"Kullanıcılar bir bankaya 6 haneli şifre girince, diğer bankalara da aynı şifreyi girmektedir. Ve TC Kimlik sabit olduğu için aslında aynı bilgiler giriş yapmaktadır. Çünkü BDDK 6 ayda bir şifre değiştirme zorunlu ve son 3 girdiğin şifre aynısı olmasın gibi bir kural getirdiğini okudum. Aynı durumdan açıkcası bende müzdaribim. Arama motorları ve sosyal medyalar üzerinden banka sayfaları birebir kopyalanmakta ve "Kampanya katıl" şeklinde reklamlarla kullanıcıların şifreleri ele geçirilmektedir. Kullanıcıların telefonuna gönderilen SMS ve Mail ile "Kampanya Katıl" şeklinde reklamlarla bir link ileterek yine kullanıcıların şifreleri ele geçirilmektedir. Ödeme yaparken kart bilgileride kopyalamış olabililer.
Sonuç olarak; Kimlik bilgileri, telefon, doğum tarihi, adres ve kredi, banka kart bilgileri ve kimlik kartında yazan kimlik no bilgileri artık güvenli değil. Ayrıca bankaların onay için gönderdiği SMS ve Mail ile gönderilen doğrulama kodunun da güvenliği kalmamıştır. Sürekli farklı kombinasyonlar ile asla bir daha tekrar gelmeyecek bir şifreleme mekanizmasına ivedilikle geçilmelidir.
Aşağıdaki gibi bir sistem kullanmanızı öneriyorum.
* TC Kimlik : Bu alanı mecbur kullanıcın girmesi gerekiyor, hesabı tanımanız için. O yüzden bunu değiştirmiyoruz.
* Gizli Bilgi : Kullanıcın bilgisi tamamen çalınmış olabilme ihtimaline karşı kullanıcıya 1 veya 2 rakamlı bir kombinasyon üretilebilir.
* Giriş Şifresi : 6 Haneli kullanıcı şifresinin sadece 4 hanesini talep edilmesi gerekiyor.
Gizli Bilgi neler olabilir? Müşterinizin annesinin/babasının/eşinin/ilk çocuğunun/ikinci çocuğunun.. doğum tarihi yapmak en doğrusudur. Ayrıca bu kombinasyonların hepsi rakam, telefon ile müşteriniz sizi aradığında da bu rakamları tuşlama yaparak doğrulaması kolay olacaktır. Çağrı merkezinizide bu şekilde yapmalısınız çünkü dolandırıcılar hangi tuşa basıldığında hangi tuş rakamanın çıktığını anladıkları için müşterinin şifresini öğrenebiliyorlar.
Sonuç Bu sayede kimse kullanıcın gerçek şifresini bilemez, çünkü hiç bir yerde 6 hanesi birden istenmeyecektir. Kullanıcı giriş yaptıktan sonra kombinasyon tekrar oluşturulması gerekiyor. Ayrıca 3 kere hatalı girerse en az 15dk hesaba girişi durdurup, görüntülü arama ile müşterinizle iletişime geçilmesi sağlıklı olur.
Örnek Giriş Kombinasyonu
* TC Kimlik : 11111111111
* Gizli Bilgi : Lütfen annenizin doğum tarihinin gününü ilk rakamını giriniz. 13 Ekim ise, 1 giriniz.
* Giriş Şifresi : 6 Haneli müşteri şifrenizin 1. - 3. - 4. - 5. hanelerini giriniz.
Sonraki girişinde, örnek kombinasyon
* TC Kimlik : 11111111111
* Gizli Bilgi : Lütfen babanızın doğum tarihinin ayının ikinci rakamını giriniz. 13.10.1989 ise, 0 giriniz.
* Giriş Şifresi : 6 Haneli müşteri şifrenizin 2. - 3. - 4. - 6. hanelerini giriniz.
Bu şekilde milyonlarca şifre kombinasyonu oluşturmuş olacaksınız ve hiç bir zaman kullanıcı girdiği şifreyi bir daha girmeyecek. Sürekli değişmiş olacak. Herhangibir site bu giriş bilgisini öğrense bile onlara farklı kombinasyon çıkacağı için sorun kalmayacaktır. "Ayrıca müşterinizden sürekli (1/3/6 ayda bir) şifreni değiştir deme ihtiyacınız da yok, zaten unutuluyor sürekli yeni şifre yeni şifre, insanlar nereye ne girdiğini hatırlayamıyor. Bu bankaya XXXX, şu banka YYYY derken kafa karışıklığı oluşuyor. Ayrıca bu şifreyi kullanma,son 3 şifrenden farklı olsun mantığıda müşterinizin şifreyi hatırlamasını zorlaştırıyor"
Ayrıca diğer önemli hususlar;
#1 Müşteri ilk defa bir kişiye ödeme yapacaksa SMS doğrulamasının ardından, ödemesini 24 saat beklemeye almanızı tavsiye ederim. Sonrasında müşterinize sesli arama yaparak "XXXtl ödemeyi ilk defa tanımsız bu hesaba göndereceksiniz, kendisini polis, savcı, hakim, bahis yap kazan vs gibi bir işlem için ödeyeceksiniz dolandırılıyor olabilirsiniz. Ödemenin hemen geçmesini istiyorsanız, lütfen bu kişiye aktarmak istediğiniz tutarı söyleyiniz/tuşlayınız." Eğer kullanıcı isteyerek yapmışsa bu işi zaten göndereceği tutarı direk söyleyecektir. (600,02tl ise 600tl girerse bile her iki durumuda kabul edersiniz.)
* Telefon meşgul çalar ise "görüntülü görüşme" zorunluluğuna yönlendirebilirsiniz, çünkü dolandırıcılar telefonda onu oyalıyor olabilirler.
#2 Oturum açıken ve başka biri de oturum açarsa. O zaman direk hesabı komple durdurun ve en az 15dk bekleyin. Çünkü müşteriniz sonradan uyanabilir ve dolandırıcılar o sırada hesapta ise oturumu kapatmak en mantıklısı olacaktır. Sonrasında, görüntülü görüşme ile doğrulamanızı tavsiye ederim.
#3 Oturum açıken ip adresi değişirse, oturumu kapatmanızı tavsiye ederim.
* Dolandırıcılar insanları arayarak kandırırsa ve oturum açarsa #1 ve #2 madde onları koruma yönelik olacaktır.
En çok kullanılan yöntemler
#1 - Mobil ve Web (Google,Safari,Firefox) Tarayıcı eklentileri ile kullanıcı bankanızın sayfasına geliyor. Ve TC Kimlik ve şifresini giriyor. "Reklam Engelleyici" ve "Şifre Yönetimi" gibi programlar "javascript" aracılıyla müşterinizin inputlara girdiği veriyi alıyor ve ben bunu kaydediyorum sen sonra direk girebilirsin diyor. "Müşteriniz derseki bu şifreyi kaydetme, o yine kaydediyor fakat göndermiyor. Sonra "background.js" ile kaydettiği o veriyi sonraki girişinde sunucusuna yine gönderiyor. Ve müşterinizin bilgisi çalınmış oluyor. Ayrıca "USERAGENT/COOKIE" bilgilerini de alıyor ki, sonra ki girdiklerinde banka sistemlerine "bu aynı müşteri aynı cihaz sanmanız için."
#2 - PROXY/VPN sistemlerinin çalışma şekli, kullanıcı önce isteği proxy/vpn sunucuna yapıyor, sunucu da GET/POST/DELETE/PUT gibi tüm istekleri alıp kendi sunucu üzerinden bağlanılmak istenilen sunucuya aktarıyor. Yani tüm bilgiler proxy/vpn sunucusunda kaldı, COOKIE&USERAGENT bilgilerini de alıp, bankaya bak yine ben geldim mesajı veriyor, aynı cihaz sanıyorsunuz ama değil.
#3 - Telefonlarına indirdikleri mobil uygulamalar onu izliyor ve kaydediyor. O uygulama onda hangi hangi uygulamalar var biliyor. Örneği diyor ki "ben antivirüs programıyım, o yüzden senden bu izni istedim, senin telefonunu tarayıp içinde kötü uygulama varsa ben bunu sileceğim" mesajı veriyor. Ama antivürüs sandığınız bu uygulama aslında uygulamalarınızı buluyor, sonda diyor ki "Banka" uygulaması ise "ekran kaydı" al. Arkaplanda o uygulama açık olmasa bile "BANKA" uygulamasını açtığında çalışıyor ve ekranın videosunu çekiyor. Bu sayede girdiği şifreyi görmüş oluyor. Genelde bu uygulamalar "Proxy, VPY, Antivirüs, Telefonunu temizle vs gibi uygulamalar" o sebeple güvenmediğiniz uygulamaları silmeniz gerekiyor. Eğer bir şey bedava ise şüphe etmelisiniz."
