Her gün daha da gelişmekte olan bankacılık ve finans sektöründe trilyonlarca lira değerinde işlemler yapılmakta. Günümüzde internete bağlanan 1 milyarın üzerinde kişisel bilgisayar sıklıkla çevirimiçi bankacılık işlemleri, B2B işlemleri yada çevirimiçi diğer e-ticeret işlemlerinden birini yapmakta.
Mobil cihazların, sosyal medyanın ve yakın alan iletişiminin (Near Field Communicaton) gelişimiyle birlikte bankacılık ve finans sektöründeki saldırı alanları da oldukça genişlemiş durumda. Sonuç olarak da, bankacılık ve finans alanı suçlulara bizim yatırımlarımız üzerinde avlanmak için inanılmaz cazip fırsatlar sunmakta.
2012 World Economic Forum’s Global risk raporuna göre siber güvenlik global bir problem haline gelmiştir. Global finans hizmet endüstrisi üzerinde yapılan çalışmalara göre de, dünyada ki bankaların dörtte biri gönüllü olarak yaşadıkları güvenlik problemlerini rapor etmişlerdir. Bu çalışmalara göre siber tehdit oldukça önemli bir problem olarak bankacılık sektörünü rahatsız etmektedir. Bankacılık sistemlerine yapılan saldırılar sadece özel bankalar değil ülkelerin merkez bankalarını ve bankacılık sistemlerini de hedef almakta ve çok ciddi sorunlar yaratmaktadır. Bazı kızgın hacktivistler tarafından saldırı altında kalan Finans sektöründe ki büyük firmalar da(Visa, Mastercard and Paypal) bunun sorumlularından biri olarak gördükleri Wikileaks’i boykot etmişlerdir. Kendi hatalarından kaynaklanan güvenlik zaafları yüzünden masif kredi kartı bilgilerinde sızma yaşayan bir şirket olan Global Payments Inc. aynı zamanda iç bankacılık ve finans alt yapısının ne kadar hassas ve savunmasız olduğunu göstermektedir. Diğer endüstriler gibi, bilgi sistemleri de kavramsal dizayn ve güvenlik açıklarından dolayı problemler yaşamaktadır.
“Yaşanan tüm bu problemler aslında buz dağının görünen kısmı. Dünya efektif bir bankacılık sistemi olmadan çalışamaz. Saldırgan büyük bankalardan sadece bir tanesini dahi etkileyebilirse, global olarak bankacılık sisteminin çökmesine yol açabilir.”
Bu iç ve yapısal problemlerin yanında, finans ve bankacılığı bir bütün olarak “Sistemin sistemi” olarak düşünür ve potansiyel olarak masaüstü bilgisayarlar ve mobil telefon sistemleri üzerinde kullanıldığını kabul edebiliriz. Bankalar güvenlik önlemlerini her geçen gün daha da yukarı çekerken, hırsızlarda daha zayıf noktalara doğru ilerlemekte ki bu da biz yani kullanıcılar.
Bankacılık ve Finans sektöründe ki dolandırıcılık tehditlerini sıralamak gerekir ise:
1- Kredi kartı dolandırıcılığı
2- Çek dolandırıcılığı
3- Phishing/vishing (Oltalama/Ses aldatcaması) dolandırıcılığı
4- Hesap elegeçirme
5- Nokta satışlar üzerinden
Yaşanan olayların %80 civarı banka müşterileri tarafından yaşanılmakta ve müşterilere karşı yapılan malware (kötü amaçlı yazılım) saldırılarında her geçen gün artış gözlemlenmektedir. Bankacılık kurumlarının çoğu klasik sayılabilecek çek dolandırıcılığı, kart dolandırıcılığı ve para aklama gibi konulara aslında hazırlıkldır. Ama tam tersi olarakta sürekli olarak gelişmekte ve çeşit kazanmakta olan modern tehditlere karşı yeteri kadar hazırlıklı olmadıkları görülmektedir.
Banka müşterilerine yönelik bilinen modern ataklardan biri olarak güvenilir bir kurumu taklit edip elektronik iletişim kullanılarak kullanıcı adı, şifre ve ya kredi kartı bilgilerini ele geçirmeye yönelik uygulanan “Oltalama” (Phishing) saldırısıdır.
“Phising (Oltalama) saldırılarının %25 gibi bir oranı sahte finansal, e-ödeme ve banka e-postalarından, %25 gibi diğer bir oranda da sosyal medya hesapları kullanılmaktadır. Saldırılar kurbanlar için görünmez durumda olmasının yanında, kurbanlar çoğu zaman ne olup bittiğinin farkında dahi değildirler. Saldırgan açısından bakıldığında, saldırganın aslında herhangi bir web sitesini hack’lemesine gerek yoktur, sadece web sitesinin sahte bir kopyasını oluşturması yeterlidir.”
Ancak günümüz trendi daha karışık ve gelişmiş saldırıların geliştirilmesi yönünde ilerlemektedir. Kaspersky uzmanlarına göre, 125000den fazla kötü niyetli yeni program her gün bilgisayarlarımıza saldırıyor ve çevirimiçi bankacılık üzerine olan tehditler her geçen gün artıyor.
Yine Kaspersky uzmanlarına göre: “siber suçlular her zaman için zayıf noktalardan saldırmakta. Kullanıcılar kuvvetli parola ve şifrelere sahip olabilirler ama sistemlerini güncel tutmaz yama ve güncellemeleri takip etmezler ise saldırganlar makinanıza girebilir. Güncellemeleri yapılmadığı sürece hangi antivirüs’ün kullanıldığı önemli değil. Oltalama ve kötü amaçlı yazılımlar etkili çünkü kullanıcılar kötü bir alışkanlık olarak yamaları kurmamakta. Kullanıcıların sadece antivirüsten çok daha fazlasına ihtiyacı var.”
Gelişmiş ataklara daha yakından bakmak ve neye benzediklerini anlatmak gerekirse kötü amaçlı yazılımlara örnek olarak Trojan Atı ve Trojandan başlayabiliriz. Bu tip yazılımlar kendilerini yararlı yada yasal yazılımlarmış gibi göstermekte ve saldırgana bilgisayarınıza erişim sağlamaktadır. Son zamanlarda kullanıcının banka hesabına yönelik gizli atak gerçekleştirip, parasını çalıp sonrada izlerini yok eden bir Trojan keşfedilmiş olmasıda oldukça dikkat çekicidir. Zeus veya SpyEye sahte giriş formlarıyla kullanıcı bilgilerini ele geçirip hesabınızından para çalmaya yarayan klasik man-in-the-middle saldırıları gerçekleştirebilmekte.
Her geçen gün siber suçlular için daha cazip hale gelen bankacılık ve finans sektörünün bu alandaki güvenliği; teknoloji, süreçler, insan ve bu saldırıları engellemeye daha çok önem vererek sağlanabilir. Bankalar ve müşteriler bu ortak faydaları konusunda birlikte çalışmalı, farkındalık ve bilinç düzeyi yükseltilmelidir.
Onuralp Öznalbant