Çalınan Kredi Kartı Bilgileri Ucuza Gitmiş

BU hafta medyanın gündemine hani derler ya “Bomba gibi bir haber” düştü. Gerçi ülkemizin kendine has gündeminden dolayı bu haber medyada hak ettiği yeri pek bulamadı. Haber, Türkiye’ye ait 400 binden fazla kredi kartı ve banka kartı bilgilerinin internet üzerinden satışa sunulduğuyla ilgiliydi.

Singapur merkezli siber güvenlik şirketi Group-IB tarafından tespit edilip ZDNet’e bildirilen ve ülkemizi çok yakından ilgilendiren bu olaydaki toplam kart sayısı 463.378. Kart bilgileri Joker Stash isimli internet sitesinde 28 Ekim ile 27 Kasım arasında dört parça halinde satışa çıkarıldı. Bu satışın bu kadar dikkat çekmesinin iki önemli sebebi vardı. Birincisi Türkiye’ye ait kart bilgilerinin bu tür satış sitelerinde çok az görülmesi (ve son bir yıl içerisindeki Türk bankalarına ait tek büyük satış olması. İkincisi ise, satışa çıkarılan bilgilerin detayıydı. Satışa çıkarılan kart bilgileri nelerdi diye bakıldığında durum oldukça vahimdi. Group-IB şirketinin Siber Suç Araştırma Başkanı Dmitry Shestakov, saldırganların ele geçirdikleri kart bilgileri arasında son kullanma tarihi, CVC/CVV kodları, kart sahibi adı, e-posta adresi ve telefon numarası bilgilerinin bulunduğunu açıkladı. Yani neredeyse tüm kişisel veriler mevcuttu.

Bu bilgileri çalıp internetteki yeraltı satış sitelerine satan hacker’ların bu işten 500 bin dolardan fazla para kazandıkları tahmin ediliyor. Yani kart bilgisi başına bir dolardan biraz fazla para kazanmışlar. Bu tür pazarlarda kart bilgisi başına ortalama satışın 1 ile 3 dolar arasında olduğunu dikkate alırsak amiyane tabirle “ucuza gitmişiz”. Yani hacker’lar bizi ucuza vermiş.

HACKER’LARIN DÖRT YÖNTEMİ

Hacker’ların bu bilgileri nasıl elde ettiğini sizde merak ediyorsunuz değil mi? Hemen cevaplayalım. Kart bilgileri genelde üç farklı yoldan elde ediliyor. Dördüncü bir yol daha var ama bu hacker’ların genelde tercih etmediği bir yoldur.

Birinci yol, hacker’ların oltalama (phishing) saldırıları gerçekleştirmesi yani son kullanıcıyı sahte e-posta bilgilendirmeleri göndererek sahte banka sayfalarını yönlendirip kart bilgilerini elde etmesidir, ikinci yol, interneti kullanmamızı sağlayan tarayıcı programlar zararlı yazılımlar bulaştırılarak onların üzerinde kaydedilen ya da klavyeden girilen kart bilgilerinin elde edilmesi yani kullanıcıların truva atı saldırısına maruz kalmasıdır. Üçüncü yol ise, kullanıcıların ziyaret ettiği alışveriş sitelerinin bir bakıma hack’lenerek o sitelere yönelik özel hazırlanmış zararlı kodların alışveriş sitelerine eklenmesi sonucu verilerin elde edilmesidir. Satışa çıkarılan kart bilgilerinin genel olarak bu üçüncü yöntemle elde edildiği düşünülüyor. Dördüncü yol dediğimizse doğrudan banka veya bankaların hack’lenmesidir ki bu çok kolay bir yöntem değil. Çünkü bankalar siber güvenliği ciddiye alırlar ve büyük yatırımlar yaparlar. Bu yolu deneyen hacker’lar için işin sonunda ava giderken av olmakta vardır.

ÇÖZÜM SİZDE BAŞLIYOR

Çözüm nedir? Çözüm kişilerde yatıyor aslında. Eğer kart kullanıyorsak bireysel olarak öncelikle tedbirimizi bizim almamız gerekir. Basit dokuz tedbirle bireysel güvenliğimizi sağlayabiliriz. Bunları şöyle sıralayalım.

1- Bilinmeyen adreslerden gönderilen e-postalara itibar etmeyin ve bu e-postalarda yer alan ekler veya linkleri çalıştırmayın.

2- Ödeme sayfasının sahte olup olmadığına dikkat edin. Sahte olduğunu düşündüğünüz sayfalara kart bilgilerinizi girmeyin. Sayfanın sahte olup olmadığını adres satırındaki URL’den kontrol edin.

3- Kart bilgilerinizi veya kişisel bilgilerinizi tarayıcınıza kaydetmeyin.

4- Mobil cihazlarınıza yani cep telefonlarınıza her uygulamayı indirip yüklemeyin. Mobil marketlerde yer alan birçok uygulamanın içerisinde zararlı yazılımlar olabileceğini göz önünde bulundurun.

5- Müşteri hizmetleri ile görüşüp kredi kartı limitinizi sınırlandırın ve yurtdışı harcamalara karşı kapatın.

6- Mümkün olan durumlarda, gerçek kredi kartları kullanmak yerine sanal kredi kartları oluşturun ve alışveriş miktarı kadar sanal karta para yükleyin.

7- Kart bilgilerini iki faktörlü kimlik doğrulama olmayan alışveriş siteleri üzerinde kullanmamaya çalışın.

8- Zararlı yazılımlardan korunmak için anti-virüs uygulamalarını hem cep telefonlarına hem de şahsi bilgisayarlarınıza yükleyin.

9- Kafeler, havalimanları gibi halka açık alanlardaki ücretsiz kablosuz ağlara bağlanmayın. Hacker’ların ücretsiz ağlar oluşturup, kablosuz ağlar üzerinden ağ trafiğini dinlediğini unutmayın.

Son olarak şunu söylemek istiyorum, güvenlik önce sizde başlıyor, internette ücret-siz her şeyde ücret-sizsiniz.

Musa Savaş