“Hacker” Yöntemiyle Şubeyi Koruyorlar
Abdulkadir Kırmızı / Dışbank İnternet Bankacılığı Güvenliği Sorumlusu Henüz Türkiye’de büyük boyutlara ulaşmadı. Zaman zaman bu yönde gelişmelere şahit oluyor, çeşitli girişimleri okuyoruz. Ancak,...
Abdulkadir Kırmızı / Dışbank İnternet Bankacılığı Güvenliği Sorumlusu
Henüz Türkiye’de büyük boyutlara ulaşmadı. Zaman zaman bu yönde gelişmelere şahit oluyor, çeşitli girişimleri okuyoruz. Ancak, artan endişeler nedeniyle bankalar kolları sıvadı, sanal şubelerdeki sahtekarlıklar için önlemi konuşmaya başladı. Türkiye Bankalar Birliği de bir çalışma grubu oluşturdu. Bazı bankalar, hacker’ların yöntemlerini izliyor, onların taktikleriyle güvenlik testleri yapıyor. Bir bölümünde ise çeşitli ekipler sürekli çalışma yapıyor. Dışbank’dan Abdulkadir Kırmızı, “Biz bilinen tüm saldırı türlerini deniyor ve varsa açıklar için önlem alıyoruz” diyor.
Bankacılık, son yıllarda internete dayalı bir devrime şahit oluyor. Başlangıçta sınırlı sayıda kalan internet bankacılığı, son yıllarda büyük bir gelişme gösteriyor. Dünyada olduğu gibi, Türkiye’de de sanal banka müşterileri hızla artıyor. Bankalar da, maliyet avantajı nedeniyle müşterilerini bu alternatif dağıtım kanalına yönlendiriyor. Ancak, son yıllarda bu büyümeyi “güvenlik” kaygısı tehdit etmeye başladı.
Önce dünyada, ardından da Türkiye’de online dolandırıcılık, şifre kırma girişimleri ve benzeri sahtecilik olayları görülmeye başlandı. Bankacılar, artan olaylar nedeniyle bünyelerinde önlemler almakla kalmadı, Türkiye Bankalar Birliği de bir girişim başlattı. Bu amaçla bir çalışma komitesi kuruldu. Hedef, internet bankacılığını daha güvenli bir kanal haline getirmek… Komite, bankalara ve bireylere yönelik çeşitli öneriler hazırladı.
İnternet şubelerini kullanan bireysel ve kurumsal müşteri sayısının artışı, yapılan işlem hacminin sürekli büyümesi, bankaların tepe yöneticilerini son derece memnun ediyor. Böylece, şubede 2 dolara mal olan bir işlemin maliyet, internet şubesiyle 10 sente kadar düşebiliyor.
Kullanıcı sayısında ve işlem hacmindeki büyüme sevindirici, fakat, bu durum aynı zamanda bazı sorunları da yanında getiriyor. Özellikle sahtekarlık olaylarındaki artış, bankacıların canını sıkıyor. Bankacılar, bu sorunlara çözüm bulmak için, Türkiye Bankalar Birliği (TBB) bünyesinde bir çalışma komitesi kurdu. Bu komite, hem bankalara hem de bireylere yönelik, bazı öneriler hazırladı.
Bu komitenin üyelerinden biri olan Dışbank’ın internet bankacılığının güvenliğinden sorumlu Abdulkadir Kırmızı… Dışbank Bilgi Sistemleri Teftiş Direktörü olan Abdulkadir Kırmızı, Digital’in sorularını yanıtladı:
İnternet şubelerinde en çok karşılaştığınız, sahtekarlık olayı nedir?
İnternet bankacılığında sunulan hizmetler ve güvenlik anlamında dünyadan çok farklı değiliz. Aslında Türkiye’de yaşanan sahtekarlıkların benzerleri dünyada da yaşanıyor. “Keylogger” denilen programlar var. Bu programlar, internet cafede veya sizin evinizdeki bilgisayara uzaktan erişilerek kuruluyor. Bu programlar kurulduktan sonra, klavyede bastığınız bütün tuşları kaydediyor ve mail ile belli aralıklarla karşı tarafa gönderiyor.
Gazetelere ve televizyonlara yansıyan bir olayı aktarayım. Bu olayda süreç , “keylogger” programının bilgisayarınıza kurulması ile başlıyor. Şifrelerinizi bu program aracılığıyla kaydedip alıyorlar. Ardından, elde ettikleri şifrelerle hesabınızın bulunduğu bankanın internet şubesine giriyorlar. Hesaplarınızda ne kadar para olduğunu öğreniyorlar. Sonra, bir döviz büfesiyle irtibata geçip döviz almak istediklerini iletiyorlar. Döviz büfesinin hesap numarasını öğrenip, sizin hesabınızda bulunan parayı o hesaba EFT ile gönderiyorlar. Dövizlerini alıp ortadan kayboluyorlar. İşin sonunda doğal olarak döviz büfesi, banka ve hesabın sahibi müşteri baş başa kalıyor.
Bu tür vakalar, daha sık yaşanmaya başlayınca, Bankalar Birliği bünyesinde nasıl önlem alınabileceğine yönelik bir çalışma grubu oluşturuldu. Bu grubun çalışması sonucunda bankaların ve müşterilerin ne yapmaları gerektiği üzerine birtakım sonuçlar ortaya çıktı.
Dolandırıcılara karşı ne tür önlemler alındı?
Bu dolandırıcıların ilk örnekleri çok profesyonel değillerdi. O nedenle hemen yakalandılar. Örneğin, İzmir’de bir internet cafede odaklanan grup vardı. Bilgisayarlara kurdukları “keylogger” programı ile şifreleri elde ediyorlardı. Bu grup yakalandı. Müşterilerin hesaplarındaki paraları, Manisa’daki bir şubeye havale edip, sahte kimlikle çekmeye çalışırlarken yakalandılar. Döviz büfeleri devreye sokulduğunda ise yakalanmaları daha zor oluyor. Aslında, döviz büfelerinin kimlik tespiti yapması gerekiyor ama çoğu zaman bu yapılmıyor.
Burada kim sorumlu?
Sahtekarlıkların genellikle bilgisizlikten ve gerekli önlemlerin müşteri tarafından alınmamasından kaynaklandığını söyleyebiliriz. Hukuki açıdan bir şey söylemek zor. Bildiğimiz kadarıyla, bu tip dolandırıcılıklarla ilgili sonuçlanmış bir dava da henüz yok.
Bazı bankaların kısmen ödeme yaptığına dair mailler dolaşıyor. Bu iyi niyetten kaynaklanan ödemeler mi?
Bankalar, internet şubesi müşterilerine, sadece kendilerinin bilmesi gereken bir şifre veriyor. O şifreyi de sadece müşterinin bildiği varsayılıyor. O şifre ile internet şubesine girilip bir işlem yapıldığında da, bunu müşterinin yaptığı kabul ediliyor.
Müşterinin kendi şifresini başka birileriyle paylaşıp paylaşmadığının bilinmesi çok zor. Şifrenin, “keylogger” ile müşterinin izni olmadan alındığının kanıtlanması lazım. Bankalar da müşterilerine yardımcı oluyor ve hatta zaman zaman meblağın büyüklüğüne göre kendilerinin de zararı karşıladığını duyuyoruz.
Bu tür programlar bilgisayarımıza nasıl yerleştiriliyor?
Bir çok yöntem var. Bilgisayarınızı tamire gönderdiğinizde bile bu tür programlar kurulabilir. En sık rastlanan durum, internete bağlı iken sizin bilgisayarınıza bu tür programların kurulması. Programın yüklendiğin siz fark etmiyorsunuz ve program sizin klavyede bastığınız tuşları kaydetmeye başlıyor. Ben kendi evimdeki bilgisayarıma güvenlikle ilgili bir program kurdum. İnternete bağlı kaldığım süre boyunca, nerdeyse 10-15 dakikada bir, bilgisayarıma bir program kurulmaya çalışıldığını görüyorum.
Biz bilgisayarımızda böyle bir programın yerleşip yerleşmediğini nereden anlayacağız? Evde, işyerinde nasıl anlayacağız?
Anti virüs programları, anti trojan programları ve kişisel firewall gibi programlar var. Bunlar da satılıyor. Bunları satın alıp bilgisayarınıza kuruyorsunuz ve artık daha güvenli olarak internette dolaşabiliyorsunuz. Tabii bu programların güncel versiyonlarını kullanmak lazım.
Peki bu tehditlere karşı bankalar ne önlem alıyorlar?
İlk önlem olarak internet şubelerine “sanal klavyeyi” koydular. Sanal klavyeden şifrenizi mouse kullanarak giriyorsunuz. Şu anda en yaygın önlem bu… Ancak, bazı başka önlemler de gündemde.
Şunu da belirtmekte yarar var. Bugüne kadar yaşanan dolandırıcılıkların hiçbiri bankalardan kaynaklanmadı. Hep dışarıdaki bilgisayarlarda, kullanıcı tarafında yaşandı.
Sanal klavyeden sonra bu tür olaylarda azalma oldu mu?
Sanal klavyeden sonra bu tür olaylarda azalma olduğunu söylemek zor. Çünkü, müşteriler bu konuda yeterince bilinçli değil. Sanal klavye zorunlu olmadığı için, müşteri sanal klavyeyi kullanmayabiliyor. Normal klavyeden şifre girme alışkanlığı devam ediyor.
Bu tip sorunlar sadece bankalar için geçerli değil. İnternet üzerinden parasal işlemlerin yapıldığı her yer için geçerli. İnternet bankacılığı, internet üzerinden parasal işlemlerin gerçekleştiği en yaygın hizmet alanı. E-ticaret o kadar yaygın olmadığı için çok fazla gündeme gelmiyor.
Bankalar Birliği tarafından oluşturulan komitenin çalışmalarında ne tür sonuçlar çıktı, kullanıcılara ne önereceksiniz?
Konu iki farklı açıdan ele alındı. Birincisi, olayın önlenmesi için müşterilerin yapabilecekleri ve bankalar tarafından alınabilecek teknik önlemlerin belirlenmesine dönüktü. İkincisi ise olayın yaşanmasından sonraki gelişmeleri hızlandırmaya ve iyileştirmeye dönük önlemlerden oluşuyordu. Ayrıca, yasal süreçlerin yanı sıra,bankaların kendi aralarında ve internet servis sağlayıcılarıyla yapacakları işbirlikleri de görüşüldü.
Müşteri tarafından alınabilecek önlemler belirlenerek, müşterilerine duyurmaları için bankalara gönderildi. Müşterinin daha güvenli işlem yapması için, kendilerine tavsiye edilmesi gereken konular arasında, sanal klavye kullanımının teşvik edilmesi, kamuya açık bilgisayarların kullanılmaması gibi konular var. Aslında, bu önerileri biz internet şubemizde yayınladık.
Siz bankalar olarak ne tür önlemler alıyorsunuz?
Bankalar için de her bankanın uyması gereken asgari güvenlik standartları oluşturuldu. Bunların bir tanesi, banka içerisinde bilgi güvenliği politikalarının oluşturulması ve uygulanması. Bir başka önlem ise bilgi güvenliğinin sağlanması için iç ve dış denetim yaptırılması. Varsa güvenlik açıklarının saptanabilmesi için belli aralıklarla mutlaka denetim yaptırılması gerekiyor.
Bunların saptanabilmesi için “hackerlar”la mı anlaşmak gerekiyor?
Hacker’ların kullandığı yöntemleri kullanan ve bu hizmeti veren şirketlerle anlaşmak gerekiyor. Biz banka olarak, sürekli bu hizmeti alıyoruz. Bu çalışmalarda, dışarıdan yapılabilecek, bilinen tüm saldırı türleri deneniyor ve varsa güvenlik açıklarını size iletiliyor. Siz de bu açıkları gidermeye dönük önlemlerinizi alıyorsunuz.
Bir de içerideki yapının güvenli olup olmadığı mutlaka denetlenmeli. Dış denetim firmalarına, güvenlik denetimi yaptırmakta fayda var. Kendi içinizde de sürekli bir kontrol, denetim ve izleme faaliyetinizin olması gerekiyor. Dışbank’ta, üç ayrı birim bu konuda sürekli çalışmalar yapıyor.
Bunların dışında, bankaların şifreleri güvenli bir ortamda saklaması gerekiyor.
Sahtekarlık işi çözülünce, internet bankacılığı daha hızlı gelişecek mi?
Limitlerin yeterli olmamasından dolayı interneti kullanmayan şirketlerin, internet bankacılığını kullanmasıyla birlikte hacim elbette artacaktır. Limitler güvenlik konusunda koruyucu oluyor ama hacim önünde engel teşkil ediyor. İnternet hukuku ve “Dijital İmza” gibi konularda gelişmeler olmasıyla birlikte, internet bankacılığının kullanımının artacağını düşünüyorum.
Bunu elektronik imza mı çözecek?
Elektronik imza, internet bankacılığı ile birlikte elektronik ticaretin gelişmesine de yardımcı olacaktır. Özellikle şirketler arası elektronik ticaretin gelişmesine önemli katkıları olacaktır. Yasanın çıkması ile birlikte, dijital imza, ıslak imza gibi kabul edilecek ve hukuki geçerliği olacak. Güven mekanizmalarının kurulması, işletilmesi, bu da belli bir zaman gerektirecektir.
El bilgisayarlarının güvenlik açısından bir sakıncası var mı?
Normal PC’lerden bir farkı yok. Bu nedenle, normal bilgisayarlarda, internet bağlantısıyla oluşan riskler el bilgisayarları için de geçerli.
Ya cep telefonları için?
Bazı bankalar cep telefonlarından bankacılık işlemleri yapıyorlar. Şu ana kadar, cep telefonlarından yapılan herhangi bir sahtekarlığın olduğunu duymadım. Tabii, cep telefonları üzerinde çok az işlem gerçekleştiği için riskler varsa bile ortaya çıkması biraz zor. Cep telefonlarından bankacılık yapılması için farklı bazı teknolojilerin kullanılması gündemde. Bu teknolojiler hayata geçtiğinde daha hızlı ve güvenli işlem yapmak mümkün olacaktır.
SANAL ŞUBE KULLANICILARINA 10 UYARI!
1. ŞUBEYE GİRERKEN İnternet şubelerine, sadece bankaların ana sayfalarından yapılan yönlendirmelerle girin. İnternet şubelerine girerken size gelen e-postaların içinde yer alan linkleri asla kullanmayın.
2. SANAL KLAVYE Kullanıcı kodunuzu ve şifrenizi girerken mutlaka sanal klavye kullanın.
3. GÜVENLİK PROGRAMI Bilgisayarınıza, internete bağlı iken sizi koruyup, bilgilendirecek güvenlik programları kurun.
4. GÜVENLİK AÇIĞINA ÖNLEM Bilgisayarınızın işletim sistemlerindeki ve diğer uygulamalarındaki güvenlik açıklarını gidermek için, bu yazılımları üreten veya pazarlayan şirketlerin duyurularını izleyin ve gerekli güncellemeleri yapın.
5. SERTİFİKA FAKTÖRÜ İnternet şubesine girerken, gerçek site adreslerinden erişildiğini garantileyen güvenlik kuruluşlarından alınan sertifikaları (VeriSign) kontrol edin.
6. EMAILLERE DİKKAT Hiçbir şekilde kredi kartı, şifre veya özlük bilgileri isteyen e-postalara bilgi sağlamayın, yanıt vermeyin.
7. İNTERNET CAFE SENDROMU İnternet cafe gibi genel kullanıma açık yerlerde, kredi kartı ile alışveriş ve internet bankacılığı işlemlerinden kaçının. İnternet cafe kullanmak zorunda iseniz, şifrenizi en kısa sürede değiştirin.
8. YETKİLİ SERVİSLE ÇALIŞIN Bilgisayarınızda bir sorun, arıza ortaya çıktığında, onarım için bildiğiniz yetkili şirketleri, servisleri tercih edin.
9. İNTERNET BAĞLANTISI Bilgisayarınızın güvenliği için internete sadece kullanım süresince bağlı kalın, kullanmadığınız zaman, internet bağlantısını mutlaka kesin.
10. ANTİ VİRÜS PROGRAMI ŞART Bilgisayarınıza virüs veya solucan (worm) gibi zararlı kodların bulaşmasına engel olmak için, kimden geldiği şüpheli e-postaları ve bu postaların eklerini açmayın. Ayrıca, bilgisayarınızda mutlaka anti-virüs programı kurun, bunu da en az ayda bir kez güncelleyin.
ŞİRKETLER İÇİN DE RİSK VAR MI?
Sahtekarlıklar daha çok kişisel bilgisayarlarda mı, yoksa şirketler tarafında mı daha fazla görülüyor?
Aslında, gerçekleşen tüm olayları bilmiyoruz. Bize yansıtılanları ve medyaya yansıyanları biliyoruz. Medyaya veya bize yansıyan olayların arasında şirketlerle ilgili bir dolandırıcılıkla karşılaşmadık.
Şirketlerde de tabii bir risk var. Bireyler için geçerli olanlar, şirketler için de geçerli. Şirketlerin hesaplarında çok daha büyük paralar olduğunu düşünürsek, risk daha büyük ama alınmış olan önlemlerle bu risk azaltılıyor.
Şirketlerin, bireysel kullanıcılardan daha bilinçli olduklarını düşündüğümüzde, onların risklerinin daha az olduğunu söyleyebiliriz. Ama, önlemler alınmamışsa, bireysel müşteri de olsa, şirket de olsa belli bir risk var.
Bireylerde olduğu gibi, şirketler için internet şubelerinde, EFT ve diğer işlemler için belirli limitler var. Limitler, bankadan bankaya değişiyor ama örneğin bir günde 50 milyarın üzerinde EFT yapamıyorsunuz.
Şu anda büyük şirketler, internet bankacılığını, yeteri kadar etkin kullanmıyor. Eğer bir sahtekarlık olayı ile karşılaşılırsa, kaybın büyük olmasını engellemek için limitler konuluyor.
Büyük şirketlere bu limitler yeterli olmayabiliyor. Bu durumda, şirketler, işlemlerinin bir bölümünü internetten yapıp, diğer bölümünü şubelerden gerçekleştiriyorlar. Hatta hiç interneti kullanmayıp, hepsini şubeden yapma yolunu tercih edenler de var. Güvenlik konusunda kaydedilecek gelişmelerle birlikte limitler de arttırılabilecek, bu durumda, büyük şirketlerin internet bankacılığını kullanma oranı da artacaktır.
