1 Ocak 2010 tarihi
itibariyle tek kullanımlık şifre hayatımıza girdi ve iki bileşenli kimlik
doğrulama internet bankacılığı uygulamalarında zorunlu hale gelmiştir.
Böylelikle internet bankacılığı hizmeti alan müşterilere daha güvenli erişim
imkanı sağlanmıştır.
Tek kullanımlık şifre
her kullanımda veya belli bir süre geçtikten sonra geçerliliğini yitiren ve bir
sonraki kullanım için yeniden üretilmesi gereken sayı ve/veya harf dizisidir.
Bu sayı/harf dizileri müşterilerin hizmetine farklı yöntemlerle
sunulmuştur.
Bunlar;
·
Tek Kullanımlık şifre
üreten cihazlar (token)
·
Tek Kullanımlık şifre
üreten yüklenebilir programlar (Soft token)
·
Tek kullanımlık sms
şifre
·
Elektronik imza
tabanlı çözümler
Bu yöntemler
içerisinde en yaygın olanı sms olması ile birlikte güvenlik açıkları da
sorgulanır hale gelmiştir. GSM firmalarının sim kart dağıtımında ve yenilemede
güvenlik kontrollerini minimum düzeyde yapması, dolandırıcılık
vakalarının artmasına sebep olmuştur. Dolandırıcıların, internet bankacılığı
kullanan müşterilerin iki kademeli olan kimlik doğrulama sisteminde birinci
güvenlik kontrolu olan kullanıcı adı şifre bilgilerini keylogger v.b. klavyede
basılan tuşları kaydeden programlar sayesinde alınabildiğini hepimiz çok iyi
biliyoruz. Bankalar bu riski ortadan kaldırma adına ekran klavyesi
uygulamalarını müşterilerin hizmetine sundu fakat bu sefer de her mouse
tıklamasında müşterinin bilgisayarına ait ekran görüntüsünü kaydederek ftp,
mail v.b. tanımlı adreslere gönderen trojanlar kullanılmaya başlandı. Yani iki
kademeli olan kimlik doğrulamada, müşteri bilgisayarına kurulacak keylogger
sayesinde birinci kademe çok rahatlıkla aşılabilmektedir.
Şimdi sıra geldi sms
şifrenin elde edilmesine. Yaşanan internet şube dolandırıcılık vakalarında sms
şifrenin ele geçirilmesinde kullanılan tekniklerden bazıları şunlardır ;
1. Cep telefonlarına kurulan tojanlar (Zeus v.b.) sayesinde man in the mobile
metodu gelen sms bilgilerinin bir kopyası
dolandırıcılara gitmesiyle birlikte içeriğinde şifre olan mesajlara erişim
sağlanabilmektedir.
Önlem : Mobil cihazlarımıza antivirüs kurulumunu
yapmak ve sıradışı çıkan popup ekranlar, açılan sayfalar v.b. durumlarda
ivedilikle bankanız ile irtibata geçin.
2. Müşteri bilgilerinin yer aldığı sahte kimlik ile telefonunun
çalındığını veya kaybolduğunu GSM firma yetkilisine söyleyerek
başvuruda bulunuyor ve 5 - 10 dk gibi kısa bir sürede müşteriye ait
telefon numarasının eşleştirildiği yeni sim kart dolandırıcıya veriliyor.
Böylelikle sms şifre sorunsuz bir şekilde dolandırıcının eline geçmiş oluyor.
Önlem: Burada GSM firmalarına büyük iş düşmektedir.
Sim kart yenileme işlemlerini daha kontrollu bir şekilde yapmaları ve talebi
yapan kişilere ek doğrulama ve kimlik denetimi süreçleri uygulanmalıdır.
Özellikle bankaların
GSM firmalarından son 24 saat içinde sim kart değişiklik taleplerini alarak, o
müşteriye 24 saat boyunca sms şifre göndermemeleri alınacak önlemler
arasındadır.
OTP (Tek Kullanımlık
Şifre) üreten sistemler incelendiğinde token güvenlik olarak üst seviyelerde
yer almaktadır. OTP çözümlerinde kullanılabilecek çözümler, kullanım kolaylığı
ve güvenlik kriterleri şu şekildedir ;
Hiç yorum yok:
Yorum Gönder