İnternet bankacılığından nasıl soyuluyoruz?
Kötü niyetli kişiler parola, şifre, kullanıcı adı,
kimlik bilgisi gibi gizli bilgilere hangi yollardan erişiyorlar?
Birkaç metodu var
1- En yaygını; hackerlar, attığı bir mail ya da yaptıkları “çekici internet
siteleri" (en yaygınları arkadaş bulma, seks veya kumar siteleri) vasıtası
ile casus programlar (trojan) ör. "key logger" programı yolluyorlar. Maili
açtığınızda veya siteye girdiğinizde program otomatik olarak bilgisayarınıza
iniyor. Programlar menüsünden de görülemiyor. Key Logger; ortalama 45 kb
boyutunda, program indirme sitelerinden bile kolayca ve ücretsiz elde
edilebilen, bir resmin arkasına dahi saklanabilecek boyutta bir program. Eğer bu
program herhangi bir şekilde bilgisayarınıza gönderildi ise, bilgisayarınızda
yaptığınız her işlem, şifreler, bilgiler dahil klavyeden kullandığınız tuşları,
mouse hareketlerinizin ekran resimlerini veya diskinizdeki dosyaları “hacker”ın
kendi mail adresine gönderiyor veya hacker sizin bilgisayarınızı bire bir
görebiliyor. Hatta hacker bilgisayarınızdan işlem yapabiliyor. Daha sonra sizin
“sık kullanılanlar” dosyanıza bankanın heryerde satılan sitesinin kopyasını
yerleştiriyor. Siz bankanın sitesine girdiğinizi zannedip ve şifre ve parola ve
hatta “tek kullanımlık” şifreyi girdiğinizde, hacker “teşekkürlerle” gerçek
banka sitesine girip sizin adınıza işlemi gerçekleştiriyor. Bu methoda “man in
the middle” deniyor. Belirtmeliyiz ki; cep telefonunuza gelen işlem sonu şifresi
güzel bir önlemdir. Mutlaka olmalı. Ancak şifre, parola ve kimlik detaylarınızı
bilen bir kişinin bazı bankaların internet sitelerinden veya telefon bankacılığı
yolu ile cep telefonu numarasını değiştirebileceğini veya kendi cep telefonuna
yönlendirebileceğini, hatta sahte kimlikle sizin telefon numaranıza ait bir “sim
kart” alabileceğini göz ardı etmemek gerekir. Not. Siz istediğiniz kadar “sanal
klavye” kullanın; hackerlar sizin işlemlerinizi buffer* dan takip ediyorlar.
Yani sanal klavyede hangi harf veya sayıya bastığınız belli. *Buffer:
Bilgisayarınızdaki tüm haraketlerinizi hafızasında tutan bölüm. Yine siteye
girişte sorulan resim, isim, özel soru v.s. gibi önlemler önemlidir. Ancak
ekranınızı, resimleri, yazdıklarınızı birebir gören hacker için caydırıcı bir
önlem değildir.
2- Olta (phishing) mail gönderiyorlar. Bankanın yazı dilini taklit eden
bir mail geliyor, sizi ikna eden bir neden ile (şifre değişikliği, süre bitimi,
adres güncelleme hatta ikramiye) verilen linki tıklayarak bir siteye
yönlendiriliyorsunuz. Site banka ekranlarını taklit ediyor. Ancak bankaya ait
değil. Burada banka hesap bilgilerinizin girilmesine ikna ediliyorsunuz ve
böylece bilgileriniz soygun amaçlayan kişilerin eline geçiyor.
3- İnternete bağlandığınız anda, gerekli güvenlik programlarına sahip
değilseniz, dünyadaki 1, 5 milyar internet kullanıcısı bilgisayarınıza
girebilir. IP numaranızı bilmesi yeterli. Zaten gönderdiğiniz her mailde, her
girdiğiniz sitede IP’nize ulaşılabiliyor. Sonrasını söylemeye gerek yok, her
şeyinizi paylaşmaya başlarsınız.
4- Bankaların içlerinden bilgi sızdırıldığı duyumlarımız var. Nitekim bir banka
içinden yakalananlar olduğu haberini de basından okuduk. 1.000.000 banka şifresi
bir CD içerisinde ele geçirildi. (Bakınız 14 Şubat 2007 tarihli tüm gazeteler.)
Detaylar http://www.sanalbankamagdurlari.com/images/aksam1milyonhesap.jpg Bir
hesabın Hacker tarafından ele geçirilmesi birkaç saati alabilir. 1 milyon hesap
için yaklaşık 25 bin (yazı ile yirmibeşbin) seneye ihtiyaç var. Bu nedenle
içeriden bilgi sızdırılıyor duyumları kamuoyunda kuvvet kazanıyor.
5- Kişisel bilgilerinizle size ait olmayan, tanımadığınız bir bilgisayarı
kullanarak işlem yaparsanız, kendinizi riske etmiş olursunuz. Özellikle
internet cafelerde sizin şifrelerinizi “save” eden programların yerleştirilmiş
olması muhtemeldir.
6- Güvenliğiniz için ev ve işyerinizde kendi bilgisayarınızla bile wireless
internet kullanmayın. Bir başkası sizin ağ’ınıza veya sisteminize bu yolla
çok rahat girebilir. Eğer siz, kendi bilgisayarınızla wireless sistemi kullanan
bir cafe veya havaalanı v.s. de internete girecekseniz, yine kişisel
bilgilerinizi kullanmaktan kaçının. Çünkü bir başkasının ağ’ını kullanıyorsunuz
ve o ağ’ın dahilindeki herhangi biri sizin şahsi bilgilerinizi ele geçirebilir.
7- Kopya program veya korsan CD kullanmayınız, bilgisayarınıza
yükleyeceğiniz programın orijinal olmasına dikkat ediniz. Soyguncular kopya
programlara trojan yazılımlar ekliyorlar, bu şekilde bilgisayarınıza girmiş
oluyorlar.
Testi kırılmadan...
Kullanıcıların bu alanda bilinçli davranması için neler yapması
gerekiyor? Bir tarihte vatandaşa Galata Köprüsünü satıyorlardı. Şimdi böyle bir
şeyin olması mümkün mü? Değil, çünkü herkes bunun farkında ve bu konuda biliçli,
eğitimli. Tüm olayların ana nedeni, kullanıcının bilinçsiz, eğitimsiz olmasıdır.
Kamu yönetimimiz eğitim kısmını ihmal ederek interneti teşvik etti, maalesef
vatandaş dünyanın bütün kurtlarına yem oldu. Türk Telekom abonelerini
uyarmalıydı, bankalar internet ve bankacılığı konusunda eğitim vermeliydi.
İsteyen herkes ADSL abonesi oldu-oluyor. Herkese internet bankacılığı hesabı
açıldı. Hatta okur-yazar olmayanların dahi internet bankacılığı hesabının
olduğuna şahit oluyoruz. Ülkemizde böylesi bir ortam oluşunca, Türkiye’miz başta
Rus, İsrail ve yerli soyguncuların cenneti oldu. Hukuksal boşluklar var. Soygun,
yapanın yanına kar kalıyor. Ör. Benim 74.000YTL’ mı çalan şahıs yakalandı 24
saat geçmeden serbest bırakıldı. Banka ise devam eden davamda, beni hala şifremi
başkasına vermekle suçluyor. Oysa Türkiye’ de diğer gelişmiş ülkelerdeki gibi
“bilişim mahkemeleri” olsa benim için dava 1.celsede bitebilirdi. Çünkü; paramın
EFT yapıldığı saniyede cep telefonuma bankanın yolladığı uyarı mesajı geldi. 5
sn. sonra bankamı arayarak; “böyle bir havale-EFT yapmadım. DURDURUN” dedim. Ama
durdurmadılar. Üstelik beni yanlış yönlendirdiler. Peki o halde bana bankanın
kendisinin yolladığı bu uyarı mesajının anlamı nedir? “Bak hırsız paranı
çalıyor, biz de göz yumuyoruz. Bay-bay” mı? Ama davam 3. senedir devam ediyor.
Banka avukatları oradan çekiyor, banka emeklisi “bilirkişi !” ler buradan. Bu
arada banka da boş durmuyor. Beni 3 ayrı savcılığa “bankacılık yasasına
muhalefet” etmekten 3 ayrı şikayette bulundu. Tesadüf ! ya özellikle cuma
günleri saat 15:30 civarı polisler beni “mevcutlu” olmak kaydıyla savcılığa
götürüyorlar. Herhangi bir aksilik! durumunda hafta sonunu hiçbir ülkede benzeri
olmayan “bankacılık yasasını” tek ayak üzerinde ezberleyerek geçirme riskim var.
Hele bu yazıdan sonra... Not. Bilişim mahkemeleri mevcut olsa dava benim ve
avukatlarımın görüşüne göre 3 yönden de derhal bitebilirdi. 1) Bana hesabınızdan
EFT yapıldı diye mesaj gönderen Bankam. Bu amaç için uyguladığı kendi uyarı
mesajına telefon açmama rağmen paramı bloke etmeyen yine bankam. 2) Önce
savcılığa gidin “X” bankaya paranızın EFT yapıldığını şikayet edin durduralım
diyen bankam. Ama sadece “X” değil “X ve Y” bankalarına para ikiye bölünerek
yapılmış ve bunu (“Y” bankasını) bildirmeyen yine bankam. İlk bankadaki EFT yi
durduran ise BEN. “Y” bankasını da bildirse onuda durduracağım. 3) Bankanın hele
o zamanki güvenlik önlemleri neredeyse sıfır. Bu da ispatlı. Zaten öyle olmasa
banka o günde var olan güvenlik önlemlerini neden o zaman devam ettirmedi de
şimdi yeni önlemler alıyor?
Görünen o ki, kolay bir iş olması, yaptırımının olmaması nedeniyle internet
bankası soygunculuğu özendirilir hale geldi. Önümüzdeki günlerde “e-Devlet
Kapısı” uygulamaları başlayacak ve bir çok alanda interneti kullanmak vatandaş
için zorunlu hale gelecek. Bu nedenle her internet kullanıcısının ve
kullandırıcısının son derece dikkatli olması gerekiyor. Kullanıcısını eğitmek
konusunda, sunucu konumundaki kuruluşlara (bankalar, kamu ve özel kuruluşlar
v.s.) çok iş düşüyor. BDDK bu konuda bankaları uyarmaya başladı bile. Acaba bazı
bankaların Türkiye’de sadece kendisinin üye olduğu “ödül dağıtan” cemiyetlerin
ödüllerini öne sürüp “Türkiye’deki en iyi internet bankacılığı bizde” diyerek
reklam yapmalarının önüne de geçilebilecek mi? SBM derneği olarak biz sonuca
bakıyoruz. Hala soygunlar devam ediyor ve bu yolla paralarımız yurtdışında ki
hackerların eline geçiyor.
Not: Telekominikasyon Kurumu Başkanı Sn. Mustafa Alkan demeci; “2004 Nisan
ayında kabul edilen e-imza yönetmeliğine göre; bu tarihten sonra yapılan
internet bankacılığı dahil ıslak imza ve e-imza dışında yapılan tüm işlemler
geçersizdir.”
Gelelim Güvenlik önlemlerine; bunun 3 bacağı var. 1-Kamu 2-Banka 3-Kullanıcı
Öncelikle Kamu; Başta ADSL olmak üzere bütün port sağlayıcıları, tencere-tava
satar misali evlerimize kadar gelip sistemi kurup gidiyorlar. Kullanım ve
güvenlik konusunda ne bir eğitim ne de bir kitapcık veriyorlar (Kurmaya
gelenlerin de güvenlikten habersiz olduklarına hiç şüphe yok!) Tüketici
bilinçsizce yada kulaktan dolma “eğitim” ile ve deneme-yanılma metoduyla kendi
internet güvenliğini sağlamaya çalışıyor. Ya da sağlayamıyor. Güvenliği olmayan,
kuralları olmayan, frensiz, direksiyonsuz arabanın (internetin) başına oturtulan
ve bilgisayarı dünyada ki 1, 5 milyar internet kullanıcısına açık olan tüketici;
sonunda istenmeyen “kaza”lara uğruyor. Ya Hacker’lar tarafından bankası
soyuluyor, ya kredi kartı bilgileri ile dolandırılıyor veya diğer önemli iş veya
özel bilgileri “hacker” lar tarafından ele geçirilip kötüye kullanılabiliyor,
santaj yapılabiliyor, bir bedelle satılabiliyor. Bankalar: Bankaların bir
çoğunun internet bankacılığı, standart pazarlama şirketlerinin web sitesinin
güvenliğinden dahi yoksun. Bir tek telefonla internet şifresi alınabildiği gibi,
ankesörlü telefonlarla dahi telefon bankacılığı yapılabiliyor. Oysa sizin
belirlediğiniz en fazla üç adet telefon numarası ile telefon bankacılığı
yapılabilmeli. Ör. ev, iş, cep telefonu. Banka bu numaraları gördükten sonra
size işlem yetkisi verebilmeli. Ayrıca bankalarda başka bir evrak sormadan,
sadece sahte kimlik belgeleri ve sahte muhtar çıktıları ile mevduat hesabı
açılıp, çalınan paralar bu kimlikle açılan hesaplara aktarılıp çekiliyor.
Bankaya; neden başka evrak istemedin? diye sorulduğunda; “Bu bizi ilgilendirmez.
Kredi mi istedi, çek defteri mi, kredi kartımı?. Annesine para göndereceğini
söyledi, biz de açtık hesabı” diyebiliyor. Ayrıca; bankaların mevduatları
sigortalamaları gerekiyor. Ama sigorta şirketleri Kredi Kartlarını sigortalarken
“hergün camı kırılan” dükkanları sigortalamak istemedikleri gibi internet
bankacılığını da sigortalamak istemiyorlar.
Tek ve kesin çözüm: e-imza internet bankacılığında kullanılmalıdır.
Bunun dışında “e-kart” (e-imza) internet bankacılığında mutlaka
kullanılmalı. Bu, ufak bir aparat (token) ile uygulanıyor. USB ye takılıyor.
Banka şifrenizi v.s. girdikten sonra bu şifreli, 128 bit’lik, herseferinde yeni
“key” üreten kredi kartı büyüklüğünde ve sigorta kapsamında ki kopyalanması
hemen hemen imkansız olan bu e-kartı aparata takıp, kartın 4 haneli şifresini
giriyorsunuz. Banka sistemi, bunu görüp sizi onayladıktan sonra işlem
yapabiliyorsunuz. Yani "hacker" ın sizin şifrelerinizi elde etmesi yeterli değil
sizin “e-kart”ınızın aslını da çalmalı. Yetmedi e-kart’ın da şifresini bilmeli.
Şu anda bunu Türkiye’de bir tek banka uyguluyor. O da opsiyonlu. Yani seçeneğe
ve ayrı bir ücrete tabi. Bu işin, yani güvenliğin opsiyonu, seçeneği olmaz!. Her
dönem hatta her işlemde masraf diyerek para alan banka, bu imkanı da internet
bankacılığı kullanıcılarına vermek zorunda. Bunu da, internet bankacılığı
kullandırtarak elde ettiği artıyı hesaplayarak ücretsiz vermeli. Yukarıda ki
önlemleri bankalar mutlaka almalı. Aksi takdirde bu sanal soygunlar giderek daha
yaygınlaşacak ve bankalar mevduat toplayacak insan bulamayacaklardır. Nitekim
şimdiden insanlar, şirketler korkudan ya mevduatlarını internet bankacılığı
olmayan bankalarına aktardılar, ya paralarını kasada tutuyorlar veya insanlar
eski usul paraları “yastık altına” saklıyorlar. Türk Telekom internet
omurgasının sahibidir, halen teşvik amaçlı yoğun reklam kampanyaları
düzenlemektedir. Bu reklamlarında internet güvenliği konusunda farkındalık
yaratmak sorumluluğunu ortaya koymasını bekliyoruz. Her canı isteyen kamu veya
özel kuruluş vatandaşın hüviyet belgesini istemektedir (ör: bina girişinde).
Kimlik bilgisi hırsızlıklarının artış nedenlerinden birisi budur, önlem alınması
gerekmektedir.
Ve biz Kullanıcılar;
1) Başta anti-virüs, anti-spyware, firewall, site erişim filtresi, anti-spam
lisanslı programlarını bilgisayarınızda bulundurun ve sürekli güncelleyin.
2) Phishing dediğimiz bizleri kandırmaya yönelik maillere dikkat edin. Yukarıda
dediğimiz gibi bir resmin arkasına dahi “keylogger” programını atabiliyorlar.
3) Artık bu derece “saf” insan kalmadı ama şifrelerimizi kimseyle paylaşmamamız
gerekiyor. Şifrelerin karınızın, kızınızın, annenizin v.s. doğum tarihleri
olmamasına da dikkat edin. Şifrelerinizi unutmamak için biryere yazıyorsanız
şifrenizde ortadaki herhangi bir harf yada rakkam yerine başka harf veya rakkam
kullanın. ör. şifrede “5” rakkamı kullanıyorsanız kağıda “5” yerine “7” veya “S”
harfi yerine “C” kullanın.
4) Kopya program kullanmayın, internette kırık program dağıtan sitelere itibar
etmeyin.
5) Banka ismini i-explorere baştan sona kendiniz yazın. “sık kullanılanlar”
bölümünü kullanmayın.
6) Wireless internetten kaçının. Başkalarının, özellikle internet cafe’lerin
bilgisayarlarından işlem yapmayın.
7) Gerekirse bankada birbiri ile ilişkisi olmayan ve internet bankacılığında
gözükmeyen 2. bir hesap açtırın ve ana mevduatınızı orada saklayın. Gerektiğinde
talimatla “gerektiği kadar” diğer hesaba aktarırsınız.
8) Güvenlik sertifikası olmayan, işlem sonu şifresi istemeyen banka ve internet
sitelerinden işlem veya alışveriş yapmayın. Ör.GlobalSign SSL korumalı.
Ayrıca; Eğer kullanılan bilgisayar bir ağ (network) üzerindeyse, ağda internet
sunucunun olması, internet çıkışının bir LAN programı tarafından yönetilmesi ve
korunuyor olması gerekiyor. Gördüğümüz şekli ile yaygın olarak ADSL hattı bir
hub veya switche takılıyor, ağdaki bilgisayarlar bu şekilde internete
erişiyorlar. Bu son derece tehlikelidir. Buradan müşterilerine bu şekilde
kurulum yapan bilgisayarcı ve sistemcileri de uyarıyoruz.,
Kredi Kartı kullanıcıları. Dikkat!...
Sanal ortamda Kredi Kartı kullanıcılarının dikkat etmesi gereken hususlar
nelerdir? 1. Öncelikle güvenli olmayan, güvenlik sertifikaları bulunmayan
sitelerden alışveriş yapılmamalıdır. Ör.GlobalSign SSL korumalı olmasına dikkat
edin. 2. Mutlaka Sanal Ortamda “Sanal Kredi Kartı” kullanılmalıdır. Bu bir ek
kart gibi işlem gören, ayrı bir Kredi Kartı numarası ve güvenlik numarası
bulunan, limitini sizin belirlediğiniz karttır. 3. Özellikle yurtdışında (Rusya
ve Uzakdoğu ya dikkat) Kredi kartı kullanmamaya, kullanılırsa da ancak yanımızda
kredi kartımızı çektirmeye dikkat etmeliyiz.. Çünkü, Papağan adı verilen Kredi
Kartı okuyucuları ile kartınızın detayları kopyalanabilmektedir..
Sevgilerimle