Bilim / Teknoloji

Banka hesabınızı kaptırmayın

Sahte banka siteleri yaratan online dolandırıcılara banka hesap numaranızı kaptırmamak için dikkat etmeniz gerekenler bu yazıda

03 Eylül 2008 03:00

Bir e-posta hesabına sahip olan herkes “phishing” kavramıyla mutlaka tanışmıştır. Gelen kutunuzda “Dear PayPal Member,” diye başlayan bir posta görmüş ve “Benim PayPal hesabım yok ki! Belki de bir yanlışlık oldu...” diye düşünmüş olabilirsiniz.

 

Aslında bu tür durumlarda yanlışlık yerine daha çok kanunsuzluk var. Olur olmaz bir yerde, birden karşınıza dikilen herhangi bir adam “Merhaba! Ben bankayım! Şimdi lütfen bana internet şubesine girmek için kullandığınız şifreyi söyleyin!” deseydi, deli olduğunu düşünür, oradan olabildiğince çabuk uzaklaşmaya çalışırdınız herhalde. Ama aynı olay internet ortamında gerçekleştiği zaman sonuç böyle olmayabiliyor...

 

İnternet bizim dünyaya ulaşmamızı sağlarken dolandırıcıların da bize kolayca ulaşmasını mümkün kılıyor.

 

Phishing olarak adlandırılan dolandırıcılık yönteminin en popüler hali, e-posta yoluyla yapılanı. Phishing postaları, genellikle kullanıcılardan hesap bilgilerini kontrol etmelerini ya da sahte bir güncelleme bahanesiyle tekrar girmelerini istiyor.

 

Kullanıcının bilgilerini girmesi için yönlendirildiği adresse bir banka ya da açık artırma sitesinin gerçeğe oldukça yakın bir taklidinden ibaret. Bu sahte siteye adım atarak kişisel bilgilerini giren kullanıcılar, tuzağa düşmüş oluyorlar. Tanımadıkları insanların internet bankacılığı bilgilerini edinen kötü niyetli kişilerin yapacaklarını hayal etmekse hiç de zor değil. Dakikalar içinde yapılan havaleler, online alışverişler, boşalan banka hesapları...  

 

Phishing sosyal bir yöntem

 

Phishing, dolandırıcıların büyük kitlelere kolayca ulaşabilmelerini sağlayan “pasif” bir dolandırıcılık metodu. Bu isim, İngilizcede balık avlamak anlamındaki ‘fishing’ sözcüğünden geliyor. Dolandırıcı tek seferde hazırladığı bir sahte e-postayı oltanın ucundaki yem gibi, milyonlarca kullanıcıya ulaştırabiliyor. Sonrasında yapması gereken oturup ağına düşecek olan internet kullanıcılarını beklemek.

 

Oltaya takılan kullanıcı, dolandırıcının önceden hazırladığı ve e-postada bulunan bir linkle insanları yönlendirdiği sahte siteye girerek, bilgilerini buradaki form alanlarına yazıyor. E-postanın ulaştığı kitle, yani potansiyel kurban sayısı arttıkça başarılı olma ihtimali de yükseliyor.

 

E-postanın sık kullanılan bir reklam aracına dönüşmüş olması, dolandırıcıların Phishing e-postalarını gönderecekleri kullanıcı adreslerini bulmalarını da kolaylaştırmış durumda. Google’ın siteleri indekslemekte kullandığı örümceklerine benzer bir mantıkla çalışan, web’de dolaşarak sayfalardaki e-posta adreslerini toplayan küçük programlar var.

 

Dahası, dolandırıcıların e-postaları tek tek toplamak yerine birilerinden toplu halde satın alma ya da başka bilgilerle takas etme şansları da var. Önemsiz e-posta klasörünüzü dikkatlice incelerseniz, belki de “Türkiye’den 60.000 internet kullanıcısının e-posta adresi yalnızca 45 YTL!” gibi bir e-postaya rastlayabilirsiniz.

 

 

Bankanızdan mektup var!

 

Phishing dolandırıcıları öncelikle kurbanlarının güvenini kazanmak zorundalar. Bu yüzden hazırladıkları e-postalar gerçek kurumlardan gelenlere oldukça benziyor. Banka logosu, resmi ve başarılı bir yazım dili ve hatta bankanın sıkça sorulan sorular bölümüne giden linkler...

 

Kimi zaman phishing e-postalarının bir köşesinde inandırıcılığı artırmak için sizi dolandırıcılığa karşı bilinçlendiren öneriler bile görebilirsiniz. Bankanın internet şubesine ya da örneğin bir açık artırma sitesinin kullanıcı girişi bölümüne giden link ise, doğru yere gidiyor gibi görünmesine karşın, dolandırıcının önceden hazırlamış olduğu sahte sayfaya gidiyor.

 

Phishing saldırılarına hedef olan kurumlar, kullanıcı bilgilerini hiçbir zaman e-posta yoluyla istemeyeceklerini üzerine basarak duyursalar da nafile. Sahte e-postalar o kadar çok kullanıcıya ulaşıyor ki, içlerinden bir kısmı mutlaka tuzağa düşüyor.

 

Genellikle bir bankada mevduat hesabınız bulunuyorsa, internet şubesinde işlem yapmaya başlayabilmek için hesabınızın bulunduğu şubeye giderek bizzat imza atmanız gerekiyor. İnternet şubesine girişte kullanılacak bilgilerin değiştirilmesi gerektiğinde banka sizi telefonla arayarak onay alıyor ya da tekrar şubeye davet ediliyorsunuz. Bazı bankaların internet şubelerinde adres, telefon numarası gibi bilgiler yeniden girilebilse bile banka hiçbir zaman size güncelleme yapmanız için bir e-posta göndermiyor.

 

Dikkat etmeniz gerekenler

 

Sizden kişisel bilgilerinizi isteyen e-postalara cevap vermeyin ve içerdikleri linklere tıklamayın. Gerçek kurumlar e-posta yoluyla kişisel bilgilerinizi vermenizi hiçbir zaman istemezler. Eğer hesabınızın durumu hakkında herhangi bir kuşkuya sahipseniz, ilgili kurumu telefonla aramayı veya yüz yüze görüşmeyi tercih edin.

 

Hesabınıza girerek bilgi almak istiyorsanız yeni bir tarayıcı penceresi açarak emin olduğunuz internet adresini elle girin. Asla size gönderilen e-postadaki bir linki kopyalayarak tarayıcınızın adres çubuğuna yapıştırmayın. Bu tür e-postalardaki linkler doğru yere gidiyor gibi görünseler de sizi tuzağa yönlendirebilirler.

 

Güncel durumda olduğundan emin olduğunuz bir antivirüs programı ve Güvenlik Duvarı kullanın. Bazı phishing e-postaları bilgisayarınıza zarar verebilecek ya da internet üzerinde gerçekleştirdiğiniz işlemleri kaydederek kötü niyetli şahıslara iletebilecek zararlı kodlar da içerebilir.

 

İyi bir antivirüs programı ile istenmeyen yazılımların bilgisayarınıza girmesini engelleyebilir, güçlü bir güvenlik duvarı (firewall) ile bilgisayarınızın sizin isteğiniz dışında internetteki kaynaklarla bağlantı kurmasını engelleyebilirsiniz.

 

Kişisel bilgilerinizi e-posta yoluyla herhangi bir yere göndermeyin. E-posta, kişisel bilgilerin iletilmesi konusunda yeterince güvenli bir yol değildir. Herhangi bir kuruma kredi kartı bilgileri gibi önemli verileri iletmeniz gerektiğinde, bağlantının güvenilir olduğundan emin olmalısınız.

 

Tarayıcınızın durum çubuğunda göreceğiniz asma kilit simgesi ya da bulunduğunuz sayfanın URL’inin ‘https://’ ifadesi ile başlıyor olması güvenli bir alanda olduğunuzu ifade ediyor olsa da, ne yazık ki dolandırıcılar artık bu simgeleri değişik yollarla taklit edebiliyorlar.

 

Kredi kartı ekstrelerinizi dikkatli inceleyin. Elinize ulaşan harcama dökümlerini en kısa zamanda incelemeli ve şüpheli görünen harcamaların üzerinde durmalısınız. Ekstrenin adresinize zamanında ulaşmadığı durumlarda bankanızı arayarak adresinizi doğrulamalı ve hesap durumunuzu kontrol etmelisiniz.

 

E-postalarla gelen eklentilere dikkat edin. Güvendiğiniz bir adresten geliyor olsalar da, e-postaların eklentilerini açmak konusunda şüpheci davranmalısınız. E-postalarla birlikte gelen dosyaların içine saklanmış olan zararlı kodlar kişisel bilgilerinizin çalınmasına ya da başka güvenlik problemlerine yol açabilir.

 

Phishing’den şüphelendiğinizde bankanıza haber verin. Adresinize gelen herhangi bir e-postadan şüphelendiğinizde zaman kaybetmeden durumu ilgili kuruma (banka, açık artırma sitesi vs.) bildirin ve şüpheli e-postayı kuruma iletin. Kurumların web sitelerinde bu tür durumlarda başvurabileceğiniz e-posta adreslerini bulabilirsiniz.

 

Tarayıcıların anti-phishing özellikleri

 

Phishing saldırılarının önlenmesi konusunda Internet Explorer, Firefox ve Safari gibi internet tarayıcılara büyük iş düşüyor. Tarayıcıları hazırlayanlar, programlarını bir adım öteye götürürken yeni kullanım özelliklerinin yanında güvenlik kavramını da ön planda tutmak zorundalar. Antiphishing özellikleri günümüzün popüler tarayıcılarının yeni sürümleri olan Internet Explorer 7, Firefox 2 ve Opera 9’la birlikte standart olarak kullanıcıya sunulmuştu.

 

Phishing’e karşı cephe almak üzere geçtiğimiz zaman zaman bir araya gelen 3 tarayıcı yapımcıları, tüm tarayıcılarda bulunacak bir güvenlik özellikleri konusunda ortak kararlar alıyorlar. Örneğin tarayıcılar güvenli bağlantı gerektiren bankalar, e-posta sağlayıcıları gibi sitelere girildiğinde bağlantının güvenilirliğini denetleyerek adres satırında renkli bir uyarı oluşturuyor. Güvenlik seviyesine göre değişen renkler, bütün tarayıcılarda standart olarak bulunan bir güvenlik önlemi haline gelmiş durumda.

 

Tuzağa düştüyseniz

 

Bir phishing saldırısıyla karşı karşıya gelerek kişisel bilgilerinizi yabancılara kaptırdığınızdan şüpheleniyorsanız, yapmanız gereken ilk iş vakit kaybetmeden hesap bilgilerinin ait olduğu banka ya da kurumu aramak. Yeterince çabuk davranabilirseniz çalınan bilgileriniz kullanılamadan önce hesaplarınızı dondurabilir, kredi kartınızı bloke ettirebilirsiniz. Saldırganların sizden çabuk davranarak hesaplarınıza zarar verdiği durumlarda ise yapılacak şey yine bankayı aradıktan sonra Cumhuriyet Savcılığı’na suç duyurusunda bulunmak.