2026’nın En Sessiz Saldırı Yöntemi: MFA Açıkken Nasıl Hack’lenirsiniz?

MFA uzun süredir güvenliğin en görünür yüzü. Çoğu kullanıcı için “güvendeyim” hissi tam olarak burada başlıyor. Birden fazla doğrulama adımı varsa, hesabın ele geçirilmesinin zor olduğu varsayılıyor. Hatta birçok kurumda MFA, güvenlik olgunluğunun sembolü olarak kabul ediliyor.

Ancak bugün yaşanan ihlaller, bu güven duygusunu doğrudan hedef alıyor. Çünkü artık saldırılar, güvenlik kontrolleri devre dışı bırakıldığında değil, kontroller doğru şekilde çalışırken gerçekleşiyor. Bu da meseleyi teknik bir zafiyetten çok, yanlış bir varsayım haline getiriyor.

MFA’nın sunduğu koruma, çoğu zaman olduğundan daha geniş sanılıyor. Oysa MFA, bir kullanıcıyı değil, yalnızca giriş anını doğrular. Giriş tamamlandığında sistem, o oturumun artık güvenilir olduğunu kabul eder. Modern saldırılar tam olarak bu kabulün üzerine inşa edilir.

Bu noktada “MFA varken nasıl ihlal olur?” sorusu anlam kazanmaya başlar. Şifre paylaşılmamış olabilir. Şüpheli bir linke tıklanmamış olabilir. Kullanıcı hiçbir uyarı almamış, ekranında olağan dışı bir durum görmemiş olabilir. Buna rağmen erişim gerçekleşmiş olabilir. Çünkü günümüz saldırıları, yüksek sesle gelmez. Alarm üretmez. Kullanıcıyı panikletecek bir an yaratmaz

Asıl tehlike, her şeyin normal göründüğü anlarda başlar. Mail kutusu çalışıyordur, uygulamalar açıktır, sistemler erişilebilirdir. Kullanıcı, günlük iş akışına devam ederken, arka planda başka bir bağlam devreye girmiş olabilir. Ve bu bağlam, artık kullanıcının kontrolünde olmayabilir.

Bu yazının çıkış noktası tam olarak burasıdır. Bir kullanıcı neyi yanlış yaptı sorusunu sormak yerine, hangi noktada yanlış bir güven duygusu oluştuğunu anlamaya çalışır. Çünkü bugün yaşanan birçok kimlik temelli ihlalde sorun dikkatsizlik değil, farkında olunmayan bir varsayımdır.

MFA’nın her koşulda koruma sağladığı düşüncesi, artık geçerliliğini yitiriyor. Tehdit modeli değişti. Saldırganların hedefi de. Çünkü bu noktada hâlâ herkes için her şey “normal” görünüyor olabilir. Ama tam da bu yüzden, biraz daha durup düşünmek gerekiyor.
Saldırılar Artık Şifreyi Değil, Oturumu Hedefliyor

Uzun yıllar boyunca siber güvenlik anlatısının merkezinde şifre vardı. Bir hesabın ele geçirilmesi denildiğinde, akla ilk olarak şifrenin çalınması gelirdi. Phishing mailleri, sahte giriş ekranları, parola sızıntıları… Kullanıcı farkındalığı da doğal olarak bu eksende şekillendi.

Ancak bugün bu resim büyük ölçüde değişmiş durumda.

Modern sistemlerde şifre, artık tek başına yeterli bir hedef değil. Çünkü şifre yalnızca giriş kapısını açar. Asıl değerli olan şey, kapıdan geçildikten sonra oluşan oturumdur. Saldırganların odağı da tam olarak buraya kaymış durumda.

Bir kullanıcı sisteme giriş yaptığında, yalnızca kimliğini doğrulamaz. Aynı zamanda sistemle arasında bir bağlam kurar. Tarayıcı, cihaz, uygulama ve zaman bilgileriyle birlikte bir oturum oluşur. Bu oturum sayesinde kullanıcı, tekrar tekrar şifre girmeden çalışmaya devam eder. Sistem, bu noktadan sonra kullanıcıyı “tanıyor” kabul eder.

İşte saldırganların aradığı şey de budur: tanınmış bir kullanıcı olmak.
Şifreyi ele geçirmek gürültülüdür. MFA’yı aşmak zordur. Ama aktif bir oturumu devralmak çoğu zaman çok daha sessizdir. Çünkü bu durumda saldırgan, sisteme yeni bir aktör olarak girmez. Zaten içeride olan bir kimliğin devamı gibi görünür.

Bu nedenle birçok modern saldırıda, kullanıcı şifresini hiç kaybetmemiştir. MFA’yı kendisi başarıyla geçmiştir. Hatta giriş kayıtlarına bakıldığında her şey olması gerektiği gibidir. Sorun, girişten sonra başlar.

Oturum, saldırgan için bir anahtara dönüşür. Bu anahtar, sistemlerin büyük bölümünde yeniden doğrulanmaz. Sistem, “bir kez güvenilen” bu bağlamı sorgulamaz. Çünkü sorgulamak, kullanıcı deneyimini zorlaştırır. Güvenlik ile kullanılabilirlik arasındaki bu denge, saldırganların en sevdiği alandır.

Buradaki kritik nokta şudur: Şifre kişiseldir, ama oturum bağlamsaldır. Ve bağlam, kullanıcı farkında olmadan değişebilir.

Kullanıcı hâlâ aynı kişi olabilir. Ama oturumu kullanan taraf değişmiş olabilir. Sistem açısından bu iki durum arasındaki farkı anlamak her zaman kolay değildir. Çünkü teknik olarak hâlâ geçerli bir erişim vardır.

Bu yüzden günümüzde yaşanan birçok ihlal, “nasıl oldu?” sorusunu cevapsız bırakır. Çünkü cevap, alışılmış saldırı anlatılarının dışında bir yerdedir. Bir şey çalınmamıştır. Bir şey kırılmamıştır. Sadece, güvenilen bir bağlam sessizce el değiştirmiştir.

Bu değişimi fark etmek zordur. Ama fark etmemek, riskin tam merkezinde olmaktır.

Anonim Gerçek Vaka: Her Şey Normaldi

Bu anlatılanlar tek bir kuruma, tek bir güne ya da tek bir kullanıcıya ait değil. Son dönemde olay müdahale ve SOC ekiplerinin karşısına çıkan, birbirine çok benzeyen vakaların ortak bir örüntüsüdür.

Bir çalışan, günlük iş akışına her zamanki gibi başlar. Kurumsal hesabına kişisel dizüstü bilgisayarından erişir. Tarayıcıda hem kişisel hem iş amaçlı hesaplar açıktır. MFA ile giriş yapılır, doğrulama başarılıdır ve oturum aktif hale gelir. Kullanıcı gün içinde kısa molalar verir, tarayıcıyı kapatmaz, cihaz açık kalır. Bu davranışların hiçbiri tek başına sıra dışı değildir; aksine oldukça yaygındır.

Bu noktaya kadar sistemler açısından her şey olması gerektiği gibidir.

Saatler sonra, aynı kullanıcı hesabı sistemlere erişmeye devam eder. Erişimler kesilmez, hesap kilitlenmez, MFA yeniden tetiklenmez. Log’lara bakıldığında erişimler yetkilidir, kullanılan servisler kuruma tanıdıktır, bağlantılar olağan coğrafyalardan gelmektedir. Ne kullanıcı tarafında ne de teknik ekiplerde alarm yaratacak bir durum oluşur.
Ancak erişimin niteliği yavaş yavaş değişmeye başlar.

Bu değişim ani değildir. Büyük veri çekimleri yoktur, agresif hareketler yoktur. Bunun yerine, kullanıcı hesabı daha önce pek temas etmediği servislerle küçük etkileşimler kurmaya başlar. API çağrıları artar, ama sınırlar içinde kalır. Davranış “yanlış” değildir, sadece alışılmış değildir.

Bu tür vakalarda kritik olan nokta şudur: Erişim hâlâ meşrudur, ama bağlam bozulmuştur.

Olay müdahale ekipleri geriye dönüp baktığında tablo netleşir. Kullanıcı şifresini paylaşmamıştır. Phishing’e maruz kaldığını hatırlamaz. Şüpheli bir dosya açmamıştır. Hatta MFA doğrulamasını bizzat kendisi yapmıştır. Buna rağmen, oturumun kontrolü bir noktada el değiştirmiştir.

Bu noktada yaşanan kırılma genellikle tek bir “an” değildir. Birden fazla küçük unsurun bir araya gelmesiyle oluşur. Örneğin:

• Kurumsal hesabın kişisel tarayıcı profili altında kullanılması
• Uzun süre açık kalan aktif oturumlar
• Tarayıcıya daha önce eklenmiş, meşru görünen ama güncel olmayan bir eklenti

Bu unsurların hiçbiri tek başına “ihlal sebebi” değildir. Ancak birlikte ele alındığında, saldırgan için yeterli bağlamı oluşturur.

En çarpıcı detay ise şudur: Bu süreç boyunca kullanıcı kendini hâlâ sistemin tek sahibi sanır. Sistem de öyle zanneder.

İhlalin bu kadar geç fark edilmesinin sebebi tam olarak budur. Ortada “yanlış” bir giriş yoktur. Sadece, doğru olduğu varsayılan bir bağlam sessizce değişmiştir. Ve bu değişim, ne kullanıcıyı ne de sistemi anında uyarmıştır.

Bu nedenle bu vakalar geriye dönüp incelendiğinde şaşırtıcıdır. Çünkü her şeyin normal göründüğü bir akış içinde, risk adım adım büyümüştür.

Kullanıcı Hiçbir Şey Yapmadıysa Risk Nereden Geldi?

Bu noktada çoğu kurumda refleks aynıdır: Kullanıcıya dönülür. Bir linke tıklayıp tıklamadığı sorulur, şüpheli bir dosya açıp açmadığı sorgulanır, olağan dışı bir mail alıp almadığı araştırılır. Çünkü uzun yıllar boyunca güvenlik ihlallerinin başlangıç noktası bu tür “tekil hatalar” olarak düşünüldü.

Ancak modern kimlik temelli saldırılarda bu yaklaşım çoğu zaman cevap vermez. Çünkü kullanıcı gerçekten de hiçbir şey yapmamış olabilir. Ne dikkatsizlik göstermiştir, ne kuralları ihlal etmiştir, ne de fark edilebilir bir hata yapmıştır. Buna rağmen risk oluşmuştur.

Bu çelişki, güvenlikteki en kritik kırılma noktalarından biridir.

Bugün birçok ihlalin kaynağı tek bir yanlış hareket değil, alışkanlıkların bir araya gelmesidir. Günlük çalışma pratikleri, yıllar boyunca sorun yaratmamış olabilir. Kişisel cihazdan kurumsal sisteme erişmek, tarayıcıyı açık bırakmak, aynı ortamda farklı hesaplarla çalışmak… Bunlar çoğu kullanıcı için olağan davranışlardır. Hatta işin doğası gereği teşvik edilen alışkanlıklardır.

Sorun bu davranışların “yanlış” olması değildir. Sorun, tehdit modelinin bu davranışların etrafında değişmiş olmasıdır.

Kullanıcı, oturumunun bir güvenlik varlığı olduğunun farkında değildir. Sistem de bu oturumu uzun süre sorgulamaz. Bu ikisi birleştiğinde, risk kendiliğinden oluşur. Ortada bilinçli bir ihlal yoktur; yalnızca artık geçerli olmayan bir güven varsayımı vardır.

Bu nedenle “kullanıcı hatası” kavramı, bu tür vakaları açıklamakta yetersiz kalır. Burada hata, kullanıcının yaptığı bir eylemde değil; kurumun kullanıcıdan neyi bilmesini beklediğinde ortaya çıkar. Eğer kullanıcı, oturumun sürekliliğinin de korunması gereken bir güvenlik unsuru olduğunu bilmiyorsa, onu koruması da beklenemez.

Bu noktada farkındalık, kuralları hatırlatmakla değil, zihniyeti güncellemekle ilgilidir. Kullanıcıya “şunu yapma” demek yerine, “neden artık bu şekilde çalışmak risk yaratıyor” sorusunun cevabını vermek gerekir. Çünkü davranış değişikliği, ancak riskin mantığı anlaşıldığında kalıcı olur.

Bu başlık altında verilmek istenen temel mesaj şudur:
Modern ihlallerde kullanıcı çoğu zaman suçlu değildir. Ama farkında olmadan riskin bir parçası haline gelebilir. Ve bu farkındalık oluşmadıkça, en gelişmiş teknik kontroller bile sessiz riskleri tamamen ortadan kaldıramaz.

MFA Neyi Korur, Neyi Korumaz?

MFA, bugün birçok kullanıcı için güvenliğin kendisiyle eş anlamlı hale gelmiş durumda. Birden fazla doğrulama adımı varsa, hesabın güvende olduğu düşünülüyor. Oysa MFA, tüm erişim sürecini değil, yalnızca giriş anını güvence altına alır. Giriş tamamlandıktan sonra oluşan oturum, çoğu sistemde yeniden doğrulanmaz ve bu oturumun kim tarafından sürdürüldüğü her zaman sorgulanmaz. Bu nedenle MFA, doğru beklentiyle kullanıldığında güçlü bir kontroldür; yanlış beklentiyle kullanıldığında ise sahte bir güven duygusu yaratabilir.
Kullanıcı Açısından MFA’nın Gerçek Rolü

• MFA, hesabınıza ilk erişimi doğrular; oturumun tamamını izleyen bir mekanizma değildir.
• MFA’yı başarıyla geçmeniz, oturum süresince her işlemin otomatik olarak güvenli olduğu anlamına gelmez.
• MFA, şifrenizin ele geçirilmesini zorlaştırır; ancak aktif bir oturumun devralınmasını engellemez.
• Tarayıcıda açık kalan bir oturum, MFA’dan bağımsız olarak kullanılabilir.
• MFA, cihazın güvenli olup olmadığını sürekli kontrol etmez; yalnızca giriş sırasında değerlendirir.
• Bu nedenle MFA açıkken gerçekleşen ihlaller, MFA’nın bozulduğu değil, yanlış konumlandırıldığı durumlardır.
• “MFA var” demek, “her koşulda güvendeyim” demek değildir; sadece ilk kapıdan güvenli geçtim demektir.

Neden Kimse Bir Şey Fark Etmedi?

Bu tür vakalarda en rahatsız edici soru genellikle şudur: “Bunca kontrol varken nasıl kimse fark etmedi?”

Bu soru doğal, ama modern saldırı gerçekliğiyle örtüşmeyen bir beklentiye dayanır. Çünkü bugün yaşanan birçok ihlalde sistemler aslında “doğru” çalışır. Alarm üretmemelerinin sebebi kör olmaları değil, yanlış şeyi arıyor olmalarıdır.

Sessiz kimlik saldırılarında erişim, teknik olarak hatalı değildir. Kullanılan hesap yetkilidir, girişler başarılıdır, MFA geçilmiştir, IP adresleri olağandışılık göstermez. Sistemler, bir saldırıyı değil; meşru görünen bir kullanıcı davranışını izler. Bu nedenle klasik alarm mantığı devreye girmez. Ortada reddedilen bir giriş yoktur, bloklanan bir işlem yoktur, belirgin bir ihlal sinyali yoktur.

Asıl sorun, bağlamın değişmiş olmasıdır. Ancak bağlam değişimi, çoğu zaman tek bir anomaliyle değil; küçük sapmaların zaman içinde birikmesiyle gerçekleşir. Bu da hem teknik ekiplerin hem kullanıcıların “her şey normal” hissini uzun süre korumasına neden olur.
Bu Sessizlik Neden Tehlikelidir?

• Sistemler, yetkisiz erişimi arar; yetkili ama yanlış bağlamlı erişimi her zaman ayırt edemez.
• MFA geçmiş bir oturum, çoğu kontrol için hâlâ güvenilir kabul edilir.
• Saldırganlar ani ve büyük hamleler yapmaz; davranışı yavaşça değiştirir.
• Küçük sapmalar tek başına alarm üretmez, ancak birlikte risk oluşturur.
• Kullanıcı, ekranda olağan dışı bir durum görmediği için şüphelenmez.
• Teknik ekipler, “çalışan bir sistemde” sorun aramakta doğal olarak geç kalır.

Bu nedenle birçok ihlal, bir alarm sesiyle değil; geriye dönük bir analizle ortaya çıkar. O ana kadar herkes, sistemlerin kontrol altında olduğunu düşünür. Sessizlik, bu saldırı türünün en büyük avantajıdır.

Günlük Alışkanlıkların Sessiz Riski

Kullanıcı farkındalığı çoğu zaman “ne yapmamalıyım” listeleri üzerinden anlatılır. Oysa modern risklerin önemli bir kısmı, yanlış davranışlardan değil; doğru kabul edilen alışkanlıklardan doğar. Yani kullanıcı, kuralları ihlal ettiğini düşünmeden, hatta “dikkatli” davrandığını varsayarak riskli bir bağlam yaratabilir.

Bu noktada sorun, alışkanlıkların kendisi değil; bu alışkanlıkların artık farklı bir tehdit modelinde çalışıyor olmasıdır. Uzun yıllar boyunca güvenli kabul edilen pratikler, bugün sessiz risk taşıyabilir. Kullanıcı bu değişimi fark etmediği sürece, aynı davranışı sürdürmeye devam eder ve sistemler de bu davranışı olağan kabul eder.

Sessiz risk tam olarak burada oluşur: Ne kullanıcı kendini hatalı hisseder, ne de sistemler açık bir ihlal sinyali üretir. Ancak bağlam yavaş yavaş zayıflar.

• Kullanıcının Fark Etmeden Risk Yarattığı Noktalar
• Kurumsal hesapların kişisel tarayıcılar ve günlük dijital alışkanlıklarla iç içe kullanılması
• Uzun süre açık kalan oturumların “zaten ben buradayım” düşüncesiyle normalleştirilmesi
• Tarayıcı eklentilerinin işlevsel araçlar olarak görülüp erişim boyutunun göz ardı edilmesi
• Aynı cihazda farklı hesaplarla çalışmanın yarattığı bağlam karmaşasının fark edilmemesi
• Ekranda olağan dışı bir durum görülmediğinde her şeyin güvende sanılması

Bu davranışların hiçbiri tek başına alarm sebebi değildir. Ancak birlikte ele alındığında, saldırganın aradığı sessiz zemini oluşturur. Kullanıcı açısından bakıldığında ise her şey hâlâ tanıdıktır ve güvenlidir.

Bu nedenle farkındalık, kullanıcıdan “daha dikkatli olmasını” istemekle sınırlı kalamaz. Asıl ihtiyaç, kullanıcının kendi dijital alışkanlıklarını yeni tehdit modeliyle yeniden değerlendirmesidir. Çünkü alışkanlıklar değişmediğinde, risk görünmez ama kalıcı hale gelir.

Küçük Ama Kritik Detaylar

Bu noktaya kadar anlatılanların çoğu, ilk bakışta karmaşık ya da “teknik ekip işi” gibi görünebilir. Ancak sahadaki birçok vakanın ortak noktası, aslında çok basit detayların gözden kaçmasıdır. Bu detaylar küçük görünür; ama bir araya geldiklerinde ihlalin zeminini oluşturur.

Aşağıdaki maddeler, klasik farkındalık içeriklerinde sıkça yer almaz. Ancak modern kimlik temelli saldırılarda en sık karşılaşılan zayıf halkalardır:

• Oturum açık bir cihaz, sistem için hâlâ “sen” demektir; başında olup olmadığın sorgulanmaz.
• Tarayıcı eklentileri yazılım değil, erişim alanıdır; yetki alır, veri görür, oturuma temas eder.
• Aynı tarayıcı profili altında birden fazla hesap kullanmak, bağlamı bulanıklaştırır.
• “Bu uygulama zaten güvenilir” düşüncesi, en sık istismar edilen varsayımlardan biridir.
• MFA ile giriş yapılmış bir oturum, çoğu sistemde yeniden sorgulanmaz.
• “Bir şey olmadı” hissi, ihlalin olmadığı değil; henüz fark edilmediği anlamına gelebilir.

Bu maddelerin hiçbiri tek başına dramatik değildir. Ancak ortak noktaları şudur:
Kullanıcı tarafından fark edilmezler, sistemler tarafından da çoğu zaman olağan kabul edilirler.

Farkındalık tam olarak burada başlar. Kullanıcının her detayı teknik olarak bilmesi gerekmez. Ama hangi alışkanlıkların artık risk yaratabildiğini bilmesi gerekir. Çünkü modern saldırılar, en çok bu küçük ve sessiz boşlukları sever.

Yazarın Notu

Bu yazı bir ihlal hikâyesi anlatmak için kaleme alınmadı. Bir kullanıcıyı işaret etmek, korkutmak ya da “ne yapmamalısınız” listesi çıkarmak için de yazılmadı.

Bu yazının amacı çok daha net: Bugünün tehditlerinin, dünün alışkanlıklarıyla artık aynı şekilde yönetilemeyeceğini göstermek.

Siber güvenlik uzun süre teknik kontroller üzerinden konuşuldu. Firewall’lar, MFA, EDR’lar, politikalar… Hepsi hâlâ gerekli ve değerlidir. Ancak sahadaki gerçeklik şunu açıkça gösteriyor: En gelişmiş kontroller bile, yanlış varsayımlarla kullanıldığında sessiz riskler yaratabiliyor.

Gate TR Akademi’de farkındalık tam olarak bu noktada başlar. Bilgi ezberletmekle değil, düşünme biçimini güncellemekle. “Kural” öğretmekle değil, neden artık farklı düşünmek gerektiğini anlatmakla.

Bu içerikte anlatılanlar, tekil bir olayın değil; bugün birçok kurumun karşılaştığı ortak bir gerçeğin özetidir. Sessiz ilerleyen, bağlam üzerinden çalışan ve çoğu zaman fark edilmeden büyüyen risklerin…

Eğer bu yazıyı okuduktan sonra kendi dijital alışkanlıklarını bir an durup yeniden düşünüyorsan, amaç gerçekleşmiştir. Çünkü farkındalık, tam da o anda başlar.

Gate TR Akademi olarak amacımız, kullanıcıyı suçlayan değil; kullanıcıyı güçlendiren bir güvenlik kültürü oluşturmaktır. Bu kültür, ancak doğru sorular sorulduğunda ve doğru varsayımlar terk edildiğinde mümkün olur.

Güvenle kalın.
Yazar: Meltem Erdem
Editör: Gate TR Akademi Ekibi