İnternetin biz kullanıcıları tembelleştirdiği ve kısmen asosyalleştirdiği gerçeğini bir kenara atarsak; hayatımızı kolaylaştırmadaki rolü gerçekten de muazzam düzeyde. Özellikle metropol şehirlerde yaşayan insanlara alış-verişe çıkmak, bankaya gitmek ya da seyahat bileti almak gibi işlemler birkaç saate malolabilirken; internetin bize sunduğu imkanlar doğrultusunda saniyeler içinde bu yöndeki birçok ihtiyacımızı karşılamamız mümkün, günümüzde. Şahsen en yakın yerleşim birimine benim gibi yarım saaten daha fazla uzaklıkta olan biri için internetten çeşitli ihtiyaçlarını karşılamak önemli derecede vakit tasarrufu sağlıyor, gerçekten de.Firmalar bu yönde hizmetlerini genellikle çevrimiçi ödeme sistemleriyle sağlıyorlar. Alış-verişler için kapıda ödeme seçeneği oldukça az sayıda firma tarafından kısıtlı imkanlarla sağlanırken; çoğu durumda ürünleri satın alırken çevrimiçi (online) olarak ödeme yapmanız gerekiyor. Bunun da ötesinde bankacılık işlemleri için internet bankacılığını kullanmak kullanıcılara müthiş dercede kolaylık sağlıyor. Hem bankaya gidip döneceğiniz zamandan, hem de bankada bekleyeceğiniz süre ve işlem süresinden tasarruf ediyorsunuz. Bunun da ötesinde bankaya gidiş-geliş için ulaşım ücreti ve havale vb. masraflardan da tasarruf etmeniz söz konusu. Bankalar için de bu yöndeki otomasyon sistemlerinin avantajları oldukça fazla. Özellikle iş gücünden tasarruf etmek kaydıyla masraflarını ciddi oranlarda kısabiliyorlar. Bu sebeple internet şubelerine önem veren bankalar, internet bankacılığını kullanan müşterilerine çeşitli avantajlar sunuyorlar.
Herşey şu ana kadar güllük gülistanlık görünse de kazın ayağı tabi ki öyle değil :). Ortaya çıkabilecek güvenli sorunları dolayısıyla hala birçok müşteri internet bankacılığına soğuk bakıyor. Özellikle işlemlerin yapılışındaki hız ve basitlik, olası dolandırıcılık vb. durumlardaki kolaylığı akla getiriyor ve birçok insanın internet bankacılığını kullanmaktan alıkoyuyor.
Bu yazımızda değineceğimiz püf noktalar ile bankacılık işlemlerinizi güvenle ve korkmadan yapabilmenizin yollarını anlatmaya gayret edeceğiz.
Olta saldırıları (Phishing) ve olta saldırılarından korunma
Diğer bir tabirle yemleme olarak da bilinen bu saldırılar, dolandırıcıların en çok başvurduğu yöntemlerden biridir. Oldukça sık kullanılan ve kullanıcıların en sık yakalandığı tuzaklar olmasına rağmen korunması zor değildir aslında, olta saldırılarından. Sadece birkaç ufak detaya dikkat ederek olta saldırılarından kolaylıkla korunabilirsiniz. Genellikle mail yoluyla gelen olta saldırıları, bankaların resmi web site isimleri altında farklı linkler verilerek sizi başka bir siteye yönlendirmeye çalışırlar. Adres çubuğuna bakıldığında genellikle bankanın resmi web sitesinden daha farklı ve uzunca bir link görülür. Dolandırıcılar sizin bankaya hemen ulaşmanızı sağlayacak içerikte bir mail atarak mailin sonuna bir link koyarlar.Bir örnek ile olta saldırılarını inceleyelim ve korunma yollarını belirtelim:
Elektronik postanın geldiği adrese bakıldığında, bankanın kendi e-posta alanından geliyormuş gibi görünüyor. Böylesi bir durum birçok kullanıcının postanın gerçekten banka tarafından gönderildiğini düşünmesine sebep olacaktır. Bu postayı atan kişiler muhtemelen kendi müdahale imkanlarının olduğu bir DNS kullanıyorlar ve böylece mail adreslerini Yapıkredi'nin adres alanındanmış gibi gösterebiliyorlar. Mail'in içeriğinde ise müşterinin internet bankacılık hesabının süresinin dolmak üzere olduğu ve postaya eklenmiş bir link yardımıyla hesabın tekrardan aktif hale getirilebileceği belirtiliyor. Kullanıcıların aklından çıkarmaması gereken nokta, bankalar asla kullanıcılardan bu yönde taleplerde bulunmazlar. Mail'e eklenen bağlantı adresinin üzerine gelindiğinde de linkte bizim gördüğümüz adres ile tarayıcınının sağ alt köşesinde görününen, linki kullanmamız durumunda yönlendirileceğimiz adres tamamen farklı!
Burada örnekte ise e-posta'nın dolandırıcılar tarafından gönderildiği çok açık şekilde görülüyor.
Linkten bankaya ulaşmaya çalıştığımızda açılacak olan sayfa tasarımı itibariyle bankanın resmi sitesinin birebir aynısı olabilir yada ufak farklar içerebilir. Bu örnekte dolandırıcıların hazırladığı sayfanın gerçek sayfaya oldukça benzediği görülüyor. Sayfaların doğru noktaları dikkatli incelendiğinde tasarıma çok da dikkat etmeden sayfanın gerçek olup olmadığı anlaşılabilir. Yukarıdaki sahte sayfanın linki görüldüğü üzere bankanın resmi sitesinin linkinden çok farklı. Sahte linkler genellikle uzunca olurlar ve alakasız alan adlarının altında banka ile ilgili linklerin oluşturulmasıyla kullanıcı kandırılmaya çalışılır.
Alan adından başka iki sayfa arasında çok daha önemli ve de kritik bir fark daha var ki o da bu iki sayfanın kullandığı protokoller: Sahte adres http -hypertext transfer protocol- kullanırken; YapıKredi'nin kendi çevrimiçi bankacılık sistemi https -hypertext transfer protocol secured- yani SSL kullanıyor. Bu farkı linklerin başındaki protokol isimlerinden ya da gerçek sayfadaki tarayıcıların çeşitli noktalarında bulunan SSL logosundan gözlemleyebilirsiniz.
Yukarıdaki resim Garanti Bankası'nın internet bankacılığına giriş sayfasından alınmış bir örnek. Sayfanın SSL ile kodlandığına, adres satırına ve VeriSign logosuna dikkat ediniz. VeriSign ve Global Sign gibi SSL hizmeti veren kurumların logoları sahte sitelerde de muhakkak olacaktır, ancak bu imgeler tıklanarak sertifikalar kontrol edilebilir.
SSL sertifikalarını tarayıcıdaki SSL kilit simgesini tıklayarak ya da VeriSign, Global Sign gibi logoları tıklayarak kolaylıkla kontrol edebilirsiniz:
Görüldüğü üzere biraz dikkatli bakıldığı zaman bankaların gerçek siteleriyle, olta saldırıları için hazırlanmış siteler kolaylıkla ayırt edilebilir.
İyi tasarlanmış olta saldırılarında, dolandırıcıların hazırladıkları sayfalar kullanıcı bilgilerinizi aldıktan sonra farklı hatalar verirler ve sayfayı yenileyerek sizi bankanın gerçek sitesine yönlendirirler. Bu arada geçen kısa süreçte onlar istedikleri bilgileri elde etmiş olurlar ki bu durumdan birçok kullanıcının haberi dahi olmaz. Çevrimiçi bankacılık hizmetlerini kullanırken hesap bilgilerinizi ve şifrenizi girdikten sonra herhangi bir hata ile karşılaşırsanız bu durumdan şüphelenin. Mümkün ise şifrenizi değiştirin ya da bankanızı arayarak sorunu bildirin.
Dolandırıcılar tarafından uygulanmış olan daha genel ve dikkatli olunmadığı takdirde kanması daha kolay olan bir olta saldırısı gösterelim, bu noktada.
E-posta ile gelen bağlantıya tıkladığınızda açılan sayfada bankanızı seçmeniz isteniyor ve size bir form sunuluyor. Böylece dolandırıcılar birçok bankanın müşterilerini olta saldırısı ile tehdit etmiş oluyorlar.
Dikkat çekici başka bir nokta ise sayfanın bulunduğu adres:
http://tcmb.gov.tr.guncelleme.onlinetcmb.org/guncelleme.php?sid=3D=
olup Merkez Bankası'nın resmi sitesi gibi görünüyor ancak link biraz uzunca dikkat edildiği üzere. Burada alan adı onlinetcmb.org olup tcmb.gov.tr kısmı alt alan adı olup, her alan adı altında oluşturulabilir kolaylıkla.
Merkez Bankasının adresi ise;
http://www.tcmb.gov.tr/
olup alan adı tcmb.gov.tr'dir. Burada dolandırıcılar küçük bir hile ile kullanıcıları aldatmaya çalışmışlar; ancak bir anlık dikkatsizliğine gelse bile SSL sertifikasının bulunmaması kullanıcıları hataya düşmekten kurtaracaktır.
Bu formu doldurup gönder tuşuna bastığınızda bilgileriniz doğrudan dolandırıcıya gönderiliyor.
Bu yöntemin dışında başka olta saldırıları da mevcuttur. Dolandırıcılar telefon ile müşteriyi aramak kaydıyla kişisel bilgilerini kullanıcıdan öğrenerek hesaplarına sızabilmektedirler. Daha farklı olarak ise bankanın resmi sitesine eriştiğinizde (tamamen resmi siteye), bilgisayarınıza yükledikleri zararlı yazılımlarla tarayıcınızda çeşitli pop-up'lar açarak kişisel ve hesap bilgilerinizi isteyebilmektedirler.
Ayrıca DNS tabanlı saldırılara da maruz kalabilirsiniz. Muhakkak güvenilir DNS sunucuları kullanın. Siz adres çubuğuna www.garanti.com.tr yazsanız dahi DNS sunucunuz sizi Garanti Bankası'nın web sitesinden çok daha başka bir yere yönlendirebilir. Bu yüzden adres barında bankanızın resmi web sayfasının adresi görünse bile dikkatli olun. Özellikle güvenmediğiniz ağlar üzerinden işlem yapmayın, çünkü ağdaki herhangi birisi kolaylıkla bir DNS sunucusu kurabilir ve sizi istediği bir noktaya yönlendirebilir, rahatlıkla. Siz DNS adresi olarak güvenilir bir sunucuyu kullansanız dahi yönlendirici sizi rahatlıkla ağ içinde ya da dışındaki sahte bir DNS sunucusuna yönlendirebilir.
Tüm bunlar oltalamanın tehlikesini gözler önüne sermeye yeter sanırım ama durum o kadar da korkutucu değil. Biraz dikkatli olarak tüm bu tehlikelerden kolaylıkla bertaraf edebilirsiniz. Oltalamaya yakalanmamak için aşağıdaki uyarıları aklınızda tutmanızda yarar var:
- Telefon veya benzeri yolla aranmanız durumunda hiçbir zaman size sorulan kişisel veya hesap bilgilerinizle ilgili soruları yanıtlamayın. Banka ile görüşmeniz gerekse bile muhakkak arayan taraf siz olun.
- Mailinize gelen ve sizi uyaran postalara kulak asmayın. Gerçekten ciddi birşey gibi görünüyorsa bile öncelikle araştırın ya da bankanıza sorun.
- Bankanızın web sitesine kesinlikle maillerde gelen linklerden erişmeye çalışmayın, adres çubuğuna bankanın resmi sitesinin linkini yazarak erişin.
- İnternet bankacılığını kullanırken yönlendirildiğiniz linklere ve SSL sertifikalarına dikkat edin.
- Güncel tarayıcıları kullanın ve anti-phishing özelliklerini muhakkak açık tutun.
- Bilgisayarınızda başarılı ve güncel bir virus programı kullanmaya gayret edin.
- İnternet kafe gibi ortamlarda ya da güvenilirliğine emin olmadığınız ağlarda internet bankacılığı kullanmayın.
- Gözünüzü daima açık tutun ve dikkatli olun.
- Oltalamaya yakalanmış olabileceğinizi düşündüğünüz anda bankanıza erişerek hesap hareketlerinizi durdurun.
Bilgisayarların güncelliğinin ve güvenilirliğinin sağlanması
Bilgisayarınızı ne kadar güncel tutarsanız saldırıya maruz kalma ya da saldırıların başarılı olma ihtimali o denli azalır. İşletim sisteminizin güvenlik yamalarını, özellikle ve özellikle kritik olarak gösterilen yamalarını muhakkak uygulayın. Saldırganlar güvenlik açıklarını kullanarak sisteminize sızabilirler ve kişisel bilgilerinize erişme ihtimalleri artar.Güncel tarayıcılar kullanın, bu yolla tarayıcı kaynaklı güvenlik açıkları minimum düzeyde olacaktır ve dolandırılma ihtimaliniz de azalacaktır. Ayrıca güncel tarayıcıların sundukları anti-phishing gibi tümleşik güvenlik önlemleri sahte siteleri analiz edip sizi uyararak güvenliğinizi bir kat daha arttıracaktır. IE 5, Safari 1 veya Firefox 1 gibi eski tarayıcılar kullanmak ise internet hırsızlarının işini kolaylaştıracaktır. ActiveX ve Java gibi interaktif içerik sağlamak için kullanılan teknolojilerin izinlerini tarayıcınızın güvenlik sekmesinden kısıtlayarak, bu yazılımların güvenlik açıklarının saldırganlarca kullanılmasıyla oluşabilecek tehlikeleri azaltabilirsiniz.
Olta saldırılarını tanıma özelliği bulunan Gmail gibi mail sunucularını ya da Thunderbird gibi e-posta istemcilerini kullanmaya özen gösterin.
Özellikle saldırganlar tarafından sisteminize yüklenmesi olası keylogger'lara karşı tetikte olun. Güncel ve başarılı bir virus programı kullanın ve mümkün ise bir firewall ile bunu destekleyin. Keylogger'lar klavyede bastığınız her tuşu metin dosyası olarak kaydederler ve belirli aralıklarla herhangi bir sunucuya ya da mail adresine bu dosyaları gönderebilirler. Virüs programları keylogger'ları tanıyarak sisteminizden uzaklaştırabilirler ancak gene de güvenilirliğinden emin olmadığınız sitelere bankacılık işlemlerini yaptığınız bilgisayarınızdan girmemeniz yararınıza olacaktır.
Halka açık yerlerde, özellikle internet kafeler gibi ortamlarda çevrimiçi bankacılık hizmetleri kullanmamaya gayret edin. Güvenilirliğinden emin olmadığınız bilgisayarları kullanarak da bankacılık işlemleri yapmayın.
Eğer kablosuz ağ kullanıyorsanız mümkün mertebe WPA2 ile şifrelenmiş ağlar kullanmaya gayret edin. Bankacılık işlemleri 128 bit SSL ile kodlanmakta olup herhangi bir güvenlik açığının oluşması söz konusu olmasa da genel güvenliğiniz için şifrelenmiş ve özellikle WPA2 ile şifrelenmiş ağları kullanmaya özen gösterin. (WPA da kullanılabilir ancak WEP şifreleme tekniğini kullanmamaya özen gösterin, deneyimli bir kullanıcı uygun donanım desteğiyle dakikalar içinde kırabilir WEP şifrelerini!)
Hesap bilgilerinizi asla ve asla bilgisayarınızda tutmayın. Unutmayın ki bilgisayarınızda oluşabilecek herhangi bir güvenlik açığıyla saldırganlar sisteminize ulaşabilirler ve bilgisayarınızdaki bilgilerinize erişebilirler.
Hesap güvenliği ve bankaların sunduğu güvenlik önlemleri
İnternet hızsızlıkları iki farklı sebepten kaynaklanabilir. Birincisi kullanıcıların hatalarından dolayı gerçekleşen hırsızlıklar, ikincisi ise bankaların güvenlik açıklarından kaynaklanan hırsızlıklar. Bankaların çevrimiçi güvenliğinden sorumlu departmanlar, bankaların sistemlerinde güvenlik açığı bulunmasını engellemek, bulunduğu takdirde ise maksimum hızda kapatmak için harıl harıl çalışmaktadırlar. Bankaların kendilerinden kaynaklanan bir dolandırıcılık suçu işlendiğinde, bankalar hem prestijleri sarsılacağı hem de oluşan zararı ödemekle yükümlü oldukları için bu konuda çok dikkatlidirler. Bunun için de önlemlerini alıp, müşterilerine birtakım önerilerde bulunarak güvenli bir bankacılık hizmeti sunmaya gayret ederler. İşte biz müşterilerin de uygulaması gereken bazı ölemler ve kullanılması gereken hizmetler bulunmaktadır bankalar tarafından sunulan.Öncelikle bankanızın resmi web sitesinin çevrimiçi bankacılık şubesinin SSL ile şifrelendiğinden emin olun. Tarayıcılarınızın çeşitli bölümlerinde SSL simgesini görebilirsiniz. Gerekirse sertifikasını inceleyin. Ayrıca kullandığınız protokolün http değil de https (hypertext transfer protocol secured) olduğunu tarayıcınızın adres barına bakarak doğrulayın.
Keylogger tehlikesine karşın bankaların ya da kredi kartı ile alış-veriş yaptığınız sitelerin sunmuş olduğu sanal klavye uygulamalarını muhakkak kullanın. Sanal klavye uygulamaları da tam anlamıyla güvenli olmamasına karşın, klavyeyi kullanmaktan çok daha güvenli olduğunu söylenilebilir. Hatta ve hatta bankanız destekliyorsa dinamik sanal klavye -rakamların yerleri her basışınızda değişen- kullanmaya çalışın. (Fare kullanıldığı anda, farenin üzerinde bulunduğu belirli bir piksel aralığının ekran görüntüsünü alıp, görüntü işleme teknikleriyle bu bölgedeki karakterleri text bazlı kaydeden kötü amaçlı yazılımların varlığı biliniyor)
Bankacılık işlemleriniz için karmaşık şifreler kullanmaya gayret edin. Ne kadar uzun ve karmaşık şifre kullanırsanız, çözümlenebilmesi de o denli zor olacaktır. Ayrıca şifrelerinizi sıklıkla değiştirmeye gayret edin. -Dipnot: Şifrenizi hatırlayamayacağınız kadar karmaşık seçmeyin :). Gerekli görürseniz şifrematik gibi tek kullanımlık şifre üreten şifrematik ve ianahtar benzeri uygulamaları kullanabilirsiniz. Böylece şifrenizi çok daha güvenli kılmış olursunuz.
Sürekli olarak sabit IP'ler ile çevrim içi bankacılık hizmeti alıyorsanız, interaktif bankacılığınızın güvenlik bölümünden IP sınırlamalarında bulunabilirsiniz. Böylece sizin belirlediğiniz IP'ler dışından çevrimiçi banka hesabınıza erişim yapılamaz.
Bankacılık işlemlerinizde cep telefonunuzu aktif olarak kullanıp, yaptığınız işlemler için ya da interaktif banka şubenize giriş için SMS doğrulama sistemlerini kullanabilirsiniz. Bu yolla, her işleminizi telefonunuza değişken referans numaralarıyla gönderilen bir şifre ile teyit etmeniz gerekmektedir. Cep telefonu numaranızın yalnızca banka şubenize gitmek ya da şifrematik-ianahtar kullanmak kaydıyla değiştirilmesi de bu sistemi oldukça güvenilir kılıyor.
Bankacılık ihtiyaçlarınız doğrultusunda hesap yetkilerinizi ve limitlerinizi kısıtlayabilirsiniz. Eğer çok fazla para transferi yapmıyor ve daha çok hesabınızdaki nakit akışlarını takip etmek istiyorsanız; hesabınızı gözlemleme modunda kullanabilir ve çevrimiçi işlemleri engelleyebilirsiniz. Ayrıca para transfer limitleri koyarak olası dolandırılıklarda büyük meblağ kayıplarının önüne geçebilirsiniz.
İnternet üzerinden alış-veriş yapıyorsanız, kredi kartlarınız yerine internet bankacılığı yardımıyla ya da ATM cihazlarından yönetebileceğiniz sanal kredi kartlarını tercih etmeye çalışın. Kredi kartları, dolandırıcılığın en kolay yapıldığı sistemlerdir. Kart numarası ve CV2 numarası bilindiği takdirde -ki kart üzerinde bu bilgiler mevcuttur- rahatlıkla kimlik doğrulaması yapılmadan her türlü işlem gerçekleştirilebilir. Bu yüzden limiti sürekli değiştirilebilen ve kontör kart gibi kullanabileceğiniz sanal kartlar daha güvenilir işlemler yapmanıza yardımcı olurlar.
Biraz da şu an için en popüler ve de güvenilir olan mobil imzadan bahsedelim. Avea ve Turkcell'den GSM hizmeti alan çevrimiçi banka kullanıcıları mobil imza kullanarak bankacılık işlemlerini çok daha güvenlir kılabilirler. Islak imza ile eşdeğer yetkiye sahip olan mobil imza ile her türlü bankacılık işlemlerinizi neredeyse sıfır risk ile yapabilirsiniz. 128k SIM kartların oldukça güvenli bir bölgesine oluşturulan kimlik bilgisi her çevrimiçi banka kullanma girişiminizde sizden istenmektedir. Kötü amaçlı insanlar her türlü bilginizi ele geçirseler dahi mobil imzanız olmadan hesabınıza erişemezler. Eğer Avea veya Turkcell hat sahibi iseniz ve bankanız da mobil imzaya destek veriyorsa muhakkak kullanmanızı öneririz. 64k SIM kartlara sahip olduğu için Vodafone malesef bu hizmeti ülkemizde sunamamaktadır.
Tüm işlemleriniz sonunda ise tarayıcınızı kapatmak yerine, güvenli çıkış düğmelerini kullanmaya özen gösterin. Bu sekmeler kullanıldığında bankacılık işlemlerinizin sisteminizde bıraktığı kalıntılar temizlenerek güvenlik seviyenizi bir miktar daha arttırılmış olur.
Tüm bu saydıklarımızın dışında, bankalar güvenliğinizi arttırmak için daha farklı hizmetler de sunuyor olabilirler. İnteraktif bankacılığa başlamadan önce bankanızın güvenlik talimatlarını da gözden geçirmeniz yararlı olacaktır.
Bazı bankaların güvenlik talimatlarına aşağıdan ulaşabilirsiniz :
Bankaların sunması gereken bazı hizmetler aşağıdaki gibi sıralanabilir :
Bankanızın yeterli düzeyde güvenik sağlayamadığını düşünüyorsanız ya da bu konudaki hizmetlerini yetersiz görüyorsanız, internet bankacılığı hesabınızı derhal durdurun.
Sonuç
Yazıda birazcık felaket tellallığı yaptık sanırım :). Onu yapmayın, bunu yapmayın gibi onlarca uyarıda bulunduk ancak tüm bu belirttiklerimizi size en kötü senaryoları göstermek ve oluşabilecek en küçük açıkları göstermek için yazdık. Şahsen dört yıldır internet bankacılığı kullanıyorum ve bu yazdıklarımıza harfiyen uyduğum malesef söylenemez. Yaptığım işlemler sırasında henüz bir sıkıntıyla karşılaşmadım. Yazdıklarımıza harfiyen uyamasanız bile, hepsini aklınızın bir köşesinde tutmanızı şiddetle öneririz. Tek bir açığınız çoğu zaman size sıkıntı yaşatmaz ancak verdiğiniz açıklar arttıkça mağdur olma ihtimalinizin artacağını göz önünde bulundurun. Bu yüzden bankacılık işlemleriniz sırasında mümkün olduğunca dikkatli olun ve gerek burada belirttiklerimize gerekse bankanızın önerilerine kulak verin. Son olarak ise; eğer imkanınız varsa mobil imza kullanın, çünkü gerçekten de güvenlik açıklarınız bulunsa bile mobil imza hesabınıza izinsiz erişimi neredeyse imkansızlaştırıyor ve size çok daha güvenli bir bankacılık hizmeti almanızı vaad ediyor.Son olarak yazı içinde belirttiklerimiz dışında aşağıdaki önlemleri de dikkate alın:
- Belirli aralıklarla şifrenizi değiştirin.
- Şifrenizi ve kullanıcı numaranızı asla kopyala-yapıştır gibi fonksiyonlarla yazmayın.
- Hesap hareketlerinizi düzenli kontrol edin ve anormal bir durumda hemen bankanızla irtibata geçin.
- Banka şubenize girişinizde en son giriş tarihinizi kontrol ederek bilginiz dışında bir giriş olup olmadığını kontrol edin.
- Bankacılık işlemleriniz sırasında bilgisayar başından kalkmamaya dikkat edin ve işleminizi tamamlayıp güvenli çıkışı kullanıp sistemden çıkış yapın.
Hiç yorum yok:
Yorum Gönder