Account Takeover (ATO) Nedir 
Hesapların Sessizce Ele Geçirilme Gerçeği
“Hesabı çalmak için kapıyı kırmazlar; anahtar zaten cebindedir.”
— Ersan Karavelioğlu
Account Takeover (ATO) Nedir
Account Takeover, bir saldırganın kullanıcıya ait
geçerli kimlik bilgilerini veya oturumu ele geçirerek
kullanıcı gibi işlem yapmasıdır.
Parola, token veya oturum;
Hangisi düşerse hesap gider.
Neden Bu Kadar Sessizdir
Teknik alarm çoğu zaman çalmaz
İşlemler meşru görünür
Saldırı, kullanıcı maskesiyle yapılır
ATO Nasıl Başlar
Phishing
Credential stuffing
Malware / keylogger
İlk adım genelde
bilgi sızıntısıdır
Credential Stuffing Nedir
Başka bir sızıntıdan alınan parolalar
Otomasyonla denenir
Parola reuse ATO’nun yakıtıdır
Session Hijacking ile ATO
Session ID / JWT çalınır
Parolaya gerek kalmaz
Oturum = hesap
MFA Varsa ATO Olur mu
Evet, ama zorlaşır
MFA bypass, push bombing, zayıf recovery
MFA güçlüdür ama kusursuz değildir
ATO ile Neler Yapılır
Para transferi
Alışveriş
Ayar ve e-posta değişimi
Hesap içinden hesap ele geçirme
Hesap Ele Geçirildiği Nasıl Anlaşılır
Şüpheli girişler
Anormal davranışlar
Kullanıcı şikâyeti çoğu zaman ilk sinyaldir
“Login Başarılı” Neden Yanıltıcıdır
Sistem doğru anahtarı gördü sanır
Ama anahtarın kime ait olduğunu bilmez
Kimlik ≠ niyet
ATO ve Business Logic Flaws
Ele geçirilen hesap, mantık açıklarını büyütür
Limitler, roller, akışlar suistimal edilir
Etki katlanır
API’ler ATO’yu Nasıl Kolaylaştırır
Zayıf rate limit
Yetersiz authorization
Sessiz ve hızlı istismar
WAF ATO’yu Engeller mi
Kısmen
Ama trafik meşrudur
Asıl savunma davranış analizidir
ATO’ya Karşı Temel Savunmalar
MFA
Rate limiting
IP / cihaz farkındalığı
Katmanlı yaklaşım şarttır
Davranışsal Analiz Neden Kritik
Kullanıcı nasıl davranır?
Saldırgan nerede sapar?
Anomali ATO’yu ele verir
Hesap Kurtarma Süreci Risk midir
Evet
Zayıf reset linkleri arka kapıdır
Recovery, güvenliğin parçasıdır
Kullanıcı Tarafında Ne Yanlış
Aynı parola her yerde
MFA kapalı
Farkındalık eksikliği
Kurumlar Nerede Yanılır
Sadece girişe odaklanmak
Oturum sonrası kontrolleri ihmal
ATO genelde
login’den sonra olur
En Büyük Yanılgı
“Bizim hedefimiz yok.”
Her hesap değerlidir
Otomasyon seçmez
Son Söz Hesap Sessizce Gider
Account Takeover,
güvenin kullanıcıdan sessizce alınmasıdır.
Güçlü parola yetmez; güçlü
bağlam gerekir.
Güvenli sistem, hesabın kimde olduğunu sürekli sorgular.
“Hesabı korumak, girişle değil; davranışla başlar.”
— Ersan Karavelioğlu
