz kodu kimlik doğrulamalarını, özellikle de alışılmadık IP adresi veya ülkeden yapılan erişimleri bildiren uyarılar kurun. Microsoft Defender for Identity ve Microsoft Sentinel'in her ikisinde de bu saldırı için hazır tespit kuralları bulunuyor.

5. Çalışanları Cihaz Kodu Tuzaklarını Tanımaları İçin Eğitin

Cihaz kodlarını ileten kimlik avı mesajları klasik kimlik avı gibi görünmüyor. BT bildirimlerini ve belge paylaşımı uyarılarını taklit ediyorlar. 2026'daki güvenlik farkındalığı eğitimleri yalnızca "garip bağlantılara dikkat edin" mesajıyla sınırlı kalmamalı; cihaz kodu kimlik avı senaryolarını da kapsamalıdır.

6. Token Yaşam Süresi Politikalarını Sıkılaştırın

Varsayılan olarak Microsoft 365 erişim belirteçleri bir saate kadar geçerli; yenileme belirteçleri çok daha uzun süre kalabilir. Yenileme belirteci ömrünü kısaltın ve hassas işlemler için yeniden kimlik doğrulamayı zorunlu kılın. Bu, çalıntı belirteçle saldırganın sahip olduğu zaman dilimini daraltır.

---

Temel Çıkarımlar

• Cihaz kodu kimlik avı MFA'yı tamamen atlıyor — şifre veya tek kullanımlık kod çalınmıyor.
• 2026'da tespitler 37 kat arttı; bu artık niş bir tehdit değil.
• Saldırı, Microsoft ve Google platformlarına yerleşik meşru bir OAuth akışını istismar ediyor.
• Standart MFA (SMS, TOTP, push) bu saldırı sınıfına karşı koruma sağlamıyor.
• Kimlik avına dayanıklı MFA (FIDO2/geçiş anahtarları) ve cihaz kodu akışının devre dışı bırakılması başlıca savunma yöntemleridir.
• KOBİ'ler sınırlı izleme kapasitesi ve geniş varsayılan izinler nedeniyle orantısız biçimde risk altındadır.

---

Lasetech Olarak Güçlü Kimlik Doğrulama Güvenliğini Nasıl Tanımlıyoruz

Lasetech olarak güçlü kimlik doğrulama güvenliğini katmanlı, doğrulanmış ve sürekli izlenen bir yapı olarak tanımlıyoruz — bir onay kutusu doldurmak olarak değil. İstanbul ve Türkiye'deki KOBİ'lerle birlikte Microsoft 365 ve Google Workspace yapılandırmalarını değerlendiriyor, AiTM ve cihaz kodu kimlik avına karşı açıkları tespit ediyor, kimlik avına dayanıklı MFA çözümleri devreye alıyor ve gerçekten işe yarayan Koşullu Erişim politikaları oluşturuyoruz. 2022'de işe yarayan güvenlik 2026'da işe yaramıyor. Bizim işimiz, savunmalarınızın bugün işinizi hedef alan tehditlerin önünde kalmasını sağlamak.

Kimlik avı saldırılarının temel mantığı hakkında daha fazla bilgi için kimlik avı nedir ve nasıl çalışır rehberimizi inceleyebilirsiniz. Saldırganların teknolojiyi değil insan davranışlarını nasıl sömürdüğünü anlamak için ise sosyal mühendislik ve insan faktörü yazımızı okuyabilirsiniz.

---

Sıkça Sorulan Sorular

Microsoft 365'te MFA etkinleştirmek cihaz kodu kimlik avına karşı koruma sağlar mı?

Hayır. SMS, TOTP kodları ve Microsoft Authenticator push bildirimleri dahil olmak üzere standart MFA, cihaz kodu kimlik avına karşı koruma sağlamıyor. Saldırı, sizin adınıza meşru bir MFA doğrulaması tamamlıyor ve ardından ortaya çıkan erişim belirtecini çalıyor. Yalnızca kimlik avına dayanıklı MFA (FIDO2 anahtarları veya geçiş anahtarları) bunu önleyebiliyor; çünkü kimlik doğrulama meşru hizmete kriptografik olarak bağlı ve saldırganın oturumundan kullanılamıyor.

Microsoft 365 kiracım cihaz kodu kimlik avıyla ele geçirildi mi, nasıl anlarım?

Microsoft Entra ID oturum açma günlüklerinizde cihaz kodu izin türü kimlik doğrulamalarını (urn:ietf:params:oauth:grant-type:device_code) arayın; özellikle alışılmadık IP adreslerinden veya ülkelerden yapılan erişimlerin arkasından gelenleri. Birleşik Denetim Günlüğü'nde tanımadığınız yeni OAuth uygulama kayıtlarını veya cihaz kayıtlarını da inceleyin. Günlük izlemeniz yoksa bir yönetilen güvenlik sağlayıcısıyla iletişime geçin.

Google Workspace da etkileniyor mu?

Evet. Google, Google hesapları için benzer bir cihaz yetkilendirme akışını destekliyor. 2026'da belgelenen kampanyaların büyük çoğunluğu Microsoft 365 kiracılarını hedef almış olsa da Google Workspace kullanıcıları da risk altında. Aynı savunma önlemleri geçerli: kimlik avına dayanıklı MFA, cihaz güven politikaları ve OAuth token izleme.

Antivirüs veya e-posta filtresi cihaz kodu kimlik avı saldırılarını engelleyebilir mi?

Güvenilir biçimde engelleyemez. Kimlik avı mesajları çoğunlukla gerçekten meşru Microsoft veya Google URL'lerine bağlantı içeriyor — engellenecek kötü amaçlı bir alan adı yok. Antivirüs OAuth akışlarını denetlemiyor. E-posta filtreleri bilinen şablonlarla eşleşen bazı tuzakları yakalayabilir; ancak dahili BT iletişimlerini taklit etmek üzere tasarlanmış özel cihaz kodu kimlik avı mesajları çoğu filtreyi atlıyor. İnsan farkındalığı ve kimlik doğrulama katmanındaki kontroller temel savunma yöntemleridir.

---

Kuruluşunuzun MFA atlatma saldırılarına karşı açığını değerlendirmek ister misiniz?

Lasetech ile iletişime geçin →