Eşkiyalık sanal ortama taşındı! Hırsızlıklar artık nitelikli

  • Giriş : 27.10.2007 / 21:46:00
  • Güncelleme : 27.03.2010 / 02:46:47

Sanal dolandırıcılık hikâyelerine her dakika bir yenisi ekleniyor. Önlem de alınmıyor.

Facebook Twitter
Yazı Boyutu:


Yeterli önlem alınmıyor ve neredeyse bütün risk müşteriye yıkılıyor hâlâ. BDDK'nın e-imza konusundaki yumuşak tavrı da eleştiriliyor.
'21 Eylül 2006 tarihinde, internet bankacılığı hesabımın kullanıma kapatıldığını fark ettim. Bankamı defalarca aradıktan sonra 'Bütün paralarınız çalındı, biz de güvenliğiniz için hesabınızı kullanıma kapadık.' cevabını aldım. Güvenlik önlemi hırsızlıktan sonra alınmış. Günler önce olan bu dolandırıcılığı, bana niçin anında haber vermediklerini sorduğumda da 'Size ulaşamamışız.' cevabını aldım. Bana ulaşabilecekleri en az 6 telefon numarası mevcuttu, cep telefonum hep açıktı. Savcılığa giderek banka hakkında suç duyurusunda bulundum. Bankanın savunması, 'Şifrelerinizi başka şahıslarla paylaşıp paylaşmadığınızı bilemeyiz, şifreleriniz olmadan kimse bu havaleyi yapamaz.' oldu. Dahası, banka savcılığa, 'İlgili tarih ve saatte, müşterimizle yapılan hiçbir ses kaydına rastlanamamıştır.' açıklamasını gönderdi.”

Burak Suvar, sayıları hızla artan internet bankacılığı mağdurlarından biri. Onun başına gelen dolandırıcılık örneğine benzer binlerce hikâye var. Bilişim uzmanı Faruk Kekevi, Burak Suvar'ın dolandırılmasıyla ilgili olarak üç ihtimalden bahsediyor: “İnternette gezinirken bilgisayarına casus programlara karşı güvenlik kalkanı oluşturmaması, sanal banka şifresini umuma açık yerlerdeki PC'lerde de kullanması ya da banka çalışanlarının bilgi sızdırması yoluyla yapılan dolandırıcılık ihtimali...”

EŞKIYALIK, SANAL ORTAMA TAŞINDI

Hırsızlıklar artık 'nitelikli' yapılıyor. Hollywood filmlerinde gördüğümüz zekice tasarlanmış banka soygunlarının internet versiyonu da denilebilecek sanal soygun ve kredi kartı hırsızlığı vakalarının sayısı sürekli artıyor. 14 Şubat 2006 tarihli gazeteler bir bankaya ait bir milyon müşterinin şifre ve kimlik bilgilerinin yer aldığı bir CD'nin ele geçirildiğini yazıyordu. Banka çalışanı tarafından yapılan bu bilgi çalma girişimi akim kalmasaydı, acaba o şifre ve bilgiler kimlerce kullanılacak, bugün sayıları on binleri bulan mağdurlar listesine daha kimler eklenecekti? Türkiye'de yeni yeni sanal polis ve bilişim departmanları kurulması düşünülsün, atı alan sahtekârlar Üsküdar'ı çoktan geçti. Dilimiz yeni bir ifadeye alıştı bile: Sanal bankacılık mağduru…

İnternet bankacılığı mağdurları, mevduatlarını teslim ettikleri bankaların kendilerini sanal riskler konusunda yeterince uyarmadığı, alınacak tedbirler konusunda bilgilendirmediği ve banka çalışanlarının da sanal hırsızlıklar karşısında nasıl bir yöntem izlenmesi gerektiğini bilmediğinden yakınıyor. İnternet bankacılığı mağdurları bir dernek kurup örgütlenmişler bile. Sanalbankamagdurlari.com sitesinde ilginç dolandırılma hikâyelerini ve yargı sürecinde yaşananları ilk ağızdan dinlemek mümkün. Sanal bankacılık mağdurlarının sayısı tam olarak bilinmiyor. Birkaç yıl öncesine kadar sayıları üç-beş iken bugün binlerle ifade edilen devasa bir Ordu oldu onlar. Sanal Banka Mağdurları Derneği Başkanı Cem Polatoğlu'na göre, sayları yüz binleri aşmış durumda. Dernek, BDDK ve Bankalar Birliği'ne resmî başvuru yaparak hangi bankadan ne kadar sanal soygun olduğunu (kredi kartı ve internet bankacılığı) sormuş. İki kurumdan da, “Elimizde böyle bir veri yoktur.” cevabı gelmiş. Dernek Başkanı Polatoğlu, “Böyle bir veri olmadan, bilmediğiniz düşmana karşı hangi önlemleri almaya çalışıyorsunuz?” diye soruyor.

Hırsızlıklar genelde ferdî olarak değil, şebeke ortamında yürütülüyor. Yüklü miktardaki paralar yurt dışı ve yurt içi transferlerle iç ediliyor. Hesabı kabarık kişi ve firmalara dadanan çete, parayı “birkaç takla attırarak” elde ediyor. Çalınan “sanal paralar” farklı şubelerdeki değişik isimlere havale ediliyor, ardından da internet üzerinden bir eşya satın alımına ya da likit çekme yoluna gidiliyor. Banka bu harekeleri izleyemediği için hırsızlığın farkına varamıyor ya da farkına varınca iş işten geçmiş oluyor. Banka müşterisi, soyulduğunu cep telefonuna gelen onay mesajı ile fark ediyor. Mağdur, “havale işlemini durdurun” talimatını vermesine rağmen banka, savcılıktan izin olmadan bunun gerçekleşemeyeceğini iletiyor. Tabii bu arada iş işten geçiyor.

BANKA RİSK ALMIYOR; OLAN MÜŞTERİYE OLUYOR

Mağdurların şikâyetleri birbirine benziyor: “Paramız başka bir hesaba transfer edildiğinden ancak günler sonra haberdar oluyoruz. Cep telefonuna onay mesajı geliyor, hayır demek için savcılıktan kâğıt istiyorlar. İnternetten yapılan işlem için müşterinin cep telefonuna gönderilen onay maili sadece evet içinse neden boşuna yollanır?”

Bankaların kayıtsızlığı bu gibi olaylarla kalmıyor. Mesela bir mağdurun hesabından bir rulmancının hesabına hırsızlarca para aktarılmış. Bankasının bu olaya cevabı “Kusura bakmayın, bunu sizin yapmadığınızı nerden bilelim!” olmuş. Olayın hırsızlık olduğu kesinleşince, telefonun ucundaki yetkilinin “Kusura bakmayın, size haber vermeyi unutmuşuz.” demesi de cabası.

“Bankalar sanal hırsızlıklara karşı neler yapmamız gerektiğini bizlere öğretmeden, hiçbir güvenlik önlemi öğretmeden, bir kitapçık vermeden, 'Alın bu da sizin internet bankacılık şifreniz. Güle güle kullanın.' diyorsa müşteri tehlikeyi fark edemez.” diyor bilişim uzmanı Faruk Kekevi. Uzmanlar; eğer müşteri, bankasının öngördüğü tüm güvenlik önlemlerini yerine getirdiyse, sanal hırsızlıklara karşı güvenlik duvarları yeterince sağlam olmayan bankalara yapılan sortilerin tüm sorumluluğunun da bankaya ait olması gerektiğini, çalınan mevduatların geri ödenmesi lazım geldiğini vurguluyor.

İnternet bankacılığı 7 yıldır uygulanmasına rağmen BDDK sanal bankacılık ve ağ güvenliği ile ilgili yeni tebliğ çıkardı. Faruk Kekevi, “7 yılda sayıları yüz binlere varan sanal soygunlar sanki başka ülkede oluyormuş gibi lakayt kalınması çok garip.” diyor. Geçen yıl yasa dışı olarak sadece Western Union'la 500 milyon YTL'nin yurtdışına transfer edildiğini kaydeden Kekevi'ye göre bizdeki güvenlik zafiyetini gören yabancı hacker'lar, bankalarımıza her geçen gün daha fazla dadanıyor.

E-İMZA ZORUNLU OLMALI

Tedbir almadan sanal bankacılık işlemleri yapmak büyük risk. İnternet bankacılığı yapılacak bilgisayarlarda casusluk önleyici (anti spy) yazılımların olması şart. Ayrıca firewall (güvenlik duvarı) programlarıyla da bilgisayarlar koruma altına alınmalı. İnternet ortamında yapılan bankacılık işlemleri için ücret alan bankaların güvenliğe yeterince yatırım yapmadığına değiniyor Cem Polatoğlu: “Sanal bankacılık için herkesin elini taşın altına koyması gerekir. 2004 yılında çıkarılan e-imza yasası var. Riski sıfır olan bu yöntemi bankalar neden kullanmazlar?” Kredi kartının içine sığan e-imza aparatı token (usb girişinden bilgisayara bağlanıyor ve kendine ait şifresi var) 20 YTL değerinde. Banka şifresini yazıp gönderdiğinizde sizin imzanızı algılıyor ve işlem yapmanıza müsaade ediyor. Riski yok, sızmak çok zor. Hırsızlık yapacak kişinin kredi kartı şifreniz veya sanal banka şifreniz yanında bir de bu aleti çalması gerekiyor. Sanal bankacılıkta kullanılan bir diğer yöntem mobil imza. SİM kartlara gömülen bir aparat vasıtasıyla cep telefonunuzda da mobil imzanızı kullanabiliyorsunuz. BDDK yetkilileri ise birçok bankanın altyapısı henüz hazır olmadığı için e-imzayı zorunlu kılamadıklarını, sadece tavsiye ettiklerini söylüyor. Şu an Türkiye'de iş yapan bankalardan sadece biri müşterilerine bu hizmeti sunuyor. Ancak tanıtım ve talep olmayınca başvurular da düşük kalmış.

Bankaların sanal hırsızlıklar konusundaki duyarsızlığına “Kafamızı kuma sokmanın bir anlamı yok!” diyerek tepki gösteriyor Sanal Banka Mağdurları Derneği Başkanı Cem Polatoğlu. Eğer sanal bankacılıktaki sorunlar ortadan kaldırılırsa, herkes bu kolay ve maliyeti düşük hizmetten istifade edebilecek. Kendisi de 'sanal bankacılık mağduru' olan Polatoğlu, çalınan parası için büyük uğraş vermiş, vermeye devam da ediyor. İzini sürdüğü hırsızlığın, kopyalanan IP numarası yardımıyla Pendik'teki bir internet kafede gerçekleştiğini belirlemiş. Hırsız hackerler, kablosuz ağ bağlantısının (wireless) bilgisizce kullanılmasından faydalanarak da hesaplara giriyorlar. İnternet kafeler ise bu konuda hiç de masum ve güvenli olmayan mekanlar. Çünkü bu kafelerde gerçekleştirilen işlemler kaydedilebiliyor. Bu bilgiler, kötü emelleri olan insanlara da satılabiliyor.

BDDK TEBLİĞİ YETERSİZ

BDDK'nın eylül ayı içerisinde yayımladığı “Bankalarda bilgi sistemleri yönetiminde esas alınacak ilkeler” tebliği, 1 Ocak 2008'de yürürlüğe girecek. Tebliğde internet bankacılığı uygulamaları konusunda tavsiyeler yer alıyor. Sanal bankacılıkla ilgili bir tebliğin bu kadar geç yayımlanması internet hırsızlarına paralarını kaptıran sanal banka mağdurlarının tepkisini çekti. Tebliğde, bankaların şüpheli işlemler için takip mekanizması kurması gerektiği vurgulanıyor. Ancak tebliğdeki şüpheli işlemler konusunda bankaların şimdiye kadar ne gibi önlemler aldığı meçhul. “Yayımlanan tebliğde, bilinen noktalara temas edilmiş, ortaya yeni bir öneri koyulmamış.” diyor bilişim uzmanı Faruk Kekevi.

Hiçbir bankanın güvenlik duvarının yeterince sağlam olmadığını dile getiren Kekevi de e-imzayı tavsiye ediyor. Ancak, hırsızlığa karşı kesin çözüm olmasına rağmen bu yöntem Türk bankaları tarafından pek tercih edilmiyor hâlâ. Kekevi ve ekibi yakında Ankara merkezli Bilgi Güvenliği Derneği kuracaklarını söylüyor. Amaç, kamuoyu oluşturarak resmî makamların önlem almasını sağlamak. Bu dernek vasıtasıyla Türk Telekom'a, özel bankalara ve Kamu bankalarına risklere karşı müşterilerini eğitmeleri için baskı yapacaklar.

HUKUK, TEKNOLOJİDEN UZAK

Sadece geçen yıl yüz bin insanın, hesaplarına sızılıp mağdur edildiğini söyleyen Cem Polatoğlu, bilişim suçlarına bakan hâkim ve savcıların teknolojiden uzak olmasından da şikâyetçi: “Bilgisayardan benim kadar anlamayan hâkimin vereceği karar ne kadar adil olabilir?” Bu durumda davaların ancak bilirkişi raporları doğrultusunda ortaya çıkarılması gerektiğinden mahkemeler aylarca, yıllarca sürebiliyor. Bilirkişi olarak atanan kişinin eski bir banka emeklisi olması da işin tuhaf yanı. Polatoğlu'na göre hiçbir banka emeklisi kendi bankası aleyhinde aksi tutum sergilemeyeceği için görülen dava da dava olmaktan çıkıyor.

Sanal suçlar için Batı ülkelerindeki gibi bilişim mahkemeleri benzeri bir uygulama da henüz ülkemizde yok. Bu mahkemelerin acilen hayata geçirilmesine ihtiyaç duyuluyor. Hukuk fakültelerinde okutulan derslerin çağın gereklerine göre yeniden gözden geçirilmesi de ilk etapta yapılabileceklerden…

RİSK MÜŞTERİYE YIKILIYOR

Yayımladığı tebliğde altyapıları hazır olmadığı için e-imzayı bankalara zorunlu kılmayan BDDK, sanal mağdurların sayısını da tam olarak bilmiyor. Mağdurlardan Burak Suvar, “Altyapıların hazır olmaması bahane olmamalı, o zaman mevduatların çalınmasından dolayı bankaların sorumlu tutulması gerekir.” diyor. BDDK'nın tüm riski müşterilere yıktığına vurgu yapan bilişim uzmanı Faruk Kekevi, her ülkede profesyonelce banka hırsızlığı olur; ancak ülkemizde bankalar çalınan paradan mesul olmadıkları için, müşteriler riski peşinen kabul etmiş oluyorlar.” diyor.

İNTERNETTEN KREDİ KARTIYLA ALIŞVERİŞE DİKKAT

Hayatımızı çokça kolaylaştıran kredi kartıyla internetten alışveriş yapmak da hâlâ büyük oranda risk taşıyor. İnternetten yapılan alışverişte kredi kartına ait özel bilgiler girildiği için kullanılan bilgisayardan bu kişisel bilgilerin ele geçirilmesi söz konusu olabiliyor. Bu konuda da önlem alınması gerekiyor. Özellikle umuma açık yerlerde kredi kartı bilgileri girilerek yapılan alışverişler sorun oluşturabiliyor.
AKSİYON

Facebook Twitter Yahoo Google Linkedin Stumbleupon Delicious