Bir hacker sizin kredi kartı bilgilerinize nerelerden ulaşabilir?
<b>E-Ticaret ve Kredi Kartları Güvenliği</b>
Bilişim Güvenliği Derneği
İnternetin hayatımıza bu denli yer alacağı tahmin edilebilirmiydi bilemiyorum, ama bu günün perspektifinden baktığımızda internet artık neredeyse herşeyimiz. Ve bu etki ticaret hayatını o kadar büyük bir şekilde etkiledi ki paranın kullanılmasından sonraki en büyük ticari milat olarak interneti görebiliriz. Neden mi? İnternet dünyayı ufacık bir bakkal dükkanı haline getirdi. Tüm dünyada ne varsa ne arıyorsanız ve ne istiyorsanız, onu almak için saatlerce aramanız, kendiniz için en uygun fiyatı aramanız, yurt dışına çıkmanız hatta evden dışarı çıkmanıza bile gerek yok. Bir mouse, bir klavye ile ve birazcık internet kullanımı bilgisi ile dünya üzerinde ulaşmak veya almak istediğiniz herşeyi satın alabilirsiniz. Ayakkabı, telefon, bilgisayar, kitap, 2. el ürünler, ve artık büyük alışveriş firmalarının siteleri sayesinde peynir, ekmek, zeytin gibi gıdaları bile evden tek bir adım atmadan internet üzerinden seçerek sipariş edebilir ve kapınıza kadar bırakılmasını isteyebilirsiniz.
Peki bu kadar büyük bir teknolojiyi kötüye kullanmak isteyenler olmayacak mı? Bu kadar büyük sistemler sizce tam olarak güvenilirler mi? İstediğiniz ürünleri almak için kullandığınız Kredi kart numaraları, Banka hesap bilgileri, PayPal hesapları sizce güvende mi?
<b>Sorunun cevabı : “Kesinlikle Hayır!”</b>
Düşünün ki sizin için son derece önemli ve içinde sizin hakkınızda en gizli bilgilerin bulunduğu bir defteri sokağın ortasına bırakıp gidebilir misiniz? İşte bilinçsizce ve güvensizce internet üzerinden alış-veriş yapmak ile bu verdiğim örnek arasında emin olun ki hiçbir fark yok.
Unutmayın ki ortam ve mekan sanal da olsa işlenen suç ve verilen zarar gerçektir. Üstelik bu tarz işler reel dünyada olduğundan daha sinsice ve daha profesyonel bir şekilde yapılmakta. Şu zamana kadar örnekleri çok olmakla birlikte bu yüzden canı yanan, binlerce hatta milyonlarca dolarlık zarara uğrayan, kişisel kimlik bilgileri üzerinden paravan şirketler kurulan, çaldırdığı bilgiler yüzünden masum olduğu halde üzerinden adli suç işlenen bir sürü kişi ve kurum bulunmaktadır. Bu verdiğim örnekler işlenen suçlar arasında belkide devede kulak kalıyor ama işin ciddiyetini izah etmek için yeterli olacaktır. Bu suçlar kimi zaman o kadar aşağılıklaşmaktadır ki kişisel bilgisayarlardan çıkarılan bilgiler ile tehtid, şantaj gibi şeyler ile para istismarı yapılmaktadır. Belki masum görünen bir site veya bilgisayarda yazdığınız bir Kredi Kartı şifresi bile hayatınızda yaptığınız en büyük hata olabileceğini asla unutulmamalıdır..
Şu ana kadar bahsi geçen örnekler sanırım sizi yeterince korkuttu. Ama böyle suçlar işleniyor diye Kredi kartı numaranızın peşinde gece gündüz çalışan "Korsanlar" var diye, böyle muazzam bir teknolojiden mahrum kalmanıza gerek yok. Madem geliştirilen o kadar şey insanlığın faydasına o zaman yapılacak şey bilinçlenmek ve "Güvenlik" kavramını hayatımızın bir parçası haline sokmak.
Güvenliğin altın ve değişmeyen tek bir kuralı vardır. (Muhtemelen bunu ileri ki yazılarımda sık sık tekrarlıyacağım)
"Nasıl saldırılacağını bilmeden, nasıl korunabiliceğinizi bilemezsiniz"
<b>Bu ne anlama geliyor?</b>
Siz eğer bir hacker nasıl düşünür, bakış açısı mantalitesi nedir, nelere dikkat eder, nelerin izini sürer, ve nihai amacına nasıl ulaşır hangi yöntemleri dener... Bunları bilmezseniz kendinizi günün birinde Kredi Kartı mağduru olarak bulmanız kaçınılmaz. Kim bilir belki bu yazıyı okurken çoktan bir mağdur olmuşsunuzdur bile ama haberiniz yoktur. Eğer böyle ise en azından geçmişte ne hata yaptığınızı bulabilirsiniz. İnsan bilmediğinden korkar ve sizin bunları bildikten sonra korkmanız için hiçbir sebebiniz kalmayacak.
Bir bilgisayar korsanı (bilinen adıyla 'Hacker') neler düşünür ve neler yapar şimdi bunlara bakalım.
<b>Bir Hacker'ın aklında 2 şey vardır.
- Ulaşabildiği tüm bilgilere ulaşmak
- Yakalanmamak</b>
Bir Hacker için en önemli şey yapacağı eylemi yaparken yakalanmamaktır. Hacker herşeyden önce kendi kişisel güvenliğine azami özen gösterir. Çünkü çok önemli bir bilgiye ulaşmış olsa bile eğer kendini yakalatmışsa bu bilgi hiçbir işe yaramaz. Bu yüzden Hacker ilk önce yakalanmamayı amaçlar. Hacker yakalanmamak için internet üzerinde vekil sunucular (proxy) kullanır. Bu vekil sunucular, Hacker bir web sitesine giriş yaptığı zaman onu dünyanın başka bir yerine giriş yapıyormuş gibi gösterir. Bunun Hacker için faydası bir sisteme giriş yaptığında sistem tarafından loglanmamaktır. (kayıt altına alınmamaktır).
Hacker'in yakalanmamak için yapacağı diğer bir tedbir ise internet cafelerden veya halka açık bilgisayar laboratuarlarından faydalanarak yapacağı eylemleri buralardan gerçekleştirmesidir. Her gün yüzlerce insanın girip çıktığı bir internet cafe de Hacker dikkat çekmeden işini göerbilecektir.
Hacker'in gizlenmek için yapacağı diğer bir yöntem başkasının wireless bağlantısını kırıp veya hiç kırmadan kullanıp o bağlantı ve internet kullanıcı hesabı ile eylemini gerçekleştirmektir. WiFi (Kablosuz Ağlar) Güvenliği ayrı bir makale konusudur burada değinmeye gerek görmüyorum.
<b>Hacker ulaşabileceği bütün bilgilere ulaşmak isteyeceğini söylemiştim.
Peki nasıl?</b>
Hacker nasıl size ait olan bilgileri güvendiğiniz yerlerden çalar. Şimdi bunu nasıl yaptığını ve hangi yöntemleri kullandığını en önemlisi de internet kullanıcılarının bunlara karşı nasıl tedbir alıcağınızdan bahsedelim.
<b>Bir hacker sizin kredi kartı bilgilerinize nerelerden ulaşabilir</b>
1) Kredi kartı Sahibi olduğunuz bankanın sisteminden
2) Alış-veriş yaptığınız sitelerden
3) Kişisel bilgisayarınızdan
4) Direk sizden
Az öncede bahsettiğim gibi hacker için en önemli şey kendisini yakalatmamasıdır. Bu yüzden hacker asla bir Bankanın sistemine girmek için uğraşmaz. Çünkü kendisinde bilir ki bir bankanın sistemine saldırmak hem çok tehlikelidir hem büyük bir zaman kaybıdır. Çok tehlikelidir çünkü hiç kimse bu kadar büyük bir güvenlik duvarını, İleri düzey şifrelemeleri, 24 saat takip altında olan makineleri ve güvenlik politikasını yakalanmadan aşamaz. (Tabi hiçbir şey imkansız değildir. Tüm sistemler delinebilir ama dediğim gibi çok çok zor bir ihtimaldir.) Aşıp ta bilgilere ulaşmış olsa bile çok kısa bir süre sonra anında yakalanır. Hacker bu durumda bir banka görevlisi ile irtibata geçip onu kandırma (Sosyal Mühendislik) yolunu deneyebilir. Bu zor bir durum değildir üstelik başarı ihtimali de yüksek olabilir. Ama hacker telefon destek servislerinden bu işi yapamaz. Çünkü her banka güvenlik gerekçeleri ile müşteri hizmetleri konuşmalarını kayıt altına almaktadır. Hacker banka görevlisine ulaşmak için kişisel mail, msn, icq gibi yolları deneyecektir. Burada yapılanların sizin için bir önemi yok ve sizin yapabilecek bir şeyinizde yok. Çünkü Banka kaynaklı bir sorun olduğunda sorumlusu siz değilsinizdir. Ve zararınız banka tarafından karşılanmak mecburiyetindedir.
Hackerin bundan sonraki durağı Alışveriş yapılan web siteleri olacaktır.
Şunu hiçbir zaman unutmayın ki internet üzerinde yaptığınız tüm işlemler kayıt altına alınır. Ve sonuçta hiçbir alışveriş sitesi bir banka kadar güvenli değildir. Bu durumu çok iyi bilen hacker için alışveriş siteleri tam bir hazinedir. Üstelik e-ticaret piyasasının çok büyümesi ile e-ticaret işini ehli olanlar yanında bu işte çok yeni olan firmalarda yapmaktadır. Her gün açılan bir sürü yeni alışveriş sitesi var. Ve öyle ki bazı alışveriş siteleri sıradan hosting makinaları içinde bulunmaktadır. Bu inanılmaz büyük bir tehlikedir.
Alışveriş sitelerinde genelde şöyle bir ibare yazar. Hiçbir site görevlisinin Kredi Kartları numaralarını görmediğini belirtirler. Fakat hiçbir zaman unutmayın kredi kartı bilgilerinizi girip alışveriş yaptığınız anda tüm bilgileriniz veritabanında bir tablo içinde kayıt altına alınır. Bu kaçınılmaz bir durum çünkü alışverişin tamamlanması için veritabanından bilgi çekilmesi ve sizi tanımlaması gerekir.
<b>E-Ticaret ve Kredi Kartları Güvenliği</b>
Bilişim Güvenliği Derneği
İnternetin hayatımıza bu denli yer alacağı tahmin edilebilirmiydi bilemiyorum, ama bu günün perspektifinden baktığımızda internet artık neredeyse herşeyimiz. Ve bu etki ticaret hayatını o kadar büyük bir şekilde etkiledi ki paranın kullanılmasından sonraki en büyük ticari milat olarak interneti görebiliriz. Neden mi? İnternet dünyayı ufacık bir bakkal dükkanı haline getirdi. Tüm dünyada ne varsa ne arıyorsanız ve ne istiyorsanız, onu almak için saatlerce aramanız, kendiniz için en uygun fiyatı aramanız, yurt dışına çıkmanız hatta evden dışarı çıkmanıza bile gerek yok. Bir mouse, bir klavye ile ve birazcık internet kullanımı bilgisi ile dünya üzerinde ulaşmak veya almak istediğiniz herşeyi satın alabilirsiniz. Ayakkabı, telefon, bilgisayar, kitap, 2. el ürünler, ve artık büyük alışveriş firmalarının siteleri sayesinde peynir, ekmek, zeytin gibi gıdaları bile evden tek bir adım atmadan internet üzerinden seçerek sipariş edebilir ve kapınıza kadar bırakılmasını isteyebilirsiniz.
Peki bu kadar büyük bir teknolojiyi kötüye kullanmak isteyenler olmayacak mı? Bu kadar büyük sistemler sizce tam olarak güvenilirler mi? İstediğiniz ürünleri almak için kullandığınız Kredi kart numaraları, Banka hesap bilgileri, PayPal hesapları sizce güvende mi?
<b>Sorunun cevabı : “Kesinlikle Hayır!”</b>
Düşünün ki sizin için son derece önemli ve içinde sizin hakkınızda en gizli bilgilerin bulunduğu bir defteri sokağın ortasına bırakıp gidebilir misiniz? İşte bilinçsizce ve güvensizce internet üzerinden alış-veriş yapmak ile bu verdiğim örnek arasında emin olun ki hiçbir fark yok.
Unutmayın ki ortam ve mekan sanal da olsa işlenen suç ve verilen zarar gerçektir. Üstelik bu tarz işler reel dünyada olduğundan daha sinsice ve daha profesyonel bir şekilde yapılmakta. Şu zamana kadar örnekleri çok olmakla birlikte bu yüzden canı yanan, binlerce hatta milyonlarca dolarlık zarara uğrayan, kişisel kimlik bilgileri üzerinden paravan şirketler kurulan, çaldırdığı bilgiler yüzünden masum olduğu halde üzerinden adli suç işlenen bir sürü kişi ve kurum bulunmaktadır. Bu verdiğim örnekler işlenen suçlar arasında belkide devede kulak kalıyor ama işin ciddiyetini izah etmek için yeterli olacaktır. Bu suçlar kimi zaman o kadar aşağılıklaşmaktadır ki kişisel bilgisayarlardan çıkarılan bilgiler ile tehtid, şantaj gibi şeyler ile para istismarı yapılmaktadır. Belki masum görünen bir site veya bilgisayarda yazdığınız bir Kredi Kartı şifresi bile hayatınızda yaptığınız en büyük hata olabileceğini asla unutulmamalıdır..
Şu ana kadar bahsi geçen örnekler sanırım sizi yeterince korkuttu. Ama böyle suçlar işleniyor diye Kredi kartı numaranızın peşinde gece gündüz çalışan "Korsanlar" var diye, böyle muazzam bir teknolojiden mahrum kalmanıza gerek yok. Madem geliştirilen o kadar şey insanlığın faydasına o zaman yapılacak şey bilinçlenmek ve "Güvenlik" kavramını hayatımızın bir parçası haline sokmak.
Güvenliğin altın ve değişmeyen tek bir kuralı vardır. (Muhtemelen bunu ileri ki yazılarımda sık sık tekrarlıyacağım)
"Nasıl saldırılacağını bilmeden, nasıl korunabiliceğinizi bilemezsiniz"
<b>Bu ne anlama geliyor?</b>
Siz eğer bir hacker nasıl düşünür, bakış açısı mantalitesi nedir, nelere dikkat eder, nelerin izini sürer, ve nihai amacına nasıl ulaşır hangi yöntemleri dener... Bunları bilmezseniz kendinizi günün birinde Kredi Kartı mağduru olarak bulmanız kaçınılmaz. Kim bilir belki bu yazıyı okurken çoktan bir mağdur olmuşsunuzdur bile ama haberiniz yoktur. Eğer böyle ise en azından geçmişte ne hata yaptığınızı bulabilirsiniz. İnsan bilmediğinden korkar ve sizin bunları bildikten sonra korkmanız için hiçbir sebebiniz kalmayacak.
Bir bilgisayar korsanı (bilinen adıyla 'Hacker') neler düşünür ve neler yapar şimdi bunlara bakalım.
<b>Bir Hacker'ın aklında 2 şey vardır.
- Ulaşabildiği tüm bilgilere ulaşmak
- Yakalanmamak</b>
Bir Hacker için en önemli şey yapacağı eylemi yaparken yakalanmamaktır. Hacker herşeyden önce kendi kişisel güvenliğine azami özen gösterir. Çünkü çok önemli bir bilgiye ulaşmış olsa bile eğer kendini yakalatmışsa bu bilgi hiçbir işe yaramaz. Bu yüzden Hacker ilk önce yakalanmamayı amaçlar. Hacker yakalanmamak için internet üzerinde vekil sunucular (proxy) kullanır. Bu vekil sunucular, Hacker bir web sitesine giriş yaptığı zaman onu dünyanın başka bir yerine giriş yapıyormuş gibi gösterir. Bunun Hacker için faydası bir sisteme giriş yaptığında sistem tarafından loglanmamaktır. (kayıt altına alınmamaktır).
Hacker'in yakalanmamak için yapacağı diğer bir tedbir ise internet cafelerden veya halka açık bilgisayar laboratuarlarından faydalanarak yapacağı eylemleri buralardan gerçekleştirmesidir. Her gün yüzlerce insanın girip çıktığı bir internet cafe de Hacker dikkat çekmeden işini göerbilecektir.
Hacker'in gizlenmek için yapacağı diğer bir yöntem başkasının wireless bağlantısını kırıp veya hiç kırmadan kullanıp o bağlantı ve internet kullanıcı hesabı ile eylemini gerçekleştirmektir. WiFi (Kablosuz Ağlar) Güvenliği ayrı bir makale konusudur burada değinmeye gerek görmüyorum.
<b>Hacker ulaşabileceği bütün bilgilere ulaşmak isteyeceğini söylemiştim.
Peki nasıl?</b>
Hacker nasıl size ait olan bilgileri güvendiğiniz yerlerden çalar. Şimdi bunu nasıl yaptığını ve hangi yöntemleri kullandığını en önemlisi de internet kullanıcılarının bunlara karşı nasıl tedbir alıcağınızdan bahsedelim.
<b>Bir hacker sizin kredi kartı bilgilerinize nerelerden ulaşabilir</b>
1) Kredi kartı Sahibi olduğunuz bankanın sisteminden
2) Alış-veriş yaptığınız sitelerden
3) Kişisel bilgisayarınızdan
4) Direk sizden
Az öncede bahsettiğim gibi hacker için en önemli şey kendisini yakalatmamasıdır. Bu yüzden hacker asla bir Bankanın sistemine girmek için uğraşmaz. Çünkü kendisinde bilir ki bir bankanın sistemine saldırmak hem çok tehlikelidir hem büyük bir zaman kaybıdır. Çok tehlikelidir çünkü hiç kimse bu kadar büyük bir güvenlik duvarını, İleri düzey şifrelemeleri, 24 saat takip altında olan makineleri ve güvenlik politikasını yakalanmadan aşamaz. (Tabi hiçbir şey imkansız değildir. Tüm sistemler delinebilir ama dediğim gibi çok çok zor bir ihtimaldir.) Aşıp ta bilgilere ulaşmış olsa bile çok kısa bir süre sonra anında yakalanır. Hacker bu durumda bir banka görevlisi ile irtibata geçip onu kandırma (Sosyal Mühendislik) yolunu deneyebilir. Bu zor bir durum değildir üstelik başarı ihtimali de yüksek olabilir. Ama hacker telefon destek servislerinden bu işi yapamaz. Çünkü her banka güvenlik gerekçeleri ile müşteri hizmetleri konuşmalarını kayıt altına almaktadır. Hacker banka görevlisine ulaşmak için kişisel mail, msn, icq gibi yolları deneyecektir. Burada yapılanların sizin için bir önemi yok ve sizin yapabilecek bir şeyinizde yok. Çünkü Banka kaynaklı bir sorun olduğunda sorumlusu siz değilsinizdir. Ve zararınız banka tarafından karşılanmak mecburiyetindedir.
Hackerin bundan sonraki durağı Alışveriş yapılan web siteleri olacaktır.
Şunu hiçbir zaman unutmayın ki internet üzerinde yaptığınız tüm işlemler kayıt altına alınır. Ve sonuçta hiçbir alışveriş sitesi bir banka kadar güvenli değildir. Bu durumu çok iyi bilen hacker için alışveriş siteleri tam bir hazinedir. Üstelik e-ticaret piyasasının çok büyümesi ile e-ticaret işini ehli olanlar yanında bu işte çok yeni olan firmalarda yapmaktadır. Her gün açılan bir sürü yeni alışveriş sitesi var. Ve öyle ki bazı alışveriş siteleri sıradan hosting makinaları içinde bulunmaktadır. Bu inanılmaz büyük bir tehlikedir.
Alışveriş sitelerinde genelde şöyle bir ibare yazar. Hiçbir site görevlisinin Kredi Kartları numaralarını görmediğini belirtirler. Fakat hiçbir zaman unutmayın kredi kartı bilgilerinizi girip alışveriş yaptığınız anda tüm bilgileriniz veritabanında bir tablo içinde kayıt altına alınır. Bu kaçınılmaz bir durum çünkü alışverişin tamamlanması için veritabanından bilgi çekilmesi ve sizi tanımlaması gerekir.
Internet o kadar değişik bir ortam ki, Mail başlığında Ziraat bankası yazıyorsa tamam diyoruz kesin bu ziraat bankasından geliyor hemen talimatları uygulayayım. Aman durun. Herşey yazı ve resimden ibaret olduğu için eğer biraz profesyonelce tasarlanmışsa hemen aldanıveriyoruz. Çok dikkatli olmamız lazım çok. Şahsen bu tür sahrekarlıklara karşı aldığım önlemleri paylaşayım; kredi kartı ile alışveriş yapacaksam alacağım ürün 500 YTL ise kredi kartım için online bankacılıktan hemen bir sanal kredi kartı oluştururum ve limitini 510 YTL olarak belirlerim. Alış veriş yapacak olduğum zamn limiti gene yükseltirim. Bu kart bilgileri birinin eline geçsede bir şey geçmez eline. Alışveriş yapacağım siteleri çok araştırırım. Özellikle sikayetvar.com' dan hakkında ne tür şikayetler olup olmadığına bakarım. Mail üzerinden işlem yapmaktan uzak dururum. Ana başlıklar bunlar. Siz siz olun çok dikkat edin. Bu arada "kredi kartı bilgilerinizi girip alışveriş yaptığınız anda tüm bilgileriniz veritabanında bir tablo içinde kayıt altına alınır. Bu kaçınılmaz bir durum çünkü alışverişin tamamlanması için veritabanından bilgi çekilmesi ve sizi tanımlaması gerekir". demiş ivedik.B unu doğru bulmuyorum. Tamam bu şekilde çalışan siteler var fakat hepsi değil. Siz bilgileri girip onayladığınız zaman site güvenliğine göre 128 Bit gibi bir şifreleme sistemi ile bilgileriniz site üzerinden direk banka sistemine gider ve eğer onaylanırsa alışveriş sitesine geri döner, alış veriş siteside size olur verir ve işlem tamamlanır. İnternet üzerinden alışveriş yeni yaygınlaştığı dönemde nerdeyse tüm siteler yapılan alışverişlerde kullanılan kredi kartlarını veritabanında tutuyordu ve de güvenliğe o zaman önem verme gereğini düşünmediklerinden basit güvenlikleri kolaylıkla aşılabiliyordu. Zamanında gördüğüm veritabanlarının büyüklüğünü anlatamam. Diyeceğim şu ki;
