banka kartı
Bankacılık sektörü, banka kartlarını korumak için çaba, zaman ve para harcıyor. Yıllar boyunca bu güvenlik kabartma sayılarla ve imza alanı ile sağlandı, ama şimdi paranız ile paranızı çalmak isteyenlerin arasında sadece tek aşamalı koruma sağlayan akıllı bir çip var.
Yeni çipli ve PIN’li kartlar (EMV standartlı) manyetik çizgili kartlardan daha sağlam koruma vadediyor, ancak çok geçmeden suçlular korumayı aşmayı denedi. Neyse ki, bu korumayı aşmayı deneyenler sadece suçlular değil; güvenlik uzmanları da sistemleri araştırıyor. Şirket araştırmacıları ödeme sistemi ekipmanlarını ve ödeme sistemi yapılarının açıklarını aramak adına derinlemesine inceliyorlar, bulurlarsa geliştiricileri uyararak suçlular da bu açıkları bulmadan ‘delikleri kapatmaları’ sağlanıyor.
Araştırmacıların Black Hat sunumu hem umuta hem de endişeye sebep oldu: Evet, suçlular çipli kartlardan para çalabilir – ama insanlar kendilerini korumak için korumasız değiller. NCR Corp’un (ATM ve ödeme terminalleri üreten bir firma) iki çalışanı yaptıkları sunumda, ödeme terminallerine yapılan saldırıların en çok benzincilerde ve dükkanlarda olduğunu belirttiler. Ucuz ve küçük Raspberry Pi bilgisayar kullanarak, kendilerini dükkanın ana bilgisayarı (kısaca yazar kasa) ile ödeme modülü (kısaca şifrenizi girdiğiniz o küçük cihaz) arasına yerleştiler.
Genel olarak, bu iki sistem arasındaki bağlantı tamamen şifrelenmiş olmalıdır, ama birçok durumda, sadece terminalin zayıf bir şifresi oluyor. Sonuç olarak, suçlular man-in-the-middle (Aradaki adam saldırısı veya Ortadaki adam saldırısı) uygulayarak: ödeme modülü ve ana bilgisayar arasındaki bağlantıya erişip şifreyi çözebiliyor.
Unfortunately two-factor authentication can't save you from #banking Trojans https://t.co/dEKfOWPaXo #mobile pic.twitter.com/hRP7WnTNmS
— Kaspersky Lab (@kaspersky) March 11, 2016
Saldırı aslında çipli karttaki temel güvenlik verilerini çekmiyor; kesin veriler (PIN kodu gibi), çipte şifrelidirler ve asla aktarılmazlar. Buna rağmen, saldırganlar çipten başka veriler elde ederler – veriler genellikle manyetik banta yazılmıştır.
Bu şekilde, suçlular kart sahibinin adını ve kart numarasını kullanarak kurbanın kartı ile online ödeme yapabilirler. Tabi, kartın arkasında bulunan CVV2 ya da CVC2 kodunuzu da bilmesi gerekiyor – bu da genellikle veri transferi sırasında gizli tutulur. Ama suçlular kart sahibini kandırıp bilgileri almaya çalışabilirler. Ödeme terminalindeki sıradan ”Kartınızı okutun” ve ”Şifrenizi girin” soruların yanı sıra, başka sorulara da cevap vermeniz gerekebilir – mesela ”CVV2 ya da CVC2 kodunuzu girin.”
ICYMI: Five lessons I’ve learned from having my credit card hacked http://t.co/dAQQfNXnE3 pic.twitter.com/dSYKBglVgO
— Kaspersky Lab (@kaspersky) November 15, 2014
Başka bir benzeri; Suçlular “Hata, lütfen şirenizi tekrar girin” gibi şeyler ekleyebilirler – ama bu sefer de terminal açık ve güvenli olmayan bilgi için sorduğunu anlayabilir. Eğer bu yöntem işe yararsa, terminal güvenli olan veriyi güvensiz bir şekilde suçluya gönderir ve kurbanın şifresi çalınır.
Araştırmacıların kart sahiplerini güvende tutabilecek iki ipucu var. Birincisi, şifrenizi asla iki defa girmeyin. Eğer bir hata alırsanız ve size tekrar şifrenizi sorarsa, işlemi iptal edin, kartı çıkartın, kartı tekrar cihazdan geçirip tekrar deneyin ve şifrenizi sadece bir defa kullanın. İkinci olarak ise, size şüpheli sorular soran terminallerden alışveriş yapmayın – hele ki eğer özellikle ”CVC2 ya da CVV2″ kodunuzu soruyorsa..
İkinci ipucu tüm ülkelerde geçerli değil, ama ilgi çekici. NCR uzmanları özellikle mobil ödeme sistemlerini (Apple Pay gibi) kullanmanın, kredi kartı kullanmaktan daha güvenli olduğunu belirtiyor.
Tabi eski usül nakit kullanmak her türlü kart ve banka dolandırıcılığı yapmak isteyenlere karşı en iyi korunma olacaktır.
