1 Ocak 2010 tarihi itibariyle tek kullanımlık şifre hayatımıza girdi ve iki bileşenli kimlik doğrulama internet bankacılığı uygulamalarında zorunlu hale gelmiştir. Böylelikle internet bankacılığı hizmeti alan müşterilere daha güvenli erişim imkânı sağlanmıştır.
Tek kullanımlık şifre her kullanımda veya belli bir süre geçtikten sonra geçerliliğini yitiren ve bir sonraki kullanım için yeniden üretilmesi gereken sayı ve/veya harf dizisidir. Bu sayı/harf dizileri müşterilerin hizmetine farklı yöntemlerle sunulmuştur.
Bunlar;
Tek Kullanımlık şifre üreten cihazlar (token)
Tek Kullanımlık şifre üreten yüklenebilir programlar (Soft token)
Tek kullanımlık sms şifre
Elektronik imza tabanlı çözümler
Biyometrik tanıma (ses tanıma sistemleri) v.b.
Bu yöntemler içerisinde en yaygın olanı sms olması ile birlikte güvenlik açıkları da sorgulanır hale gelmiştir. GSM firmalarının sim kart dağıtımında ve yenilemede güvenlik kontrollerini minimum düzeyde yapması, dolandırıcılık vakalarının artmasına sebep olmuştur. Dolandırıcıların, internet bankacılığı kullanan müşterilerin iki kademeli olan kimlik doğrulama sisteminde birinci güvenlik kontrolu olan kullanıcı adı şifre bilgilerini keylogger v.b. klavyede basılan tuşları kaydeden programlar sayesinde alınabildiğini hepimiz çok iyi biliyoruz. Bankalar bu riski ortadan kaldırma adına ekran klavyesi uygulamalarını müşterilerin hizmetine sundu fakat bu sefer de her mouse tıklamasında müşterinin bilgisayarına ait ekran görüntüsünü kaydederek ftp, mail v.b. tanımlı adreslere gönderen trojanlar kullanılmaya başlandı. Yani iki kademeli olan kimlik doğrulamada, müşteri bilgisayarına kurulacak keylogger sayesinde birinci kademe çok rahatlıkla aşılabilmektedir.
Şimdi sıra geldi sms şifrenin elde edilmesine. Yaşanan internet şube dolandırıcılık vakalarında sms şifrenin ele geçirilmesinde kullanılan tekniklerden bazıları şunlardır;
Cep telefonlarına kurulan tojanlar (Zeus v.b.) sayesinde man in the mobile metodu gelen sms bilgilerinin bir kopyası dolandırıcılara gitmesiyle birlikte içeriğinde şifre olan mesajlara erişim sağlanabilmektedir.
Önlem: Mobil cihazlarımıza antivirüs kurulumunu yapmak ve sıradışı çıkan popup ekranlar, açılan sayfalar v.b. durumlarda ivedilikle bankanız ile irtibata geçin.
Müşteri bilgilerinin yer aldığı sahte kimlik ile telefonunun çalındığını veya kaybolduğunu GSM firma yetkilisine söyleyerek başvuruda bulunuyor ve 5 - 10 dk gibi kısa bir sürede müşteriye ait telefon numarasının eşleştirildiği yeni sim kart dolandırıcıya veriliyor. Böylelikle sms şifre sorunsuz bir şekilde dolandırıcının eline geçmiş oluyor.
Önlem: Burada GSM firmalarına büyük iş düşmektedir. Sim kart yenileme işlemlerini daha kontrollu bir şekilde yapmaları ve talebi yapan kişilere ek doğrulama ve kimlik denetimi süreçleri uygulanmalıdır.
Özellikle bankaların GSM firmalarından son 24 saat içinde sim kart değişiklik taleplerini alarak, o müşteriye 24 saat boyunca sms şifre göndermemeleri alınacak önlemler arasındadır.
OTP (Tek Kullanımlık Şifre) üreten sistemler incelendiğinde token güvenlik olarak üst seviyelerde yer almaktadır. OTP çözümlerinde kullanılabilecek çözümler, kullanım kolaylığı ve güvenlik kriterleri şu şekildedir;
(http://www.cozumpark.com/blogs/gvenlik/archive/2011/01/15/nternet-bankac-l-uygulamalar-nda-sms-ifre-tehlikesi.aspx)
mikro efatura, mikro e-fatura, mikro edefter, mikro e-defter, Mikro Bayi, Mikro Bayii, Mikro v15, Mikro 15, Mikro Destek, mikro yazılım, mikro yazılım bayi, mikro yetkili satıcı, mikro bayileri, mikro programı, mikro yazılım, mikro yardım