Her gun yaygınlaşan internet bankacılığı kabus olabilir. Kotu niyetli kişiler parola, şifre, kullanıcı adı, kimlik bilgisi gibi gizli bilgilere hangi yollardan erişiyorlar, caresi neler?

İnternet kabusunuz olmasın - 28 / 05 / 2007 22:56

Birkac metodu var

1- En yaygını; hackerlar, attığı bir mail veya yaptıkları “cekici” internet siteleri (en yaygınları arkadaş bulma, seks veya kumar siteleri) vasıtası ile casus programlar (trojan) or. "key logger" programı yolluyorlar. Maili actığınızda veya siteye girdiğinizde program otomatik olarak bilgisayarınıza iniyor. Programlar menusunden de gorulemiyor. Key Logger; ortalama 45 kb boyutunda, program indirme sitelerinden bile kolayca ve ucretsiz elde edilebilen, bir resmin arkasına dahi saklanabilecek boyutta bir program. Eğer bu program herhangi bir şekilde bilgisayarınıza gonderildi ise, bilgisayarınızda yaptığınız her işlem, şifreler, bilgiler dahil klavyeden kullandığınız tuşları, mouse hareketlerinizin ekran resimlerini veya diskinizdeki dosyaları “hacker”ın kendi mail adresine gonderiyor veya hacker sizin bilgisayarınızı bire bir gorebiliyor. Hatta hacker bilgisayarınızdan işlem yapabiliyor. Daha sonra sizin “sık kullanılanlar” dosyanıza bankanın heryerde satılan sitesinin kopyasını yerleştiriyor. Siz bankanın sitesine girdiğinizi zannedip ve şifre ve parola ve hatta “tek kullanımlık” şifreyi girdiğinizde, hacker “teşekkurlerle” gercek banka sitesine girip sizin adınıza işlemi gercekleştiriyor. Bu methoda “man in the middle” deniyor.

Belirtmeliyiz ki; cep telefonunuza gelen işlem sonu şifresi guzel bir onlemdir. Mutlaka olmalı. Ancak şifre, parola ve kimlik detaylarınızı bilen bir kişinin bazı bankaların internet sitelerinden veya telefon bankacılığı yolu ile cep telefonu numarasını değiştirebileceğini veya kendi cep telefonuna yonlendirebileceğini, hatta sahte kimlikle sizin telefon numaranıza ait bir “sim kart” alabileceğini goz ardı etmemek gerekir. Not. Siz istediğiniz kadar “sanal klavye” kullanın; hackerlar sizin işlemlerinizi buffer* dan takip ediyorlar. Yani sanal klavyede hangi harf veya sayıya bastığınız belli. *Buffer: Bilgisayarınızdaki tum haraketlerinizi hafızasında tutan bolum. Yine siteye girişte sorulan resim, isim, ozel soru v.s. gibi onlemler onemlidir. Ancak ekranınızı, resimleri, yazdıklarınızı birebir goren hacker icin caydırıcı bir onlem değildir.

2- Olta (phishing) mail gonderiyorlar. Bankanın yazı dilini taklit eden bir mail geliyor, sizi ikna eden bir neden ile (şifre değişikliği, sure bitimi, adres guncelleme hatta ikramiye) verilen linki tıklayarak bir siteye yonlendiriliyorsunuz. Site banka ekranlarını taklit ediyor. Ancak bankaya ait değil. Burada banka hesap bilgilerinizin girilmesine ikna ediliyorsunuz ve boylece bilgileriniz soygun amaclayan kişilerin eline geciyor.

3- İnternete bağlandığınız anda, gerekli guvenlik programlarına sahip değilseniz, dunyadaki 1,5 milyar internet kullanıcısı bilgisayarınıza girebilir. IP numaranızı bilmesi yeterli. Zaten gonderdiğiniz her mailde, her girdiğiniz sitede IP’nize ulaşılabiliyor. Sonrasını soylemeye gerek yok, her şeyinizi paylaşmaya başlarsınız.

4- Bankaların iclerinden bilgi sızdırıldığı duyumlarımız var. Nitekim bir banka icinden yakalananlar olduğu haberini de basından okuduk. 1.000.000 banka şifresi bir CD icerisinde ele gecirildi. (Bakınız 14 Şubat 2007 tarihli tum gazeteler.) Detaylar icin http://www.sanalbankamagdurlari.com/...ilyonhesap. jpg Bir hesabın Hacker tarafından ele gecirilmesi birkac saati alabilir. 1 milyon hesap icin yaklaşık 25 bin (yazı ile yirmibeşbin) seneye ihtiyac var. Bu nedenle iceriden bilgi sızdırılıyor duyumları kamuoyunda kuvvet kazanıyor.

5- Kişisel bilgilerinizle size ait olmayan, tanımadığınız bir bilgisayarı kullanarak işlem yaparsanız, kendinizi riske etmiş olursunuz. Ozellikle internet cafelerde sizin şifrelerinizi “save” eden programların yerleştirilmiş olması muhtemeldir.

6- Guvenliğiniz icin ev ve işyerinizde kendi bilgisayarınızla bile wireless internet kullanmayın. Bir başkası sizin ağ’ınıza veya sisteminize bu yolla cok rahat girebilir. Eğer siz, kendi bilgisayarınızla wireless sistemi kullanan bir cafe veya havaalanı v.s. de internete girecekseniz, yine kişisel bilgilerinizi kullanmaktan kacının. Cunku bir başkasının ağ’ını kullanıyorsunuz ve o ağ’ın sahibi veya dahilindeki herhangi biri sizin şahsi bilgilerinizi ele gecirebilir.

7- Kopya program veya korsan CD kullanmayınız, bilgisayarınıza yukleyeceğiniz programın orijinal olmasına dikkat ediniz. Soyguncular kopya programlara trojan yazılımlar ekliyorlar, bu şekilde bilgisayarınıza girmiş oluyorlar.

TESTi KIRILMADAN...

Kullanıcıların bu alanda bilincli davranması icin neler yapması gerekiyor?

Bir tarihte vatandaşa Galata Koprusunu satıyorlardı. Şimdi boyle bir şeyin olması mumkun mu? Değil, cunku herkes bunun farkında ve bu konuda bilicli, eğitimli. Tum olayların ana nedeni, kullanıcının bilincsiz, eğitimsiz olmasıdır. Kamu yonetimimiz eğitim kısmını ihmal ederek interneti teşvik etti. Turk Telekom abonelerini uyarmalıydı, bankalar internet ve bankacılığı konusunda eğitim vermeliydi. İsteyen herkes ADSL abonesi oldu-oluyor. Herkese internet bankacılığı hesabı acıldı. Hatta okur-yazar olmayanların dahi internet bankacılığı hesabının olduğuna şahit oluyoruz.

Ulkemizde boylesi bir ortam oluşunca, Turkiye’miz başta Rus, İsrail ve yerli soyguncuların cenneti oldu. Hukuksal boşluklar var. Soygun, yapanın yanına kar kalıyor. Or. Benim 74.000YTL’ mı calan şahıs yakalandı 24 saat gecmeden serbest bırakıldı. Banka ise devam eden davamda, beni hala şifremi başkasına vermekle sucluyor. Oysa Turkiye’de diğer gelişmiş ulkelerdeki gibi “bilişim mahkemeleri” olsa benim icin dava 1.celsede bitebilirdi. Cunku; paramın EFT yapıldığı saniyede cep telefonuma bankanın yolladığı uyarı mesajı geldi. 5 sn. sonra bankamı arayarak; “boyle bir havale-EFT yapmadım. DURDURUN” dedim. Ama durdurmadılar. Ustelik beni yanlış yonlendirdiler. Peki o halde bana bankanın kendisinin yolladığı bu uyarı mesajının anlamı nedir? “Bak hırsız paranı calıyor, biz de goz yumuyoruz. Bay-bay” mı? Ama davam 3. senedir devam ediyor. Banka avukatları oradan cekiyor, banka emeklisi “bilirkişi !” ler buradan.

Bu arada banka da boş durmuyor. Beni 3 ayrı savcılığa “bankacılık yasasına muhalefet” etmekten 3 ayrı şikayette bulundu. Tesaduf ! bu ya, ozellikle cuma gunleri saat 15:30 civarı polisler beni “mevcutlu” olmak kaydıyla savcılığa goturuyorlar. Herhangi bir aksilik! durumunda hafta sonunu hicbir ulkede benzeri olmayan “bankacılık yasasını” tek ayak uzerinde ezberleyerek gecirme riskim var. Hele bu yazıdan sonra...

Not. Bilişim mahkemeleri mevcut olsa dava benim ve avukatlarımın goruşune gore 3 yonden de derhal bitebilirdi. 1) Bana hesabınızdan EFT yapıldı diye mesaj gonderen Bankam. Bu amac icin uyguladığı kendi uyarı mesajına telefon acmama rağmen paramı bloke etmeyen yine bankam. 2) Once savcılığa gidin “X” bankaya paranızın EFT yapıldığını şikayet edin, durduralım diyen bankam. Ama sadece “X” değil “X ve Y” bankalarına para ikiye bolunerek yapılmış ve bunu (“Y” bankasını) bildirmeyen yine bankam. İlk bankadaki EFT yi durduran ise BEN. “Y” bankasını da bildirse onuda durduracağım. 3) Bankanın hele o zamanki guvenlik onlemleri neredeyse sıfır. Bu da ispatlı. Zaten tek kelime ile oyle olmasa banka; o gunde var olan guvenlik onlemlerini neden o zaman devam ettirmedi de hemen akabinde yeni onlemler aldı ve halen alıyor?

Sonunda, davanın bu boyutlarının (maddi boyutları değil) Avrupa İnsan Hakları mahkemesinde devam edeceğinin hazırlık aşamaları tamamlanmıştır.

Gorunen o ki, kolay bir iş olması, yaptırımının olmaması nedeniyle internet bankası soygunculuğu ozendirilir hale geldi. Onumuzdeki gunlerde “e-Devlet Kapısı” uygulamaları başlayacak ve bir cok alanda interneti kullanmak vatandaş icin zorunlu hale gelecek. Bu nedenle her internet kullanıcısının ve kullandırıcısının son derece dikkatli olması gerekiyor. Kullanıcısını eğitmek konusunda, sunucu konumundaki kuruluşlara (bankalar, kamu ve ozel kuruluşlar v.s.) cok iş duşuyor. BDDK bu konuda bankaları uyarmaya başladı bile. Acaba bazı bankaların, Turkiye’de sadece kendisinin uye olduğu “odul dağıtan” cemiyetlerin odullerini one surup “Turkiye’deki en iyi internet bankacılığı bizde” diyerek reklam yapmalarının onune de gecilebilecek mi? SBM derneği olarak biz sonuca bakıyoruz. Hala soygunlar devam ediyor ve bu yolla paralarımız yurtdışında ki hacker’ların, mafyanın ve yasadışı orgutlerin eline geciyor.

NOT: Telekominikasyon Kurumu Başkanı Sn. Mustafa Alkan demeci; “2004 Nisan ayında kabul edilen e-imza yonetmeliğine gore; bu tarihten sonra yapılan internet bankacılığı dahil ıslak imza ve e-imza dışında yapılan tum işlemler gecersizdir.”

Gelelim Guvenlik onlemlerine; bunun 3 bacağı var. 1-Kamu 2-Banka 3-Kullanıcı

Oncelikle Kamu;

Başta ADSL olmak uzere butun port sağlayıcıları, tencere-tava satar misali evlerimize kadar gelip sistemi kurup gidiyorlar. Kullanım ve guvenlik konusunda ne bir eğitim ne de bir kitapcık veriyorlar (Kurmaya gelenlerin de guvenlikten habersiz olduklarından hic şuphe yok) Tuketici bilincsizce, kulaktan dolma “eğitim” ile ve deneme-yanılma metoduyla kendi internet guvenliğini sağlamaya calışıyor. Ya da sağlayamıyor. Guvenliği olmayan, kuralları olmayan, frensiz, direksiyonsuz arabanın (internetin) başına oturtulan ve bilgisayarı dunyada ki 1,5 milyar internet kullanıcısına acık olan tuketici; sonunda istenmeyen “kaza”lara uğruyor. Ya Hacker’lar tarafından bankası soyuluyor, ya kredi kartı bilgileri ile dolandırılıyor veya diğer onemli iş, ozel bilgileri “hacker” lar tarafından ele gecirilip kotuye kullanılabiliyor, santaj yapılabiliyor, bir bedelle satılabiliyor.

Bankalar:

Bankaların bir coğunun internet bankacılığı, standart pazarlama şirketlerinin web sitesinin guvenliğinden dahi yoksun. Bir tek telefonla internet şifresi alınabildiği gibi, ankesorlu telefonlarla dahi telefon bankacılığı yapılabiliyor. Oysa sizin belirlediğiniz en fazla uc adet telefon numarası ile telefon bankacılığı yapılabilmeli. Or. ev, iş, cep telefonu. Banka bu numaraları gordukten sonra size işlem yetkisi verebilmeli. Ayrıca bankalarda başka bir evrak sormadan, sadece sahte kimlik belgeleri ve sahte muhtar cıktıları ile mevduat hesabı acılıp, calınan paralar bu kimlikle acılan hesaplara aktarılıp cekiliyor. Bankaya; neden başka evrak istemedin? diye sorulduğunda; “Bu bizi ilgilendirmez. Kredi mi istedi, cek defteri mi, kredi kartımı?. Annesine para gondereceğini soyledi, biz de actık hesabı” diyebiliyor.

Ayrıca; bankaların mevduatları sigortalamaları gerekiyor. Ama sigorta şirketleri Kredi Kartlarını sigortalarken “hergun camı kırılan” dukkanları sigortalamak istemedikleri gibi internet bankacılığını da sigortalamak istemiyorlar.

TEK ve KESiN COZUM:
E-iMZA, iNTERNET BANKACILIĞINDA KULLANILMALI

Bunun dışında “e-kart” (e-imza) internet bankacılığında mutlaka kullanılmalı. Bu sistem, ufak bir aparat (token) ile uygulanıyor. USB ye takılıyor. Banka şifrenizi v.s. girdikten sonra şifreli, 128 bit’lik, herseferinde yeni “key” ureten, kredi kartı buyukluğunde ve sigorta kapsamında ki kopyalanması hemen hemen imkansız olan bu e-kartın 4 haneli şifresini giriyorsunuz. Banka sistemi, kartı gorup sizi onayladıktan sonra işlem yapabiliyorsunuz. Yani "hacker" ın sizin şifrelerinizi elde etmesi yeterli değil sizin e-kartınızın aslını da calmalı. Yetmedi e-kart’ın şifresini de bilmeli. Şu anda bunu Turkiye’de bir tek banka uyguluyor. O da opsiyonlu. Yani seceneğe ve ayrı bir ucrete tabi. Bu işin, yani guvenliğin; opsiyonu, seceneği olmaz!. Her donem hatta her işlemde masraf diyerek para alan banka, bu imkanı da internet bankacılığı kullanıcılarına vermek zorunda. Bunu da, internet bankacılığı kullandırtarak elde ettiği artıyı hesaplayarak ucretsiz vermeli.

Yukarıda ki onlemleri bankalar mutlaka almalı. Aksi takdirde bu sanal soygunlar giderek daha yaygınlaşacak ve bankalar mevduat toplayacak insan bulamayacaklardır. Nitekim şimdiden insanlar, şirketler korkudan ya mevduatlarını internet bankacılığı olmayan hesaplara, bankalarına aktardılar, ya paralarını kasada tutuyorlar veya insanlar eski usul paraları “yastık altına” saklıyorlar.

Turk Telekom internet omurgasının sahibidir, halen teşvik amaclı yoğun reklam kampanyaları duzenlemektedir. Bu reklamlarında internet guvenliği konusunda farkındalık yaratmak sorumluluğunu ortaya koymasını bekliyoruz.

Her canı isteyen kamu veya ozel kuruluş vatandaşın huviyet belgesini istemektedir (or: bina girişinde). Kimlik bilgisi hırsızlıklarının artış nedenlerinden birisi budur, onlem alınması gerekmektedir.

Ve biz Kullanıcılar icin;

1) Başta anti-virus, anti-spyware, firewall, site erişim filtresi, anti-spam lisanslı programlarını bilgisayarınızda bulundurun ve surekli guncelleyin.

2) Phishing dediğimiz bizleri kandırmaya yonelik maillere dikkat edin. Yukarıda dediğimiz gibi bir resmin arkasına dahi “keylogger” programını atabiliyorlar.

3) Artık bu derece “saf” insan kalmadı ama; şifrelerimizi kimseyle paylaşmamamız gerekiyor. Şifrelerin karınızın, kızınızın, annenizin v.s. doğum tarihleri olmamasına dikkat edin. Şifrelerinizi unutmamak icin biryere yazıyorsanız şifrenizde ortadaki herhangi bir harf yada rakkam yerine başka harf veya rakkam kullanın. or. şifrede “5” rakkamı kullanıyorsanız kağıda “5” yerine “7” veya “S” harfi yerine “C” kullanın.

4) Kopya program kullanmayın, internette kırık program dağıtan sitelere itibar etmeyin.

5) Banka ismini i-explorere baştan sona kendiniz yazın. “sık kullanılanlar” bolumunu asla kullanmayın. İşlem yaptıktan sonra mutlaka “cıkış” butonuna basın ve cıkın. Aksi takdirde bankanın sitesi halen acık olabilir ve hacker “eşzamanlı” işlem yapabilir.

6) Wireless internetten kacının. Başkalarının, ozellikle internet cafe’lerin bilgisayarlarından işlem yapmayın.

7) Gerekirse bankada birbiri ile ilişkisi olmayan ve internet bankacılığında gozukmeyen 2. bir hesap actırın ve ana mevduatınızı orada saklayın. Gerektiğinde talimatla “gerektiği kadar” diğer hesaba aktarırsınız.

8) Guvenlik sertifikası olmayan, işlem sonu şifresi istemeyen banka ve internet sitelerinden işlem veya alışveriş yapmayın. Or.GlobalSign SSL korumalı.
Ayrıca; Eğer kullanılan bilgisayar bir ağ (network) uzerindeyse, ağda internet sunucunun olması, internet cıkışının bir LAN programı tarafından yonetilmesi ve korunuyor olması gerekiyor. Gorduğumuz şekli ile yaygın olarak ADSL hattı bir hub veya switche takılıyor, ağdaki bilgisayarlar bu şekilde internete erişiyorlar. Bu son derece tehlikelidir. Buradan muşterilerine bu şekilde kurulum yapan bilgisayarcı ve sistemcileri de uyarıyoruz.,

KREDi KARTI KULLANICILARI. DiKKAT!

Sanal ortamda Kredi Kartı kullanıcılarının dikkat etmesi gereken hususlar nelerdir?

Oncelikle guvenli olmayan, guvenlik sertifikaları bulunmayan sitelerden alışveriş yapılmamalıdır. Or.GlobalSign SSL korumalı olmasına dikkat edin.
Mutlaka Sanal Ortamda “Sanal Kredi Kartı” kullanılmalıdır. Bu bir ek kart gibi işlem goren, ayrı bir Kredi Kartı numarası ve guvenlik numarası bulunan, limitini sizin belirlediğiniz karttır.
Ozellikle yurtdışında (Rusya ve Uzakdoğu ya dikkat) Kredi kartı kullanmamaya, kullanılırsa da ancak yanımızda kredi kartımızı cektirmeye dikkat etmeliyiz.. Cunku, Papağan adı verilen Kredi Kartı okuyucuları ile kartınızın detayları kopyalanabilmektedir..