9 Şubat 2009 Pazartesi

Kimlik Hırsızlığına Karşı Web Tarayıcıları


İnternet üzerinde yapılan kimlik hırsızlığı(identity theft) ile ilgili olarak yaptığım çalışmanın giriş kısmı

Kimlik Hırsızlığı Nedir?


Kimlik hırsızlığı (identity theft), bir başkasına ait kişisel bilgilerin yetkisiz olarak kullanılması suretiyle işlenen dolandırıcılık yöntemidir. Kredi kartı ve internet bankacılığı bilgileri, şifre ve parolalarınız, elektronik posta, MSN sohbet programı parolalarınız ve diğer önemli kişisel bilgilerinizin bir başkası tarafından çıkar sağlamak amacıyla kullanıldığı bir dolandırıcılık türüdür. Bu makalede internet üzerinden yapılan kimlik hırsızlığına karşı web tarayıcıların güvenlik özelliklerini ele alacağız.


Kimlik Hırsızlığının Zararları?


Her gün onlarca internet sitesine giriyor, onlarca elektronik posta okuyoruz. Kredi kartı ile internet üzerinde alışveriş yapıyor ve bu alışverişlerin dökümünü elektronik posta adresimizden okuyoruz. İnternet bankacılığını kullanarak havale ve EFT işlemleri yapıyoruz. Telefon görüşmelerimizin fatura bilgileri ve yine döküm bilgilerini internetten takip ediyoruz. Sohbet programlarında arkadaşlarımızla sohbet ediyoruz. Kişisel bilgilerin yanı sıra kurumsal bilgilerimizi de internet ortamında aktif olarak kullanıyoruz. Ticari yazışmalarımızın çoğunu yine internet üzerinden gerçekleştiriyoruz.


İnternetin sağladığı bütün bu faydalı işlemler hayatımızı oldukça kolaylaştırıyor. Peki bu kolaylıklar hayatımızı karartan bir kâbusa dönüşebilir mi? Eğer anlattığımız işlemleri yaparken kullandığımız kişisel bilgilerimizi üçüncü şahısların eline geçer ve art niyetli olarak kullanılırlarsa “evet”.


Dolandırıcılar kişisel bilgilerinizi ele geçirerek;


1- Size ait kredi kartı ile alışveriş yapabilir. Banka bilgilerinizi kullanarak EFT, Havale işlemleri yapabilir. Bu işlemleri sizin hesabınızdaki bakiyeyi kullanarak yaptıkları gibi, hesabınızı para aktarma işlemleri için de kullanabilirler.


2- Nüfus bilgileriniz, annenizin kızlık soyadı gibi bilgilere erişerek sizin adınıza yeni banka hesapları açabilirler hatta şirket bile kurabilirler.


3- Facebook ve MSN Sohbet programında kullanıcı adı ve parolalarını ele geçiren şahıslar sizin adınıza arkadaşlarınızdan para, cep telefonu kontörü talep edebilir.


4- İnternette kullandığınız diğer kullanıcı adı ve parola bilgilerini ele geçirerek özel hayatınızı ilgilendiren diğer bilgilere erişebilir hatta bununla size şantaj bile yapabilir.


5- Elektronik postalarınızı takip edebilir, ticari yazışmalarını manipüle ederek çıkar sağlayabilir.


Bugün sadece “Sanal Banka Mağdurları Derneği”ne ulaşan verilere göre dolandırılan ve hesapları boşaltılan binlerce internet bankacılığı mağduru Tablo-1’ de bu durumun vahim bir göstergesi olarak önümüzde duruyor.

































Kimlik Hırsızlığı Yöntemleri
Dolandırıcıların günümüzde en sık kullandığı yöntemler Yemleme(Phishing-fişing diye okunur) ve casus programlardır (keylogger,spyware). Bu yöntemlerin yanında sistemlere yetkisiz erişme, sosyal mühendislik, ATM dolandırıcılığı gibi yöntemler de kullanılır.



a. Phishing: Bu yöntemde dolandırıcılar banka, kredi kartı bilgilerinizi güncellemeniz için size sahte elektronik posta göndererek (fake mail) kendi yaptıkları sahte siteye (spoof site) girmenizi isterler. Size gelen elektronik postanın gerçek kuruluştan geldiğini göstermek için kuruluşa ait logo ve diğer bilgileri kullanırlar.








Phishing yöntemi Şekil-1’ de kısaca özetlenmiştir. Buna göre;



1- Dolandırıcı bir bankadan geliyormuş gibi görünen mesajı postayı binlerce farklı elektronik posta adresine toplu olarak gönderir. Mesaj içerisine bir linke tıklanması veya bir telefon numarasının aranması için kurbanı harekete geçirecek, heyecanlandıracak içerikte bilgiler koyar.

2- Elektronik posta içerisinde sahte siteye yönlendiren bir link veya bir buton vardır.

3- Sahte sitenin görünümü gerçek sitenin bir kopyası olarak hazırlanmıştır. Siteye giriş yapıldığında kişisel bilgiler, kredi kart bilgileri ve parolalar sorulur.



HSBC Bank’tan geliyormuş gibi görünen bu elektronik posta adresinde kullanıcı hesabınızın kısıtlandığını ve sorunu çözmek için linke tıklamanız isteniyor. Linke tıkladığınızda karşınıza gelen ekran ise dolandırıcı tarafından hazırlanmış HSBC Bank’ ın sahtesi web sitesi oluyor.



Sitenin sahte olduğunun anlamadan siteye girdiğiniz bilgilerle zaten banka hesabınıza erişemiyorsunuz. Site  “sitenin çok yoğun olduğu daha sonra tekrar denemeniz gerektiğini” bildiren bir mesaj veriyor. Ama o arada siteye girilen banka bilgileriniz çoktan dolandırıcın eline geçmiştir.
Burada yemlemeye gelmemek için dikkat edilecek husus bankanın hesap bilgileri ile ilgili olarak müşterilerine elektronik posta yolu ile kullanıcı bilgilerinin güncellenmesi için haber verip vermeyeceğinin bilinmesidir. HSBC Bank müşterilerine ait ayrıntılı bilgiler için elektronik posta göndermemektedir. Ayrıca girilen web sitenin tarayıcının adres çubuğu kısmına bakıldığında HSBC Bank’ ın adresinin olmadığı görülecektir.

taslak çalışmanın pdf versiyonu için tıklayınız.

Hiç yorum yok:

Yorum Gönder