Sahtekarlar kartınızla ödeme yapmak için size tıpatıp benzeyen kişileri nasıl kullanıyor

Nisan 15, 2019

Muhtemelen şu tuhaf fenomeni biliyorsunuzdur: Bir yılda gerçekleşen uçak kazası sayısı trafik kazalarına göre daha az sayıda olmasına rağmen trafik kazalarındansa uçak kazaları medyanın daha çok dikkatini çeker. Aynı fenomen, siber güvenlik ve siber suçların bildirilmesini de içerecek şekilde, hayatın diğer yönleri için de geçerlidir.

2014 yılında, bir milyar Amerikan Doları’ndan fazla miktardaki parayı çalmış bir siber çete olan Carbank’ı keşfettik ve bu basın için büyük bir olaydı. Ancak her gün gerçekleşen daha yaygın kredi kartı dolandırıcılığının çok daha büyük bir finansal kayba neden olduğunu unutmamalıyız. Örneğin, The Nilson Raporu 2018 yılında kart dolandırıcılığının yaklaşık 24 milyar dolar kayba neden olduğunu tahmin etmektedir ve bu kayıp bu sene önemli ölçüde artmaya başlamıştır. Siber suçluların ve güvenlik uzmanlarının kredi kartı dolandırıcılığı olarak adlandırdığı kredi kartı bilgilerinin ticareti ölmedi. Tam aksine, büyüyor.

Gittikçe daha fazla bankanın makine öğrenmesine dayanan sıkı güvenlik sistemlerini ve becerikli dolandırıcılık-engelleyici çözümlerini ya da kart bakiyelerini çalınmaktan koruyan sistemleri uyguladığı düşünülürse bu şaşırtıcı görünebilir. Teoride bunlar, en azından çömez sahtekarların kartlardan para çalmasını engellemelidir, ancak istatistikler aksini söylemektedir. Üstelik karanlık ağlarda bulunan forumlarda eğer birisi “Siber suç kariyerindeki ilk adım nedir?” diye sorarsa cevap, “kredi kartı bilgisi ticareti” olur.

Neyse ki kredi kartı bilgi ticareti aslında bankaların ve ödeme platformlarının uygulamaya koydukları güvenlik araçları sayesinde daha zor hale gelmiştir. Ne yazık ki sahtekarlığa karşı koruyucu sistemler gerçekte kusursuz bir şekilde çalışmıyorlar. Ayrıca özel hizmetler, araçlar ve bu hizmetlerle araçların bulundukları pazarlar başkalarının kredi kartlarından para çalmayı denemek isteyenler için de elverişli.

Dijital parmak izi kontrolü: Karttan para çalmak için kimlik ödünç almak

Kaspersky Lab araştırmacısı olan Sergey Lozhkin, karanlık ağ üzerinde kullanıcıların dijital maskelerinin satıldığı Genesis isminde bir pazar keşfetti. Güvenlik Analist Toplantısı 2019‘da bu keşfi hakkında bir açılış konuşması yaptı. Bir dijital maske, kullanıcının dijital parmak izinden (Web geçmişi, İS ve tarayıcı bilgileri, yüklü ola eklentiler vb.) ve kullanıcının davranışları hakkındaki bilgilerden oluşmaktadır: kullanıcı internette ne yapmakta ve yaptığı şeyi nasıl yapmaktadır.

Sahtekarlar neden maskeleri satar ve bu kredi kartı bilgi ticaretiyle ne bakımdan ilgilidir? Dijital maskeler sahtekarlığa karşı kullanılan sistemler tarafından kullanıcıların doğrulanmasında kullanılır. Eğer sahtekarlık karşıtı sistemin gördüğü dijital maske, sistemin aynı kullanıcı için daha önce gördüğü bir dijital maskeyle eşleşirse, sistem o işlemi yasal olarak etiketleyecektir. Çok fazla sayıda banka için bunun anlamı, işlemi onaylaması için kullanıcıya SMS ile 3D Güvenlik kodu ya da anlık bildirim göndermeye gerek bile duymayacak olmalarıdır.

Yani eğer bir suçlu bir şekilde dijital maskenizi ve online bankacılık bilgilerinizi çalmayı başarırsa, sahtekarlık karşıtı sistem o suçlunun siz olduğunu düşünecek ve herhangi bir uyarı vermeyecektir. Bu yolla suçlu hesabınızdaki tüm parayı fark edilmeden hortumlayabilecektir.

Bazı suçluların kullanıcı bilgilerini kullanıcıların cihazlarından alıp Genesis’te satılığa çıkarmasının sebebi işte budur. Diğer başkaları da, içerdiği bilgi miktarına bağlı olarak 5$’dan 200$’a değişen paralara, bu bilgileri satın alıp dijital maskenin sahibiymiş gibi davranmak için kullanır.

Bunu yapmak için de ücretsiz bir tarayıcı eklentisi kullanırlar. Genesis arkasındaki kişiler tarafından geliştirilmiş olan ve Genesis Güvenlik olarak adlandırılan eklenti, bu kişilerin gerçek kullanıcılara ait sanal kimlikler yaratmak için dijital maskeleri kullanmalarına olanak sağlar ve bu şekilde de sahtekarlık karşıtı sistemleri kandırır. Temelde, kurbanın cihazındaki parametrelerle eşleşecek şekilde sahtekarlık karşıtı sistemin gördüğü parametreleri değiştir ve kurbanın davranışını yeniden yaratır.

Parmak izlerini toplamak

O halde, Genesis arkasındaki siber suçlular sattıkları verileri nereden buluyor? Cevap basit olduğu kadar muğlaktır da: çeşitli kötü amaçlı yazılım türlerinden.

Kötü amaçlı yazılımların hepsi fidye için verilerinizi şifrelemeye ya da cihazınıza girdiği gibi paranızı doğrudan çalmaya çalışmaz. Bazı türleri sessizce bekler, ulaşabildiği tüm verileri toplar ve daha sonra Genesis’te satılan dijital maskeleri yaratır.

Dolandırıcılık engellemeyi atlatmanın diğer yolları

Dolandırıcılık engelleyici sistemleri atlatmanın ilk yolu, tanıdık görünmektir. Diğer yol ise tamamen yeni görünmektir. Üstelik suçlular diğer yolu bildiklerinden İnternet üzerinde bunu yapan bir hizmet bile vardır.

Tamamen yeni, kullanılan dijital maskeyle hizmetin bildiği herhangi diğer dijital maskeler arasında eşleşen hiçbir parametre olmamanın hemen yanında anlamına gelmektedir. Bu da, eğer kullanılan parametrelerin bazıları (bilgisayar donanımı, ekran çözünürlüğü ve diğerleri gibi) daha önce kullanılmış olan dijital maskedekiyle aynı olacaksa, bilgisayarlarına yeni bir tarayıcı yükleseler bile, dolandırıcıların dolandırıcılık engelleyici sistemi olan bir hizmete giriş yapamayacakları anlamına gelir.

Ancak Sphere adındaki bir hizmet sahtekarların yeni bir dijital kimlik oluşturmasına ve bu parametrelerin hepsini değiştirmesine izin vermektedir, bunun neticesi olarak da dolandırıcılık-engelleyici sistemi bunları tamamen yeni birileri olarak görür. Üstelik bu yeni kişiye güvenmemek için hiçbir nedeni de yoktur.

Tıpatıp benzeyen kişileri kullananlara hayır demek

Sorun şu ki dolandırıcılık engelleyici sistem ne kadar gelişmiş olursa olsun bu teknikler hala işe yaramaktadır, çünkü dolandırıcılık engelleyici sistemin bir kişinin kaynaklara erişim izni olup olmadığına karar veren algoritmaları tam olarak sahtekarların topladıkları verilere dayanır.

O halde bu ileri düzey kart dolandırıcılığından korunmak mümkün mü?

Bankalar için, iki-adımlı doğrulamanın zorunlu kılınmasını gerekmektedir; hatta bu korumaya bazı durumlarda parmak izi okuma (dijital değil gerçek), göz bebeği tarama ya da yüz tanıma gibi bazı biyometrik bilgileri ikinci adım olarak kullanmak da dahildir. Bankaların ayrıca ortaya çıkan çeşitli şekillerdeki dolandırıcılıklara karşı uyanık olması gerekmektedir; aksi halde o dolandırıcılıklarla mücadele edecek araçları uygulamaya alamayacaklardır.

Kullanıcılar açısından, bu türden bir kart dolandırıcılığına karşı kendinizi korumanın tek yolu hiç kimsenin dijital maskenizi ele geçirmediğinden emin olmaktır. Bunun için de verilerinize dokunmaya çalışan her bir kötü amaçlı yazılım parçasının üstesinde gelecek güvenilir bir güvenlik çözümü yüklemeniz gerekmektedir.