Her gün yaygınlasan internet bankacılıgı kabus olabilir. Kötü niyetli kisiler parola, sifre, kullanıcı adı, kimlik bilgisi gibi gizli bilgilere hangi yollardan erisiyorlar, çaresi neler?
Birkaç metodu var
1- En yaygını; hackerlar, attıgı bir mail veya yaptıkları “çekici” internet siteleri (en yaygınları arkadas bulma, seks veya kumar siteleri) vasıtası ile casus programlar (trojan) ör. "key logger" programı yolluyorlar. Maili açtıgınızda veya siteye girdiginizde program otomatik olarak bilgisayarınıza iniyor. Programlar menüsünden de görülemiyor. Key Logger; ortalama 45 kb boyutunda, program indirme sitelerinden bile kolayca ve ücretsiz elde edilebilen, bir resmin arkasına dahi saklanabilecek boyutta bir program. Eger bu program herhangi bir sekilde bilgisayarınıza gönderildi ise, bilgisayarınızda yaptıgınız her islem, sifreler, bilgiler dahil klavyeden kullandıgınız tusları, mouse hareketlerinizin ekran resimlerini veya diskinizdeki dosyaları “hacker”ın kendi mail adresine gönderiyor veya hacker sizin bilgisayarınızı bire bir görebiliyor. Hatta hacker bilgisayarınızdan islem yapabiliyor. Daha sonra sizin “sık kullanılanlar” dosyanıza bankanın heryerde satılan sitesinin kopyasını yerlestiriyor. Siz bankanın sitesine girdiginizi zannedip ve sifre ve parola ve hatta “tek kullanımlık” sifreyi girdiginizde, hacker “tesekkürlerle” gerçek banka sitesine girip sizin adınıza islemi gerçeklestiriyor. Bu methoda “man in the middle” deniyor.
Belirtmeliyiz ki; cep telefonunuza gelen islem sonu sifresi güzel bir önlemdir. Mutlaka olmalı. Ancak sifre, parola ve kimlik detaylarınızı bilen bir kisinin bazı bankaların internet sitelerinden veya telefon bankacılıgı yolu ile cep telefonu numarasını degistirebilecegini veya kendi cep telefonuna yönlendirebilecegini, hatta sahte kimlikle sizin telefon numaranıza ait bir “sim kart” alabilecegini göz ardı etmemek gerekir. Not. Siz istediginiz kadar “sanal klavye” kullanın; hackerlar sizin islemlerinizi buffer* dan takip ediyorlar. Yani sanal klavyede hangi harf veya sayıya bastıgınız belli. *Buffer: Bilgisayarınızdaki tüm haraketlerinizi hafızasında tutan bölüm. Yine siteye giriste sorulan resim, isim, özel soru v.s. gibi önlemler önemlidir. Ancak ekranınızı, resimleri, yazdıklarınızı birebir gören hacker için caydırıcı bir önlem degildir.
2- Olta (phishing) mail gönderiyorlar. Bankanın yazı dilini taklit eden bir mail geliyor, sizi ikna eden bir neden ile (sifre degisikligi, süre bitimi, adres güncelleme hatta ikramiye) verilen linki tıklayarak bir siteye yönlendiriliyorsunuz. Site banka ekranlarını taklit ediyor. Ancak bankaya ait degil. Burada banka hesap bilgilerinizin girilmesine ikna ediliyorsunuz ve böylece bilgileriniz soygun amaçlayan kisilerin eline geçiyor.
3- İnternete baglandıgınız anda, gerekli güvenlik programlarına sahip degilseniz, dünyadaki 1,5 milyar internet kullanıcısı bilgisayarınıza girebilir. IP numaranızı bilmesi yeterli. Zaten gönderdiginiz her mailde, her girdiginiz sitede IP’nize ulasılabiliyor. Sonrasını söylemeye gerek yok, her seyinizi paylasmaya baslarsınız.
4- Bankaların içlerinden bilgi sızdırıldıgı duyumlarımız var. Nitekim bir banka içinden yakalananlar oldugu haberini de basından okuduk. 1.000.000 banka sifresi bir CD içerisinde ele geçirildi. (Bakınız 14 subat 2007 tarihli tüm gazeteler.) Detaylar için http://www.sanalbankamagdurlari.com/ima ... nhesap.jpg Bir hesabın Hacker tarafından ele geçirilmesi birkaç saati alabilir. 1 milyon hesap için yaklasık 25 bin (yazı ile yirmibesbin) seneye ihtiyaç var. Bu nedenle içeriden bilgi sızdırılıyor duyumları kamuoyunda kuvvet kazanıyor.
5- Kisisel bilgilerinizle size ait olmayan, tanımadıgınız bir bilgisayarı kullanarak islem yaparsanız, kendinizi riske etmis olursunuz. Özellikle internet cafelerde sizin sifrelerinizi “save” eden programların yerlestirilmis olması muhtemeldir.
6- Güvenliginiz için ev ve isyerinizde kendi bilgisayarınızla bile wireless internet kullanmayın. Bir baskası sizin ag’ınıza veya sisteminize bu yolla çok rahat girebilir. Eger siz, kendi bilgisayarınızla wireless sistemi kullanan bir cafe veya havaalanı v.s. de internete girecekseniz, yine kisisel bilgilerinizi kullanmaktan kaçının. Çünkü bir baskasının ag’ını kullanıyorsunuz ve o ag’ın sahibi veya dahilindeki herhangi biri sizin sahsi bilgilerinizi ele geçirebilir.
7- Kopya program veya korsan CD kullanmayınız, bilgisayarınıza yükleyeceginiz programın orijinal olmasına dikkat ediniz. Soyguncular kopya programlara trojan yazılımlar ekliyorlar, bu sekilde bilgisayarınıza girmis oluyorlar.
TESTi KIRILMADAN...
Kullanıcıların bu alanda bilinçli davranması için neler yapması gerekiyor?
Bir tarihte vatandasa Galata Köprüsünü satıyorlardı. simdi böyle bir seyin olması mümkün mü? Degil, çünkü herkes bunun farkında ve bu konuda biliçli, egitimli. Tüm olayların ana nedeni, kullanıcının bilinçsiz, egitimsiz olmasıdır. Kamu yönetimimiz egitim kısmını ihmal ederek interneti tesvik etti. Türk Telekom abonelerini uyarmalıydı, bankalar internet ve bankacılıgı konusunda egitim vermeliydi. İsteyen herkes ADSL abonesi oldu-oluyor. Herkese internet bankacılıgı hesabı açıldı. Hatta okur-yazar olmayanların dahi internet bankacılıgı hesabının olduguna sahit oluyoruz.
Ülkemizde böylesi bir ortam olusunca, Türkiye’miz basta Rus, İsrail ve yerli soyguncuların cenneti oldu. Hukuksal bosluklar var. Soygun, yapanın yanına kar kalıyor. Ör. Benim 74.000YTL’ mı çalan sahıs yakalandı 24 saat geçmeden serbest bırakıldı. Banka ise devam eden davamda, beni hala sifremi baskasına vermekle suçluyor. Oysa Türkiye’de diger gelismis ülkelerdeki gibi “bilisim mahkemeleri” olsa benim için dava 1.celsede bitebilirdi. Çünkü; paramın EFT yapıldıgı saniyede cep telefonuma bankanın yolladıgı uyarı mesajı geldi. 5 sn. sonra bankamı arayarak; “böyle bir havale-EFT yapmadım. DURDURUN” dedim. Ama durdurmadılar. Üstelik beni yanlıs yönlendirdiler. Peki o halde bana bankanın kendisinin yolladıgı bu uyarı mesajının anlamı nedir? “Bak hırsız paranı çalıyor, biz de göz yumuyoruz. Bay-bay” mı? Ama davam 3. senedir devam ediyor. Banka avukatları oradan çekiyor, banka emeklisi “bilirkisi !” ler buradan.
Bu arada banka da bos durmuyor. Beni 3 ayrı savcılıga “bankacılık yasasına muhalefet” etmekten 3 ayrı sikayette bulundu. Tesadüf ! bu ya, özellikle cuma günleri saat 15:30 civarı polisler beni “mevcutlu” olmak kaydıyla savcılıga götürüyorlar. Herhangi bir aksilik! durumunda hafta sonunu hiçbir ülkede benzeri olmayan “bankacılık yasasını” tek ayak üzerinde ezberleyerek geçirme riskim var. Hele bu yazıdan sonra...
Not. Bilisim mahkemeleri mevcut olsa dava benim ve avukatlarımın görüsüne göre 3 yönden de derhal bitebilirdi. 1) Bana hesabınızdan EFT yapıldı diye mesaj gönderen Bankam. Bu amaç için uyguladıgı kendi uyarı mesajına telefon açmama ragmen paramı bloke etmeyen yine bankam. 2) Önce savcılıga gidin “X” bankaya paranızın EFT yapıldıgını sikayet edin, durduralım diyen bankam. Ama sadece “X” degil “X ve Y” bankalarına para ikiye bölünerek yapılmıs ve bunu (“Y” bankasını) bildirmeyen yine bankam. İlk bankadaki EFT yi durduran ise BEN. “Y” bankasını da bildirse onuda durduracagım. 3) Bankanın hele o zamanki güvenlik önlemleri neredeyse sıfır. Bu da ispatlı. Zaten tek kelime ile öyle olmasa banka; o günde var olan güvenlik önlemlerini neden o zaman devam ettirmedi de hemen akabinde yeni önlemler aldı ve halen alıyor?
Sonunda, davanın bu boyutlarının (maddi boyutları degil) Avrupa İnsan Hakları mahkemesinde devam edeceginin hazırlık asamaları tamamlanmıstır.
Görünen o ki, kolay bir is olması, yaptırımının olmaması nedeniyle internet bankası soygunculugu özendirilir hale geldi. Önümüzdeki günlerde “e-Devlet Kapısı” uygulamaları baslayacak ve bir çok alanda interneti kullanmak vatandas için zorunlu hale gelecek. Bu nedenle her internet kullanıcısının ve kullandırıcısının son derece dikkatli olması gerekiyor. Kullanıcısını egitmek konusunda, sunucu konumundaki kuruluslara (bankalar, kamu ve özel kuruluslar v.s.) çok is düsüyor. BDDK bu konuda bankaları uyarmaya basladı bile. Acaba bazı bankaların, Türkiye’de sadece kendisinin üye oldugu “ödül dagıtan” cemiyetlerin ödüllerini öne sürüp “Türkiye’deki en iyi internet bankacılıgı bizde” diyerek reklam yapmalarının önüne de geçilebilecek mi? SBM dernegi olarak biz sonuca bakıyoruz. Hala soygunlar devam ediyor ve bu yolla paralarımız yurtdısında ki hacker’ların, mafyanın ve yasadısı örgütlerin eline geçiyor.
NOT: Telekominikasyon Kurumu Baskanı Sn. Mustafa Alkan demeci; “2004 Nisan ayında kabul edilen e-imza yönetmeligine göre; bu tarihten sonra yapılan internet bankacılıgı dahil ıslak imza ve e-imza dısında yapılan tüm islemler geçersizdir.”
Gelelim Güvenlik önlemlerine; bunun 3 bacagı var. 1-Kamu 2-Banka 3-Kullanıcı
Öncelikle Kamu;
Basta ADSL olmak üzere bütün port saglayıcıları, tencere-tava satar misali evlerimize kadar gelip sistemi kurup gidiyorlar. Kullanım ve güvenlik konusunda ne bir egitim ne de bir kitapcık veriyorlar (Kurmaya gelenlerin de güvenlikten habersiz olduklarından hiç süphe yok) Tüketici bilinçsizce, kulaktan dolma “egitim” ile ve deneme-yanılma metoduyla kendi internet güvenligini saglamaya çalısıyor. Ya da saglayamıyor. Güvenligi olmayan, kuralları olmayan, frensiz, direksiyonsuz arabanın (internetin) basına oturtulan ve bilgisayarı dünyada ki 1,5 milyar internet kullanıcısına açık olan tüketici; sonunda istenmeyen “kaza”lara ugruyor. Ya Hacker’lar tarafından bankası soyuluyor, ya kredi kartı bilgileri ile dolandırılıyor veya diger önemli is, özel bilgileri “hacker” lar tarafından ele geçirilip kötüye kullanılabiliyor, santaj yapılabiliyor, bir bedelle satılabiliyor.
Bankalar:
Bankaların bir çogunun internet bankacılıgı, standart pazarlama sirketlerinin web sitesinin güvenliginden dahi yoksun. Bir tek telefonla internet sifresi alınabildigi gibi, ankesörlü telefonlarla dahi telefon bankacılıgı yapılabiliyor. Oysa sizin belirlediginiz en fazla üç adet telefon numarası ile telefon bankacılıgı yapılabilmeli. Ör. ev, is, cep telefonu. Banka bu numaraları gördükten sonra size islem yetkisi verebilmeli. Ayrıca bankalarda baska bir evrak sormadan, sadece sahte kimlik belgeleri ve sahte muhtar çıktıları ile mevduat hesabı açılıp, çalınan paralar bu kimlikle açılan hesaplara aktarılıp çekiliyor. Bankaya; neden baska evrak istemedin? diye soruldugunda; “Bu bizi ilgilendirmez. Kredi mi istedi, çek defteri mi, kredi kartımı?. Annesine para gönderecegini söyledi, biz de açtık hesabı” diyebiliyor.
Ayrıca; bankaların mevduatları sigortalamaları gerekiyor. Ama sigorta sirketleri Kredi Kartlarını sigortalarken “hergün camı kırılan” dükkanları sigortalamak istemedikleri gibi internet bankacılıgını da sigortalamak istemiyorlar.
TEK ve KESiN ÇÖZÜM:
E-iMZA, iNTERNET BANKACILIĞINDA KULLANILMALI
Bunun dısında “e-kart” (e-imza) internet bankacılıgında mutlaka kullanılmalı. Bu sistem, ufak bir aparat (token) ile uygulanıyor. USB ye takılıyor. Banka sifrenizi v.s. girdikten sonra sifreli, 128 bit’lik, herseferinde yeni “key” üreten, kredi kartı büyüklügünde ve sigorta kapsamında ki kopyalanması hemen hemen imkansız olan bu e-kartın 4 haneli sifresini giriyorsunuz. Banka sistemi, kartı görüp sizi onayladıktan sonra islem yapabiliyorsunuz. Yani "hacker" ın sizin sifrelerinizi elde etmesi yeterli degil sizin e-kartınızın aslını da çalmalı. Yetmedi e-kart’ın sifresini de bilmeli. su anda bunu Türkiye’de bir tek banka uyguluyor. O da opsiyonlu. Yani seçenege ve ayrı bir ücrete tabi. Bu isin, yani güvenligin; opsiyonu, seçenegi olmaz!. Her dönem hatta her islemde masraf diyerek para alan banka, bu imkanı da internet bankacılıgı kullanıcılarına vermek zorunda. Bunu da, internet bankacılıgı kullandırtarak elde ettigi artıyı hesaplayarak ücretsiz vermeli.
Yukarıda ki önlemleri bankalar mutlaka almalı. Aksi takdirde bu sanal soygunlar giderek daha yaygınlasacak ve bankalar mevduat toplayacak insan bulamayacaklardır. Nitekim simdiden insanlar, sirketler korkudan ya mevduatlarını internet bankacılıgı olmayan hesaplara, bankalarına aktardılar, ya paralarını kasada tutuyorlar veya insanlar eski usul paraları “yastık altına” saklıyorlar.
Türk Telekom internet omurgasının sahibidir, halen tesvik amaçlı yogun reklam kampanyaları düzenlemektedir. Bu reklamlarında internet güvenligi konusunda farkındalık yaratmak sorumlulugunu ortaya koymasını bekliyoruz.
Her canı isteyen kamu veya özel kurulus vatandasın hüviyet belgesini istemektedir (ör: bina girisinde). Kimlik bilgisi hırsızlıklarının artıs nedenlerinden birisi budur, önlem alınması gerekmektedir.
Ve biz Kullanıcılar için;
1) Basta anti-virüs, anti-spyware, firewall, site erisim filtresi, anti-spam lisanslı programlarını bilgisayarınızda bulundurun ve sürekli güncelleyin.
2) Phishing dedigimiz bizleri kandırmaya yönelik maillere dikkat edin. Yukarıda dedigimiz gibi bir resmin arkasına dahi “keylogger” programını atabiliyorlar.
3) Artık bu derece “saf” insan kalmadı ama; sifrelerimizi kimseyle paylasmamamız gerekiyor. sifrelerin karınızın, kızınızın, annenizin v.s. dogum tarihleri olmamasına dikkat edin. sifrelerinizi unutmamak için biryere yazıyorsanız sifrenizde ortadaki herhangi bir harf yada rakkam yerine baska harf veya rakkam kullanın. ör. sifrede “5” rakkamı kullanıyorsanız kagıda “5” yerine “7” veya “S” harfi yerine “C” kullanın.
4) Kopya program kullanmayın, internette kırık program dagıtan sitelere itibar etmeyin.
5) Banka ismini i-explorere bastan sona kendiniz yazın. “sık kullanılanlar” bölümünü asla kullanmayın. İslem yaptıktan sonra mutlaka “çıkıs” butonuna basın ve çıkın. Aksi takdirde bankanın sitesi halen açık olabilir ve hacker “eszamanlı” islem yapabilir.
6) Wireless internetten kaçının. Baskalarının, özellikle internet cafe’lerin bilgisayarlarından islem yapmayın.
7) Gerekirse bankada birbiri ile iliskisi olmayan ve internet bankacılıgında gözükmeyen 2. bir hesap açtırın ve ana mevduatınızı orada saklayın. Gerektiginde talimatla “gerektigi kadar” diger hesaba aktarırsınız.
Güvenlik sertifikası olmayan, islem sonu sifresi istemeyen banka ve internet sitelerinden islem veya alısveris yapmayın. Ör.GlobalSign SSL korumalı.Ayrıca; Eger kullanılan bilgisayar bir ag (network) üzerindeyse, agda internet sunucunun olması, internet çıkısının bir LAN programı tarafından yönetilmesi ve korunuyor olması gerekiyor. Gördügümüz sekli ile yaygın olarak ADSL hattı bir hub veya switche takılıyor, agdaki bilgisayarlar bu sekilde internete erisiyorlar. Bu son derece tehlikelidir. Buradan müsterilerine bu sekilde kurulum yapan bilgisayarcı ve sistemcileri de uyarıyoruz.,
KREDi KARTI KULLANICILARI. DiKKAT!
Sanal ortamda Kredi Kartı kullanıcılarının dikkat etmesi gereken hususlar nelerdir?
Öncelikle güvenli olmayan, güvenlik sertifikaları bulunmayan sitelerden alısveris yapılmamalıdır. Ör.GlobalSign SSL korumalı olmasına dikkat edin.
Mutlaka Sanal Ortamda “Sanal Kredi Kartı” kullanılmalıdır. Bu bir ek kart gibi islem gören, ayrı bir Kredi Kartı numarası ve güvenlik numarası bulunan, limitini sizin belirlediginiz karttır.
Özellikle yurtdısında (Rusya ve Uzakdogu ya dikkat) Kredi kartı kullanmamaya, kullanılırsa da ancak yanımızda kredi kartımızı çektirmeye dikkat etmeliyiz.. Çünkü, Papagan adı verilen Kredi Kartı okuyucuları ile kartınızın detayları kopyalanabilmektedir..
rotahaber
