İnternet bankacılığı ile nasıl soyuluyoruz

[ayran]

İnternet kabusunuz olmasın - 29 / 05 / 2007 10:31

Birkaç metodu var

1- En yaygını; hackerlar, attığı bir mail veya yaptıkları “çekici” internet siteleri (en yaygınları arkadaş bulma, **** veya kumar siteleri) vasıtası ile casus programlar (trojan) ör. "*** logger" programı yolluyorlar. Maili açtığınızda veya siteye girdiğinizde program otomatik olarak bilgisayarınıza iniyor. Programlar menüsünden de görülemiyor. *** Logger; ortalama 45 kb boyutunda, program indirme sitelerinden bile kolayca ve ücretsiz elde edilebilen, bir resmin arkasına dahi saklanabilecek boyutta bir program. Eğer bu program herhangi bir şekilde bilgisayarınıza gönderildi ise, bilgisayarınızda yaptığınız her işlem, şifreler, bilgiler dahil klavyeden kullandığınız tuşları, mouse hareketlerinizin ekran resimlerini veya diskinizdeki dosyaları “hacker”ın kendi mail adresine gönderiyor veya hacker sizin bilgisayarınızı bire bir görebiliyor. Hatta hacker bilgisayarınızdan işlem yapabiliyor. Daha sonra sizin “sık kullanılanlar” dosyanıza bankanın heryerde satılan sitesinin kopyasını yerleştiriyor. Siz bankanın sitesine girdiğinizi zannedip ve şifre ve parola ve hatta “tek kullanımlık” şifreyi girdiğinizde, hacker “teşekkürlerle” gerçek banka sitesine girip sizin adınıza işlemi gerçekleştiriyor. Bu methoda “man in the middle” deniyor.

Belirtmeliyiz ki; cep telefonunuza gelen işlem sonu şifresi güzel bir önlemdir. Mutlaka olmalı. Ancak şifre, parola ve kimlik detaylarınızı bilen bir kişinin bazı bankaların internet sitelerinden veya telefon bankacılığı yolu ile cep telefonu numarasını değiştirebileceğini veya kendi cep telefonuna yönlendirebileceğini, hatta sahte kimlikle sizin telefon numaranıza ait bir “sim kart” alabileceğini göz ardı etmemek gerekir. Not. Siz istediğiniz kadar “sanal klavye” kullanın; hackerlar sizin işlemlerinizi buffer* dan takip ediyorlar. Yani sanal klavyede hangi harf veya sayıya bastığınız belli. *Buffer: Bilgisayarınızdaki tüm haraketlerinizi hafızasında tutan bölüm. Yine siteye girişte sorulan resim, isim, özel soru v.s. gibi önlemler önemlidir. Ancak ekranınızı, resimleri, yazdıklarınızı birebir gören hacker için caydırıcı bir önlem değildir.

2- Olta (phishing) mail gönderiyorlar. Bankanın yazı dilini taklit eden bir mail geliyor, sizi ikna eden bir neden ile (şifre değişikliği, süre bitimi, adres güncelleme hatta ikramiye) verilen linki tıklayarak bir siteye yönlendiriliyorsunuz. Site banka ekranlarını taklit ediyor. Ancak bankaya ait değil. Burada banka hesap bilgilerinizin girilmesine ikna ediliyorsunuz ve böylece bilgileriniz soygun amaçlayan kişilerin eline geçiyor.

3- İnternete bağlandığınız anda, gerekli güvenlik programlarına sahip değilseniz, dünyadaki 1,5 milyar internet kullanıcısı bilgisayarınıza girebilir. IP numaranızı bilmesi yeterli. Zaten gönderdiğiniz her mailde, her girdiğiniz sitede IP’nize ulaşılabiliyor. Sonrasını söylemeye gerek yok, her şeyinizi paylaşmaya başlarsınız.

4- Bankaların içlerinden bilgi sızdırıldığı duyumlarımız var. Nitekim bir banka içinden yakalananlar olduğu haberini de basından okuduk. 1.000.000 banka şifresi bir CD içerisinde ele geçirildi. (Bakınız 14 Şubat 2007 tarihli tüm gazeteler.) Detaylar için



Bir hesabın Hacker tarafından ele geçirilmesi birkaç saati alabilir. 1 milyon hesap için yaklaşık 25 bin (yazı ile yirmibeşbin) seneye ihtiyaç var. Bu nedenle içeriden bilgi sızdırılıyor duyumları kamuoyunda kuvvet kazanıyor.

5- Kişisel bilgilerinizle size ait olmayan, tanımadığınız bir bilgisayarı kullanarak işlem yaparsanız, kendinizi riske etmiş olursunuz. Özellikle internet cafelerde sizin şifrelerinizi “save” eden programların yerleştirilmiş olması muhtemeldir.

6- Güvenliğiniz için ev ve işyerinizde kendi bilgisayarınızla bile wireless internet kullanmayın. Bir başkası sizin ağ’ınıza veya sisteminize bu yolla çok rahat girebilir. Eğer siz, kendi bilgisayarınızla wireless sistemi kullanan bir cafe veya havaalanı v.s. de internete girecekseniz, yine kişisel bilgilerinizi kullanmaktan kaçının. Çünkü bir başkasının ağ’ını kullanıyorsunuz ve o ağ’ın sahibi veya dahilindeki herhangi biri sizin şahsi bilgilerinizi ele geçirebilir.

7- Kopya program veya korsan CD kullanmayınız, bilgisayarınıza yükleyeceğiniz programın orijinal olmasına dikkat ediniz. Soyguncular kopya programlara trojan yazılımlar ekliyorlar, bu şekilde bilgisayarınıza girmiş oluyorlar.

TESTi KIRILMADAN...

Kullanıcıların bu alanda bilinçli davranması için neler yapması gerekiyor?

Bir tarihte vatandaşa Galata Köprüsünü satıyorlardı. Şimdi böyle bir şeyin olması mümkün mü? Değil, çünkü herkes bunun farkında ve bu konuda biliçli, eğitimli. Tüm olayların ana nedeni, kullanıcının bilinçsiz, eğitimsiz olmasıdır. Kamu yönetimimiz eğitim kısmını ihmal ederek interneti teşvik etti. Türk Telekom abonelerini uyarmalıydı, bankalar internet ve bankacılığı konusunda eğitim vermeliydi. İsteyen herkes ADSL abonesi oldu-oluyor. Herkese internet bankacılığı hesabı açıldı. Hatta okur-yazar olmayanların dahi internet bankacılığı hesabının olduğuna şahit oluyoruz.

Ülkemizde böylesi bir ortam oluşunca, Türkiye’miz başta Rus, İsrail ve yerli soyguncuların cenneti oldu. Hukuksal boşluklar var. Soygun, yapanın yanına kar kalıyor. Ör. Benim 74.000YTL’ mı çalan şahıs yakalandı 24 saat geçmeden serbest bırakıldı. Banka ise devam eden davamda, beni hala şifremi başkasına vermekle suçluyor. Oysa Türkiye’de diğer gelişmiş ülkelerdeki gibi “bilişim mahkemeleri” olsa benim için dava 1.celsede bitebilirdi. Çünkü; paramın EFT yapıldığı saniyede cep telefonuma bankanın yolladığı uyarı mesajı geldi. 5 sn. sonra bankamı arayarak; “böyle bir havale-EFT yapmadım. DURDURUN” dedim. Ama durdurmadılar. Üstelik beni yanlış yönlendirdiler. Peki o halde bana bankanın kendisinin yolladığı bu uyarı mesajının anlamı nedir? “Bak hırsız paranı çalıyor, biz de göz yumuyoruz. Bay-bay” mı? Ama davam 3. senedir devam ediyor. Banka avukatları oradan çekiyor, banka emeklisi “bilirkişi !” ler buradan.

Bu arada banka da boş durmuyor. Beni 3 ayrı savcılığa “bankacılık yasasına muhalefet” etmekten 3 ayrı şikayette bulundu. Tesadüf ! bu ya, özellikle cuma günleri saat 15:30 civarı polisler beni “mevcutlu” olmak kaydıyla savcılığa götürüyorlar. Herhangi bir aksilik! durumunda hafta sonunu hiçbir ülkede benzeri olmayan “bankacılık yasasını” tek ayak üzerinde ezberleyerek geçirme riskim var. Hele bu yazıdan sonra...

Not. Bilişim mahkemeleri mevcut olsa dava benim ve avukatlarımın görüşüne göre 3 yönden de derhal bitebilirdi. 1) Bana hesabınızdan EFT yapıldı diye mesaj gönderen Bankam. Bu amaç için uyguladığı kendi uyarı mesajına telefon açmama rağmen paramı bloke etmeyen yine bankam. 2) Önce savcılığa gidin “X” bankaya paranızın EFT yapıldığını şikayet edin, durduralım diyen bankam. Ama sadece “X” değil “X ve Y” bankalarına para ikiye bölünerek yapılmış ve bunu (“Y” bankasını) bildirmeyen yine bankam. İlk bankadaki EFT yi durduran ise BEN. “Y” bankasını da bildirse onuda durduracağım. 3) Bankanın hele o zamanki güvenlik önlemleri neredeyse sıfır. Bu da ispatlı. Zaten tek kelime ile öyle olmasa banka; o günde var olan güvenlik önlemlerini neden o zaman devam ettirmedi de hemen akabinde yeni önlemler aldı ve halen alıyor?

Sonunda, davanın bu boyutlarının (maddi boyutları değil) Avrupa İnsan Hakları mahkemesinde devam edeceğinin hazırlık aşamaları tamamlanmıştır.

Görünen o ki, kolay bir iş olması, yaptırımının olmaması nedeniyle internet bankası soygunculuğu özendirilir hale geldi. Önümüzdeki günlerde “e-Devlet Kapısı” uygulamaları başlayacak ve bir çok alanda interneti kullanmak vatandaş için zorunlu hale gelecek. Bu nedenle her internet kullanıcısının ve kullandırıcısının son derece dikkatli olması gerekiyor. Kullanıcısını eğitmek konusunda, sunucu konumundaki kuruluşlara (bankalar, kamu ve özel kuruluşlar v.s.) çok iş düşüyor. BDDK bu konuda bankaları uyarmaya başladı bile. Acaba bazı bankaların, Türkiye’de sadece kendisinin üye olduğu “ödül dağıtan” cemiyetlerin ödüllerini öne sürüp “Türkiye’deki en iyi internet bankacılığı bizde” diyerek reklam yapmalarının önüne de geçilebilecek mi? SBM derneği olarak biz sonuca bakıyoruz. Hala soygunlar devam ediyor ve bu yolla paralarımız yurtdışında ki hacker’ların, mafyanın ve yasadışı örgütlerin eline geçiyor.

NOT: Telekominikasyon Kurumu Başkanı Sn. Mustafa Alkan demeci; “2004 Nisan ayında kabul edilen e-imza yönetmeliğine göre; bu tarihten sonra yapılan internet bankacılığı dahil ıslak imza ve e-imza dışında yapılan tüm işlemler geçersizdir.”

Gelelim Güvenlik önlemlerine; bunun 3 bacağı var. 1-Kamu 2-Banka 3-Kullanıcı

Öncelikle Kamu;

Başta ADSL olmak üzere bütün port sağlayıcıları, tencere-tava satar misali evlerimize kadar gelip sistemi kurup gidiyorlar. Kullanım ve güvenlik konusunda ne bir eğitim ne de bir kitapcık veriyorlar (Kurmaya gelenlerin de güvenlikten habersiz olduklarından hiç şüphe yok) Tüketici bilinçsizce, kulaktan dolma “eğitim” ile ve deneme-yanılma metoduyla kendi internet güvenliğini sağlamaya çalışıyor. Ya da sağlayamıyor. Güvenliği olmayan, kuralları olmayan, frensiz, direksiyonsuz arabanın (internetin) başına oturtulan ve bilgisayarı dünyada ki 1,5 milyar internet kullanıcısına açık olan tüketici; sonunda istenmeyen “kaza”lara uğruyor. Ya Hacker’lar tarafından bankası soyuluyor, ya kredi kartı bilgileri ile dolandırılıyor veya diğer önemli iş, özel bilgileri “hacker” lar tarafından ele geçirilip kötüye kullanılabiliyor, santaj yapılabiliyor, bir bedelle satılabiliyor.

Bankalar:

Bankaların bir çoğunun internet bankacılığı, standart pazarlama şirketlerinin web sitesinin güvenliğinden dahi yoksun. Bir tek telefonla internet şifresi alınabildiği gibi, ankesörlü telefonlarla dahi telefon bankacılığı yapılabiliyor. Oysa sizin belirlediğiniz en fazla üç adet telefon numarası ile telefon bankacılığı yapılabilmeli. Ör. ev, iş, cep telefonu. Banka bu numaraları gördükten sonra size işlem yetkisi verebilmeli. Ayrıca bankalarda başka bir evrak sormadan, sadece sahte kimlik belgeleri ve sahte muhtar çıktıları ile mevduat hesabı açılıp, çalınan paralar bu kimlikle açılan hesaplara aktarılıp çekiliyor. Bankaya; neden başka evrak istemedin? diye sorulduğunda; “Bu bizi ilgilendirmez. Kredi mi istedi, çek defteri mi, kredi kartımı?. Annesine para göndereceğini söyledi, biz de açtık hesabı” diyebiliyor.

Ayrıca; bankaların mevduatları sigortalamaları gerekiyor. Ama sigorta şirketleri Kredi Kartlarını sigortalarken “hergün camı kırılan” dükkanları sigortalamak istemedikleri gibi internet bankacılığını da sigortalamak istemiyorlar.

TEK ve KESiN ÇÖZÜM:
E-iMZA, iNTERNET BANKACILIĞINDA KULLANILMALI

Bunun dışında “e-kart” (e-imza) internet bankacılığında mutlaka kullanılmalı. Bu sistem, ufak bir aparat (token) ile uygulanıyor. USB ye takılıyor. Banka şifrenizi v.s. girdikten sonra şifreli, 128 bit’lik, herseferinde yeni “***” üreten, kredi kartı büyüklüğünde ve sigorta kapsamında ki kopyalanması hemen hemen imkansız olan bu e-kartın 4 haneli şifresini giriyorsunuz. Banka sistemi, kartı görüp sizi onayladıktan sonra işlem yapabiliyorsunuz. Yani "hacker" ın sizin şifrelerinizi elde etmesi yeterli değil sizin e-kartınızın aslını da çalmalı. Yetmedi e-kart’ın şifresini de bilmeli. Şu anda bunu Türkiye’de bir tek banka uyguluyor. O da opsiyonlu. Yani seçeneğe ve ayrı bir ücrete tabi. Bu işin, yani güvenliğin; opsiyonu, seçeneği olmaz!. Her dönem hatta her işlemde masraf diyerek para alan banka, bu imkanı da internet bankacılığı kullanıcılarına vermek zorunda. Bunu da, internet bankacılığı kullandırtarak elde ettiği artıyı hesaplayarak ücretsiz vermeli.

Yukarıda ki önlemleri bankalar mutlaka almalı. Aksi takdirde bu sanal soygunlar giderek daha yaygınlaşacak ve bankalar mevduat toplayacak insan bulamayacaklardır. Nitekim şimdiden insanlar, şirketler korkudan ya mevduatlarını internet bankacılığı olmayan hesaplara, bankalarına aktardılar, ya paralarını kasada tutuyorlar veya insanlar eski usul paraları “yastık altına” saklıyorlar.

Türk Telekom internet omurgasının sahibidir, halen teşvik amaçlı yoğun reklam kampanyaları düzenlemektedir. Bu reklamlarında internet güvenliği konusunda farkındalık yaratmak sorumluluğunu ortaya koymasını bekliyoruz.

Her canı isteyen kamu veya özel kuruluş vatandaşın hüviyet belgesini istemektedir (ör: bina girişinde). Kimlik bilgisi hırsızlıklarının artış nedenlerinden birisi budur, önlem alınması gerekmektedir.

Ve biz Kullanıcılar için;

1) Başta anti-virüs, anti-spyware, firewall, site erişim filtresi, anti-spam lisanslı programlarını bilgisayarınızda bulundurun ve sürekli güncelleyin.

2) Phishing dediğimiz bizleri kandırmaya yönelik maillere dikkat edin. Yukarıda dediğimiz gibi bir resmin arkasına dahi “***logger” programını atabiliyorlar.

3) Artık bu derece “saf” insan kalmadı ama; şifrelerimizi kimseyle paylaşmamamız gerekiyor. Şifrelerin karınızın, kızınızın, annenizin v.s. doğum tarihleri olmamasına dikkat edin. Şifrelerinizi unutmamak için biryere yazıyorsanız şifrenizde ortadaki herhangi bir harf yada rakkam yerine başka harf veya rakkam kullanın. ör. şifrede “5” rakkamı kullanıyorsanız kağıda “5” yerine “7” veya “S” harfi yerine “C” kullanın.

4) Kopya program kullanmayın, internette kırık program dağıtan sitelere itibar etmeyin.

5) Banka ismini i-explorere baştan sona kendiniz yazın. “sık kullanılanlar” bölümünü asla kullanmayın. İşlem yaptıktan sonra mutlaka “çıkış” butonuna basın ve çıkın. Aksi takdirde bankanın sitesi halen açık olabilir ve hacker “eşzamanlı” işlem yapabilir.

6) Wireless internetten kaçının. Başkalarının, özellikle internet cafe’lerin bilgisayarlarından işlem yapmayın.

7) Gerekirse bankada birbiri ile ilişkisi olmayan ve internet bankacılığında gözükmeyen 2. bir hesap açtırın ve ana mevduatınızı orada saklayın. Gerektiğinde talimatla “gerektiği kadar” diğer hesaba aktarırsınız.

8) Güvenlik sertifikası olmayan, işlem sonu şifresi istemeyen banka ve internet sitelerinden işlem veya alışveriş yapmayın. Ör.GlobalSign SSL korumalı.
Ayrıca; Eğer kullanılan bilgisayar bir ağ (network) üzerindeyse, ağda internet sunucunun olması, internet çıkışının bir LAN programı tarafından yönetilmesi ve korunuyor olması gerekiyor. Gördüğümüz şekli ile yaygın olarak ADSL hattı bir hub veya switche takılıyor, ağdaki bilgisayarlar bu şekilde internete erişiyorlar. Bu son derece tehlikelidir. Buradan müşterilerine bu şekilde kurulum yapan bilgisayarcı ve sistemcileri de uyarıyoruz.,

KREDi KARTI KULLANICILARI. DiKKAT!

Sanal ortamda Kredi Kartı kullanıcılarının dikkat etmesi gereken hususlar nelerdir?

Öncelikle güvenli olmayan, güvenlik sertifikaları bulunmayan sitelerden alışveriş yapılmamalıdır. Ör.GlobalSign SSL korumalı olmasına dikkat edin.
Mutlaka Sanal Ortamda “Sanal Kredi Kartı” kullanılmalıdır. Bu bir ek kart gibi işlem gören, ayrı bir Kredi Kartı numarası ve güvenlik numarası bulunan, limitini sizin belirlediğiniz karttır.
Özellikle yurtdışında (Rusya ve Uzakdoğu ya dikkat) Kredi kartı kullanmamaya, kullanılırsa da ancak yanımızda kredi kartımızı çektirmeye dikkat etmeliyiz.. Çünkü, Papağan adı verilen Kredi Kartı okuyucuları ile kartınızın detayları kopyalanabilmektedir..

alıntıdır.

[ievsan]

bilgilendirme için teşekkürler