Yılda 7 milyon tüketicinin kandırıldığı dünyanın en büyük "soygun" pazarı nasıl çalışıyor.
siteadi.com - Bir Hackeren Itiraflari

Teknolojinin gelişmesiyle bilişim her geçen gün hayatı daha fazla kolaylaştırırken, bu teknolojiyi kötüye kullanan insanlar da yeni yöntemler ‘geliştiriyor.’ Virüs yazılımlarının para getirmesini keşfeden sanal korsanlar, birbirleriyle işbirliği yaparak verdikleri zararın boyutlarını da her geçen gün arttırıyorlar.

İnternet korsanlarının ancak 700 eylemde bir yakayı ele verdiklerini ancak ‘phishing’ tarzı basit bir yöntemlerle son bir yılda 7 milyon tüketicinin kandırıldığını, gerekli önlemlerin alınmaması neticesinde kandırılmak olaylarının devam edebileceğinin de altını çizmek gerekiyor.

PHISHIND VE FISHING YÖNTEMİ

Son zamanlar da internet’ten yapılan kredi kartı korsanlığı artık yeni maskeler kullanılarak kredi kartı korsanlığında yeni türlerini ortaya çıkardı. İşte bu yeni tür ‘Phishind’ (“Password” (Şifre) ve “Fishing” (Balık avlamak)). Son zamanlar da en büyük internet suçu olarak nitelediği ‘phishing’ yönetminde, korsan kişisel, finansal bilgileri elde etmek için kullanıcılarla e-mail üzerinden iletişime geçiyor. Bu şekilde kredi kartı numaraları ATm şifreleri ve banka hesap numaraları elde ediliyor.

Ciddi kurumlardan yollanmış gibi gözüken bu e-mailler ilk bakışta hakiki imajı veriyor. Örneğin Hepsiburada MSN, Yahoo, eBay ve bir takım bankaların logolarıyla yollanan e-mailler kişisel bir dil ile yazılarak ciddi imaj güçlendiriliyor.

PHİSHİNG NASIL İŞLİYOR?

Bu e-mailler kullanıcıya kurumun websitesine giderek şifresinin süresinin dolduğu gerekçesiyle gerektiğini söylüyor. Korsan daha önce hazırladığı ve kurumsal sitenin aynısı olan bu siteye kurbanını soktuktan sonra, ondan şifreyi girmesini istiyor, sonra da kullanıcı kendi şifresini, bilgilerini yeni şifresi ve bilgilerini değiştiriyor, ya da değiştirdiğini sanıyor. Esasen eski şifre hala bankanın kendi sistemlerinde aynı şekilde durduğu için korsan bu şifre ile internette alış veriş yapabiliyor.

Bir başka kullanılan teknik ise müşterinin bilgilerini güncellemesi gerektiği gerekçesiyle tüm bilgileri tekrar girmesi gerektiğini belirten bir mesaj gönderiyor. Kullanıcı ise gelen mesaja hitaben Banka sistemine gireceğini belirten linke tıklıyor ve korsanın açmış olduğu web sitesine girip bilgileri güncelliyor.

E-MAİLLER ÇOK ÖNEMLİ

Bazı e-mailler de ise yarışmaya katılması için teklif edilen kullanıcılara ödül olarak değeri çok yüksek hediyeler, otomobiller veya para ödülü kazandıklarını ancak gerekli kişisel bilgileri vermeleri gerektiği söyleniyor. Bu gibi durumlarda bilgilerini veren kullanıcıların tüm bilgileri korsanın eline geçiyor. Bu şekilde korsanın bir çok kişinin kredi kartını ele geçirdiği ortaya çıkıyor. Korsan artık bu sistem üzerinden emeline varmış olduğu ve bir sonraki işlemlerine başlamasına yol açıyor.

Korsan istediği gibi alış veriş yapabilecektir. Peki ya Bankalar ne kadar güvenlik almıştır. Hemen hemen her ay bir banka müdürü çıkıp biz şu güvenlikleri aldık ve/veya alıyoruz diye kandırmaca bilgiler ile Kredi kartı kullanıcılarının gözlerini boyayan bu sistem ne kadar güvenilir olduğu ise tartışılacak bir konudur.

PHİSHİNG İÇİN UYARI

Pazar araştırma firması MSN, AOL ve diğer banka sitelerinin gerçeklerinden ayırt edilmesinin çok zor olduğuna dikkat çekilmesinin gerektiği, Söz konusu sahte sitelerde gezinenler linklere bastıklarında gerçek sitenin diğer bölümlerine varıyorlar; bu şekilde kullanıcılar çok kolaylıkla gerçek sitede dolaştıklarını sanıyorlar. Araştırmalarımıza göre ‘Phishing’ son bir yılda yüzde 80 artışa geçti ve tüm kullanıcıların en az yüzde 3.5’ini tehdit eder hale geldi.
İnternet korsanlarının ancak 700 eylemde bir yakayı ele verdiklerini ancak ‘phishing’ tarzı basit bir yöntemlerle son bir yılda 7 milyon tüketicinin kandırıldığını, gerekli önlemlerin alınmaması neticesinde kandırılmak olaylarının devam edebileceğinin de altını çizmek gerekiyor.

ALIŞVERİŞ SİTELERİNE DİKKAT

Ortaya çıkarılan bir başka korsanlık türü ise Korsan kendi kredi kartı firmasına internetten kredi kartı ile alışveriş yaptığını ancak malı geri iade ettiğini ve ücretin hesabına geri işlenmesini rica ediyor. Hiç satın alınmamış bir mal için para kazanan korsan, kredi şirketinin kartın aylık sayımında durumu görmemesi için daha sonra kredi kartını iptal ediyor.

Bir başka korsanlık türü ise; Korsan kendisine x bir alış veriş sitesi seçiyor. Bu x alış veriş sitesinin açıklarını tespit ettikten sonra kredi kartlarının saklandığı veritabanlarına sızarak bilgilerin kopyasını çıkarıyor. Tüm site verilerini çaldığı takdirde o x sitenin yöneticileri kullanıcılarına haber verdikleri anda ise korsan istediği hedefine varamayacağını bildiği gibi gerekli kazancı da sağlayamayacaktır. Bunları ince bir şekilde düşünen korsan kopyalarını almakla yetinecektir, kopyalarını alan korsan artık tüm bilgilerini sağladığı kredi kartı kullanıcılarının hesaplarında ki mevcut bakiyelerini sorgulaması için bazı web sitesi ve irc sohbet portallarının da kullanıldığı sistemlere girerek kredi kartı kullanıcısının mevcut bakiyesini öğreniyor. Gerekebilecek tüm bilgileri alan korsan kredi kartı kullanıcılarının hesaplarından alış veriş yapmaya başlıyor.

ŞÜPHELİ E-POSTA UZANTILARI

Orta ve büyük ölçekli şirketler mutlaka bir web tarama sistemi kurmalı.
Kullanıcılar, yazılım kurulmasını isteyen web sayfalarına karşı dikkatli olmaları konusunda uyarılıyor.

İnternetten indirilen her şeyin bir antivirüs ve casus program tespit yazılımıyla taranması önemli.
Şüpheli e-postalara karşı ihtiyatlı olun. Bu e-postalardaki ekleri açmayın, linkleri tıklamayın.
Windows işletim sistemi kullanıyorsanız, otomatik güncelleştirme özelliğini etkinleştirin.
Gerçek zamanlı bir antivirüs programı edinin. Sürekli olarak güncelleyin ve çalışır tutun.
Dikkat edilecek bir diğer nokta da orijinal antivirüs yazılımlarının kırılmış.
Onlar, İnternet adlı rüyanın kabusları. İste bir Hacker'ın kendi ağzından itirafları...


İTİRAFLAR ARDINDAKİ GERÇEK...

SORU: Yurtdışındaki firmaların verdikleri sertifikaları taşıyan e-ticaret sistemleri ya da online bankaların güvenliği konusunda ne diyeceksiniz?

Bu internet güvenliği hakkında bir yanılgıyı ortaya koymak açısından iyi bir soru. SSL Sertifikaları sadece gidip gelen verinin güvenliğini sağlayan çift yönlü şifrelemeyi sağlarlar. Bu şifreleme mantıkları; DES-CBC3-MD5 Çok Yüksek v2.0, v3.0 CBC modunda 3DES, MD5 hash, 168-bit oturum anahtarı, DES-CBC3-SHA Çok Yüksek v2.0, v3.0 CBC modunda 3DES, SHA hash, 168-bit oturum anahtarı, RC4-MD5 Yüksek v2.0, v3.0 RC4, MD5 hash, 128-bit anahtar, RC4-SHA Yüksek v3.0 RC4, SHA hash, 128-bit anahtar, RC2-CBC-MD5 Yüksek v2.0, v3.0 CBC modunda RC2, MD5 hash, 128-bit anahtar, DES-CBC-MD5 Orta v2.0, v3.0 CBC modunda DES, MD5 hash, 56-bit anahtar, DES-CBC-SHA Orta v2.0, v3.0 CBC modunda DES, SHA hash, 56-bit anahtar, EXP-DES-CBC-SHA Düşük v3.0 CBC modunda DES, SHA hash, 40-bit anahtar, EXP-RC4-MD5 Düşük v2.0, v3.0 Export seviyesi RC4, MD5 hash, 40-bit anahtar, EXP-RC2-CBC-MD5 Düşük v2.0, v3.0 Export seviyesi RC4, MD5 hash, 40-bit anahtar, EXP-RC2-CBC-MD5 Düşük v2.0, v3.0 CBC modunda export seviyesi RC2, MD5 hash, 40-bit anahtar, NULL-MD5 - v2.0, v3.0 Kriptolama yok, MD5 hash, sadece kimlik tanılama, NULL-SHA - v3.0 Kriptolama yok, SHA hash, sadece kimlik tanılama’dır. Bu firmalar ise (CA - Certificate Authority) sadece bu sertifikaları onaylarlar.

BASİT BİR PROĞRAM YAKALIYOR

Bildiğimiz gibi internette her siteye girdiğimizde bizim girdiğimiz bilgiler karşı bilgisayara giderken bir çok bilgisayar üzerinden geçtiği gibi, geri dönen bilgide bir çok bilgisayar üzerinden geçer. Eğer site SSL kullanmıyorsa basit bir "sniffer" programı ile bu veriler yakalanabilir.

SSL bu gidip gelen verinin gerçek zamanlı olarak şifrelenmesini sağlar. Bu sayede gidip-gelen veri yakalansa bile şifreli olduğundan dolayı güvenlidir.

Aslında SSL bu tip sistemlerde neredeyse en son dert etmememiz gereken şeylerden biridir. Ek olarak zaten şu an tüm e-ticaret sistemlerinde SSL var. Ama firmalar bunu müşterilere daha büyük bir şeymiş gibi gösterip ekstra güven sağlamak istiyorlar. Türkiye şartlarında hala 128 – 168 SSL şifreleme mantığı kullanmaktadır. Fakat Yurt dışında ise bu 1024 bit veri şifrelemeye kadar dayanmaktadır. Özetle SSL siteyi değil sadece gidip-gelen verileri üçüncü gözlerden korur. Oysa burada sorgulanması gereken husus sitenin sistem güvenliği olabilir ki buda apayrı bir konudur. 128bit SSL şifreleme mantığının MD5 şifre kırıcı programlarla kırılmasının gerçekleştirilmesi imkansızın da dışındadır.

ALIŞVERİŞ SİTELERİNE DİKKAT

SORU: İnsanlar internette Kredi kartı kullanmasın mı? Ya da nasıl kullansınlar. Tavsiyeniz? Alışveriş edecekleri siteleri seçerken nelere dikkat etmeliler..

İnsanlar internette Kredi Kartı kullanmasın dersek çok büyük bir yanlış olur. Tabii ki kullanılmalı. Ancak biraz daha fazla güven ve rahatlık için "Sanal Kart" benzeri yapıları öneririm. Ek olarak aslında bu tip olayların bir çoğunda mağdur olan son kullanıcılar değil e-ticaret firmalarıdır. Çünkü bankalar sizin Kredi Kartınızın izniniz olmadan kullanılması durumunda genelde çok anlayışlı davranıyor ve bu durumda paranız %90 geri iade ediliyor.

Ancak e-ticaret sitesi sahipleri bu tip durumlarda direk maddi kayıp ve prestij kaybı ile yüzyüze geliyorlar.

Alışveriş sitesi seçerken dikkat edebileceğiniz pek bir şey yok. Çünkü bir uzman harici bir sitenin güvenliğinin test edilmeden o site için güvenlidir yada değildir denilemez. Hatta firmanın site güvenliği hariç firma içi güvenlik politikası da çok önemlidir.

Kimlerin sunuculara direk erişim hakkı var, Kaynak Kodları hangi personel gruplarına açık, Kredi Kartı Numaraları veritabanlarında tutuyorsa kimin bunlara erişim hakkı var ? Bu veriler ve hatta kullanıcıların kişisel verileri şifreli olarak mı tutuluyor gibi...

Gene de son kullanıcılar temel olarak Kredi Kartlarını saklı tutup tutmadıkları (sanırım hiç kimse Kredi Kartı numarasının bir firmada saklanmasından hoşnut olmaz), SSL kullanımına bakabilirler.

SANAL KART TERCİH EDİN

Tekrar belirtmek isterim ki son kullanıcı bu konuları kendine pek dert etmemeli, en kötü ihtimallerde bile en fazla banka ile birkaç telefon konuşması sorunu çözecek ve zararı giderecektir. Sanal Kartlar da ekstra bir rahatlık sağlayabilir.

__________________

SENI ANLAMAK YASMAKTIR
SENI YASAMAK
AMANSIZLIGA KAVGA VE POSTAL SESLERI ARASINDA
DIRENGENLIGE DURMAKTIR
SENI BILMEK YASAMI BILMEK
SILAH OMZUNDA TOPRAGA DUSMEKTIR
SENI ANLATMAK EYLULU GUNLERI GECMISE YOLAMAKTIR`

..