Müşterinin Telefonuna Girilmişse

“İnternet, serbesti arzusuyla güvenlik ihtiyacı arasındaki asırlardır süregelen talep çatışmasının nasıl dengelenebileceği ikilemine, bambaşka bir yaklaşımla yeni ve komplike bir çözüm ortamı yaratmıştır.”

Misha Glenny

Önceki Dijital Bankacılık İpucunda da sorduğumuz gibi, “Mobil bankacılık müşterisinin telefonuna girilmiş olması durumunda ne olacaktır?” Şimdi bu konunun biraz daha derinlerine inebiliriz. Mobil güvenlik endişe uyandıracak bir konudur ve sadece dijital bankacılar için değil, herkes için bir endişe kaynağı olmalıdır. Mobil cihazlar bugün artık bir Kimlik belgesi haline gelmiştir. Hepimiz şu meşhur deyimi biliriz: “Bana arkadaşını söyle sana kim olduğunu söyleyeyim.” ve hepimizin en yakın arkadaşı artık mobil cihazlarımız !

Gerçekten de piyasada çok zeki taktikler geliştirmiş olan son derece zeki dolandırıcılar olsa da, normaldeki saldırıların çoğu aslında çok basit önlemler yardımıyla rahatlıkla engellenebilecek türden son derece basit girişimlerdir. Genellikle en zayıf halka kullanıcılardır. Ancak yine, medyanın ilgisi de, günlük rutin saldırılardan daha çok, yüksek profilli sansasyonel saldırılar üzerinde yoğunlaşmaktadır. Bu da güvenlik konusunun çok komplike ve yönetilmesi imkansızmış gibi görünmesine neden olur. Bu doğru değildir. Bunun yanı sıra güvenlik mimarisinin — tek kademeli değil — çok kademeli olması gerektiğinin vurgulanması da önemlidir. Ve yine herkes için yüzde 100 güvenlik diye bir şey yoktur. Yapabileceğiniz şey web alanınızı, saldırılması zor hale getirmek ve böylece korsanlar için hedef olmaktan çıkarmaktır. Normalde, bu şartlarda korsanlar başka hedeflere yönelecektir.

Şimdi mobil güvenliğe geri dönelim. Bir keresinde bir makale okumuştum: “Çalınan veya kaybolan mobil cihazınıza ne olur?” Çok ünlü bir güvenlik yazılımı firmasının yaptığı bir deneydi bu. Deneyin bir parçası olarak, deneycilerden biri, bir kafede mobil cihazını unutup gitmeye yelteniyordu. Deneyi gerçekleştirmek sanıldığından daha zor oldu. O anda mevcut ortamda sosyal kurallar devredeydi ve kafe müşterilerinin çoğu da büyük olasılıkla dürüst insanlar oluyordu. Hemen deneyci kişiyi uyarıyorlardı: “hey arkadaş, telefonunu unuttun!” (dolayısıyla telefonunuzu kaybetmek/unutmak sanıldığı kadar kolay bir şey değil görüldüğü gibi!). Ancak birçok denemeden sonra telefon sonunda “kaybediliyordu” ve böylece sonraki faaliyetlerin izlenmesi mümkün oluyordu. Bu durumda doğal olarak kafadan varsayılan şey, telefonu bulanın hemen bir iki dakika içinde finansal işlemlere başlayacağı olmuştu (bazı bankacılık app’larına girmek, çeşitli şifreler denemek). Ancak bu hiçbir zaman gerçekleşmedi. Ancak insanlar sosyal medya hesaplarına giriyordu! Dolayısıyla sıradan bir potansiyel suçlu açısından cep telefonları, finansal çıkar sağlamaktan daha çok işin magazin tarafıyla ilgilenmek oluyor. Ancak bu durum, finansal açıdan motive olan saldırganlar için geçerli değildir.Dijital bankacılık penceresinden bakıldığında, Mobil Güvenlik Âleminde yedi farklı oyuncu bulunmaktadır:

1.Kurucular (telefon imalatçıları, işletim sistemi sağlayıcıları, geliştiriciler)

2.Bilgi sağlayanlar (geleneksel ve sosyal medya)

3.Devlet (Mevzuat, Polis)

4.GSM Operatörleri

5.Bankalar

6.Müşteriler — kendilerine “Hedefler” de denilebilir

7.Suçlular
 
 Şimdi normalde, iyi adamlar kategorisindeki altı oyuncu grubunun da ideal koşullarda mobil güvenlik konusunda aynı tarafta olup aynı görev ve sorumlulukları üstlenmesi ve birlikte çalışması gerekir değil mi? Peki acaba bugün durum böyle mi? Korkarım değil. Bulunduğumuz yer ile varmak istediğimiz yer arasında çok büyük bir mesafe var. Ve tabi bu durum karanlık âlem tarafından da bilindiği için kötü adamlar bunu çok kolay istismar edebiliyor.

Hacker’ların mobil cihazlara girmek için kullandığı birkaç yol var Burada bunların sadece genel bir tanımını yapabilirim. Daha fazla ayrıntısına girmek isterseniz, bunları arama motorları için anahtar kelimeler olarak kullanabilirsiniz:

1.Phishing: (Web saldırısıyla aynı anlamda. Burada amaç cihazınızı kontrol etmek değil ancak kritik bilgilerinizi ele geçirmek. Buradaki platform mobil ağ oluyor, adres çubuğu olmayan mobil tarayıcılar ise en kolay hedefler)

2.Kod Enjeksiyonu: (Bunlar genellikle Native App’lar oluyor, pazara ilk olarak yasal App şeklinde veriliyor ve kullanıcılar hiçbir şeyden şüphelenmeden indirip yüklüyorlar — daha sonra kod enjekte edilmiş sürümü GÜNCELLEME olarak yine şüphelenilmeden indiriliyor. Müşteri zaten güvenini en başta deklare etmiş olduğundan, kandırması zor olmuyor)

3.Zararlı SMS ve MMS: (Zaten adından belli değil mi?)

4.Uygulama Marketi Saldırıları: (Kontroller bugün çok daha sıkı olsa da yine de bazı sızmalar olabiliyor ve pazarda ortalama geri dönüş süresi sekiz gün civarında oluyor.)

5.Tuzaklar / Truva Atları: (SMS ileticileri, tuş ve ekran kullanılarak yapılan girişler.)

6.Araya Girme: Yakın Alan İletişimi yardımıyla finansal bilgileri ele geçirme.

7.Bluetooth ve Kablosuz Bağlantı Saldırıları: (Ücretsiz kablosuz bağlantılar — bunlar sanıldığı gibi, gerçekte göründüğü şekilde ücretsiz değildir)
 
 Burada motivasyon hem bilgilerinizi ele geçirmek hem de cihazınızı kontrol etmektir — genelde her ikisi de yapılır.

Peki, sonuç ne? Resimleriniz, iletişim bilgileriniz, kritik görüşmelerinizin kaydı, cihazınızın Zombi saldırısının parçası olarak kullanılması, bağlantılarınız vb. hepsi riske atılmış olur (onları kandırıp yemleme kurbanı olarak kullanırlar: örneğin bazı arkadaşlarınıza yardım talep eden facebook mesajı gönderirler: “Zor durumdayım, lütfen bana yardım eder misin ? Para gönderir misin?” gibi) …

Son olarak şunu da unutmayın. Mobil cihazların çoğu enfeksiyonlu bilgisayarlara bağlandığında enfeksiyon kaparlar, kendi başlarına değil.

Yazan: Tolga Tavlaş