“Online Skimming” Saldırıları ve Korunma Yolları

Bu yazıda kredi kartı ile işlem yapan hizmet sağlayıcılarına yönelik yeni bir saldırı türü olan Online Skimming’in ne olduğu, saldırının nasıl gerçekleştirildiği, kimleri hedef aldığı ve saldırılardan korunmak amacıyla alınabilecek önlemlere yer verilmiştir. Saldırı detaylarından bahsetmeden önce, kredi kartı ile işlem yapan hizmet sağlayıcıların güvenlik uyumluluğunu belirlenmiş bir çerçeve ile kanıtlayan PCI-DSS standardı hakkında kısaca bilgi vereceğiz.

PCI-DSS, “Payment Card Data Security Standard”‘in kısaltması olup Türkçede “Ödeme Kartları Endüstrisi Veri Güvenliği”olarak bilinmektedir. Tüm dünyada kullanılan bu standart, kredi kartı ile işlem yapan hizmet sağlayıcıları kapsamakta olup, ödemelerinin güvenli bir şekilde yapılması, sahtecilik ve dolandırıcılık işlemlerine karşı koruma sağlamak amacıyla “Visa, Mastercard, American Express, Diner Club ve JCB”’nin yer aldığı PCI SSC (Payment Card Industry Security Standards Council) adı verilen bir konsey tarafından oluşturulmuştur. PCI-DSS standardı; Maaş, para kart (debit card) ya da kredi kartı ile işlem yapan tüm hizmet sağlayıcıları kapsamaktadır. PCI-DSS standardına uyumlu bir hizmet sağlayıcı, belirlenmiş güvenlik standartlarına ve bu standartlara karşılık gelen güvenlik kontrollerine uymak zorundadır.

Hizmet sağlayıcıların PCI-DSS sertifikalı (PCI-DSS certified) sayılabilmesi için belli aşamalardan geçmesi gerekmektedir. Öncelikle hizmet sağlayıcının kart bilgilerini nasıl kullanıldığı, hangi verileri sakladığı/depoladığı/işlediği, verileri hangi metod ile sakladığı, verilere kimlerin erişiminin olduğu, ve yetkisiz erişimlerin oluşturacağı risklerin belirlenmesi gerekmektedir. Gerekli analizlerin yapılmasının ardından ilgili standartlar ve gerekli kontroller uygulanır ve iyileştirme sürecine girilir. Son aşama olarak, PCI-DSS QSA (Qualified Security Assessor) diye adlandırılan ve PCI SSC komitesi tarafından yetkilendirilen denetçiler tarafından PCI-DSS çerçevesinde ilgili güvenlik kontrolleri yapılır ve başarılı olması durumunda hizmet sağlayıcıya PCI-DSS sertifikası verilir ve yine hizmet sağlayıcı PCI-DSS uyumlu olarak belgelenir. Bu denetimlerin belli periyotlarla tekrar edilmesi ve ilgili kontrollerin tekrar yapılması gerekmektedir.

PCI-DSS aşağıdaki 12 ana standarttan meydana gelmektedir:

A. Güvenli ve sürekli bir ağ altyapısı kurmak

1- Kart bilgilerini korumak için güvenlik duvarı konumlandırılması ve yapılandırılması

2- Sistemde yer alan hiçbir yazılım ve donanımda ön tanımlı parolanın kullanılmaması

B. Kart sahibinin bilgilerini korumak

3- Kart bilgilerinin güvenli şekilde saklanması

4- Genel ağlarda kart bilgilerinin şifreli olarak gönderilmesi

C. Güvenlik açığı yönetimi oluşturmak

5- Düzenli olarak güvenlik yazılımlarının güncellenmesi

6- Güvenli sistem ve uygulama geliştirilmesi. Geliştirmenin süreklilik arz etmesi

D. Etkin erişim kontrolü uygulamak

7- İşletme tarafında kart bilgilerine erişim kısıtlamasının getirilmesi

8- Her kullanıcının kendine ait bir kullanıcı hesabının olması ve oturumu bu kullanıcı hesabı ile açması

9- Kart bilgilerine erişimin fiziksel olarak engellenmesi.

E. Düzenli olarak izlemek ve test etmek

10- Kart bilgilerine ve ağa gelen tüm erişimlerin izlenmesi

11- Güvenlik sistemleri ve süreçlerin devamlı olarak test edilmesi

F. Bilgi güvenliği politikası uygulamak

12- Tüm personel için bilgi güvenliğini ilgilendiren sürdürülebilir bir politikanın uygulanması.

PCI-DSS standardının yukarıda belirtilen ana standartlarına karşılık gelen kontrollerin uygulanıp, kredi kartı verileri güvenli hale getirilmesine rağmen, bu verilere yönelik yeni tehditler her geçen gün ortaya çıkmaktadır. Yakin zamanda PCI SSC komisyonu, yeni tehditlerden biri olan “Digital Skimming” üzerine yeni bir bülten yayınladı. Komisyon bu bülten ile kullanıcıları ve hizmet sağlayıcıları ilgili tehditlere karşı bilgilendirmek ve önlem almalarını sağlamak amacıyla eğitmeyi hedeflemektedir.

Digital Skimming, e-ticaret web sitelerine zararlı kod içeren, “JavaScript sniffer”olarak bilinen ve algılanması zor olan kodları enjekte eden saldırılardır. Bir web sitesine ilgili zararlı kod enjekte edildiğinde, satıcı ya da tüketici işlem yaparken bilgilerinin sızdırıldığından haberdar olamaz. Bu açık türü güvenlik sektöründe benzer saldırılarda bulunan bir hacker grubunun ismini alan “Magecart” saldırıları olarak da bilinir. Bu grubun ilgili saldırıları 2015’ten beri aktif olup, özellikle kredi kartı ile işlem yapan firmalar için büyük bir tehdit teşkil etmektedir.

Saldırganlar, bu saldırıyı gerçekleştirebilmek için başta; zararlı eklenti (vulnerable plugin), giriş ekranlarına kaba kuvvet saldırısı (bruteforcing on login screens), oltalama saldırısı (phishing), ve diğer sosyal mühendislik saldırıları olmak üzere, farklı hackleme (hacking) yöntemlerinden yararlanmaktadır. Burada amaç, sistem üzerinde erişim sağlamak ve zararlı kodu enjekte edebilmektir. Saldırılar direkt olarak web sitelerini hedef alabildiği gibi, birçok farklı firma tarafından da kullanılabilen 3. parti yazılım kütüphanelerini de hedef alabilmektedir. Bu yolla, ilgili kütüphane üzerinde bir güvenlik açığı tespit edildiğinde, ayni saldırı ilgili yazılım kütüphanesini kullanan başka e-ticaret web sitelerinde de kullanılabilmektedir.

Zararlı kod genelde kurban kredi kartı bilgilerini sisteme girip işlem yaptığında tetiklemektedir. Bunun yanı sıra kullanıcıların diğer bilgilerini çalmaya yönelik zararlı kodlar da enjekte edilebilmektedir. Zararlı kodun topladığı kayıtlar sistemin lokalinde tutulabileceği gibi, uzaktaki bir hedef sisteme de gönderilebilmektedir.

İlgili saldırı türü, e-ticaret siteleri, üçüncü parti hizmet sağlayıcılar ve web siteleri üzerinden hizmet sağlayan firmaları hedeflemektedir. Saldırılar, web siteleri, yazılım kütüphaneleri, ya da güvenlik açığı barındıran eklentilerdeki (plugins) açıkların istismar edilmesi aracılığıyla gerçekleştirilebilmektedir.

İlgili saldırı türünü tespit edebilmek ve önlemek için alınabilecek bazı önlemler aşağıda sıralanmıştır:

– Web uygulamalarını zafiyet tarama araçları ile düzenli olarak tarayın. – PCI-DSS 3.2’nin hali hazırda zorunlu kıldığı “File integrity Monitoring”, ya da Türkçesiyle “Dosya Bütünlük İzleyici” yazılımlar ya da yazılım üzerinde değişiklik yapıldığında alarm üreten yazılımlar kullanın.

– İç ve dış ağda düzenli olarak zafiyet taramaları yapın. – Güvenlik açıklarını daha kapsamlı test etmek için düzenli sızma testi (penetration test) hizmeti alın.

– İşletim sistemi ve kullanılan yazılımlar için çıkarılan güvenlik güncellemelerini düzenli olarak uygulayın. Gerekirse güncellemeleri düzenli olarak kontrol eden yazılımlar kullanın.

– Zararlı yazılımlara karşı anti-virus yazılımları kullanın ve imzaların düzenli alındığından emin olun.

– Sadece iş gereği kadar erişim tanımlamaları yapın, varsayılan olarak gerekli erişimler dışında sistemlere erişimleri engelleyin.

– Tüm sistem bileşenlerine güçlü kimlik doğrulama tanımlamaları yapın.

Terminoloji:

PCI-DSS: Payment Card Industry Data Security Standard

PCI-SSC: Payment Card Industry Security Standards Council

Yazar: Büşra Demir