{"id":9118,"date":"2021-02-01T13:49:38","date_gmt":"2021-02-01T10:49:38","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=9118"},"modified":"2021-02-01T13:49:38","modified_gmt":"2021-02-01T10:49:38","slug":"security-tips-for-trading-platforms","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/security-tips-for-trading-platforms\/9118\/","title":{"rendered":"Fintech g\u00fcvenli\u011fine y\u00f6nelik k\u0131sa bir rehber"},"content":{"rendered":"

2019\u2019da k\u00fcresel borsalar 17 trilyon dolar b\u00fcy\u00fcd\u00fc. En hafif tabirle pandemi, d\u00fcnya piyasalar\u0131n\u0131 h\u0131rpalam\u0131\u015f olmas\u0131na ra\u011fmen, yat\u0131r\u0131ma olan ilgi h\u00e2l\u00e2 devam ediyor. 2020\u2019nin ba\u015f\u0131ndan bu yana, borsa uygulamas\u0131 kullan\u0131c\u0131lar\u0131n\u0131n say\u0131s\u0131 artmaya devam ediyor.<\/p>\n

E-sat\u0131c\u0131lar\u0131n varl\u0131klar\u0131 ve ki\u015fisel verileri siber su\u00e7lular i\u00e7in cazip bir av h\u00e2line gelmesi i\u015fin olumsuz taraf\u0131. Beklenmeyen bir olay ya\u015fan\u0131rsa da bunun sonu\u00e7lar\u0131yla u\u011fra\u015fmak zorunda olan borsa platformu operat\u00f6rleri oluyor. Bu yaz\u0131da, \u015firketlerin kar\u015f\u0131la\u015ft\u0131\u011f\u0131 ba\u015fl\u0131ca tehditlerden ve bunlar\u0131n nas\u0131l \u00fcstesinden gelinece\u011finden bahsediyoruz.<\/p>\n

Uygulama g\u00fcvenlik a\u00e7\u0131klar\u0131<\/h2>\n

B\u00fct\u00fcn yaz\u0131l\u0131mlar gibi, borsa platformlar\u0131n\u0131n da g\u00fcvenlik a\u00e7\u0131klar\u0131 vard\u0131r. 2018\u2019de siber g\u00fcvenlik uzman\u0131 Alejandro Hernandez, veri depolamas\u0131 veya iletimi i\u00e7in \u015fifreleme kullanmama (herkes parolay\u0131 g\u00f6rebilir veya de\u011fi\u015ftirebilir) ve bir s\u00fcre i\u015flem yap\u0131lmad\u0131\u011f\u0131nda kullan\u0131c\u0131lar\u0131n oturumunu kapatmama dahil olmak \u00fczere 79 uygulamada a\u00e7\u0131k buldu<\/a>. Tasar\u0131m d\u00fczeyindeki kusurlar, zay\u0131f parolalar i\u00e7in zemin haz\u0131rl\u0131yordu.<\/p>\n

Bir y\u0131l sonra, ImmuniWeb\u2019deki analistler benzer bir ara\u015ft\u0131rma yapt\u0131lar<\/a>. Ayn\u0131 \u015fekilde, onlar da olumsuz bir sonuca vard\u0131lar: Test ettikleri 100 fintech geli\u015ftirmesinin hepsi bir \u00f6l\u00e7\u00fcde savunmas\u0131zd\u0131. \u00dc\u00e7\u00fcnc\u00fc taraf uygulamalar\u0131 ve programc\u0131lar taraf\u0131ndan kullan\u0131lan ara\u00e7lardan kaynaklanan bir\u00e7ok hatayla, hem web aray\u00fcz\u00fcnde hem de mobil uygulamalarda bir\u00e7ok sorunla kar\u015f\u0131la\u015f\u0131ld\u0131. Baz\u0131 g\u00fcvenlik a\u00e7\u0131klar\u0131 i\u00e7in uzun zamand\u0131r mevcut yamalar vard\u0131 ancak bunlar yay\u0131nlanmam\u0131\u015ft\u0131. B\u00f6yle bir yama 2012\u2019de yay\u0131nland\u0131, ancak fintech uygulamas\u0131 geli\u015ftiricileri onu kurmay\u0131 asla ba\u015faramad\u0131.<\/p>\n

G\u00fcn gibi ortada olan bir ger\u00e7ek: Bir \u00fcr\u00fcn\u00fcn g\u00fcvenlik sorunlar\u0131 varsa, bunlar duyulacak, \u015firketlerin itibar\u0131na zarar verme potansiyeli ta\u015f\u0131yacak ve m\u00fc\u015fterileri korkutacakt\u0131r. Ve uygulamadaki bir hatan\u0131n sonucunda, kullan\u0131c\u0131lar bir veri s\u0131z\u0131nt\u0131s\u0131 veya mali kay\u0131p ya\u015farsa, geli\u015ftirici b\u00fcy\u00fck bir para cezas\u0131yla kar\u015f\u0131 kar\u015f\u0131ya kalabilir veya tazminat \u00f6demek zorunda kalabilir.<\/p>\n

Bazen tek kurban, bizzat platformun geli\u015ftiricisi olur. \u00d6rne\u011fin, Robinhood ticaret uygulamas\u0131n\u0131n geli\u015ftiricileri, premium kullan\u0131c\u0131lar\u0131n hisse senedi al\u0131m sat\u0131m\u0131 yapmak i\u00e7in platformdan s\u0131n\u0131rs\u0131z para \u00f6d\u00fcn\u00e7 almalar\u0131na izin veren bir hatay\u0131 fark edemediler<\/a>. Bunun sonucunda, bir kullan\u0131c\u0131 sadece 4.000 $\u2019l\u0131k bir depozito kar\u015f\u0131l\u0131\u011f\u0131nda bir milyon dolar bor\u00e7 ald\u0131. Sat\u0131c\u0131lar bunu \u201csonsuz para hile kodu\u201d olarak adland\u0131rd\u0131lar.<\/p>\n

Hatalar ve g\u00fcvenlik a\u00e7\u0131klar\u0131yla ili\u015fkili kay\u0131plar\u0131 \u00f6nlemek i\u00e7in, borsa platformu kodlay\u0131c\u0131lar\u0131n\u0131n, kullan\u0131c\u0131 oturumunu otomatik kapatma, \u015fifreleme ve zay\u0131f parolalar\u0131n yasaklanmas\u0131 gibi unsurlar\u0131 \u00f6nceden d\u00fc\u015f\u00fcnerek, geli\u015ftirme a\u015famas\u0131nda g\u00fcvenli\u011fi g\u00f6z \u00f6n\u00fcnde bulundurmalar\u0131 gerekir. Ayr\u0131ca, hatalar i\u00e7in kodu d\u00fczenli olarak g\u00f6zden ge\u00e7irmeli ve hemen d\u00fczeltmeliler.<\/p>\n

Tedarik zincirlerine yap\u0131lan sald\u0131r\u0131lar<\/h2>\n

Zaman ve paradan tasarruf etmek i\u00e7in, \u00e7o\u011fu \u015firket yaln\u0131zca kendi kodlar\u0131n\u0131 yazmakla kalmaz, ayn\u0131 zamanda \u00fc\u00e7\u00fcnc\u00fc taraf geli\u015ftirmeleri, \u00e7er\u00e7eveleri ve hizmetleri de kullan\u0131r. Bir sa\u011flay\u0131c\u0131n\u0131n altyap\u0131s\u0131 ele ge\u00e7irilirse, onu kullanan \u015firketler de zarar g\u00f6rebilir.<\/p>\n

Arac\u0131 Pepperstone<\/a>\u2018un ba\u015f\u0131na gelen de buydu. A\u011fustos 2020\u2019de, siber su\u00e7lular bir \u015firket y\u00fcklenicisinin bilgisayarlar\u0131na vir\u00fcs bula\u015ft\u0131rarak Pepperstone\u2019un CRM sistemindeki hesab\u0131na eri\u015fim sa\u011flad\u0131. \u0130zinsiz eri\u015fim h\u0131zla etkisiz hale getirilse de, sald\u0131rganlar yine de baz\u0131 m\u00fc\u015fteri verilerini \u00e7almay\u0131 ba\u015fard\u0131. Arac\u0131, finansal sistemlerin ve borsa sistemlerinin etkilenmedi\u011fini s\u00f6yl\u00fcyor. Bununla birlikte, olaydan \u00fc\u00e7\u00fcnc\u00fc taraf kodu sorumlu olsa bile veri s\u0131z\u0131nt\u0131lar\u0131n\u0131n \u015firketler i\u00e7in olduk\u00e7a maliyetli olabilece\u011fini<\/a> hat\u0131rlay\u0131n.<\/p>\n

Olas\u0131 tuzaklardan ka\u00e7\u0131nmak i\u00e7in her zaman g\u00fcvenilir, g\u00fcvenli\u011fe \u00f6nem veren i\u015f ortaklar\u0131 se\u00e7in ve sadece onlar\u0131n koruma mekanizmalar\u0131na asla g\u00fcvenmeyin. Finans alan\u0131nda faaliyet g\u00f6steren her bir \u015firket, s\u0131k\u0131 bir g\u00fcvenlik politikas\u0131 benimsemelidir.<\/p>\n

Hedef odakl\u0131 kimlik av\u0131<\/h2>\n

Genellikle siber olaylar\u0131n sebebi, insan fakt\u00f6r\u00fcd\u00fcr<\/a>. Bu nedenle sald\u0131rganlar, kurumsal altyap\u0131lara s\u0131zmak i\u00e7in \u015firket \u00e7al\u0131\u015fanlar\u0131n\u0131 kullan\u0131r.<\/p>\n

Bu ba\u011flamda, bu y\u0131l\u0131n Temmuz ay\u0131nda, siber g\u00fcvenlik ara\u015ft\u0131rmac\u0131lar\u0131 AB, \u0130ngiltere, Kanada ve Avustralya\u2019daki fintech kurumlar\u0131na y\u00f6nelik bir dizi sald\u0131r\u0131y\u0131 APT grubu Evilnum<\/a> ile ili\u015fkilendirdi. Siber su\u00e7lular, \u015firket \u00e7al\u0131\u015fanlar\u0131na yasal bir bulut hizmetindeki bir ZIP ar\u015fivine ba\u011flant\u0131 i\u00e7eren e-postalar g\u00f6nderdi. Mesajlar, ticari yaz\u0131\u015fma olarak ve ar\u015fiv i\u00e7eri\u011fi de belge veya resim olarak gizlendi. S\u00f6zkonusu belge veya resim ekranda g\u00f6r\u00fcnmesine ra\u011fmen, a\u00e7\u0131lmas\u0131 vir\u00fcs zincirini harekete ge\u00e7irdi.<\/p>\n

Bazen sald\u0131rganlar kurumsal e-posta hesaplar\u0131na s\u0131zar. Bu da, kimlik av\u0131n\u0131 daha ikna edici bir hale getirir. Bu y\u0131l\u0131n A\u011fustos ay\u0131nda, benzer bir sald\u0131r\u0131 borsa \u015firketi Virtu\u2019ya yap\u0131ld\u0131. \u015eirket temsilcilerine g\u00f6re, siber su\u00e7lular \u00fcst d\u00fczey bir y\u00f6neticinin posta kutusuna s\u0131zd\u0131lar<\/a>. Sonraki iki haftay\u0131 muhasebe birimine \u00c7in\u2019e b\u00fcy\u00fck miktarda para transferi talimatlar\u0131 i\u00e7eren e-postalar g\u00f6ndererek ge\u00e7irdiler. K\u00f6r\u00fc k\u00f6r\u00fcne g\u00fcvenmek, \u015firkete yakla\u015f\u0131k 11 milyon dolara mal oldu.<\/p>\n

Bu t\u00fcr sald\u0131r\u0131lardan korunmak i\u00e7in siber g\u00fcvenlik personelinin d\u00fczg\u00fcn bir e\u011fitime ihtiyac\u0131 vard\u0131r. E-postalardaki kimlik av\u0131 k\u0131rm\u0131z\u0131 bayraklar\u0131n\u0131n bir listesini derleyin. Daha sonra, bunu bir i\u015f arkada\u015f\u0131n\u0131z\u0131n, orta\u011f\u0131n\u0131z\u0131n veya m\u00fc\u015fterinizin sizden Jane Doe\u2019ya birka\u00e7 milyon ya da bundan biraz daha az bir miktar g\u00f6ndermenizi istedi\u011fi (veya istiyor gibi g\u00f6r\u00fcnmesi) bir plan yap\u0131n.<\/p>\n\n

M\u00fc\u015fteri sorunlar\u0131<\/h2>\n

Bazen kullan\u0131c\u0131lar, k\u00f6t\u00fc ama\u00e7l\u0131 yaz\u0131l\u0131m indirerek, kimlik av\u0131 sitelerine parolalar\u0131n\u0131 girerek veya ba\u015fka bir \u015fekilde sorumsuzca hareket ederek, sizin \u015firketinizin veya uygulaman\u0131z\u0131n hatas\u0131 olmadan para kaybederler. Bu durumda da ne yaz\u0131k ki borsa platformunun aleyhine iddialarda bulunabilirler. Baz\u0131 \u00fclkelerde, \u015firketler yasal olarak en az\u0131ndan ne oldu\u011funu \u00e7\u00f6zmekle y\u00fck\u00fcml\u00fcd\u00fcr. Bu nedenle, zaman zaman sat\u0131c\u0131lar\u0131 potansiyel tehlikeler konusunda uyarmak ve onlar\u0131 kendilerini (ve dolay\u0131s\u0131yla sizi) korumak konusunda uyarmak \u00f6nemlidir.<\/p>\n

Ayr\u0131ca, m\u00fc\u015fterilere herhangi bir \u00fc\u00e7\u00fcnc\u00fc taraf yaz\u0131l\u0131m\u0131n, \u00f6zellikle korsan olmas\u0131 veya \u015f\u00fcpheli kaynaklardan edinilmesi durumunda bir tehdit olu\u015fturabilece\u011fini periyodik olarak hat\u0131rlatmak da iyi bir fikir. \u00d6rne\u011fin, bosa hesaplar\u0131n\u0131nkiler de dahil olmak \u00fczere parolalar\u0131 \u00e7alabilir.<\/p>\n

M\u00fc\u015fterileri, siber su\u00e7lular\u0131n onlar\u0131n kimlik bilgilerini almak i\u00e7in sizin hizmetinizi taklit edebilecekleri konusunda uyar\u0131n. Hizmetle ilgili sorunlar hakk\u0131nda e-postalara \u00e7ok dikkat etmelerini, g\u00f6nderenin adresini ve iletiyi yaz\u0131m hatalar\u0131 ve yanl\u0131\u015f dil bilgisi a\u00e7\u0131s\u0131ndan dikkatlice kontrol etmelerini tavsiye edin. Herhangi bir \u015f\u00fcphe durumunda URL\u2019yi bir taray\u0131c\u0131ya manuel olarak girmelerini, uygulamay\u0131 a\u00e7malar\u0131n\u0131 veya m\u00fc\u015fteri deste\u011fini aramalar\u0131n\u0131 \u00f6nerin.<\/p>\n

Paran\u0131z\u0131 ve itibar\u0131n\u0131z\u0131 nas\u0131l korursunuz<\/h2>\n

Paray\u0131 idare etmek b\u00fcy\u00fck sorumluluk gerektirir. G\u00fcvenli\u011fi ihmal etmek de fintech \u015firketlerine \u00e7ok pahal\u0131ya mal olabilir. Bu nedenle:<\/p>\n