Güney Afrika’nın Cape Town şehrinde düzenlenen Kaspersky Lab Cyber Security Weekend etkinliğinde, Kaspersky Lab uzmanları tüm dünyada giderek popüler hale gelen mobil ödeme yöntemleri ile bu teknolojinin beraberinde getirdiği riskleri anlattı. Uzmanlar özellikle Afrika ve çevresinde sıkça görülen SIM değişikliği dolandırıcılığına odaklandı. Bu saldırı türü, Güney Afrika Bankacılık Risk Bilgilendirme Merkezi (SABRIC) verilerine göre geçtiğimiz yıl Güney Afrika’da iki kattan fazla arttı.
DOĞRULAMA KONTROLLERİNİ KOLAYLIKLA AŞABİLİYORLAR
Operatörün, telefon numaranızı suçluların kontrolündeki bir SIM kartına aktarmaya ikna edilmesine SIM değişikliği dolandırıcılığı adı veriliyor.
Bazı durumlarda, operatörlerde çalışan kişilerin de suçlularla birlikte hareket ettiğine rastlanabiliyor. Gelen SMS mesajlarını farklı bir yere aktaran dolandırıcılar; finansal hizmetler, sosyal ağlar, web e-posta servisleri ve anlık mesajlaşma uygulamaları gibi yerlerdeki hesaplarınızı koruyan metin tabanlı iki faktörlü kimlik doğrulama kontrollerini kolaylıkla aşabiliyor. Operatörün, telefon numaranızı suçluların kontrolündeki bir SIM kartına aktarmaya ikna edilmesine SIM değişikliği dolandırıcılığı adı veriliyor. Bazı durumlarda, operatörlerde çalışan kişilerin de suçlularla birlikte hareket ettiğine rastlanabiliyor. Gelen SMS mesajlarını farklı bir yere aktaran dolandırıcılar; finansal hizmetler, sosyal ağlar, web e-posta servisleri ve anlık mesajlaşma uygulamaları gibi yerlerdeki hesaplarınızı koruyan metin tabanlı iki faktörlü kimlik doğrulama kontrollerini kolaylıkla aşabiliyor.
ÇOĞU AFRİKA ÜLKESİNDE
Mobil ödeme yöntemleri çoğu Afrika ülkesinde kullanılıyor. Yapılan araştırmaya göre, 2017 sonunda Sahra Altı Afrika bölgesinde 135 farklı mobil para hizmetinin toplam 122 milyon aktif hesabı bulunuyordu. Mobil cihazlar üzerinden ödeme yöntemlerinin sağladığı kolaylık tartışılamaz olsa da Kaspersky Lab’ın yaptığı araştırma, mobil ödeme ve bankacılık sisteminin başta SIM değişikliği dolandırıcılığı olmak üzere geniş bir saldırı dalgası altında olduğunu gösteriyor. İnsanlar bu saldırılar sonucunda maddi kayıplar yaşıyor. Bu tür saldırılar yalnızca kimlik bilgilerini veya SMS ile gönderilmiş tek kullanımlık parolaları çalmak için değil, ayrıca kurbanları maddi zarara uğratmak veya finansal hizmetlerdeki hesapları sıfırlamak için de kullanılabiliyor. Böylece dolandırıcılar bankaların yanı sıra finansal teknoloji sağlayıcıları ve kredi birliklerindeki hesaplara da erişebiliyor. Dolandırıcılar bu yöntemi WhatsApp ile para çalmak için de kullanıyor. Yeni bir telefona mesajları yükledikten sonra listedeki kişilerle iletişim kurarak acil bir durum için para isteyebiliyorlar.
Kaspersky Lab Kıdemli Güvenlik Araştırmacısı Fabio Assolini, “Finansal erişim hizmetlerinin gelişmesiyle siber suçlular ve dolandırıcılara yepyeni fırsatlar doğuyor. Mobil telefonların kullanışlı yapısından yararlanan suçlular iki faktörlü kimlik doğrulama sürecini suistimal ediyor. SIM değiştirme ile yapılan dolandırıcılıklar Afrika ve Orta Doğu bölgesini etkisine alarak Güney Afrika, Türkiye ve BAE gibi ülkelerde yaygınlaşıyor. Mozambik gibi ülkeler bu sorunu ilk elden yaşadı. Saldırıların ardından Mozambik’te bankalar ve mobil operatörlerin aldığı önlem, bence herkesin ders alması ve diğer bölgelerin de araştırıp uygulaması gereken bir çözüm sunuyor. Diğer her şeyin yanında geleceğin mobil ödeme yöntemleri için de kullanılabilecek bu çözüm cebimizdeki telefonların cebimizdeki düşmanlara dönüşmesini engelleyebilecek bir yol sunuyor” dedi.
Saldırılar nedeniyle oluşan zarar ülkeden ülkeye değişiyor. Bazı yerlerde çok uç örneklere rastlamak da mümkün. Örneğin Birleşik Arap Emirlikleri’nde bir kişinin yaklaşık 1 milyon dolar kaybettiği belirlendi. Güney Afrika’da ise bir kurban 20.000 dolar zararının olduğunu söyledi. Assolini, “Dolandırıcılar kurban başına ortalama 2500-3000 dolar arasında para çalabiliyor. SIM değişikliği yapmanın suçlulara maliyeti ise 10 ila 40 dolar oluyor” dedi.
Giderek büyüyen mobil dijital yaşantıyı ve ödeme yöntemlerini korumak için Kaspersky Lab şu temel adımların atılmasını tavsiye ediyor:
• Ödemelerde kimlik doğrulama için ses ve SMS yöntemlerinden kaçınılmalı
- Google Authenticator gibi mobil uygulamalardaki tek kullanımlık parolalar veya fiziksel aygıtlar kullanılmalı.
• Biyometrik veriler
- Fiziksel özelliklerden daha iyi bir kimlik doğrulama yöntemi yoktur. Sesli kimlik doğrulama seçeneğinin ise daha fazla incelenmesi gerekiyor.
• Otomatik bir ‘Numaranız devre dışı bırakılacaktır’ mesajı - SIM değiştirme talebi olduğunda bu mesaj paylaşılmalıdır. Sahte bir talep olduğunda bu mesaj kullanıcının durumu daha hızlı rapor etmesine yardımcı olur.
• WhatsApp’ta iki faktörlü kimlik doğrulamayı etkinleştirme
- WhatsApp hesabının çalınma ihtimalini düşürmek için cihazınızda altı haneli bir PIN ile iki faktörlü kimlik doğrulamayı etkinleştirmek kritik önem taşır. Kullanıcı böylece cihazda yeni bir güvenlik katmanına sahip olur.
