Banka Hesabı Dolandırıcılığı
Endüstri 4.0 ile birlikte günlük hayattaki birçok işlemin internet ortamına taşınması ve bankacılık işlemlerinin de bu gelişmelerden etkilenmesi sonucunda tüm bankalar internet üzerinden elektronik bankacılık hizmeti vermeye başladılar. Elektronik bankacılık hizmeti sayesinde bankalar mevduat ve kredi hizmetlerini verdikleri pazarlarını genişletme imkânı buldular. Elektronik bankacılığın bankalara ve müşterilere sağladıkları faydalar burada saymakla bitmez. Bizim dikkat çekeceğimiz konu son zamanlarda artan elektronik bankacılık şifre ve giriş bilgilerinin siber suçlular tarafından ele geçirilerek banka hesap sahiplerinin banka hesaplarının boşaltılması ve krediler çekilerek büyük zararlara sebebiyet verilmesi.
Elektronik Bankacılık Giriş Sistemi
Müşteriler elektronik bankacılık hizmeti almak için bankalarla bir sözleşme imzalayarak her bankanın kendine özgü internet bankacılık sistemini kullanarak bilgisayarlarının yardımıyla bu hizmetin verildiği sisteme erişim sağlamaktadırlar. Her bankanın kendine özgü sistemleri olsa da genel anlamda yöntem ve erişim adımları birbirine benzemektedir. Genelde 3 kademeli bir güvenlik sistemi kullanılmaktadır. Bir kullanıcı adı bulunmaktadır. Bu kullanıcı adı dediğimiz bilgi müşterinin banka hesap numarası veya TC numarası olmaktadır. Bazı bankalar müşterilerin kredi kartı ya da banka kartı numaralarını da kullanabilmektedir. Sonuçta kullanıcı adının özelliği müşteriye özel ve benzersiz olmasıdır.
Kullanıcı adıyla birlikte müşterinin oluşturduğu ve genelde 6 haneli ve rakamlardan oluşan bir şifrenin kullanılması gerekir. Şifrenin belli süreler ile değiştirilmesi ancak bu sürelerin müşteri tarafından tercih edilebilir olması da bankaların çoğunluğu tarafından tercih edilen bir yöntemdir. Şifreler istenilen her zaman değiştirileceği gibi genelde en fazla 3 ay kullanılacak şekilde değiştirilmeye zorunlu tutulmaktadır. Bu yöntemler bankadan bankaya değişebilmektedir ancak benzerlik göstermektedir. Şifrelerin oluşturulması aşamasında da belli kurallar uygulanabilmektedir. Belirlenen sayıda geçmiş şifreler ile aynı olmaması, müşterinin doğum tarihi olmaması, aynı rakamların tekrarlanmaması ve buna benzer birçok yöntem bankalarca kullanılmaktadır. Bu kurallar belirlenen şifrenin siber saldırganlar tarafından tahmin edilebilir olmamasını sağlamak içindir. Bankalar şifre kurallarını şifre oluştururken yazılımsal olarak kontrol edebilmekte ve güçlü şifre oluşturma yönünde zorlama yapmaktalar. Ayrıca sistem genelde 3 kez yanlış şifre girildiği zaman kilitlenmekte ve sonrasında banka ile iletişime geçilme zorunluluğunu getirmektedir.
Görüldüğü üzere bankalar elektronik bankacılık şifresinin tahmin edilemez bir şekilde oluşturulması ve belirli süreler içerisinde değiştirilmesi yönünde müşteriyi zorlayıcı tedbirleri almaktadırlar. Ancak meydana gelen elektronik bankacılık dolandırıcılıklarının hemen hemen tamamında bu şifreler tahmin edilme yöntemiyle değil müşterilerin elektronik bankacılıkta kullandıkları bilgi sistem cihazlarından farklı yöntemlerle elde edilmektedir.
Elektronik Bankacılık erişim sistemindeki giriş güvenlik sisteminin 3. ve en önemli adımı ise kullanıcı adı ve şifre doğru olarak girildikten sonra müşterinin bankada tanımlı cep telefonu numarasına gönderilen SMS (Short Message Service) kısa mesaj içerisindeki şifredir. İşte bu üçüncü adım güvenlik sisteminin en güçlü birleşenidir.
Banka Hesap Bilgilerinin Ele Geçirilmesi
Siber saldırganlar hedefin kullanıcı adına birçok şekilde ulaşabilirler. Sonuçta TC kimlik numarası bir çok veri tabanında mevcuttur. Özellikle Kişisel Verilerin Korunması bakımından gereken önem gösterilmediğinden bu bilgiye ulaşmak çok da zor olmamaktadır. Ayrıca Banka hesap numarası da keza aynı durumdadır. Kredi Kartı veya Banka Kartı numaraları için durum daha da vahimdir. Pandemi nedeniyle alışverişin neredeyse %90 gibi kısmı elektronik ticaret olarak gerçekleştiğinden her gün birçok e-ticaret sitesinden alışveriş yapılmaktadır. Bu kart bilgileri e-ticaret sisteminde kullanılmaktadır. Ne kadar güvenilir olduğu hala teyite muhtaç durumdadır.
Kullanıcı ismiyle birlikte kullanılan müşteri şifresini ele geçirmek için birden çok yöntem kullanılabilmektedir. En yaygını yemleme ya da oltalama denen, müşteriye bankanın gerçek internet bankacılığı görüntüsünün kopyası olan bir internet sayfasının gönderilerek müşterinin kullanıcı adı ve şifresinin bu sahte internet sayfasına yazmasının sağlanmasıdır. Gerçeğinden ayırt edilmesi için çok dikkat edilmesi ve bilişim güvenliği konusunda eğitim alınmış olması gerekecek kadar profesyonelce hazırlanmış bu sahte elektronik bankacılık sayfası sayesinde bilgiler çalınmaktadır.
Kimlik avı denilen bu saldırı yöntemleriyle sosyal ağ hesapları da tehdit altındadır. Yapılan saldırıların yoğunluğu ve Sosyal Ağ platformlarının sahibi olan şirketlerin gereken hızda müdahale etmemeleri sonucunda hesapları ele geçirilen sosyal ağ kullanıcıları büyük zararlar ile karşı karşıya kalmaktadırlar. Hem hesaplarını tekrar ele geçirmeleri uzun zaman almaktadır hem de siber suçlular bu hesapları kullanarak dolandırıcılık yapmaktadırlar.
Banka müşterisinin kullanıcı adı ve şifresini yemleme saldırısı ile ele geçiren kişilerin hedef olan kişinin cep telefonunun bankadan gönderilecek ve elektronik bankacılık giriş kodunu içeren kısa mesajın kendilerine gelmesini sağlamaları gerekmektedir. Bu işlem içinde kullandıkları yöntemler öncelikle müşterinin telefonunu bole ederek kullanılamaz duruma getirmektir. Bu yüzden hedef kişinin telefonuna zararlı yazılım dediğimiz virüs ve benzeri zararlı kodlar içeren uygulamalar göndererek telefonun kısıtlanmasını sağlamaktadırlar.
Hedef müşterinin telefonu kısıtlandıktan sonraki adım bankadan gönderilecek kısa mesajın siber dolandırıcıların eline geçmesi aşamasıdır. Bu aşamada genelde 2 farklı yöntem kullanmaktadırlar. Ya bir şekilde müşterinin telefonuna fiziksel erişim sağlanarak sim kartın kopyalanması ya da müşterinin kimlik fotokopisi ile GSM şirketlerinden sim kart yenileme yöntemi kullanılmaktadır. Her iki yöntemde aynı sonuca ulaşmalarını sağlamaktadır. Tüm güvenlik adımlarını aşan siber suçlular müşterinin hesabına ulaşmakta ve hesaplardaki mevduatın kendi belirledikleri hesaplara transferini yapmaktadırlar.
Dikkat Edilecek Konular
Öncelikle anlattığımız adımlara bakıldığında banka hesabı dolandırıcılığının rastgele yapılmadığını, belirli bir çalışmanın ürünü olduğu görülmektedir. Hedefin tespitinden sonra kullanıcı adı ve şifreye ulaşmak yeterli değildir. Telefonun siber hırsızlık esnasında kısıtlanması/bloke edilmesi ve güvenlik kısa mesajının siber hırsızlara gönderilmesinin sağlanması gerekmektedir. Bu yüzden tüm bu işlemler siber dolandırıcılar tarafından belirli bir araştırma ve çalışmanın sonucunda gerçekleşmektedir. En önemli safhalardan birisi GSM şirketlerinden Kimlik fotokopisi ile yeni hat çıkartılmasıdır.
GSM bayilerinin telefon numaralarına yeni hat çıkartılması durumunda mutlaka gerçek kimlik kartlarını talep etmeleri gerekmektedir. Aksi halde sorumluluk GSM bayilerinin olmalıdır. Bankaların mobil uygulamalarının ve Elektronik bankacılık internet giriş sayfalarının kopyalanması tehlikesiyle ilgili müşterilerini sürekli bilgilendirmesi gerekmektedir. Yemleme saldırısı kolayca tespit edilebilecek bir saldırı türü değildir. Normal internet kullanıcılarının bu konudaki bilgi eksikliği siber saldırganlar tarafından istismar edilmektedir. Bankaların elektronik bankacılık kullanan müşterilerine mutlaka siber saldırılara karşın güncel bilgilerle hazırlanmış eğitimler vermeleri artık gereklilik değil zorunluluk olmuştur. Her geçen gün artan bu saldırılara karşı bankalarca yeni önlemler alınması gerekmektedir.
İlgili Yazılar: