Güvenlik

İnternet Bankacılığı Uygulamalarında SMS Şifre Tehlikesi

1 Ocak 2010 tarihi itibariyle tek kullanımlık şifre hayatımıza girdi ve iki bileşenli kimlik doğrulama internet bankacılığı uygulamalarında zorunlu hale gelmiştir. Böylelikle internet bankacılığı hizmeti alan müşterilere daha güvenli erişim imkânı sağlanmıştır.


 


Tek kullanımlık şifre her kullanımda veya belli bir süre geçtikten sonra geçerliliğini yitiren ve bir sonraki kullanım için yeniden üretilmesi gereken sayı ve/veya harf dizisidir. Bu sayı/harf dizileri müşterilerin hizmetine farklı yöntemlerle sunulmuştur.


 


Bunlar;


 




  • Tek Kullanımlık şifre üreten cihazlar (token)


 


 



image001


 





 




  • Tek Kullanımlık şifre üreten yüklenebilir programlar (Soft token)

 




image002


 


 







  • Tek kullanımlık sms şifre

 


 




image003


 


 







  • Elektronik imza tabanlı çözümler

 


 




image004


 


 


 







  • Biyometrik tanıma (ses tanıma sistemleri) v.b.

 


 




image005


 


 


 





Bu yöntemler içerisinde en yaygın olanı sms olması ile birlikte güvenlik açıkları da sorgulanır hale gelmiştir. GSM firmalarının sim kart dağıtımında ve yenilemede güvenlik kontrollerini minimum düzeyde yapması, dolandırıcılık vakalarının artmasına sebep olmuştur. Dolandırıcıların, internet bankacılığı kullanan müşterilerin iki kademeli olan kimlik doğrulama sisteminde birinci güvenlik kontrolu olan kullanıcı adı şifre bilgilerini keylogger v.b. klavyede basılan tuşları kaydeden programlar sayesinde alınabildiğini hepimiz çok iyi biliyoruz. Bankalar bu riski ortadan kaldırma adına ekran klavyesi uygulamalarını müşterilerin hizmetine sundu fakat bu sefer de her mouse tıklamasında müşterinin bilgisayarına ait ekran görüntüsünü kaydederek ftp, mail v.b. tanımlı adreslere gönderen trojanlar kullanılmaya başlandı. Yani iki kademeli olan kimlik doğrulamada, müşteri bilgisayarına kurulacak keylogger sayesinde birinci kademe çok rahatlıkla aşılabilmektedir.


 



Şimdi sıra geldi sms şifrenin elde edilmesine. Yaşanan internet şube dolandırıcılık vakalarında sms şifrenin ele geçirilmesinde kullanılan tekniklerden bazıları şunlardır;


 


 




  1. Cep telefonlarına kurulan tojanlar (Zeus v.b.) sayesinde man in the mobile metodu gelen sms bilgilerinin bir kopyası dolandırıcılara gitmesiyle birlikte içeriğinde şifre olan mesajlara erişim sağlanabilmektedir.

 



Önlem: Mobil cihazlarımıza antivirüs kurulumunu yapmak ve sıradışı çıkan popup ekranlar, açılan sayfalar v.b. durumlarda ivedilikle bankanız ile irtibata geçin.


 






  1. Müşteri bilgilerinin yer aldığı sahte kimlik ile telefonunun çalındığını veya kaybolduğunu GSM firma yetkilisine söyleyerek başvuruda bulunuyor ve 5 – 10 dk gibi kısa bir sürede müşteriye ait telefon numarasının eşleştirildiği yeni sim kart dolandırıcıya veriliyor. Böylelikle sms şifre sorunsuz bir şekilde dolandırıcının eline geçmiş oluyor.

 



Önlem: Burada GSM firmalarına büyük iş düşmektedir. Sim kart yenileme işlemlerini daha kontrollu bir şekilde yapmaları ve talebi yapan kişilere ek doğrulama ve kimlik denetimi süreçleri uygulanmalıdır.


 


Özellikle bankaların GSM firmalarından son 24 saat içinde sim kart değişiklik taleplerini alarak, o müşteriye 24 saat boyunca sms şifre göndermemeleri alınacak önlemler arasındadır.


 


OTP (Tek Kullanımlık Şifre) üreten sistemler incelendiğinde token güvenlik olarak üst seviyelerde yer almaktadır. OTP çözümlerinde kullanılabilecek çözümler, kullanım kolaylığı ve güvenlik kriterleri şu şekildedir;


 


 


 





image006


 


 




Umarım faydalı bir makale olmuştur.

İlgili Makaleler

Bir yanıt yazın

E-posta adresiniz yayınlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir

Başa dön tuşu