Browse > Home /

| Subcribe RSS

2009 yılında ATM/debit kart dolandırıcılığında artış bekleniyor

May 17th, 2009 | No Comments | Posted in Güvenlik

Dijital yaşam hayatımızı kolaylaştırmakla beraber, ne yazık ki riskleri de beraberinde getiriyor. Analog sistemlerin her zaman daha güvenli olduğunu savunan ve babamın ödediği her faturanın kaydını tutmasına tanık olan biri olarak, kesinlikle söyleyebilirim ki: evet ne yazıktır ki sistemler güvensiz. Bakın burada teknolojiler güvensiz demiyorum, sistemler güvensiz ve bu sistemleri yöneten kişiler bir o kadar daha güvensiz, çünkü birçoğu için konuşacak olursam; birçok güvenlik ve sistem uzmanı teknolojiyi yakından takip etmiyor: hepsi Analog’çu. Bunun en basit örneğini geçtiğimiz aylarda elime geçen bir kurumun, bir güvenlik cihazı şartnamesinde açıkça gördüm. Kurum sistemlerine HSM alacak. Tüm dünyanın IP’ye geçtiği bu dönemde, hala analog ve seri bağlantılara şart koşan ve belki biraz ağır olacak ama örümcek beyinlilerin yönettiği her kurum, ne yazıktır ki kaybetmeye mahkumdur.

Konuyu biraz saptırdım belki ama kafanızda ufak bir fikir oluştuğunu düşünüyorum. Evet ATM dolandırıcılığına en yakın örneğimizi geçtiğimiz aylarda yazmıştım. Şimdi de Actimize adlı bir araştırma şirketinin bu konudaki araştırma verilerine değineceğiz. Firmanın araştırmasına göre yaklaşık %80 finansal servis yöneticisinin (toplamda 113 kişi katılmış) tahminlerine göre ATM/debit kart dolandırıcılığı 2009 senesinde artış gösterecek. Notlardan bazıları şu şekilde sıralanıyor:

  • 2008 senesindeki dolandırıcılık sayısı, 2007’ye oranla 2 haneli rakamlara ulaşmış
  • Araştırmaya katılan %80 uzman, 2009 senesinde bu sayının  artacağını ve yine %35 katılımcı bu artışın %10 ile 14 arasında olacağını öngörüyor.
  • Katılanların %50sinden fazlası ilgili dolandırıcılık ve atakların dışarıdan değil, bizzat müşterilerinden olacağı görüşünde (Risk almaya değer mi? dedirtiyor)
  • Öngörülen ihmaller özellikle ilgili şirketin genel harcama, call center hacmi ve müşteri güvenilirliğinde yoğunlaşıyor

Örnekleri arttırmak mümkün. Şirketin sunduğu raporun haberine yukarıda verdiğim adresten ulaşabilirsiniz. Bir finans kurumunun özellikle ilk oturtması gerektiği departmanın IT olduğunu düşünüyorum. Özellikle mevzu para ve finansal işlemler olunca, kurumların daha hassas güvenlik önlemleri alması gerekiyor. Ancak hepsi bunun bilincinde ve gerekli yatırımı yapıyorlar mı, esas sorgulanması gereken bu sanırım.

Tags: , , , , ,

Banka müşterileri Dikkat!: Sahte Dolandırıcılık Örneği

April 21st, 2009 | 4 Comments | Posted in Güvenlik

Az önce iş arkadaşımın aldığı bir mail beni bu post’u yazmaya yöneltti. Uzun zamandır karşılaşmamıştım, çok güzel bir örnek olduğunu düşünüyorum. Yalnız şimdiden uyaralım: bunun gibi oltalama(Phishing) örnekleri, ilgili kurumlardan bağımsız olarak tamamen bu kurum kullanıcılarının/müşterilerinin bilgilerini çalmaya yöneliktir. Yazdığım yazıda bahsi geçen kurumun herhangi bir zaafı bulunmamakta ve kendi sitelerinde yer alan Güvenlik uyarıları geçerlidir. Ayrıca bu tür sahte yani dolandırılmaya yönelik mailler, her kurumun ve şahsın başına gelebilir.

Phishing dediğimiz dolandırıcılık işlemleri özellikle deneyimsiz kullanıcıları hedef alıyor. Bu konuda pekçok kurumun güvenlik uyarılarına rağmen, kullanıcılar hala bilinçsizce hareket edebiliyor. Bunun gibi durumlar ise en çok finansal işlemler gerçekleştirilen ve kişisel bilgilerimizin olduğu arkadaşlık ve benzeri sitelerinde gerçekleşiyor.

Aslında herşey bugün arkadaşımın Hotmail adresine gelen bir mail ile başladı. İlgili bankadan geldiği sanılan mail, gayet masumca gözüküyor. Karakter kodlamasına fazla önem vermeden hemen harekete geçiyoruz ve bilgilerimizi güncellemek için “Güncellemek için TIKLAYINIZ” kısmına basıyoruz (Siz basıp, kendi bilgilerinizi vermeyin). 🙂

Resimleri büyütmek için üzerlerine tıklayın…

Bir sonraki adımda ise bizden kredi kartı bilgilerimizi isteyen bir form ile karşılaşıyoruz. İlginçtir ki 128-bit SSL kullandığını söyleyen sitede, bu güvenlikten eser yok. IE 7 kullandığımdan eğer site SSL kullansaydı, adres satırının hemen sağında bir kilit işareti yer alması gerekiyordu. Ancak tabii ki yok. Zaten sayfanın BANKA ile uzaktan yakından bir alakası olmadığını, RU uzantılı siteden rahatlıkla anlayabilirsiniz. Neyse, sahte bilgilerimizi yazıyoruz. Burada yine garip bir olay var. Resmen buram buram Phishing kokuyor ve ben ciddi bir biçimde gülüyorum 8) : ATM şifreleri her zaman 4 haneli olur, burada ise bu kısım sanırım sınırsız. Ben sayamadım, saymaya da uğraşmadım zaten 🙂 – Ayrıca bankanın kendi sitesine gittiğimde, kurumun faviconu’u IE tabının sol tarafında gözüküyordu (normal IE logosu dışında kurumun kendi logosuydu).

Dedik ya güzel bir phishing diye. Yine de güvenlik tedbirlerini yazmayı ihmal etmemişler 🙂

  • Tarayıcının, istenen sayfayı önbellek (cache) yerine, her seferinde sunucudan (server) alması sağlanmalıdır.
  • Tarayıcı üzerinde Java ve JavaScript etkin hale getirilmelidir.
  • Tarayıcıda SSL 3.0 etkin hale getirilmelidir.
  • Bilgisayarınızda Flash Player 6.0 veya üstü yüklü olmalıdır.

Bilgileri girdikten sonra GÖNDER düğmesine basıyoruz ve karşımıza işlemin gerçekleştiğine dair bir bilgi yazısı geliyor. İşlem kodunu vermeyi bile unutmayan phishing ustalarımız bizden bu konuda koca bir +1 kazanıyor 8)

Oltalama (Phishing) örneğini, uygulamalı olarak anlatmaya çalıştım. Bu herhangi bir kurum olabileceği gibi, ne zaman ve nerede başınıza geleceği belli olmaz. Bana olmaz demeyin, tedbiri elden bırakmayın derim.

Yazı tamamen kullanıcıları/müşterileri bilgilendirme amaçlı yazıldığından, ilgili kurumun bilgileri yazıdan çıkartılmıştır.

Tags: , ,
  • Site istatistik

    Bugünkü ziyaret: 31
  • Add to Technorati Favorites

    Mail adresinizi girin:



  • Google Connnect
  • RSS DarkHardWare News