Hindistan Telekomünikasyon Bakanlığı (DoT), dolandırıcılık, oltalama ve siber sahtekarlıkla mücadele kapsamında mesajlaşma uygulamalarının sadece aktif SIM kartlarla çalışmasını zorunlu kılan yeni bir düzenleme yayımladı. WhatsApp, Telegram, Signal gibi TIUE (Telekomünikasyon Tanımlayıcı Kullanıcı Varlığı) kullanan uygulamaların, 90 gün içinde bu kurallara uyum sağlaması bekleniyor.
Yeni Düzenlemenin Teknik Detayları
Yönergeye göre, uygulama tabanlı iletişim hizmetleri (App-based Communication Services) cihazda yüklü ve aktif SIM kartla sürekli bağlantılı olmak zorunda. Böylece, SIM çıkarıldıktan veya devre dışı bırakıldıktan sonra hesapların çalışmaya devam etmesi engelleniyor. Ayrıca, web tabanlı oturumlar her altı saatte bir otomatik olarak kapatılıyor ve kullanıcılar QR kodu aracılığıyla yeniden bağlanmak zorunda kalıyor. Bu mekanizma, uzaktan kontrol ve hesap ele geçirme saldırılarının önüne geçmek için periyodik yeniden doğrulamayı zorunlu kılıyor.
Siber Dolandırıcılık ve Kimlik Taklidi Riskleri
DoT açıklamasında, uzun süreli web ve masaüstü oturumlarının dolandırıcıların orijinal cihaz veya SIM olmadan hesapları kontrol etmesine olanak tanıdığı belirtildi. Bu durum, dijital tutuklama dolandırıcılığı ve hükümet taklidi aramalar gibi saldırıların artmasına zemin hazırlıyor. Yeni kurallar, her aktif hesabın ve web oturumunun KYC doğrulamalı SIM ile ilişkilendirilmesini sağlayarak, yetkililerin dolandırıcılıkta kullanılan numaraları takip etmesini mümkün kılıyor.
Mobil Numara Doğrulama (MNV) Platformu ve Regülasyonun Genişletilmesi
Bu düzenleme, Hindistan’ın banka ve anlık ödeme uygulamalarında uygulanan SIM-bağlama ve otomatik oturum kapatma kurallarını mesajlaşma uygulamalarına da genişletiyor. Ayrıca, yakın zamanda açıklanan Mobil Numara Doğrulama (MNV) platformu ile, hizmet sağlayıcılar mobil numaraların kayıtlı kimlik bilgileriyle eşleşip eşleşmediğini merkezi ve gizlilik uyumlu bir şekilde doğrulayabilecek. Bu platform, kimlik dolandırıcılığı ve aracı hesapların önlenmesinde kritik rol oynayacak.
Siber Güvenlik Profesyonelleri İçin Öneriler
- Mesajlaşma uygulamalarında SIM-bağlama ve oturum yönetimi için gelişmiş IAM (Identity and Access Management) çözümleri entegre edin.
- Periyodik yeniden doğrulama süreçlerini SIEM sistemleriyle izleyerek anormal oturum açma faaliyetlerini tespit edin.
- EDR araçları ile cihaz bazlı kimlik doğrulama ve oturum kontrolü sağlayın.
- Phishing ve kimlik avı saldırılarına karşı e-posta güvenliği politikalarını güçlendirin.
- Ağ segmentasyonu ile kritik sistemlere erişimi sınırlandırarak dolandırıcılık faaliyetlerinin yayılmasını engelleyin.
- Olay müdahale (incident response) planlarında, SIM değişikliği ve oturum kapatma olaylarını öncelikli olarak ele alın.
- Kullanıcı eğitimleri ile dijital tutuklama ve kimlik taklidi saldırılarına karşı farkındalığı artırın.
- Web ve masaüstü oturumlarının sürekliliğini kontrol eden otomatik oturum kapatma mekanizmalarını uygulayın.
Teknik Özet
- Kullanılan yöntemler: Uzun süreli web/masaüstü oturumları, SIM çıkarıldıktan sonra hesapların aktif kalması.
- Hedeflenen riskler: Dijital tutuklama dolandırıcılığı, kimlik taklidi, oltalama ve aracı hesap operasyonları.
- Saldırı zinciri: SIM çıkarma/devre dışı bırakma > hesapların oturum açık kalması > uzaktan kontrol ve dolandırıcılık.
- Önerilen savunma: SIM-bağlama zorunluluğu, periyodik yeniden doğrulama, otomatik oturum kapatma, KYC doğrulaması.
Bu gelişmeler, özellikle mobil tabanlı iletişim ve finansal işlemlerde güvenliği artırmak için kritik bir adım olarak değerlendiriliyor. Siber güvenlik profesyonelleri, bu yeni regülasyonları göz önünde bulundurarak sistemlerini güncellemeli ve kullanıcı hesaplarının güvenliğini sağlamalıdır.