Bir oltalama aracı olarak telefon
Azıcık göz önünde olup, bir şeyler yazıp çiziverdiniz mi yavaş yavaş insanlar sizi tanımaya, dertlerini paylaşmaya başlıyorlar.
İnsanlar dertlerini Marko Paşa'ya anlatacak değil ya. Yasalardan ümit kesilince, insanlar yazarlara meylediyorlar. Şahsen posta kutumda neredeyse her gün bir basın beyanatı, bir okur e-postası görmekten fevkalade memnunum. Yardımcı olabiliyorsam ne ala.
Bugünkü yazı için başka bir planım vardı. İlginç de konulardı aslında ama gelen bir eposta ile dümeni başka bir limana kırdım.
Bazen de okur kızıyor, bizi tedirgin ediyorsun, diyorlar. Maalesef bugünkü konu da pek sütliman bir konu değil.
Bu defaki e-postayı bir arkadaş vasıtası ile aldım. Arka Kapı Dergi'den yayın koordinatörümüz Şahin Solmaz Beyefendi'ye acil kodu ile bir dolandırıcılık hadisesi ihbar edilmiş. E-postada bize iletilen detayları sadece banka adını gizleyerek paylaşacağım. Fakat peşinen söyleyeyim, pek çok bankanın hamuru bu suyu kaldırır. Dikkatli olmakta fayda var. Can kulağı ile dinlemenizi rica edeceğim.
Avukat bir beyefendinin telefonu sabah saatlerinde aranır. Arayan numara, bankanın 0850 ile başlayan çağrı merkezi numarasının aynısıdır. Fakat bu numara 0550 ile başlamaktadır. Sabah mahmurluğu ile pek çok kişi bu küçük ama önemli ayrıntıyı muhtemelen farkedemeyecektir.
05502223663 numaralı telefondan gelen bu aramaya dair internette pek çok şikayet mevcut. İşin enteresan kısmı şikayetlerin evveliyatı 30 gün öncesine kadar gidiyor. Bize aktarılan meblağlarda kayıplar yaşandı ise çoktan ilgili bankanın kulağına kar suyu kaçmalıydı, saldırganların hâlen aynı numara ile devam edebiliyor olmaları gerçekten enteresan.
Devam edelim.
Kimi zaman kart ücreti iadesi, kimi zaman bir bonus ödemesi olarak lanse edilen kurgulardan mağdur avukatımızın payına hesabına yanlışlıkla yapılan bir havalenin iade senaryosu düşmüş.
“Merhabalar,
X bank’ın iştirak kuruluşu olan Y’dan arıyorum sizi. Hesabınızda şüpheli bir işlem tespit ettik buna istinaden güvenlik departmanından ulaşıyoruz size.
Bu işlemi düzeltmek için birlikte birkaç işlem yapacağız.”
Normal şartlarda artık hepimiz biliyoruz ki telefonda kendisini savcı, polis, banka görevlisi olarak tanıtan kimseye güvenmeyeceğiz, bilgilerimizi vermeyeceğiz. Fakat bu defa tezgah başka bir teknik ayrıntı üzerine kurulu. DTMF üzerine.
O ne ola ki, dediğinizi duyar gibiyim.
Dual Tone Multi Frequency kelimelerinin baş harflerinden müteşekkil bu teknoloji yarım asırdan fazla olan mazisi ile bankaların, çağrı merkezlerinin gözdesi. Operatörsüz/İnsansız çağrı hizmetinin en önemli unsuru. Hani bazen müşteri hizmetlerine bağlanmak için 9'a, kayıp ve çalıntı ihbarı için 0'a basıyoruz ya. İşte bunu sağlayan sahnenin ardındaki teknoloji DTMF.
Saldırganlar tam da hepimizin şartlandığı ve teyakkuz halinde olduğu uyarılardan hali olarak bizden kat'a kişisel bir bilgi talep etmiyorlar. Kendileri ile paylaşmadan internet bankacılığı parola bilgilerimizi telefondan tuşlamamızı rica ediyorlar. Böylesine nazik, üstelik bize hiçbir şahsi bilgimizi sormayan çağrı merkezi yetkilisi karşısında, kimin aklına işin ardında bir çapanoğlu olduğu gelir?
Internet bankacılığı giriş parolası tuşlanıyor. Sonra yine aynı ses.
"Telefonunuza bir SMS gelmiş olmalı. İşlem güvenliği açısından dıt sesinden sonra onu da tuşlamanızı rica edeceğiz."
DIT. tıkı tıkı tıkı tık.
Hesabınızda para yoksa şanslısınız. Zira hesabınızdaki tüm para buharlaşacak.
Çünkü saldırganlar önce DMTF aracılığı ile bastığınız tuşları algılayarak internet şubesi giriş parolanızı; ikinci dıt sesinden sonra da internet bankacılığıa girişteki iki aşamalı güvenlik için size gönderilen SMS'i elde ettiler. Evet siz aslında bu bilgileri altın bir tepside sundunuz.
İşin kötü tarafı siz bütün bu bilgileri altın tepside sunduğunuz için banka bir mesuliyet de kabul etmeyecek. Koca koca insanlarsınız, parolanıza, SMS ile gelen güvenlik doğrulamasına sahip çıkmakla mesulsunuz bankaya göre.
Evet, bize bildirilen hadisede de olay aynen bu şekilde vuku buldu. Mağdurun hesabındaki paralar başka bir hesaba transfer edildi.
Mağdur hesabından aktarılan parayı farkettikten hemen sonra paranın kendisine aktarıldığı şahsa ulaşıyor fakat "Benim o hesap kartım bir arkadaşımda, o kullanıyor; hiçbir bilgim yok." yanıtını alıyor.
Olayın üzerine giden mağdur, maalesef parayı geri alamıyor. Üstüne üstlük olayın ardında bir de mafya olduğunu farkediyor.
Perde arkasındaki aktörler üç aşağı beş yukarı şöyle. Telefonla arayarak kullanıcıları ikna eden operatörler, yazılım altyapısını işleterek DTMF ile girilen bilgileri çalıp, mağdurun hesabını boşaltan ekip, üçüncü ekip de paranın aktarıldığı hesaptan parayı hızlıca çekmek için bankamatikte bekleyen saha elemanları.
Elbette bu hadisede mağdurların kendilerinin yeterince dikkatli davranmamış olmalarının payı var.
Fakat dikkat çekmek istediğim esas nokta mevcut internet bankacılığı ve telefon bankacılığı sistemleriin bu cehenneme giden yolun taşlarını nasıl iyi niyetle döşedikleri.
Banka çağrı merkezini aradığınızda kimlik doğrulamanızı birkaç yol ile yapabiliyorsunuz. Telefon bankacılığı giriş şifreniz, banka kart şifreniz yahut internet bankacılığı giriş şifreniz.
(Evet şifre değil parola, ama bu yazının konusu değil.)
İnternet bankacılığı giriş şifresinin banka çağrı merkezlerinde, telefon bankacılığında bir kimlik doğrulama seçeneği olarak yer almasına bir son verilmesi taraftarıyım. Zira örneğimizde kullanıcılar bu bilginin asla kimlik doğrulama için çağrı merkezlerinde talep edilmediğini bilselerdi belki bu tuzağa düşmeyeceklerdi.
İkincisi bazı bankalar internet bankacılığı girişi için altı karakterli numerik yani sadece rakamlardan oluşan bir parolayı yeterli görüyor. Bu da DTMF yolu ile tuşlanarak karşı tarafa aktarılmaya pekala müsait bir format.
Belki bankalar yaşanan bu elim vakalardan hareketle bu teknik düzenlemeleri bir an önce gerçekleştirirler.
Diğer taraftan kalpazanların banka müşterilerini aradıkları numaralar 0550 ile başladığı için pek çok uyanık kullanıcı 0850'li numara olmadığı için güvenmeyeceklerini belirtiyor.
Bir yere kadar haklılar. Ama 0850'li numaraya sahip olmak bugün online santraller aracılığı ile aylık sadece 29 TL'lik bir ücret mukabilinde mümkün. Dolayısıyla güveni sadece 0850'li numaralara da hasretmemek gerekiyor.