Anasayfa > Genel > İnternet Bankacılığı SMS Şifre Tehlikesi

İnternet Bankacılığı SMS Şifre Tehlikesi


Müşteri bilgilerinin yer aldığı sahte kimlik ile telefonunun çalındığını veya kaybolduğunu GSM firma yetkilisine söyleyerek başvuruda bulunuyor ve 5 – 10 dk gibi kısa bir sürede müşteriye ait telefon numarasının eşleştirildiği yeni sim kart dolandırıcıya veriliyor. Böylelikle sms şifre sorunsuz bir şekilde dolandırıcının eline geçmiş oluyor. Önlem: Burada GSM firmalarına büyük iş düşmektedir. Sim kart yenileme işlemlerini daha kontrollu bir şekilde yapmaları ve talebi yapan kişilere ek doğrulama ve kimlik denetimi süreçleri uygulanmalıdır. Özellikle bankaların GSM firmalarından son 24 saat içinde sim kart değişiklik taleplerini alarak, o müşteriye 24 saat boyunca sms şifre göndermemeleri alınacak önlemler arasındadır.

1 Ocak 2010 tarihi itibariyle tek kullanımlık şifre hayatımıza girdi ve iki bileşenli kimlik doğrulama internet bankacılığı uygulamalarında zorunlu hale gelmiştir. Böylelikle internet bankacılığı hizmeti alan müşterilere daha güvenli erişim imkanı sağlanmıştır.

Tek kullanımlık şifre her kullanımda veya belli bir süre geçtikten sonra geçerliliğini yitiren ve bir sonraki kullanım için yeniden üretilmesi gereken sayı ve/veya harf dizisidir. Bu sayı/harf dizileri müşterilerin hizmetine farklı yöntemlerle sunulmuştur.

Bunlar;

* Tek Kullanımlık şifre üreten cihazlar (token)

* Tek Kullanımlık şifre üreten yüklenebilir programlar (Soft token)

* Tek kullanımlık sms şifre

* Elektronik imza tabanlı çözümler

* Biyometrik tanıma (ses tanıma sistemleri) v.b.

Bu yöntemler içerisinde en yaygın olanı sms olması ile birlikte güvenlik açıkları da sorgulanır hale gelmiştir. GSM firmalarının sim kart dağıtımında ve yenilemede güvenlik kontrollerini minimum düzeyde yapması, dolandırıcılık vakalarının artmasına sebep olmuştur. Dolandırıcıların, internet bankacılığı kullanan müşterilerin iki kademeli olan kimlik doğrulama sisteminde birinci güvenlik kontrolu olan kullanıcı adı şifre bilgilerini keylogger v.b. klavyede basılan tuşları kaydeden programlar sayesinde alınabildiğini hepimiz çok iyi biliyoruz. Bankalar bu riski ortadan kaldırma adına ekran klavyesi uygulamalarını müşterilerin hizmetine sundu fakat bu sefer de her mouse tıklamasında müşterinin bilgisayarına ait ekran görüntüsünü kaydederek ftp, mail v.b. tanımlı adreslere gönderen trojanlar kullanılmaya başlandı. Yani iki kademeli olan kimlik doğrulamada, müşteri bilgisayarına kurulacak keylogger sayesinde birinci kademe çok rahatlıkla aşılabilmektedir.

Şimdi sıra geldi sms şifrenin elde edilmesine. Yaşanan internet şube dolandırıcılık vakalarında sms şifrenin ele geçirilmesinde kullanılan tekniklerden bazıları şunlardır ;

1. Cep telefonlarına kurulan tojanlar (Zeus v.b.) sayesinde man in the mobile metodu gelen sms bilgilerinin bir kopyası dolandırıcılara gitmesiyle birlikte içeriğinde şifre olan mesajlara erişim sağlanabilmektedir.

Önlem : Mobil cihazlarımıza antivirüs kurulumunu yapmak ve sıradışı çıkan popup ekranlar, açılan sayfalar v.b. durumlarda ivedilikle bankanız ile irtibata geçin.

2. Müşteri bilgilerinin yer aldığı sahte kimlik ile telefonunun çalındığını veya kaybolduğunu GSM firma yetkilisine söyleyerek başvuruda bulunuyor ve 5 – 10 dk gibi kısa bir sürede müşteriye ait telefon numarasının eşleştirildiği yeni sim kart dolandırıcıya veriliyor. Böylelikle sms şifre sorunsuz bir şekilde dolandırıcının eline geçmiş oluyor.

Önlem: Burada GSM firmalarına büyük iş düşmektedir. Sim kart yenileme işlemlerini daha kontrollu bir şekilde yapmaları ve talebi yapan kişilere ek doğrulama ve kimlik denetimi süreçleri uygulanmalıdır.

Özellikle bankaların GSM firmalarından son 24 saat içinde sim kart değişiklik taleplerini alarak, o müşteriye 24 saat boyunca sms şifre göndermemeleri alınacak önlemler arasındadır.

OTP (Tek Kullanımlık Şifre) üreten sistemler incelendiğinde token güvenlik olarak üst seviyelerde yer almaktadır. OTP çözümlerinde kullanılabilecek çözümler, kullanım kolaylığı ve güvenlik kriterleri şu şekildedir ;

Kaynak

logyonetimi.com

Osman Doğan

Kategoriler:Genel
  1. Henüz yorum yapılmamış.
  1. No trackbacks yet.

Bir Cevap Yazın

Aşağıya bilgilerinizi girin veya oturum açmak için bir simgeye tıklayın:

WordPress.com Logosu

WordPress.com hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Twitter resmi

Twitter hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Facebook fotoğrafı

Facebook hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Google+ fotoğrafı

Google+ hesabınızı kullanarak yorum yapıyorsunuz. Log Out / Değiştir )

Connecting to %s

%d blogcu bunu beğendi: