İlk defa bu yıl düzenlenecek olan Payments Security & Authentication Global zirvesi, hızla gelişen ödemeler altyapısı aracılığıyla müşterilerini nasıl koruyabileceklerini tartışmak için bölge çapındaki fütüristleri, siber güvenlik ve ödeme profesyonellerini bir araya getirecek.
1-3 Aralık tarihinde Wyndham Grand Levent’te yapılacak konferanslarda, dijital ödemelere yönelik ortaya çıkan tehditlere işletmelerin hazır olup olmadıkları tartışılacak.
Konferans kapsamda yapılacak panelde, konuşmacılar arasında yer alan MTN Kamerun Forensic Audit Services (Adli Denetim Hizmetleri) Müdürü, Chukwunonso Okoro dijital ödeme ve siber saldırılar hakkında Türkiye’de vereceği konferans öncesi açıklamalar yaptı.
Dijital ödemeler konusunda işletmenize yönelik en büyük güvenlik tehditleri nelerdir?
Dijital ödemeler konusunda işletmenize yönelik en büyük güvenlik tehdidi siber-saldırılardır. Yeni ödeme yöntemleri (NPM) dünya çapında siber-saldırıları körüklemektedir. 2013 yılının Aralık ayında perakende devi olan Target hedef alınarak yaklaşık 40 milyon kredi kartı ve 70 milyon kullanıcı hesabı ele geçirilmiştir. Juniper Research projeleri mobil ödemeler beş yıl içerisinde küresel çapta 1.3 trilyon ABD Dolarına ulaşmıştır. Mobil ödemeler alanındaki bu tahmini büyüme rakamları ile, siber suçlar, kimlik hırsızlığı ve güvenliği kırarak sisteme izinsiz girişler dolandırıcılık ve sahtekarlık amaçlı saldırılar için en önemli üç hedef haline gelmiştir.
Javelin Strategy & Research müşteri verilerinin bizlere gösterdiği gibi kimlik hırsızlığına yönelik sahtekarlık ve dolandırıcılık kurbanlarının yüzde 10’undan daha fazlası çevrimiçi ürün veya hizmet satın alırken bilgilerine izinsiz erişim sağlandığının ve çalındığının farkına varmaktadır. Mobil teknoloji insanların zaman kazanmaları adına günlük ihtiyaçlarını karşılamalarına yönelik uygulamaları entegre edebilmek için büyük bir hızla gelişmektedir. Bütün bu ihtiyaçlar için en önemli unsur olan paranın da teknolojiyi benimsemesi gerekmektedir.
Buna ilaveten, bankalar ve finansal kurumlar müşterilerine işlemlerinde kolaylık sağlamak adına sistemlerine mobil teknolojileri dahil etmektedir. Fakat, bu olgunun altında yatan bir düşünce herkesin aklına tek bir soruyu getirmektedir: Ödemeler alanında mobil teknoloji ne kadar güvenlidir?
Moskova merkezli bir güvenlik firması olan Kaspersky Lab tarafından yeni tarihli yayınlanan bir rapora göre; ‘2015 yılının birinci çeyreğinde 2.2 milyar kötü niyetli saldırının bilgisayarları ve mobil cihazları engellediği ortaya çıkarılmıştır. Bu rakam 2014 yılının birinci çeyreğinde elde edilen rakamın iki katıdır.’ 2015 yılının Şubat ayında, dünya çapında 100 bankayı etkisi altına alan milyar dolarlık bir siber soygun ortaya çıkarılmıştır.
Kaspersky Lab tarafından ortaya çıkarılan bu izinsiz girişler şifre avcılığı, kimlik hırsızlığı gibi taktikler kullanarak bankaların ağına erişim sağlayarak çalışanlara ait hesap detayları ve ayrıcalıklar dahil olmak üzere kilit kaynaklara erişim olanağı elde etmişlerdir. Carbanak olarak bilinen bu siber suç ağı ele geçirdiği bilgileri ve detayları hileli düzmece banka havaleleri yapmak için kullanmış ve kendilerine 1 milyar ABD Dolarından fazlasını aktarmak için ele geçirdikleri ATM makinelerini meşru olarak göstermişlerdir. Saldırılar ilk olarak 2013 yılının Aralık ayında tespit edilmiş ve geçtiğimiz yılın Şubat ile Nisan ayları arasında artış göstermiştir.
Avrupa ödemeler alanında dijital teknolojiyi en ileri seviyede uygulayan bir kıta olarak bilinmektedir. 2012 yılında, Almanya, İtalya, İspanya ve Hollanda’da 30.000’den fazla internet bankacılığı müşterisi akıllı mobil telefonlarını hedefleyen dijital saldırıların kurbanı olmuştur. Bilgisayar korsanları Avrupa çapında kurumsal ve bireysel bankacılık müşterilerinden 36 milyon Avro çalmışlardır. Saldırılar için özellikle Android sistemli ve Blackberry mobil cihazlar hedeflenmiştir.
‘ZITMO’ veya ‘Zeus-In-The-Mobile’ adı verilen Truva Atı (Trojan) Casus yazılımının isteğe uyarlanmış bir sürümü olan program kurbanın kişisel bilgisayarından mobil cihazlarına yayılan iki-aşamalı bir Trojan virüs saldırısı için yerleştirilmiştir. Söz konusu ‘Zeus-In-The-Mobile’ casus yazılımı güvenlik şirketleri tarafından ‘Eurograbber’ (Avrupalı Gaspçı) olarak adlandırılmıştır ve özellikle internet (çevrimiçi) bankacılığına yönelik tasarlanan ve hedefleyen PC’den mobil cihazlara yayılan ve Trojan casus yazılımı türünün ilk örneği olarak kabul edilmiştir.
Batı Avrupa veya Orta Doğu’dakiler ile kıyaslandığında Afrika’daki işletmelere yönelik güvenlik tehditleri ne derece ileridir
Afrika’daki işletmelere yönelik güvenlik tehditleri Batı Avrupa ve Orta Doğu’dakiler ile aynı ölçektedir. Coğrafi konumlar arasındaki başlıca fark güvenlik tehditlerine müdahale zamanları ve küresel bilgi güvenliği standartları ile arasındaki uyum seviyeleridir. Batı Avrupa’daki işletmeler kendilerine yönelik ortaya çıkan risklerde proaktif (ileriye etkili) bir yaklaşım benimserken ve gerçekleşen tehditlere hızlı bir şekilde reaksiyon gösterirlerken, Afrika’da konumlanan işletmelerde bu durum aynı değildir.
Buna ilaveten, Batı Avrupa’daki Ulusal Hükümetler ve özel sektör günümüze kadar gelen ve yeni oluşmaya başlayan güvenlik tehditleri konusunda ileri düzeyde işbirliği gerçekleştirirken söz konusu işbirliği Afrika’da henüz emekleme evresindedir. Yine aynı şekilde Batı Avrupa’daki işletmeler Afrika’dakiler gibi uymak zorunda oldukları mevzuatlar aracılığıyla küresel güvenlik standartlarına uyum sergilemek zorunda kalmakta fakat Afrika’daki işletmeler yeni güvenlik gerekliliklerini uygulamada yeterince hızlı hareket etmemektedirler.
İşletmelerin, söz konusu tehditlerin ticari faaliyetlerine ve işlerine zarar vermesini önlemek için veya bu tehditleri minimize etmek için atacakları çok önemli adımlar var!
- Sosyal mühendislik hakkında çalışanlara eğitim verilmesi
- Kurumsal ağ aracılığıyla çalışanların ziyaret ettikleri web sayfalarının kısıtlanması
- Yeni teknolojilerin anlaşılması, topolojilerin paylaşılması ve böylelikle bu yeni saldırıları ortaya çıkarabilmek için sahtekarlık izleme sistemlerinin oluşturulması ve ortaya çıkan en son tehditlerin anlaşılabilmesi. Mobil ağ sağlayıcıları ve kanun uygulayıcılar arasında müşterek ilişkiler meydana getirilmesi.
- Yeni ödeme şirketleri ve uygulamaları sürekli bir şekilde piyasaya girmektedir. Teşkil ettikleri güvenlik tehditlerini anlayınız. Örneğin; bu yeni ödeme sistemlerinin bazıları verileri şifrelememektedir.
- Kart sahiplerine ait verileri işleyen sistemleri diğer kurumsal ortamdan ayırınız.
- Kartlı Ödeme Endüstrisi ortamına (PCI) yönelik erişim için iki-faktörlü doğrulama talep ediniz.
- PCI ortamındaki her bir sistem kendine ait benzersiz yerel idareci şifresine sahip olmalıdır.
- Hizmet hesapları dahil tüm hesap ve grup izinleri için ‘en düşük erişim hakkı’ uygulamasını benimseyin.
- POS (satış noktası) çözümleri için PIN pad okuyucusundan başlamak üzere uç uca asimetrik şifreleme kullanın.
- Tüm üçüncü taraf uygulamaları ve işletim sistemlerini yamayın.
- Uç noktası tehdit algılama ve müdahale çözümü kurun.
- Dosyaların sistemde yaratılmasını takip eden bir dosya izleme çözümünün uygulanmasını sağlayın.
- Şüpheli oturum açma, beklenmedik dosyaların meydana getirilmesi veya sıra dışı trafik akışı gibi anormal aktivitelere karşı PCI ortamını izleyin.
Dolandırıcılığı önlenmesine yönelik en önemli gelişme, Biyo-güvenli,Güvenlik Duvarları (firewall) çok önemli
Dolandırıcılığın önlenmesine yönelik en önemli gelişme; çalışanları için Dolandırıcılık Farkındalık Seansları, anonim İhbar ve İspiyonculuk imkanları ve Dolandırıcılık Risk Değerlendirmelerini içeren Dolandırıcılık Risk Yönetimi uygulamalarıdır.
Gerçekleşmesi muhtemel en büyük tehdit
Siber saldırılar dijital ödeme platformları ve faaliyetleri için başlıca tehdit olmaya devam edecektir. Bir zamanlar gizli bir ortam dahilinde egoları ile şöhret arzuları ile motive edilen kötü bir üne sahip olan bireylerden meydana gelen önceden tasarlanmamış ve doğaçlama ağlardan oluşan bir Pazar dahilinde faaliyet gösteren siber hırsızlar bu piyasayı finansal hırs ve amaçlarla hareket edilen son derece iyi organize olmuş ve sofistike gruplar dahilinde faaliyet gösterilen bir oyun alanı haline getirmişlerdir.
Bilgisayar korsanlığı için araçlar için bulunan karaborsa ve fiyatların son derece yüksek seyrettiği piyasa, bilgisayar korsanlığı hizmetleri ve bilgisayar korsanlığının meyveleri her geçen gün daha fazla ilgi çekmektedir ve bu piyasada daha fazla saldırılar ve saldırı mekanizmaları birbirleriyle yakın bir işbirliği içerisinde birbirleriyle bir şekilde bağlantılı olarak gerçekleşmektedir.
2013 yılının Aralık ayında perakende devi Target söz konusu saldırılara hedef olmuş ve 40 milyon kadar kredi kartı ve 70 milyon kullanıcı hesabı yasa dışı olarak ele geçirilmiş ve bu olaydan çok kısa bir süre sonra çalınan bilgiler karaborsa sitelerinde satışa sunulmaya başlanmıştır. 2000’li yılların ortalarından bu yana, bilgisayar korsanları topluluğu kendilerine ait bir piyasanın da varlığı ile hızla büyümekte ve olgunlaşmaktadır. On yıldan daha uzun bir geçmişe sahip sürekli gelişim ve inovasyon, dijital olarak bilgili ve sezgili katılımcıların meydana getirdiği yeni jenerasyonların sunumu ve önemli deneme yanılma yöntemleri günümüzdeki manzaranın ortaya çıkmasında pay sahibi olan en önemli unsurlardandır ve bu konuda uzmanlar aşağıda sunulan geleceğe yönelik tahminler ve kehanetlerde bulunmaktadırlar:
- Darknet (karanlık internet)[1], dahilinde çok daha fazla faaliyet gözlemlenecek, katılımcılar daha fazla kontrol etme ve güvenlik incelemesi gerçekleştirecekler, daha fazla şifre birimi kullanılacak, casus yazılımlarında daha fazla anonimlik kabiliyeti olacak ve şifreleme ve iletişimleri ve işlemleri korumaya daha fazla dikkat edilecektir.
- Bu tür piyasaların da yardımıyla, saldırı kabiliyeti savunma kabiliyetini geride bırakacaktır.
- Hiper-bağlanırlık saldırıya duyarlı ve suiistimal edilebilir noktaların varlığını arttıracak ve böylelikle işlenen suçun daha çok ağ tabanlı veya siber bileşenli olmasına olanak sağlanarak karaborsalar için daha geniş ve engin fırsatlar meydana gelecektir.
- Sosyal ağların ve mobil cihazların suiistimali aratarak devam edecektir.
- Hizmet sunumu için daha fazla kiralık bilgisayar korsanı ve komisyoncular ortaya çıkacaktır.
[1] Darknet: arama motorlarının ve standart bir ev kullanıcısının erişimine izin vermeyen çeşitli yazılımlar aracılığıyla (Tor) gizlenmiş suç faaliyetlerini içeren bir ağdır.
Kaynak : 