Mail ile bize ulaşanlardan bir tanesinin oldukça enteresan olan hikayesini ve uzantısında hacker’lar dünyasından bazı noktaları sizlere de sunmak istedik. Ferruh Mavituna önceki bölümlerde
bize kendisinden, yaptığı işlerden ve Türk Hacker’lardan bahsetti. Bugünkü bölümde, Kredi Kartlarının ve e-Ticaret’in güvenilirliği konusunda konuşacağız.
turk-internet.com : Hacker’lar Kredi Kartlarını değiş tokuş ediyor dediniz. Hacker ya da crackerlar bu kredi kart numaralarını nerelerden buluyor ve bu numaralarla neler yapabiliyor?
Ferruh Mavituna : Bunları bulmanın bir çok yolu var.
Cracker bizzat bir kişiye saldırmış olabilir, Bu durumda;
- Kurbana (saldırdığı kişi) Trojan bulaştırmış ve bilgisarındaki bilgilere ulaşmış olabilir. Bu durumda saldırganın yazdığı yazıları, dosyalarını ve ekranını görebilir. Dolayısıyla bu kişinin Kredi Kartı bilgilerine de buradan ulaşma ihtimali var.
- E-mail adresini ele geçirmiş olabilir. Bu genelde basit bir olaydır, Fake Mail denen size şifre soran e-maillar ile bir çok yeni bilgisayar kullanıcısı kandırılabilir ve bu tip bir saldırı için saldırganın çok az bilgisi olması yeterli. Yani bir kişinin e-mailini ele geçirmek cracker’ların en alt seviyeleridir. E-mail adresini ele geçirdiğiniz bir kişinin Kredi Kartına ulaşma ihtimaliniz vardır.
Mesela bazı bankalar Ekstreleri e-mailiniza gönderir (tabii ki Kredi Kartı bilgileri ile). Yada üye olduğunuz bir site kredi kartınızı tutuyor olabilir, saldırganda bu siteden sizin kredi kartınıza ulaşabilir. Olasılıklar çoğaltılabilir.
- Keylogger ile kurbanın bilgisayarındaki tüm klavye vuruşlarını kaydedebilir ve sonradan bunlar arasında Kredi Kartı bilgilerini ele geçirebilir. Özellikle internet cafe gibi birden fazla kişinin aynı bilgisayarı kullandığı yerlerde bu çok etkili bir yöntemdir. Yada bir şekilde internet üzerinden bu keylogger programını da saldırgana göndermiş olabilir.
Bunlar bazı olasıklar tabii ki daha farklı saldırılar da var.
Ancak esas olarak Kredi Kartlarının dağıtımı sitelerin hacklenmesinden ortaya çıkıyor. Bu durumda bir kaç konu var;
- Bir e-ticaret sisteminde yeni bir açık bulunmuş olabilir (bazı e-ticaret siteleri paket bir e-ticaret yazılımı kullanır). Bu durumda bu açığı kullanabilen herkes o sistemdeki tüm datalara ulaşabilir. Kredi Kartı, Müşteri bilgileri gibi.
En ciddi sorun bu durumdur. Çünkü bu durumda bu verileri çalacak olan saldırganın çok gelişmiş bir bilgiye ihtiyacı yok. Basit bir bilgisayar kullanıcısı bile biraz uğraşarak bunu yapabilir. Güvenlik gözardı edilerek yazılmış bir çok e-ticaret sisteminde bu tip sorunlar olmuştur.
Hatta cracker sitelerinde “adım adım nasıl bir X sistemi kurulu bir e-ticaret sistemi kırılır” isimli bir makaleye rastlayabilirsiniz. Emin olun çalışıyor !
- E-ticaret sitelerindeki açıklar. Özel sistemlerin bir çoğunda geliştiricilerin güvenli yazılım geliştirme konusundaki zayıflıklarından yada yazılım geliştirme sonrası profesyonel şekilde bir güvenlik testi hizmeti almamalarından dolayı sistemlerde çeşitli açıklar çıkabiliyor.
Eğer sistem Kredi Kartlarını tutuyorsa saldırgan bu tip bir açıktan yararlanarak yüzlerce, binlerce hatta milyonlarca kredi kartına ulaşabilir. 5 milyon Kredi Kartı hacklendi haberlerini görmüşsünüzdür, bunların hepsi bu tip açıklar sonucu oluşuyor.
Ek olarak Kredi Kartlarını kendi sisteminizde tutmuyor olmanız müşterilerin Kredi Kartlarının güvenli olduğu anlamına gelmiyor. Zeki bir saldırgan Kredi Kartı sayfasına kendi 3-5 satır ekleyerek tüm bankaya giden tüm Kredi Kartı bilgilerinin bir kopyasını kendi e-mail adresine gönderebilir. Sistem yöneticisinin bunu farketmesi aylar alabilir.
Özetle genelde e-ticaret sitelerine sızan saldırganlar tarafından ele geçirilen Kredi Kartları herkese açık alanlarda (forum ve haber grupları gibi) dağıtılıyor ve takas ediliyor.
Bu Kredi Kartlarını da aynı gerçek Kredi Kartları gibi kullanılabilir. Bu numaralar ile gerçek bir ürün siparişi genelde tehlikeli olduğundan ve muhtemelen kargo sürecinde banka tarafından konu anlaşıldığından crackerlar genelde bunları online servislerde kullanırlar.
Web Hosting, paralı üyelik isteyen siteler, internet üzerinde program satın alma gibi. Tabi tahmin edeceğiniz gibi buradaki aslan payı Porno Sitelerin.
turk-internet.com : Kimliği belirsiz e-mail gönderme konusuna kimler ilgi gosteriyor? Ne nedenle?
Ferruh Mavituna : Bunun bir çok amacı olabiliyor, bir kişiyi tehdit etmek için, kandırma dolandırma amaçlı deneyler için, Fake Mail gönderek kişinin şifresini çalmayı denemek için veya sadece kişiyi rahatsız edici e-maillar göndermek için. Aynı telefon sapıklarının yaptığı gibi.
Aynı zamanda bu hizmet çok da zararsız olabilir sadece kimliğini gizlemek isteyen bir internet kullanıcısı da olabilirsiniz tabii ki.
Yazının 4.bölümünde Kredi Kartları ve Elektronik ticaret konusunda dikkat etmemiz gerekenleri, bir güvenlik uzmanının gözünden dinleyeceğiz. Bu bölümü okumak için Hack Etmek Yerine Yardım Edince İş Buldu – 4) satırını tıklayınız.