Sharjah sakini Muhammed Zübeyr, bir Facebook reklamından gördüğü bir teklifin ardından çevrimiçi bir McDonald’s siparişi verdiğinde, beklediği son şey, Dh350’nin Rusya’da bir satın alma için düşüldüğünü görmekti. Reklamın bir aldatmaca olduğu ortaya çıktı ve çalışması için gereken tek şey, kurban tarafından görünüşte resmi web sitesine eklenen Bir Kerelik bir Şifreydi (OTP).
“Mcdonald’s’tan gelen ve büyük indirimler gösteren reklamı tıkladım. 3 Anlaşma için sipariş verdik ve bir OTP aldım. Tüm ayrıntıları kontrol etmeden, o web sitesinde otp’ye girdim. Hemen ardından, siparişim yalnızca Dh50 olmasına rağmen, Rusya’da bir satın alma işlemi için Dh350’nin düşüldüğünü belirten bir banka mesajı aldım. Yeniden kontrol ederken, web sitesinin biraz farklı olduğunu ve sahte olduğunu fark ettim.”
Bu tür bir eylem, kötü niyetli bir aktörün hileli yollarla kart ayrıntılarını ele geçirdiği kart kaçırma olarak bilinir. Geleneksel olarak, “sıyırıcının” bir mağazada veya atm’de fiziksel olarak bir kart makinesine gitmesi ve hassas bilgileri yakalamak için makineyi değiştirmesi veya gizli kameralar yerleştirmesi gerekir. Siber analistler, günümüzde “dijital kaymağını alma” teriminin internet üzerinden gerçekleştirilen ve tespit edilmesini zorlaştıran kart kaymağını içerdiğini söylüyor.
Bir teknoloji şirketi olan F5’in Orta Doğu, Türkiye ve Afrika bölge Başkan Yardımcısı Muhammed Abukhater, Khaleej Times’a verdiği demeçte, ”Dijital kartların kaydırılması, dijital mallardan hizmetlere ve gıdaya kadar her türlü satın alımda dijital ödemelerin sürekli artması nedeniyle büyüyen bir sorundur” dedi.
“Sorun, siber suçluların çalınan kart bilgilerini her zaman hemen kullanmamaları gerçeğiyle daha da büyüyor – genellikle haftalarca veya aylarca üzerlerinde oturuyorlar, bu da tespit edilmesini zorlaştırabilir.”
Abukhater, “uzaktan satın alma sahtekarlığı ve yetkili itme ödemesinde” de kayda değer bir artış olduğunu, yani bir mağdurun kendi başına bir satın alma işlemi yapması için kandırıldığını da sözlerine ekledi.
Siber güvenlik firması Sophos’un Kırmızı Ekibinin baş analisti Adrian Dinca, bir kurbanın kartının ele geçirildiğinden şüphelendiğinde, kartlarını derhal dondurmaları gerektiğini tavsiye ediyor. Khaleej Times’a verdiği demeçte, ”Şüpheli işlemleri iptal etmek ve gerekirse yeni bir kart çıkarmak için bankayı doğrudan aramak da iyi bir önlem” dedi. Kurbanların, paranın fark edilmeden önce küçük miktarlarda çekilmesi durumunda önceki işlemlere de bakmaları gerektiğini söylüyor.
Kırmızı bayraklar
Dinca, bir saldırı gerçekleşmeden önce fark edilebilecek işaretler veya kırmızı bayraklar olabileceğini söyledi. Onu ikiye ayırır: fiziksel bayraklar ve dijital bayraklar. “Fiziksel olarak, her zaman kredi kartınızı kullandığınız yerde uyanık olun. Meşru terminallerin üzerine yerleştirilen klasik sıyırıcı yöntemleri bugüne kadar hala kullanılıyor ve tespit edilmesi gittikçe zorlaşıyor ”dedi.
Bir terminalde ödeme yaparken şüpheli bir şey olmadığından emin olmak için Dinca, fiziksel olarak kontrol etmenizi önerir. “Kulağa biraz aptalca geldiğini biliyorum, ancak terminalleri, tuş takımlarını ve benzerlerini sallamaya çalışmak genellikle bu tür eylemlerde yardımcı olabilir” dedi. “Tabii ki, tuş takımlarının hantal olduğu, dışarı çıktıkları ve dokunuşta ”kapalı” hissettikleri, fark edilmesi daha kolay olanlar var.”
Dijital bayraklara gelince, Dinca, “rastgele bir hizmet için ödeme bilgisi vermenizi isteyen telefon görüşmelerinden veya mesajlardan, kullanıcılardan fatura bilgilerini güncellemelerini isteyen daha karmaşık kimlik avı e-postalarına kadar uzandığını söyledi.” Sonunda kendinize sorun: hizmet gerçekten benden bu yöntemle onlara ödeme bilgilerimi vermemi ister mi?”
Genel olarak konuşursak Dinca, mobil cüzdanların geleneksel cüzdanlardan daha güvenli olduğunu ancak her teknolojinin kendi riskleri olduğunu söylüyor. Mobil cüzdanların, Çok Faktörlü Kimlik Doğrulama (MFA) veya ele geçirilse bile yeniden kullanılamayan benzersiz, şifreli bir kod kullanma gibi kullanıcıyı korumak için gelişmiş güvenlik özelliklerine sahip olduğunu açıkladı. Ancak, mobil cüzdanların korumalarının bile her zaman mükemmel olmadığı konusunda uyardı. Dijital cüzdanlarla saldırganlar bilgileri daha uzun süre alabilir ve saklayabilir ve hatta kartı klonlayabilir.
“Yeterince vurgulayamıyorum: tüm bu sistemler yeterli araştırma süresiyle yenilebilir, bu nedenle son kullanıcılar nihayetinde korunmaları için onlara tam olarak güvenmemelidir. Güvenlik kendi uyanıklığımızla başlar.”
