Bilim ve teknolojide yaşanan hızlı
gelişmeler doğrudan yaşamı etkileyecek nitelikte olmaya başlamıştır. Teknolojik
gelişmelerin neredeyse tüm insanları etkilediği alan özellikle internet
tekonlojileridir. İnternet, bilginin mesafe tanımaksızın dünyanın her noktasına
anında iletilmesini sağlayan ve insanlar arasındaki iletişimi farklı noktalara
taşıyan bir teknoloji olarak insan hayatındaki yerini almıştır. İnternetin bu özelliğini kullanarak rekabet avantajını
sağlamak isteyen ve müşterilerine sınırsız hizmet sunmayı hedefleyen kurumlar
internet teknolojisine yatırım yapmaya başlamışlardır. Bu kurumların en başında
müşterilerini internet bankacılığıyla tanıştıran bankalar gelmiştir.
Kullanıcıların bilgisayarlarından, cep telefonlarından, tabletlerinden bankacılık
işlemlerini yapabilmelerine olanak sağlayan internet bankacılığı uygulaması tüm
dünyada sunulmaktadır. Zaman ve mekan bağımsız olarak kullanılan uygulamalar
getirdiği büyük kolaylığın yanında önemli riskler de taşımaktadır. İnternet
bankacılığı uygulamasının kullanımının temel amacı paranın yönetilmesi olduğu
için kötü niyetli kullanıcıların da (hacker) birincil hedefi haline
gelmektedir. Bu yüzden dünyada her geçen gün finansal kurumlara yapılan hacking
saldırıları artmaktadır. Saldırı yöntemleri analiz edilerek, bunlara karşı
önlemlerin alınması ve bankacılık sistemlerinin güncel tutulması internet bankacılığı
uygulamasının güvenli şekilde kullanılmasını sağlayacaktır.
İnternet teknolojilerinin
gelişmesiyle birlikte hayatı kolaylaştıran uygulamaların en yaygın olarak
kullanılanı şüphesiz bankacılık uygulamalarıdır. Bankalar, müşterilerine
internet üzerinden neredeyse tüm bankacılık işlemlerini gerçekleştirebilecekleri
ortam sunmaya başlamışlardır. İnternet şubesi olarak adlandırılan bu ortamlarda
para havale etme, hesapları kontrol etme, fatura ödeme, fon alma satma gibi bir
çok işlem müşterinin hizmetine sunulmuştur. İnternet bankacılığı için kapsamlı
tanımı Altan, M., Karasioğlu şu şekilde yapmıştır. “İnternet bankacılığı; para
yatırmak ve çekmek dışında tüm bankacılık işlemlerinin kişinin bizzat kendisi
tarafından yer ve zamandan bağımsız olarak bir bilgisayar aracılığı ile
bankanın web sayfası üzerinden yapılan işlemlerdir” ifadeleriyle tanımlamıştır
[1]. Para
havale etmek için dahi saatlerce sıra bekleyen insanlar için bankaların
internet şubeleri hayatlarının vazgeçilmezi haline gemiştir. Türkiye Bankalar
Birliği’nin Haziran 2013’te yayınladığı “İnternet ve Mobil Bankacılık
İstatistikleri” raporuna göre internet bankacılığı yapmak üzere sistemde
kayıtlı olan ve en az bir kez giriş işlemi yapmış toplam bireysel müşteri
sayısı, Haziran 2013 itibariyle, 25 milyon 313 bin kişi olmuştur. Son bir yıl
içerisinde en az bir kez giriş işlemi yapmış toplam bireysel müşteri sayısı ise
yaklaşık 15 milyon 707 bin kişidir [2]. Bu sayı her geçen gün artmaya devam
etmektedir.
Ne yazık ki internet bankacılığı, sağladığı
bunca kolaylığın yanında ciddi riskler de taşımaktadır. Özellikle kötü niyetli
bilgisayar kullanıcılarının (hackerlar) temel motivasyon kaynaklarının arasında
maddi kaygılar ilk sırada geldiği için her gün yüzlerce internet bankacılığı
kullanıcısı bu tehditlerle karşılaşmaktadır. İnternet bankacılığı konusunda
bankalar gerekli güvenlik önlemlerini almış olsalar da, güvenliğin
sağlanmasında kullanıcı bilinci ve farkındalığı çok daha önemli rol
oynamaktadır. İnternet bankacılığı kullanıcılarını hedef alan Zeus, SpyEye,
Fatmal gibi zararlı yazılımların sayısının hızla artıyor olması bilgisayar korsanlarının
doğrudan kullanıcıları hedef aldığını göstermektedir. Tüm bu tehditler analiz
edilerek kullanıcıya güvenli internet bankacılığı sunulmalıdır.
Oltalama saldırıları doğrudan
kullanıcıyı hedef alan, kullanıcının zaaflarından yararlanmayı amaçlayan bir
saldırı yöntemidir. Kullanıcının güvendiği kaynaklardan geliyormuş gibi
gösterilen e-postalar sayesinde kullanıcı adı, parola gibi bilgiler ele
geçirilmektedir. Türkiye’de 25 milyon internet bankacılığı kullanıcısının
olduğu düşünüldüğünde özellikle internet bankacılığı kullanıcılarına yapılan
oltalama saldırıları gün geçtikçe
artmaktadır. Global Phishing Survey 2H2012 raporuna göre; dünya
genelinde 2012 yılının ikinci altı aylık kısmında 123,486 oltalama saldırısı
gerçekleşmiştir [3]. Bankaların aldıkları güvenlik yöntemleri arttıkça
saldırganlar da yöntem değiştirerek doğrudan kullanıcıları hedef alan oltalama
saldırılarını gerçekleştirmektedirler. Bunun temel sebebi toplumun her
profilinden internet bankacılığı kullanıcısının yer almasıdır. Kullanıcılar
içinde bilgisayar okur-yazarlığı çok iyi olanlar olduğu gibi bilgisayar
teknolojisine çok fazla uyum sağlayamamış insanlar da bulunmaktadır.
Saldırganlar saldırılarını gerçekleştirirken belirli bir profili hedef
almamaktadırlar. Sadece bilgisayar okur-yazarlığı zayıf olan internet
bankacılığı kullanıcılarına yönelmek yerine bir bankanın tüm internet
bankacılığı kullanıcılarını hedef alıp bilgisayar okur-yazarlığı zayıf
olanların tuzaklarına düşmesini beklemektedirler. Oltalama ismi de aslında
buradan gelmektedir. Bir balıkçının oltasının ucuna yem takıp denize atıp
beklemesi ve aç olan balıkların zaafından yararlanması örneğine benzerliğinden
dolayı bu isim verilmiştir.
Aşama
aşama oltalama saldırısı şu şekikde meydana gelmektedir;
- Saldırgan
bankadan geliyormuş gibi hazırladığı e-postayı kullanıcıya gönderir. E-posta
genelde internet bankacılığındaki yeniliklerden veya kampanyalardan bahseder.
Buradaki temel amaç kullanıcıyı internet bankacılığını o an kullandırmaya ikna
etmektir.
- İnternet
bankacılığını o an kullanmaya ikna olan kullanıcı farkında olmadan saldırganın
talimatlarıyla hareket ederek onun gösterdiği bağlantı adresine gitmeye
çalışacaktır. Açılan yeni pencerede her zaman kullandığı internet bankacılığı
sayfasını gören kullanıcı doğru yolda olduğunu düşünecektir.
- Gerçek
internet bankacılığı sayfasına gittiğini düşünen kullanıcı aslında saldırganın
hazırladığı kopya sayfaya gitmiştir. Bu sayfaya yazdığı kullanıcı adı, parola
gibi her türlü bilgi artık saldırgan tarafından görülebilecektir.
- Saldırgan
internet bankacılığı kullanıcısına ait bilgileri kullanarak internet
bankacılığına giriş yapmıştır.
- Asıl
amacına ulaşarak maddi çıkar sağlamıştır.
Şekil-1: Oltalama
Saldırısı
BDDK'nın Bankalarda Bilgi Sistemleri
Yönetiminde Esas Alınacak İlkelere İlişkin Tebliğ'inde İnternet Bankacılığı
bölümünde Madde-27(4)'te “Müşterilere uygulanan kimlik doğrulama mekanizması
birbirinden bağımsız en az iki bileşenden oluşur. Bu iki bileşen; müşterinin "bildiği",
müşterinin "sahip olduğu" veya müşterinin "biyometrik bir
karakteristiği olan" unsur sınıflarından farklı ikisine ait olmak üzere
seçilir. Müşterinin "bildiği" unsur olarak parola/değişken parola
bilgisi gibi bileşenler, "sahip olduğu" unsur olarak tek kullanımlık
parola üretim cihazı, kısa mesaj servisi ile sağlanan tek kullanımlık parola
gibi bileşenler kullanılabilir. Bileşenler tamamen müşterinin şahsına özgü
olmalı ve bunlar sunulmadan kimlik doğrulama gerçekleştirilememeli, hizmetlere
erişim sağlanamamalıdır.” denilmektedir. Burada oltalama saldırıları gibi
saldırılara karşı bankaların önlem almalarını istemektedir. Bankalar önlem
olarak cep telefonlarına gönderilen tek kullanımlık şifrelerle güvenliği
sağlamaya çalışmaktadırlar. Ancak saldırganlar bunu da özellikle akıllı
telefonlara yerleştirilen küçük zararlı yazılımlar sayesinde
atlatabilmektedirler.
5237 Kanun No'lu Türk Ceza
Kanunu'nda Bilişim Suçları ile ilgili maddeler düzenlenmiştir. Bu maddelerde
bilişim sistemine girme, sistemi engelleme bozma, verileri yok etme veya
değiştirme, ve banka veya kredi kartlarının kötüye kullanılması başlıkları
altında değerlendirilmiştir. Yukarıda bahsedilen oltalama saldırısı ilk bakışta
bilişim sistemine girme olarak değerlendirilebilir. Ancak burada hedef doğrudan
bilişim sistemine girmek değildir. Bilişim sistemine girerek maddi kazanç
sağlamaktır. Bilişim suçları değerlendirilirken doğrudan bilişim suçu ve
dolaylı bilişim suçu gibi iki temel unsur göz önünde bulundurulmalıdır.
Doğrudan bilişim suçunda amaç bilişim sistemlerine yönelik zarar vermeler
olarak düşünülürken, dolaylı bilişim suçunda amaç klasik suçların bilişim
sistemlerinden yararlanılarak işlenmesi olup, bu suçların nitelikli şekli
olarak o suçla ilgili bölümlerde yer almaktadır. TCK’nın 112, 113, 125, 132,
133, 134, 135, 136, 138, 142/2-e, 158/1-f, 213-218, 226, 228 maddelerinde
yazılı suçların bilişim sistemleri kullanılarak işlenmesi mümkündür.
Bu yüzden oltalama suçu dolaylı
bilişim suçu olarak değerlendirilip nitelikli dolandırıcılık kapsamında
değerlendirilmelidir. TCK Madde-158(f)'de “ Dolandırıcılık suçunun; bilişim
sistemlerinin, banka veya kredi kurumlarının araç olarak kullanılması
suretiyle, işlenmesi hâlinde, iki yıldan yedi yıla kadar hapis ve beşbin güne
kadar adlî para cezasına hükmolunur.” denilmektedir. Bu değerlendirme yukarıda
adım adım belirtilen oltalama suçu içindir.
Ayrıca, elde ettiği bilgilerle
kullanıcının internet bankacılığı hesabına girip işlem yaptığı için TCK Madde
243 – (1)'e (Bir bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı
olarak giren ve orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî
para cezası verilir) göre de suç kapsamında değerlendirecektir.
Domain Name Server (DNS) internet
üzerinde web sayfalarının IP adreslerinin tutulduğu bir rehberdir. Bunu telefon
rehberine benzetebiliriz. Tüm numaraları ezberleme imkanımız olmadığı için
bunlar anlamlandıralarak rehbere kayıt edilir. Ziyaret ettiğimiz her web
sitesinin de bir IP adresi vardır. Bu IP adreslerini ezberlemek, öğrenmek çok
zor olacağı için isim çözümlemsi yapılmaktadır. Örneğin internet bankacılığı
kullanıcısı işlem yapmak istediğinde tarayıcısına bankasının adresini yazdıktan sonra sırasıyla
işlem şu şekilde gerçekleşecektir. Bankanın internet sayfasına ait IP adresi
DNS sunucuya sorulur. Gelen cevaba göre ilgili IP adresinden istekte bulunulur
ve kullanıcı bankasının internet sayfasına girmiş olur. Saldırganlar burada DNS
zehirleme yöntemiyle kullanıcıyı kendi internet sayfalarına yönlendirmeyi
hedeflemektedir. Oltalama saldırılarında olduğu gibi saldırganlar
yönlendirdikleri sahte web sayfasında kullanıcının tüm bilgilerini ele
geçirmeyi amaçlamaktadırlar.
DNS
zehirleme saldırısı sırasıyla şu şekilde gerçekleşmektedir.
- Saldırgan
sunucudaki bir zafiyeti kullanarak DNS'i zehirliyor.
- Kullanıcı
internet tarayıcısına girmek istediği bankanın adresini yazıyor.
- Bankanın
sayfasını bulabilmek için DNS çözümlemesi yapılarak IP adresi bulunuyor.
- DNS
sorgusu zehirlenen DNS ile yapıldığı için gelen IP adresi saldırgana ait IP
adresi oluyor.
- Saldırganın
IP adresiyle devam edildikten sonra kullanıcının karşısına saldırganın
hazırladığı gerçek sayfa ile bire bir aynı olan
sayfa geliyor.
- Kullanıcının
bu sayfaya girdiği parola, kullanıcı adı gibi bilgiler saldırganın eline geçmiş
oluyor.
- Saldırgan
bilgiler sayesinde internet bankacılığına giriş yaparak maddi kazanç sağlamış
oluyor.
Şekil-2: DNS Zehirleme
Saldırısı
DNS zehirleme saldırılarının bir
başka yöntemi de doğrudan kullanıcı bilgisayarında bulunan yerel DNS dosyasına
müdahale etmektir. İşletim sistemlerinde bulunan “hosts” dosyası yerel DNS
hizmeti vermektedir. İnternet tarayıcısına yazılan bir web adresi DNS sunuculara
sorgulanmadan önce ilk olarak “hosts” dosyasında kontrol edilir. Eğer burada
bir karşılığı varsa dosyadaki IP adresini alarak sorguyu bitirir ve o adresten
istekte bulunur. İşletim sisteminin “hosts” dosyasına müdahale edip
kullanıcının bankası yerine kendi web sayfasının IP adresini ekleyen saldırgan
kullanıcıyı bire bir kopyasını oluşturduğu internet bankacılığı yönlendirmiş
olur. Kullanıcı bilgilerini, parolalarını ele geçiren saldırgan internet
bankacılığına giriş yaparak maddi kazanç elde etmiş olur.
İşlenen suçun doğrudan bilişim suçu
mu yoksa dolaylı bilişim suçu mu olduğunun analiz edilmesi gerekmektedir.
Oltalama saldırısında olduğu gibi her ne kadar saldırganın niyeti kullanıcının
hesabındaki parayı almaya yönelik olsa da kullanıcının aldatılması söz konusu
değildir. Burada kullanıcı tüm işlemleri doğru bir şekilde yapmaktadır.
İnternet tarayıcısına girerek kendi bankasının adresini yazmaktadır.
Yönlendirilme kısmı DNS tarafında olmaktadır. Saldırgan DNS sunucunun
işleyişini bozmaktadır. Burada işleyişin bozulmasıyla anlatılmak istenen normal
şartlar altında varsayılan tanımlamalar dışında çalışmasıdır. Dolayısıyla DNS
zehirleme saldırısı doğrudan bilişim suçu kapsamında değerlendirilmelidir. TCK Madde-244(1)'de “Bir bilişim sisteminin
işleyişini engelleyen veya bozan kişi, bir yıldan beş yıla kadar hapis cezası
ile cezalandırılır.” denilmektedir. Bu madde kapsamında suç olarak
değerlendirilecektir. Ayrıca, elde ettiği bilgilerle kullanıcının internet
bankacılığı hesabına girip işlem yaptığı için TCK Madde 243 – (1)'e (Bir
bilişim sisteminin bütününe veya bir kısmına, hukuka aykırı olarak giren ve
orada kalmaya devam eden kimseye bir yıla kadar hapis veya adlî para cezası
verilir) göre de suç kapsamında değerlendirecektir.
İnternet bankacılığına yönelik
tehditlerden en önemlisi ve etkilisi zararlı yazılımlardır. Finans sektörüne
karşı tasarlanmış bu tür zararlı yazılımlar tüm dünyada hızlı bir şekilde
artmaktadır. Bankaların aldıkları güvenlik önlemleri artmaya başladığından beri
saldırganlar hedeflerini kullanıcılara doğru yöneltmişlerdir. Bunun için
gerekli olan kaynağı sağlayıp yüksek motivasyonla hedeflerine
saldırmaktadırlar. Kullanıcı bilgisayarına bulaşan bir zararlı yazılım, adeta
saldırganın uzaktan kumandası olmaktadır. Öyle ki, kullanıcı hareketlerini her
türlü izleme, dinleme ve kaydetme işlemlerini rahatlıkla yapabilmektedir. Durum
böyle olunca bu tür saldırılarda gün geçtikçe artmaya başlamıştır. Trend
Micro'nun “2013 Q2 Security Roundup” raporuna göre internet bankacılığa karşı
geliştirilen zararlı yazılımların sayısı 2012 yılına göre %29 artarak 146,000
olmuştur [4]. Ayrıca aşağıdaki grafikler McAfee laboratuarlarında bulunan
zararlı yazılımların son 1 yıl içindeki değişimini göstermektedir.
Grafik-1: Zararlı
Yazılım Sayıları [5]
Her
geçen gün tehditlerin arttığı zararlı yazılımlar kullanıcı bilgisayarlarına
nasıl bulaşıyor?
Sosyal mühendislik yöntemleri genelde en çok kullanılan yöntemlerin başında
geliyor. Kullanıcıya gönderilen resim, doküman gibi dosyaların içine
yerleştirilen zararlı yazılımların kullanıcının bilgisi olmadan arka planda
çalışması sağlanır. Ayrıca bazı web sayfalarının zafiyetinden faydalanılarak
zararlı yazılımlar enjekte edilebilir. Buraya giren kullanıcılar farkında
olmadan zararlı yazılımları bilgisayarlarına almış olurlar. Bir diğer sık
kullanılan yöntem de oyun gibi internetten indirilen çalıştırılabilir
uygulamaların içine yerleştirilen zararlı yazılımlardır.
Dünya genelinde bir çok internet
bankacılığı kullanıcısını mağdur eden en popüler zararlı yazılımlar zeus,
spyeye, tinba ve fatmal gibi trojan'lardır. Bu zararlı yazılımlar genel olarak
trojan ismiyle tanınmaktadır. Yapısı gereği kullanıcı bilgisayarına bulaşan
yazılımlar kullanıcıdan habersiz bir çok işlem gerçekleştirmektedir. İsmi,
görev olarak benzediği için mitolojideki truva atından gelmektedir. Bu zararlı
yazılımların yıllar içinde bir çok versiyonu çıkmıştır. Temel çalışma
prensipleri kullanıcı bilgisayarına bulaşarak özellikle internet bankacılığı
hareketlerini izlemek, saldırgana raporlamak ve hatta müdahale etmektir.
Doğrudan internet bankacılığı hedeflenmiştir. Dolayısıyla kişinin e-posta
parolasını veya facebook parolasını almayacaktır. Bu 4 popüler zararlı
yazılımın temelde farklı çalışma prensipleri ve farklı hedefleri vardır. Bu
yöntemleri anlamak, saldırganlara karşı korunmada ve önlem almada önemli bir
adım olmaktadır.
Zeus: Zeus trojanı
internet bankacılığını hedef alarak kullanıcıların bankacılık
hareketlerini/işlemlerini değiştirmeyihedefler. Saldırgan öncelikle hedef
aldığı bankaları belirler. Bu bankaların internet bankacılığı işlemlerini
derinlemesine analiz eder. Havale işleminin, EFT işleminin, döviz alıp-satma
işlemlerinin nasıl gerçekleştiğini tespit eder. Bu işlemler her banka için
farklı olacağından zararlı yazılımı hedeflediği bankalara göre özelleştirilir.
Bu aşamadan sonra işlem sadece zararlı yazılımı kullanıcı bilgisayarına
bulaştırmaktır. Bunu da sosyal mühendislik becerileriyle yaptıktan sonra
kullanıcının bankacılık işlemleri yapmasını bekler. Kullanıcı bir hesaba para
havale etmek istediğinde Zeus zaraylı yazılımı araya girerek tüm parayı
saldırgana havale eder. Bu işlemler yapılırken kullanıcı paranın göndermek
istediği hesaba gittiğini düşünür. Ancak bütün para saldırgana gönderilmiştir.
Spyeye: Zeus trojanı gibi
inernet bankacılığı kullanıcılarını hedef alır. Zeustan farklı olarak kullanıcı
bilgilerini saldırgana gönderir. Her türlü klavye hareketlerini, kredi kart
bilgilerini saldırgana göndererek maddi çıkar elde etmesine olanak sağlar.
Tinba: Bankacılık sektörünü
hedef alan bir zararlı yazılımdır. İsmi tiny (tin) ve bank (ba) kelimelerinin
birleştirilmesinden oluşmaktadır. Banka uygulamalarını hedef alan bu zaraylı
yazılım veri çalmak için geliştirilmiştir. İnternet tarayıcılarındaki kayıtlı
bilgiler dahil olmak üzere her türlü trafik ve oturum bilgisini saldırgana
göndermektedir. Bu bilgiler sayesinde saldırganın maddi çıkar elde etmesini
sağlar.
Fatmal: Fatura zararlı
yazlımı (Fatura Malware) olarak adlandırılan zararlı yazılım özellikle 2013
yılı içinde Türkiye'de sıkça görülmüştür. Oltalama yöntemi kullanılarak
kullanıcıya gönderilen bir e-posta ekinde yer alan fatura açıldığında zararlı
yazılım kullanıcı bilgisayarına bulaşmış oluyor. Özellikle bankacılık
uygulamalarını hedef alan zararlı yazılım sayesinde kaullanıcı adları ve
parolalar saldırgana gönderilerek saldırganın maddi kazanç elde etmesine olanak
sağlıyor.
Bankacılık sistemlerini hedef alan
zararlı yazılımların kullanıcı bilgisayarına bulaştırılması aracılığıyla
işlenen suçlar bilişim suçları kapğsamında değerlendirilmektedir. Sisteme veri
yerleştirerek maddi kazanç elde etmeyi amaçlamaktadır. TCK Madde – 244(2)'de
“(2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya
erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere
gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır.”
denilmektedir. Saldırganın zararlı yazılımı kullanıcı bilgisayarına
yerleştirmesi ilgili maddede geçen sisteme veri yerleştiren ifadesi kapsamında
suç olarak değerlendirilmektedir.
Mobil teknolojilerin hızla insan
hayatına girmesiyle birlikte saldırganların yeni ilgi alanı mobil uygulamalar
olmaya başladı. Yeni gelişmekte olan mobil platformlardaki zafiyetlerin,
kontrollerin ve farkındalığın eksik olmasından dolayı saldırganlar bu alana
daha çok kaynak ayırmaya başladılar. Bankalar da müşterilerine daha iyi hizmet
için sunmak için internet bankacılığı uygulamalarını mobil olarakta
geliştirmeye başladılar. Sağladığı kolaylıklarla birlikte mobil bankacılık
uygulamaları her an kullanılmaktadır. Bilgisayar okur-yazarlığı 2000'li
yılların başına göre artmış olsa da mobil teknolojilerin okur-yazarlığı 2000'li
yılların bilgisayar okur-yazarlığı seviyesindedir. Bu alanda da kullanıcıların
bilinçlenmesi ve bankaların gerekli güvenlik önlemlerini alması gerekmektedir.
McAfee laboratuarlarında yer alan
mobil zararlı yazılımların artış grafiği son iki yıldaki artışı çok net olarak
göstermektedir.
Grafik-2:
Mobil Zararlı Yazılım Sayısı [6]
Mobil platformlar genellikle Android
ve Apple iOS işletim sistemlerinden oluşmaktadır. Bu iki işletim sistemi
kendine özgü uygulama alanları sayesinde kullanıcılarına uygulamalar
sunmaktadır. Android işletim sisteminin uygulamalarını barındıran sistemde herhangi
bir kontrol uygulanmamaktadır. Yazılım geliştiren herkes bu platforma
uygulamasını yükleyebilmektedir. Kontrolsüz bir şekilde doğrudan kullanıcıya
ulaşmaktadır. Uygulamanın mobil cihazlara kurulumu da son derece kolay olduğu
için bu alanda ki zararlı yazılımlar hızla yayılmaktadır. Apple iOS işletim
sisteminin uygulama depolama alanında uygulamalar güvenlik kontrolünden geçerek
kullanıcılara sunulmaktadır. Bu durumda zararlı yazılımlar Andorid mobil platformları Apple iOS mobil
platformlara göre daha fazla tehdit etmektedir.Aşağıdaki grafikte oranlar
gösterilmiştir.
Grafik-3: Mobil
Zararlı Yazılım Platform
Mobil uygulama platformlarına
yüklenen bankacılık sistemlerini hedef alan zararlı yazılımlar çok hızlı bir
şekilde yayılmaktadır. İnternet bankacılığını hedef alan uygulamalar özellikle
SMS çalma üzerine tasarlanmaktadır. Bankaların aldığı güvenlik önlemleri içinde
SMS ile gönderilen tek kullanımlık şifre olduğu için saldırganlar bu alanda
özellikle yoğunlaşmaktadırlar. En yaygın mobil internet bankacılığı saldırıları
şu şekilde yapılmaktadır;
Kullanıcı cep telefonundan veya
bilgisayarından internet bankacılığına giriş yapmak ister. Saldırganın daha
önce sisteme çeşitli yöntemlerle yerleştirdiği zararlı yazılım aracılığıyla bir
kullanıcının karşısına bir uyarı çıkar. Uyarıda bankanın yeni bir uygulamaya
geçtiği ve cep telefonun marka modeli sorulur. Bu cevaba göre cep telefonuna
uygun hazırlanmış zararlı yazılım indirilecektir. Zararlı yazılım SMS
mesajlarını saldırgana göndermek amacıyla tasarlanmıştır. Kullanıcı kullanıcı
adını ve parolasını girdikten sonra ayrıca bu bilgiler de saldırgana zararlı
yazılımlar sayesinde gönderilmektedir. Bu andan itibaren saldırgan istediği
zaman kullanıcının hesabına girebilecektir.
Bunca işlemleri gerçekleştiren
Carpberp mobil zararlı yazılım uygulamasının kronolojisi aşağıdaki gibidir.
Zararlı yazılımın geliştirilmesiyle yayılması arasındaki gün farkı çok azdır.
Bu kadar hızlı yayılması ve hedefe bulaşması saldırganlar için ciddi motivasyon
kaynağı olmaktadır.
Geliştirme ve test (01/11/12)
Yayılma
başlangıcı (03/12/12)
Tespit
edilme (11/12/12)
Android
uygulama platformundan kaldırılma (13/12/12)
Bankacılık sistemlerini hedef alan
zararlı yazılımların kullanıcı mobil platformlarına bulaştırılması aracılığıyla
işlenen suçlar bilişim suçları kapğsamında değerlendirilmektedir. Sisteme veri
yerleştirerek maddi kazanç elde etmeyi amaçlamaktadır. TCK Madde – 244(2)'de
“(2) Bir bilişim sistemindeki verileri bozan, yok eden, değiştiren veya
erişilmez kılan, sisteme veri yerleştiren, var olan verileri başka bir yere
gönderen kişi, altı aydan üç yıla kadar hapis cezası ile cezalandırılır.”
denilmektedir. Saldırganın zararlı yazılımı kullanıcı bilgisayarına
yerleştirmesi ilgili maddede geçen sisteme veri yerleştiren ifadesi kapsamında
suç olarak değerlendirilmektedir.
DDoS (Distributed Denial of Service
– Dağıtık Servis Dışı Bırakma) saldırısı doğrudan sistemleri işlem yapamaz hale
getirmeye yönelik saldırılardır. Sistemlerden veri kaçırma veya veriye müdahale
etme gibi amaçları yoktur. Çalışma mantığı temelde şu şekildedir. Bir bankanın
internet bankacılığı sistemlerinin sınırlı hizmet verme kapasitesi vardır.
Örneğin aynı anda 1000 kişinin işlem yapabileceği uygulamada 2000 kişi işlem yapmak isterse
yoğunluktan dolayı sistem isteklere cevap veremeyecektir. Bu şekilde internet
bankacılığı sistemlerine yapılan yüksek oranda ki istekler hizmet kesintilerine
neden olmaktadır. İnternet bankacılığı kullanıcılarının saldırı süresince
hizmet alamama haricinde hesap bilgilerinin çalınması gibi olumsuz
etkilendikleri bir durum gerçekleşmemektedir. Ancak hizmet kesintisi gibi
bankacılık sektörünün kabul etmek istemeyeceği çok önemli bir durum söz
konusudur. Bankalar, özellikle rekabet avantajını sağlamak için müşterilerine
internet bankacılığı hizmetini kesintisiz sunmak istemektedir. Bunun önüne
geçmek isteyen saldırganlar DDoS saldırıları ile bankalara zarar vermek
istemektedirler. Saldırganların temel motivasyonları siyasi sebepler, maddi
kaygılar ve rekabet avantajını sağlamak olmaktadır. 2012'nin sonlarında ve
2013'ün başlarında Dünya genelinde U.S. Bankcorp, JPMorgan Chase & Co, Bank
of America, PNC Financial Fervices Group, and SunTrust Banks gibi bankalara
etkili DDoS saldırıları gerçekleştirilmiştir [7].
DDoS saldırılarının gerçekleşme
yöntemleri genelde 3 şekilde olmaktadır. Birincisi saldırganın kurduğu zombi ağ
üzerinden, ikincisi tamamen gönüllü insanlar tarafından ve üçüncüsü sadece
saldırgan üzerinden olmaktadır. Gönüllü insanlar bir görüşü savunan gruplardan
oluşmaktadır ve bir ideolojik düşünce çerçevesinde yapılmaktadır. Her üç
yöntemin de banka tarafındaki zararı neredeyse aynı olmaktadır. Bu yöntem
farklılıkları bilişim suçları açısından değerlendirme sürecinde faydalı
olabilecektir.
Şekil-3: DDoS Atak
Türkiye'nin de taraf olduğu Avrupa
Konseyi Siber Suç Sözleşmesi'nin 5. maddesinde “Her bir taraf devlet veri
yükleyerek, aktararak zarar vererek, silerek, bozarak, değiştirerek veya
müdahale ederek bilgisayar sisteminin kullanımında hakkı olmadığı halde bilerek
ve isteyerek bilgisayarın sisteminin çalışmasını sekteye uğratma fiilini ulusal
kanununda suç olarak düzenlemeli ve gerekli diğer düzenlemeleri yapmalıdır.”
denilmektedir. TCK'da bu maddeye karşılık gelen düzenleme Madde 244-(1)'de
belirtilmiştir. Buna göre, bir bilişim sisteminin işleyişini engelleyen veya
bozan kişi, bir yıldan beş yıla kadar hapis cezası ile cezalandırılır”. Bu
kapsamda internet bankacılığı sistemlerini işlem yapamaz hale getirmeyi
hedefleyen DDoS saldırıları doğrudan
bilişim suçu kapsamında değerlendirilerek sistemlerin işleyişini engelleme ve
bozma eylemi suç kapsamında değerlendirilmelidir.
Ancak saldırının nasıl gerçekleştiği
konusu araştırılmalıdır. Bir önceki bölümde bahsedilen DDoS saldırı
yöntemlerinden gönüllü kişilerin ideolojik ve siyasi görüşlerini göstermek için
protesto amacıyla yaptıkları DDoS saldırıları ayırt edilmelidir. Burada temel
amaç bankacılık sistemlerine zarar vermek olmadığı için maddede geçen
unsurların bilerek ve isteyerek gerçekleştirilmediği düşünülmektedir. Protesto
amacıyla şehrin meydanında toplanan grubun Anayasal Haklarını kullanarak bu
şekilde eylem yapmak istemeleri suç kapsamında değerlendirilmeyecektir. Bu
şekilde yapılan DDoS saldırılarıda benzer özellikte olduğu için saldırı
yönteminin belirlenmesi suç değerlendirmesi yapabilmek için önemlidir.
Bankaların internet bankacılığı
hizmetini müşterilerine sunarken dikkate alması gereken en önemli konuların
başında güvenlik gelmektedir. İnternet bankacılığının hayatımıza girdiği ilk
yıllarda kullanılmasında çekince duyulan en büyük unsur güvenlikti. Kullanıcılar
paralarını henüz yeni tanıştıkları ve yabancı oldukları bir ortamda yönetme
konusunda hassas davranmışlardı. Bu yüzden bankalar, kullanıcılarına güvenli
bir şekilde bankacılık işlemlerini yapmalarını sağlamak konusunda önemli
adımlar atmalıdırlar. Aksi taktirde hem rekabet ortamında avantaj elde
edemeyeceklerdir hem de BDDK'nın kurallarına uymamış olacaklardır. Bu durumda
bankaların güvenli internet bankacılığını sistem ve kullanıcı tarafında olmak
üzere iki şekilde sağlamaları gerekmektedir.
Tüm müşteri bilgilerinin tutulduğu
sistemler ana bankacılık sistemi olarak adlandırılmaktadır. Bu sistemler bir
nevi sanal kasa rolündedir. Burada gerçekleşecek yetki dışı işlemler maddi
zararlara sebep olabilmektedir. Bu yüzden bankalar sistemlerin güvenliğini
sağlamada çok etkin olmalıdır. Öncelikle teknoloji yatırımından önce alanında
uzmanlaşmış, güncel tehditleri ve gelişmeleri takip eden bir ekip kurmalıdır. Bu
ekiple birlikte en yeni güvenlik teknolojilerini takip edip sistemlerine
entegre edebilmelidirler. Müşterilerine sağladıkları hizmet için de aynı
şekilde güvenlik önlemlerini almaları gerekmektedir.
Bankaların sistem tarafındaki
aldıkları güvenlik önlemleri kullanıcı tarafına aynı oranda yansımamaktadır.
Bankalar için kullanıcı bilgisayarları yönetilebilir olmadığı için her zaman
zayıf nokta olarak kalacaktır.
Kullanıcıyı hedef alan saldırganlar yukarıda bahsedilen yöntemleri
kullanarak hedeflerine ulaşmak isteyeceklerdir. Kullanıcının zaafından
yararlanmak isteyen saldırganlara karşı bankaların geliştirdiği güvenlik
önlemleri bulunmaktadır. Riski en aza indirmek için bankalar daha önce
uyguladıkları kullanıcı adı ve parola ile giriş sistemine tek kullanımlık şifre
uygulamasını da eklemiştir. Buna benzer olarak IP kısıtlaması da bankaların
aldığı güvenlik önlemlerinden biridir. Ayrıca kullanıcıya sunulan ücretsiz
antivirus ve güvenlik kalkanı uygulamaları da kullanıcı trafında ki güvenliğin
sağlanmasında etkin rol oynamaktadır. Tüm bunlara rağmen bankaların kullanıcı
tarafında alabileceği önlemler kısıtlıdır.
Kullanıcının farkındalığını arttırmak için çalışmalar yapmak ve bunu
periyodik hale getirmek yapılması gereken işlerin en başında gelmektedir.
Kullanıcıları olası tehditlere karşı bilinçlendirmek internet bankacılığı
işlemlerinde her zaman dikkatli olmalarını sağlayacaktır.
Bilim ve teknolojinin gelişmesiyle
birlikte internet bankacılığı kullanımı da hızla artmaya başladı. Nitekim
Türkiye Bankalar Birliği’nin raporları [2] bunu doğrulamaktadır. 2013 itibariyle
Türkiye’de internet bankacılığı kullanıcılarının sayısı 25 milyon’a
yaklaşmıştır. İnternet bankacılığı uygulamaları sağladığı kolaylıkların yanında
bazı riskler de taşımaktadır. Para yönetimi işleminin zaman ve mekan bağımsız
gerçekleştirilebiliyor olmasından dolayı kötü niyetli kullanıcıların (hacker) dikkatini çekmiştir. Geliştirdikleri
birbirinden farklı yöntemlerle maddi çıkar sağlamayı amaçlayan saldırganlar, özellikle
kullanıcıların zaafından faydalanmayı hedeflemişlerdir. Hedeflerine ulaşmak
için izledikleri yöntemler başlıca oltalama (phishing), DNS zehirleme, zararlı
yazılımlar (malware), mobil ve DDoS olarak görülmektedir. Kullanılan
yöntemlerin neredeyse tamamı doğrudan internet bankacılığı kullanıcılarını
hedef alan yöntemlerdir. Bu yöntemlerin analiz edilmesiyle birlikte bankalar,
kullanıcılarına güvenli internet bankacılığı hizmeti sunmak için çeşitli güvenlik
önlemleri almaktadırlar. Ancak saldırganların her zaman yeni yöntemler arayışı
içinde olduğu düşünüldüğünde bankaların aynı şekilde sistemlerini güncel tutma,
tehditlere karşı bilgi seviyelerini arttırma ve müşterilerini sık sık
bilgilendirme-bilinçlendirme faaliyeti içine girmeleri gerekmektedir.
Teknolojinin insan yaşamına olumlu etkisi ancak bu şekilde mümkün olacaktır.
1.
Altan, M., Karasioğlu, F. (2004), Internet Bankacılığının Toplum Katmanlarınca
Kullanımı Üzerine Bir Araştırma, 3. Ulusal Bilgi, Ekonomi ve Yönetim Kongresi
Bildiri Kitabı, 25 - 26 KASIM 2004, Eskişehir.
2.
Türkiye Bankalar Birliği (2013),İnternet ve Mobil Bankacılık İstatistikleri
3.
Global Phishing Survey 2H2012 (2012),
http://docs.apwg.org/reports/APWG_GlobalPhishingSurvey_2H2012.pdf
4.
Trend Micro, 2013 Q2 Security Roundup Report,
http://www.trendmicro.com/cloud-content/us/pdfs/security-intelligence/reports/rpt-2q-2013-trendlabs-security-roundup.pdf
5.
McAfee, Threats Report: First Quarter 2013,
http://www.mcafee.com/au/resources/reports/rp-quarterly-threat-q1-2013.pdf
6.
McAfee, Threats Report: First Quarter 2013,
http://www.mcafee.com/au/resources/reports/rp-quarterly-threat-q1-2013.pdf
7.
DDoS Attacks Strike Three Banks,
http://www.bankinfosecurity.com/ddos-phase-4-attacks-sporadic-a-6006
