Dolandırıcılık Eylemleri ve Korunma Yöntemleri

7/26/2019 Dolandrclk Eylemleri ve Korunma Yntemleri

1/521

DOLANDIRICILIK

EYLEMLER ve

KORUNMA

YNTEMLER

Aralk 2015


2/522 2

NSZ

I. BLM - Sosyal Mhendislik Yntemleriyle DolandrclkA. GiriB. Sosyal Mhendislik Yntemleriyle Dolandrcln Yaam DngsC. Sosyal Mhendislik Dolandrclnda Kullanlan Genel Yntemler 1. Temeli Bilgisayar ve Teknolojiye Dayanan Dolandrclklar

2. Temeli nsana Dayanan Sosyal MhendislikD. Sosyal Mhendislik Dolandrclklarnn Olumsuz Etkileri ve Korunma Yntemleri

II. BLM - nternet Biliim SularA. Genel Bilgi ve TariheB. Kiisel Bilgilerin nternet zerinden Elde Edilmesi 1. Truva Yazlmlar (Trojan) 2. Tu ve Ekran Kaydediciler (Keylogger ve Screenlogger) 3. Phishing (Olta Saldrlar) 4. Vishing (Voice Phishing) Olta Saldrlar

5. Wi-Fi Dolandrcl 6. Pop-Up Ekranlar 7. Spam E-Postalar 8. Teknolojik Donanmlar 9. Teknoloji Kaynakl Zararllarn Bankacla Etkisi 10. Man In The Middle Attack (MitM) 11. Man In The Browser Attack (MitB) 12. SIM Kart Yenileme ve Operatr DeiikliiC. Uluslararas Para Transferi Yapan irketler DolandrclklarD. SWIFT Dolandrclklar

III. BLM - Belge ve Bilgi SahteciliiA. Kimlik BelgeleriB. Sahte Bilgi ve Belgelerle Yaplan lemler 1. Kimlik Belgelerinin Kaybolmas/alnmas 2. Sahte Belge ile Bireysel Kredi/Kredi Kart Bavurusu

IV. BLM - Kartl deme Sistemleri DolandrclklarA. ATM Dolandrclklar 1. Kart Sktrma 2. Para Sktrma

B. Kart Dolandrclklar 1. Kart Bavuru Sahtecilikleri 2. Kart Hesabn Ele Geirme 3. Kayp alnt 4. Sahte Kart

V. BLM - Dolandrclktan Korunma YntemleriA. Bankalar Tarafndan Kullanlan Gvenlik UnsurlarB. Mteriler Tarafndan Alnmas Gereken nlemlerC. nternet ile Yaplacak Dolandrclk Eylemlerinden Korunma

D. Telefon ile Yaplacak Dolandrclk Eylemlerinden KorunmaE. ATM ile Yaplacak Dolandrclk Eylemlerinden KorunmaF. Kart ile Yaplacak Dolandrclk Eylemlerinden Korunma

VI. BLM - Terminoloji

3

45566

611

12131414141520

20202020212223242425

2829292929

30313132

3333333333

38393940

444444

46

NDEKLER


3/523

Biliim teknolojilerinin geliimi ve yaygnolarak kullanm ile birlikte elektronik ti-

caret ve dijital bankaclk hizmetlerinde denemli gelimeler yaanm, geleneksel iyap yntemleri ve i ilikileri ile birlikteyeni yntemler ve yeni i ilikileri yaygnla-maya balamtr. zellikle bankaclk sek-tr bilgi ve iletiim teknolojilerine dayalhizmetlerde nemli mesafeler kat etmitir.Bankaclk hizmet ve rnleri, ube kanal-lar ile birlikte alternatif kanallar zerindenverilmeye balanm, zaman ve mekandanbamsz olarak eriilebilen bu hizmetlermteriler tarafndan byk lde kabulgrmtr. Dijital ortamlarda sunulan rnve hizmetlerin gvenli bir ekilde sunulmas,yeni kanallar zerinden sunulan hizmetlerinyaygnlamas asndan nem arz etmekte-dir.

nternet bankacl dnyada, ilk olarak1980li yllarda kullanlmaya balanmtr. lkinternet bankac 1995 senesinde Amerikan

Presidential Savings Bankn mterileri-nin hesap bakiyelerini ve ilemlerini internetzerinden gstermesi eklinde uygulamayakonmutur. nternet bankaclnn yaygnanlamda kullanlmaya balanmas 1990lyllarn sonlarn bulmutur. Trkiyede iseilk internet ban-kacl hizmeti 1997 sene-sinde balam ve rn eitlilii ile birliktehzla yaygnlamtr.

Kiisel bilgisayarlarn 1990l yllarn ban-dan itibaren yaygnlamasyla hayatmza

girmeye balayan internet hizmeti yapsitibariyle, gerekli gvenlik nlemleri aln-mad takdirde bir takm riskleri bnye-lerinde barndrmaktadr. nternet ban-kacl kullanan mteriler mevcut risklerkarsnda kendilerini gvende hissetmekiin eitli bireysel nlemler almaya y-nelmitir. Bu nlemleri alma konusundayeterli bilgisi olmayanlar ise gvenlik tale-plerini hizmet salayclara iletmi ve ku-rumlar, zellikle internet bankacl hizmetsalaycs olarak bankalar bu hususta ciddinlemler almtr. Bu talep erevesinde or-taya kan gvenlik standartlarnn belirlen-mesi amacyla bankaclk sektrnde dzen-leyici kurumlar tarafndan yrrle konulanmevzuat hkmleriyle de eitli dzenle-meler yaplmtr.

Bu almada, kurumlara ve ahslara yne-lik olarak gelien ve hlihazrda bilinen

dolandrclk yntemlerine ve bu yntem-lere kar alnabilecek nlemlere, bilgi-lendirme amacyla yer verilmektedir.

Yararl olmasn dileriz.Trkiye Bankalar Birlii

NSZ


4/5244

I.BLMSosyal MhendislikYntemleriyle Dolandrclk


5/525

Grsel 1: Bir sosyal mhendis tasarlad plana uygun kiilerin ardnda braktklar izleri takibe balar.Buralardan alkanlklara, zafiyetlere dair bilgiler elde eder.

Tm sosyal mhendislik yntemleri, insan davranlarndaki nyarglar zerine kurgulanr. Bu nyarglarinsana dair sistem aklar olarak da tanmlanabilir. Bu yntemleri kullanan kii, insan davranlarndaetkili olan nyarglar harekete geirecek yntemleri byk bir beceri ile kullanabilen kiidir.

en byk tehlike siz olabilirsiniz. ahsen, insan yanltmann teknolojiyi yanltmaktan daha kolayolduunu grdm (Kevin Mitnick Bilgisayar Korsan)

Sosyal mhendislik yntemlerini kullanan dolandrclar, kii ve kurumlara ait bilgi ve materyalleri(fiziki, sistemsel evreleri, organizasyonel yaplar, kullanc kod ve ifreleri, alma koullar, i aklar,gvenlik organizasyonu vb. materyalleri) teknolojiyi kullanarak ya da kullanmadan, haksz kar eldeetmek amacyla ele geirme yntemleri ve organizasyonlardr.

Sosyal mhendisliin temeli insan kandrmaya dayanr. Sosyal mhendislik yoluyla dolandrclk ise,kar taraf kandrma ve yanltma yoluyla bilgilerin ele geirildii andan itibaren, elde edilen hakszkar da dhil olmak zere srecin tamamn ifade eder.

Ayak izlerinitakip et

Gvenolutur Maniplasyon

Hedef ileterk et

B. Sosyal Mhendislik Yntemleriyle Dolandrcln Yaam Dngs

A. Giri

nyarglar ve insan davranlar:

} Zafer kazanma duygusu (dl kazandnz mesajlar...)} Otorite korkusu (emniyetten aryoruz, tehdit mesaj atmsnz...)}Yardmc olma arzusu (derhal...)} Kaybetme korkusu (bu frsat sadece bugn iin sunulmutur...)} Tembellik (ilemler iin ubeye gelemeyecekseniz, biz buradan hemenyapalm siz zahmet etmeyin)

} Deer verilme arzusu; ego (sizin gibi deerli bir alan ile i yapyoruz,ahsi numaranz alabilir miyim?)} Umursamazlk (kart numaram versem ne olacak ki?)}Vaadcilik (kredi kart aidat ve kredi dosya masraflarn alrz)

Takip: rnein, sosyal medyada balatlan bir sohbet ile bir firmada altn ifa eden kullancnnevresine dair bilgiler, arkada listeleri ak profilli kullanclardan rahatlkla elde edilebilir bilgilerdir.Sosyal mhendis, bundan sonra bir firma alan ismini kullanarak kullanc yaratr ve sosyal medyayadhil olur. likiler, gittikleri yerler, beenileri artk kendisinin de dhil olduu grupta paylalr.


6/526

Tanmnda da grlecei zere sosyal mhendislik yoluyla dolandrclk, temeli insana ve bilgisayar-tek-nolojiye dayanan olmak zere iki temel kategoride deerlendirilebilir.

1. Temeli Bilgisayar ve Teknolojiye Dayanan Dolandrclklar

Temeli bilgisayar ve teknolojiye dayanan sosyal mhendislik olaylarnda kiiye ait bilgiler teknolojikullanlarak elde edilir. rnein; kiiden, bilgisayar kullanm esnasnda karlan bir pop-up ekran ilebilgi girii yaplmas istenir ve girilen bilgiler ele geirilir. Ayn ekilde, kullancnn ifre ve kendisinetanmlanan kullanc bilgileri de bu tr ekranlar araclyla alnr.

2. Temeli nsana Dayanan Sosyal Mhendislik

Temeli insana dayanan sosyal mhendislikte ise kiiden bilgi almak ya da istenilen ilemleri yapmasnsalamak amacyla taklit, etkileme ve ikna etme kabiliyetleri kullanlr. Kurumun bir ubesinden aryor-mu gibi davranp, ubeye ait bir mterinin herhangi bilgisini istemek bunun iin bir rnektir.

Temeli insana dayanan sosyal mhendislik yntemleri detayl rneklerle aada aklanmaktadr.

Taklit:Kiinin algsn yanltacak, salkl dnme yetisini bir sreliine engelleyecek ara ve yntemler ilesosyal mhendis planlarn gerekletirecek faaliyetlerde bulunur.

Senaryo:

Banka mterisi alan telefonuna cevap verdiinde kardaki kii;

- yi gnler Aysel Hanm, ben X Banktan Emine (dolandrc kendisini mteriye bankaalanym gibi tantr)

- yi gnler!

- 1234 4567 7891 1234 numaral kartnzdan 1.000 TL Buzdolab Markette harcama yaplm(kii yapmad bir ilemle tedirgin edilir)

- Yok canm, ben yle bir ilem yapmadm! Bu da nerden kt, imdi ne yapacaz?- Anlyorum, bizde bu harcamay yapann siz olmadnz dndmz iin aradk. lemi kabul

C. Sosyal Mhendislik Dolandrclnda Kullanlan Genel Yntemler

Gven Oluturmak:yi kurgulanm bir senaryo ile hedef kiilerle temas kurar. Gven oluturacak bir ortam yaratr. alan-larn/yneticilerin isimleri kullanlarak kendisini kuruma ait bir alan gibi gsterir.

Maniplasyon:Senaryosu gerei erimek istedii ama iin bu gveni maniple ederek bilgiyi ele geirir.

- idemin doum gn ne zamand? Atlamayalm kzn doum gnn... Kal o?

- 1972- Yok yahu! ok daha gen gsteriyor. Herhalde suyundan toprandandr. Sahi nereli o?

Hedef ile Ortam Terk Etmek: Senaryoda hedeflenen eyin ele geirilmesi ile bu bilgiler kullanl-maya allr ve bu srenin sonuna kadar da phe uyandrmayacak ekilde ortamdan ekilir.


7/527

etmiyorsanz, telefonunuza gndereceim ifreyi bana okumanz gerekiyor.

Dolandrc, cep telefonu almak zere bu srada ele geirdii kart bilgilerini internet zerinden birsiteye girer ve bu al veri ilemi srasnda gerekli olan tek kullanmlk ifre mesaj mteriye gnderilir.

- Okurum tabi, ltfen ilemi iptal edin.

Mteri ucuz atlattm diye dnerek telefonuna gelen ifreyi dolandrcya okur.

Sonu olarak; dolandrc mteriden telefona iletilen sanal alveri ifresi (3D gvenlik ifresi) ilemterinin kartndan 3.500 TLlik bir cep telefonu satn alr. Mteri, dolandrldn daha sonra gelenkredi kart hesap zetini grdnde renir.

Senaryo:

Sosyal alar taklit amacyla olduka sk kullanlr. Kullancnn ilgisini ekecek nitelikte herhangi birresim kullanlarak balatlan ilikiler, geri dnmeyecek bor istemeler ile devam eder.

p Kurcalama:Bireylerin ve irketlerin deersiz olarak nitelendir-dikleri, zerinde bilgi bulunan her trl materyallerinplklere atlabildii ve bu atklarn kt niyetli kii-ler tarafndan bilgiye erimek amacyla toplandklargrlmtr. Bir p konteynerindeki atklarda, kuru-mun i yapt kiilere ait telefon bilgileri, organizasyonalanlarnn ad, soyad, unvanlar, toplant konu vetarihleri, gn gemi DVD, CD, hesap ekstreleri, de-kontlar gibi kaynaklar bulunabilmektedir. (p deyip

gememeli!)

Omuz Srf, Casusluk ve Kulak Misafirlii:Akll bir gzlemci kullancnn girdii ifreyi grene kadar takip eder ve ifreyi ele geirir. Bunun iinfiziki yaknlk, drbn ve kamera kullanlmaktadr. Ayn ekilde kiiler arasnda geen konumalarakulak kabartmak ipularna giden yoldur. Fiziki yaknln yan sra, masaya braklm bir telefon, gizlibir mikrofon gibi kayt yapan veya ses ileten cihazlarda kullanlmaktadr.

Senaryo:

Dolandrclar bankann ATMsine kart sktrmaya yarayan bir aparat takarak beklemeye balarlar.ATMye kartn takan mteri, kartn ATM kart okuyucu nitesinde skmas sebebiyle ilem yapa-mad gibi kartn geri de alamaz. Hemen arkasnda beliren ve elinde ayn bankann kartn bulundu-ran bir baka kii mteriye yaklaarak ifresini defa girerse ATMnin kartn iade edeceini syler.Mteri bu syleme inanarak ifresini girer, ancak yannda bekleyen kiinin ifresini grdn far-ketmez. Kart bir trl geri alnamaz, bunun zerine yannda bekleyen kii mteriyi bankann armerkezini aramas iin yandaki markete ynlendirir (baz durumlarda dolandrc kendi telefonuylaar Merkezini aryormu gibi yaparak, mteriyi baka bir ete yesi ile grtrerek ifreyi re-nirler). Mteriye yardmc olmak adna kendisi de ayn yne doru ilerler. Ancak yolun karsna ge-tiklerinde dolandrc mteriden ayrlarak ekip yelerine rendii kart ifresini telefon ile iletir. Buesnada dolandrc etesinin dier iki yesi ATMye gelerek taktklar aparat ve mterinin kartn alr veATMden uzaklar. Yakndaki bir baka bankaya ait ATMye giderek telefonda ete yesinden ren-dikleri ifre ve kart ile mterinin hesabndaki bakiyeyi ekerler.

Teknisyen:Kendisini teknisyen gibi gsteren kii(ler), bilgisayar bakm, elektrik tamirat vb elemanlar olarak


8/528

kendilerini tantarak yaklap irketlere ve bireylere ait kullanc kodu veya eriim bilgileri gibi hassasverileri ele geirebilir.

Senaryo:

Dolandrc, brekinin dkknna POS cihaz servisinden geldiini syler ve yaka kartn gstererekcihazda gncelleme yaplmas gerektiini maaza sahibine syler. POS cihazn geici olarak skpbakmn yapmak zere teslim alr. Bir saat sonra POS cihazndaki (olmayan) arza giderilmi ve yer-ine taklmtr. gn sonra, bir mdahale iin ikinci kere gelir artk maaza sahibi zaten teknisyenitand iin daha rahattr. Dolandrc bu sefer daha ksa bir sre iin POS cihazn teslim alr ve gerigetirir. Dolandrc hedefine ulam ve POSa kopyalama cihaz takmtr.

Destek Eleman (Hizmetli):irketlerde, temizliki/geici eleman gibi alan kiilerbir ok bilgiye kolayca ulaabilirler.

Masalar silen eleman, evrede kimsenin olmad biranda ile klavyenin bal olduu yere ara bir aparat

takarak sokete klavyeyi takar. Klavye ile bilgisayararasnda bir ifreleme (encryption) olmamas nede-niyle aparat klavyeden yazlan her trl bilgiyi depo-lamaktadr. (Aparat karmak bir sonraki temizliibekler)

kna/Korkutma:Kullanc zerinde empati yada endie yaratarak usulsz ilemler yaptrp bilgi alr.

Mteri, kendisini kamu grevlisi olarak (polis, savc, hkim, banka alan vb.) tantan kiiler tarafn-dan aranarak terr rgt ile ilikisi olduu, banka hesabnn terr rgt tarafndan kullanld, ceptelefonu numarasnn kopyaland, bu hat zerinden st dzey kiilere uygunsuz ierikli SMS gnde-rildii vb. sylemler ile korkutulmakta ve kontr/TL yklemesi, para transferi yapmas konusundaikna edilmektedir.

lk yllarda kontr/TL transferi eklinde grlen bu tarz dolandrclk yntemleri, daha sonra, gelienteknoloji ve yeni ikna yntemleri ile birlikte, bankalarn rn yelpazesindeki gelimeler ve hizmetkalitesinin artmasna paralel olarak (kartsz para transferi, cepten cebe para transferi, hzl kredi tahsi-si, internet ve mobil bankacl kullanmnn artmas vb.) para transferine, ubeden ve ATMden nakitektirilerek dolandrcya teslim etme yntemlerine dnmtr.

Senaryo1:

Kendisini savc olarak tantan kii banka mterisine, banka hesaplarnn terr rgt tarafndan elegeirildiini ve acilen bankaya gitmesini syler. Panik olan banka mterisi, hangi bankada hesabolduunu telefondaki savcya iletir. Savc ok gizli bir operasyon iinde olduklarn, evresinde bulunanhi kimseye bu bilgileri vermemesi gerektiini ve telefonunu srekli ak tutmasn tembihler. Telefon-daki savc tarafndan, banka personelinin de bu rgtle balants olduu ve onlara da gvenmemesigerektii telkininde bulunulur. Banka mteri tm parasn vadesini bozarak bankadan eker. Bankamemuru mterinin telal halinden phelenir, parasn neden almak istediini sorar, ancak telefonda-

ki savcnn szlerine inanan mteri banka personelini sana ne benim param, neden zaman istersemekerim diye tersler. Ak telefonda bekleyen savc bu gizli operasyonun gerei olarak mterininparasn koruyacan belirtir ve elindeki paralar Mee sokandaki p bidonunun yanna brakmasnsyler. Mteri tm parasn p bidonunun yanna brakarak sokaktan uzaklar. Telefondaki savcbu gizli operasyon sonunda parasn savclktan gelip alacan belirtir ve kendisini arayacan sy-

Grsel 3:Key Logger Hardware


9/529

ler. Mteri uzun sre bekledikten sonra savcdan telefon gelmeyince savcya ulamaya alr. Sonualamaynca durumu yaknlarna anlatr. Ancak i iten gemitir, yaknlar mteriye dolandrldnsyler. Bir kamu kurumundan st dzey ynetici olarak emekli olan mteri hakkn aramak zere budolandrclk eylemini gerekletiren kii(ler)den ikyeti olur.

kna/korkutmaya ynelik dolandrclk rnekleri kurum alanlarna da yaplabilir.

Senaryo 2:

Firmas adna banka mteri hizmetlerini panik ierisinde arayan ahs, ifresini unuttuunu, byk birreklam projesinin bedelini demek iin son gn olduunu ve demeyi yapamamas halinde ivereninkendisini iten karabileceini belirtir. Bu durumdan etkilenen mteri hizmetleri alan arayan kii-ye firma adna yeni bir eriim ifresi tanmlar ve demeyi yapabileceini iletir. Kii eriim ifresini eldeederek firmann tm hesaplar zerinde her trl ilemi yapma yetkisini alm olur.

Senaryo 3:

Kii internet arama motorunda reklam amacyla gsterilen kart bor bilgisini renme linkine gncel

borcunu renmek iin tklar. Sitede yer alan finans kurumlar logolar ve banka logolar gven olutur-maktadr. Bu nedenle, hi dnmeden kartnn 16 haneli numarasn, CVV2 kodunu, son kullanmatarihi bilgilerini ve hatta cep telefonu numaras, mteri numaras ve annesinin evlenmeden ncekisoyad bilgisini doldurur ve borcunu reneceini dnerek Gnder butonuna basar. Ancak sistemalmaz. Birka gn iinde kendisini banka grevlisi olarak tantan bir ahs arar ve kartndan yaplan1.000 TLlik harcama ilemini kendisinin yapp yapmadn sorar. Tabii ki harcama ona ait deildir!Banka grevlisi ilemi iptal edebilmesi iin cep telefonuna gnderecei 6 haneli rakamdan oluanifreyi kendisine okumasn ister. Birka saniye iinde cep telefonuna ifre gelir, yaplan ilemin iptaledileceini dnen kii numaralardan oluan ifreyi telefondaki banka grevlisine okur. Kartndankendisinin yapmad bir harcamann iptal edilmesinden mutlu olarak telefonu kapatr. Ancak birka

saat iinde yine kendisini banka grevlisi olarak tantan birisi tarafndan aranarak, internet ube zerin-den gnderilen 20.000 TL (ki bu vadelide bulunan tm parasdr) para transferinin kendisi tarafndanyaplp yaplmadn sorar. renir ki daha nce cep telefonuna gelen ve telefondaki kiiye okuduuifre aslnda nternet Bankacl ifresidir ve bu bilgiyi dolandrc ile paylamtr.

Kontr/TL Ykleme:Kendisini polis/savc vb. olarak tantan dolandrc, korkutma ve ikna yntemini kullanarak, bankalarnhizmet kanallar (ATM, nternet ve Mobil ube, ar Merkezi) veya GSM Bayileri zerinden madurunkontr/TL ykleme veya para transferi ilemi gerekletirmesini salamaya almaktadr. Bu ekildeTL yklenen telefon hatlarnn, sahte kimlikle temin edildii, ksa sreli kullanma ak hatlar olduu ve

hat sahiplerine ulamann mmkn olmad grlmtr.Bu durumda, zarar gren banka mterisinin en ksa srede bankasna bilgi vermesi, kolluk kuvvetle-rine bildirmesi veya savcla ikayette bulunmas, para aktarlan telefon hatlarndaki bakiyeleri blokeedilmesi ve iadesi ile ilgili sreci balatmas nerilir.

Online Formlarda/Organizasyon Web Sitelerinde Srf:Kurbanlara, nceden hazrlanarak gnderilen formlarn doldurulmas istenilmekte, bu ekilde bilgitoplanabilmektedir.

Senaryo:Dolandrc tarafndan kurbana yaygn olarak bilinen bir maazada kullanmak zere byk bir indi-rim ieren elektronik ileti(e-posta) gnderilir. E-posta gnderimi bilinen maazadan geliyormu veyadier tannan on-line indirim salayan frsat firmalardan gelmi gibi gsterilir. Yalnz bu 100 TLlik


10/5210

indirimden faydalanabilmek iin kurbandan 5 TLlik bir harcama yaplmas beklenmektedir. Online birform formatnda kurban tarafndan kredi kart bilgileri, maazadaki indirimden faydalanmak amacyla

ile hzlca doldurulur ve dolandrcya iletilir. Dolandrc ise, kart limitinin tmn kullanr.irkete Yaplan Ziyaretler:Bir irkete i yapmak maksad ile giden kii, alann masasnda brakt evraklardan bilgi toplar,evrakn orijinalini dahi alr.

Senaryo:

Otogaleride yaplan bir araba pazarlnda, sat temsilcisinin verebilecei oranlar, galeri mdrnnyetki seviyesine gelmitir. Dolandrc bahse konu fiyatn aaya ekilmesi iin temsilciye son bir ricadabulunur: Git mdrne sor, eer o da hayr derse senin verdiin orandan yapalm... Sat temsilcisidndnde, mterisini yerinde bulamaz. Mteri, masadaki farkl mterilere ait kredi bavuru bel-geleri ve kimlik bilgilerinin de bulunduu belgeleri alarak kaybolmutur.

ifre Tahminleri:Kullancnn genel alkanlklar nceden aratrlp, bunlarn denenmesi ile sonuca varlabilir. Dieryandan kullancnn sosyal bilgileri aratrlarak da ayn ekilde sonuca ulalmaya allabilir (tuttuutakm, doum tarihi gibi).

n deme Dolandrcl:n deme Dolandrcl (Advance-Fee Fraud), gelien iletiim imknlarndan da yararlanarak, insan-larn ksa sre iinde byk kazanlar elde edecekleri vaadiyle, eitli adlar altnda maduru n demeyapmaya ikna edilmesine dayal bir dolandrclk trdr.

Bu dolandrclk trnde, elektronik posta ya da mektup vastas ile dolandrclar kendi lkelerindentransfer etmeleri gereken bir tutar sizin hesabnza makul bir gereke ile gndermek istediklerini ifadeederler. Transfer edilecek tutar ierisinden arac iin denecek bir pay vardr (%10 - %18 vb.) Bu trans-ferin gereklemesinden hemen nce, paya den komisyonun karlanmas gerektii ifade edilir vebir hesaba yatrlmas istenir. Yatrldnda baka isimdeki bir komisyon iin bir tutar daha yatrlmasistenir. Ancak para transferi asla gereklemeyecektir.

Vaadcilik:u an olduka popler olan bu yntem ile kurbann kredi veya kredi kart ile dedii bir takm mas-raflarn (kredi kart yllk aidat, dosya masraf, hesap iletim creti, sigorta aidatlar vb.) geri alnabi-lecei ynnde bir bilgi kurbana SMS ile iletilmektedir. Hukuk brosu tarafndan ilem yaplyor intibayaratlarak kurban tuzaa drlr. Burada ama mterinin kredi kart bilgilerini ele geirmektir.Gelen SMS metnine inanan kii masraflarn geri alnaca dncesi ile telefondaki kiiye tm kart bil-gilerini (16 haneli kart numaras, kartn son kullanma tarihi ve CVV kodu) szl olarak verir. Dolandrctarafndan ele geirilen kart bilgileri ile mterinin kartndan harcama yaplmak suretiyle mteridolandrlr.

Ters Psikoloji:Dolandrc hedefe eriim iin nce sorunu bulur ya da yaratr, bu bir sabotaj da olabilir, sonra sorunuzer ve karsndakine gven uyandrr. Bundan sonra ise hedefini gerekletirecek ortam bekler.

} Sabotaj:nce kullanc makinesinde bir arza yaratr} Pazarlama: kullanc aresiz kalnca ben yardmc olabilirim diye ortaya kar.} Destek:destek verme aamasnda kullanclarn hassas verileri ele geirir.


11/52


12/5212

II.

BLMnternet Biliim Sular


13/5213

Bilgisayar ve haberleme teknolojileri hakkndaki bilgisini kendisine ait olmayan ve bazen de gizliverilere ulamak, alar zerinde yasal olmayan zarar verici iler yapmak iin kullanan kiilere internetbilgi hrsz (hacker, bilgisayar korsan) denir. Bu bilgisayar korsanlarnn genel olarak amalar; birprogramda, sistemde veya gvenli bir adaki aklar tespit ederek, elde ettii bilgileri, esas sahiple-rinin istei dnda, kendi faydas iin kullanmaktr.

Bilgisayar korsanlarnn saldrsna uramak gnmzde sk grlen bir durumdur. ok eitlisaldr yntemleriyle bilgisayar sistemlerine eriebilen korsanlar, bilgisayara girilen her trl ifre,parola, kiisel bilgileri gibi nemli bilgilere ulaabilmekte ve bunlar kullanarak kurbanlarn madurduruma drebilmektedir. Bir bilgisayar korsan, kurbannn bilgisayarndaki tm bilgileri silebilir,bilgi ve belgeleri alabilir, ifreleyebilir veya sisteme fiziksel olarak zarar vererek kullanm d dahibrakabilir. Bilgisayar korsanlar genellikle kullanclarn dikkatsizliinden ve bilgi yetersizliklerindenfaydalanr. Korsanlarn saldrlarndan korunmann en iyi yolu, gvenlik aklar konusunda kullanclarnbilgi sahibi olmalar ve dijital ortamlarda gerekletirilen ilemlerde tedbirli olmalardr.

nternette biliim suunun gerekleebilmesi iin ncelikle kullanclarn bilgisayarna (kiisel, bilgisa-

yar, masast bilgisayar, tablet, mobil telefon veya dier eriim cihazlar) bir takm casus yazlmlarnkurulmas gerekir. Hibir casus program kendi kendine bilgisayar sistemlerine kurulamaz.

Bilgisayar korsanlarnn kurbanlarna ulamalar genellikle iki yolla olur: Birincisi, kurban ile dorudanirtibata geerek zararl ierie sahip dosya gnderimi yaplr, ikincisi ise, kurban farknda olmadandolayl yollardan bilgisayarn aklarn kullanarak diledii bilgiye ular. Bilgisayar korsanlarnn gn-derdii casus yazlmlar genellikle kurbann kendi elleriyle kurmas/altrmas sonucu aktif olur. Bununyannda bizzat korsanlar tarafndan da aktif hale getirilen casus yazlmlar da vardr. Casus yazlmlar,elektronik postann dnda, sohbet, oyun, anlk ileti, sosyal medya ve paylam programlar tarafndanda kurbanlarn bilgisayarlarna yklenebilmektedir.

Kt niyetli kiiler, kurbanlarnn bu programlar bilmeden bilgisayarlarna kurmas iin pek ok yntemgelitirmi ve farkl yntemler gelitirmeye devam etmektedirler.

Finansal yaplarndan dolay bankalar ve banka mterileri dolandrclarn saldr yapmaya istekliolduklar hedeflerin banda gelmektedir.

Trkiyede faaliyet gsteren mevduat bankalarnn birou mterilerine internet bankacl veya mo-bil ban-kaclk hizmeti sunmaktadr. lk internet bankaclk hizmeti 1997 ve ilk mobil bankaclk hizmetiise, 2011 tarihinde verilmeye balanmtr. Bu datm kanallarnn ilk yllarnda dolandrclk eylemleriolduka azdr.

Genel olarak dolandrclk eylemlerindeki ortak kurgu; mterinin, zel bilgilerinin eitli yntemlerlealnmas ve bu bilgiler kullanlarak mteri adna ve bilgisi dnda ilem yaplmas eklindedir.

nternet ve mobil bankaclk hedeflenerek gerekletirilen dolandrclk eylem giriimlerine ynelikbankalar tarafndan alnan nlemler ve yasal otoriteler tarafndan, mevzuat erevesinde tesis edilendzenlemeler sonucu dolandrclk eylem giriimlerine bal oluan kayplarda nemli oranda azalmaolmutur.

Bununla birlikte, biliim sularnn farkl ekillerde ortaya kabileceinin gz nnde bulundurulmas,

gelien teknoloji ve bu teknolojiler ile gerekletirilen dolandrclk eylemleri hakknda gncel bilgisahibi olunmas gerekir.

A. Genel Bilgi ve Tarihe


14/5214

nternet bilgi hrszlar eitli yntemlerle mterilerin zel bilgilerini ele geirmektedirler. Bu yntem-lerden en ok kullanlanlar aada yer almaktadr:

1. Truva Yazlmlar (Trojan)Truva yazlmlar ismini Truva Atndan almaktadr. Bir bilgisayar programna balanarak saklanan,tahribatn yaparken ise, programn olaan almasna izin veriyormu gibi gzken virslere Truvaat denir. Truva atlar ounlukla, bulatklar bilgisayarlarda kullanlan ifre, kullanc ad gibi zel bil-gileri ele geirmek amacyla kullanlr.

Tespit edilmesi olduka zor olan Truva at, genellikle sistemlere e-posta yoluyla bulamaktadr. Bunundnda youn disklerden (cd), saysal ok ynl disklerden de (DVD), e-posta ekindeki (.jpg, .gif, .txt,.doc, .xls gibi) dosyalara, bilgisayar oyunlarndaki .exe uzantl uygulama dosyalar gibi pek ok yeregizlenebilir.

Truva at ieren e-posta ya da ekindeki dosya aldktan veya uygulama altrldktan sonra zararlkodlar aktif hale gelir. Kurban durumun farknda bile olmaz. rnein; kullanc, hava durumu ileilgili anlk bilgi veren bir program indirdiini zannederken aslnda bir Truva at indirmi olabilir.Truva at aktif olduktan sonra bilgisayara girilen her trl ifre, parola, kredi kart numaras gibi nem-li bilgiler saldrgana ulaabilir. Ayrca e-postalar okunabilir, saldrgan disk srcy ap kapayabilir,diledii dosyalar silerek hem maddi hem manevi zararlar verebilir. Saldrgan, kurbann bilgisayarnyeniden biimlendirebilir. zellikle bilgisayar faresinin istem d hareket etmesi de sistemde Truvaatnn varlnn habercisi olabilir.

Truva at bulatrmaya yarayan yazlmlara rnek olarak; NetBus, BackOrifice, SubSeven ve ProRatverilebilir.

2. Tu ve Ekran Kaydediciler (Keylogger ve Screenlogger)

Tu kaydediciler, bilgisayarda, klavye vurularn anlk olarak kopyalayabilen ve bunlar kaydedereke-posta yoluyla korsann eline gemesini salayan programlardr. Bu tr programlar klavye ile yazlanher eyi kaydedebilme yeteneine sahiptir. Elde edilen kaytlar sistemde .txt uzantl metin dosyasolarak tutulur. Yaplar itibariyle kurbanlarn her trl ifre ve zel yazmalarn ele geirmek iin kul-lanlabilir.

Ekran kaydediciler ise, ekran grntlerini kopyalayan ve bunlar e-posta ile saldrgana ulatranprogramlardr. Yakalanan anlk grntler sayesinde o anda ekranda ne yapld veya ifrelerinnereye yazld kolaylkla grnebilir. Tu kaydediciler ve ekran kaydediciler dolandrclkeylemlerinde birbirlerini tamamlayan iki bileen gibi alrlar.

Bu tarz yazlmlara rnek olarak; iSpyNow, Perfect Keylogger, Phantom verilebilir. Tu kaydediciyazlmlar; uzaktan eriime ak, yeterince korunmayan bilgisayarlara bilgisayar korsanlar tarafndanyklenebilecei gibi kullanc tarafndan oyunlar, e-postalar vb. yollarla farknda olmadan da ykle-nebilir. Tu kaydedici yklenmi bir bilgisayardan internet ubesine giri yapldnda kullanlan tm

bilgiler bilgisayar korsanlar tarafndan ele geirilebilir.Ekran grntlerini anlk resimler yerine film gibi hareketli grntler olarak kaydeden veya bilgi-sayarda kaytl tm bilgilere eriim salayan Truva atlar da mevcuttur. Bu tarz yazlmlarn, zellikleinternet cafe gibi ok sayda kiinin ortak kulland ve yeterli gvenlik nlemi alnmam bilgisayar-larda bulunma ihtimali fazladr.

B. Kiisel Bilgilerin nternet zerinden Elde Edilmesi


15/5215

3. Phishing (Olta Saldrlar)

Olta saldrs (phishing), anlam olarak ngilizce password (ifre) ve fishing (balk avlamak) kelime-lerin birleiminden oluturulmutur.

Bir kiinin hassas bilgilerinin (ifre, parola, mteri numaras, kullanc ad, kredi kart numaras vb.) kodve bilgilerinin elektronik ortamlarda ele geirilmesini amalayan saldr trdr. Olta saldrs internetzerinde en ok kullanlan dolandrclk yntemlerinden biridir.

gibi bilgiler ele geirilmektedir.

Olta saldrlarnda, internet araclyla, finansal kurum ve kurulular, resmi kurumlar veya alveri ir-ketlerinden gnderilmi gibi grnen, acil ve ok nemli konular ieriyormu izlenimi veren sahtee-postalar yaylr.

E-postann konusu, mteri bilgilerinin gncellenmesi veya ifrelerin deitirilmesi olabilir ve iinde il-gili kurumlarn sayfalarnn birebir ayns eklinde grnen internet sayfalarna giden linkler yer alabilir.rnek vermek gerekir ise;

Tarafnza x adl kiiden y tutarnda para transferi yaplmtr. Ltfen aadaki linke tklayarak,internet bankaclnza giri yapn ve bilgilerinizi kontrol edin gibi ifadeler ieren e-postalargnderilir.

Eer internet bankaclna girerek ilemi onaylamazsanz para transferi gerekletirilmeyecektirgibi tuzaa drc anlatmlar da bulunabilir.

Bu mesajlarda kiilerin; ifre, parola, mteri numaras, kullanc ad, kredi kart numaras ve kodlarsanki kurum tarafndan isteniyormu gibi yazlr. Bu e-postalarda verilen linklere tklayp, kiisel bil-gilerini ekrana giren kullanc bu sitelerin gerek siteler olmadn fark etmemekte ve zel bilgileri

aldrmaktadr.

Dolandrcl gerekletirecek kii(ler) olta saldrs yntemi ile edindikleri bilgileri kullanarak mteri-lerin banka hesaplarna erimekte ve varlklarn ele geirmektedir. Ele geirilen hesaptan parannekilmesi aamasnda, daha az phe ekebilecek nc kiiler kullanlr.

Para ekme ilemlerinde kullanlan nc kiiler internet zerinden sahte i ilanlar yoluyla bulunduurneklerle karlalabilmektedir. Bu kiilere menfaatler karl grevler verilir. ilanlarnda aba har-camadan kolay para kazanlaca eklinde bilgi verilir, bavuruda bulunan kiilerin hesap bilgileri alnrve bu kiilere ait hesaplar kullanlarak olta saldrs yntemi ile ele geirilen hesaplardan para transferiyaplr. Bu yntemle, mteri ve hesap bilgilerini ele geiren ve dolandrclk olaynn asl faili olankiiler kimliklerini gizler ve arac olarak kullandklar nc kiilere suu ykleyerek zaman kazanmolurlar.

Phishingten korunmann en temel yolu, kullancnn bilinli ve dikkatli olmasdr. nternet bankaclveya mobil bankaclk hizmeti alnan bankann gvenlikle ilgili yapt bilgilendirme ve gvenlik akla-

Phishing metodu ile yaplan evrimii olaylarda;

} Kredi, debit/ATM kart numaralar/CVV2,} ifreler ve parolalar,} Hesap numaralar,} nternet bankaclna girite kullanlan kullanc kodu ve ifreler,} Doum tarihi vb. kimlik bilgileri,


16/5216

malarna uygun hareket edilmeli ve belirlenmi gvenlik nlemlerinin tamam renilerek uygulanma-ldr. Bu nedenle oltalama hakknda tespit nasl yaplr, phe nasl duyulur bunlar aada inceleyelim:

Sahte Alan Ad (Fake Domain)

Bilinen ad www.google.comolan bir alan adnn www.googlee.comolarak kullanm sahte siteye birrnektir.

Firmann markann ismini yaymas, tantmas ok byk bir emektir. Durup dururken bunu farkllatrl-mas manta uygun deildir.

SSL (Secure Socket Layer) Sertifikas

Srekli kullanlan ve SSL sertifikas ile korunan sitede sertifika kilidinin olup olmadna dikkat edilmelidir.SSL sertifikasnn grsel olarak olmas durumunda bile, sertifikann kimin ismine verildii ve o an hangisitenin iinde olduunuzu karlatrlmaldr.

Grsel 4: SSL Sertifikas

Grsel 5: nternet sitesi zellikleri

Bilerek Yanl Kullanc Ad ve ifre Kullanmak

Bir sitedeki kullanc ad/ifre gibi zel bilgilerin sorulduu formlar ile ilgili olarak kuku olumas duru-munda, yanl bir kullanc ad ve parolas ile sisteme, iki kere hatal girilmesi denendiinde, geneldesahte siteler kuku uyandrmamak amacyla doru siteye ynlendirirler.

Sitenin inde Kullanlan Bir Grselin Kontrol (Reklamlar Hari)

Grselin zerine sa tk (klik) ile zellikler (properties)seenei aldnda, grselin site ismi ile ayn olup olmadanlalacaktr.


17/521717

Sahte E-Postalar

sim benzerliinden faydalanarak sahte e-posta tespiti yaplabilir,ancak ou zaman kt niyetli kii elektronik posta adresini bire-bir yazdrabilmektedir. Bilinli bir kullanc e-posta ile talep edilenahsna ait bilgileri vermekten uzak durur. Mesela, bir banka mte-rilerinden zel bilgilerini e-posta vastasyla isteyecek kadar fevridavranmaz.

Bilinli bir kullanc, 1.500 TL tutarnda ki bir rnn, 200 TLye satl-mayacan anlar, bunun hesabn yapabilir ve kendisini ynlendire-cek linkten uzak durur.

Tanmad bu siteye kart numaras, gvenlik kodu vade gibi bil-gileri vermesi kazanlacak 1.300 TL deil, kaybedilecek kart limitianlamna gelebilmektedir.

Bildiiniz bir kiiden gelen ancak tuhaf bir e-postann IP adresinin,

kiinin yaad blge ile ilgili olup olmadnn kontrol ie yara-yabilir.

Bunun iin arama motoruna lookup IP address yazlarak, IPlokasyon kontrol yapabilecek siteler bulunup, kullanlabilir.

cretsiz Hizmet Veren PhishingSiteleri

Phishing amacyla kurulmu bu siteler, cazip bir rn yada hizmeti cretsiz sunduunu vaad edebilir. rnein,cretsiz virs taramas teklif edilerek veya Flash Pla-yern gncellenmesi mesaj verilerek geri planda virsuygulamasnn yaygnlamas veya bilgisayarlara yklen-mesi salanabilir.

Bu ekilde verilen mesajlara dikkat edilmeli ve itibaredilmemelidir.

Grsel 6: IP arama sayfa rnei

Grsel 7: Zararl yazlm ykleten bir site


18/521818

Bannerlar, Reklamlar, Pop-upEkranlar

Bir kere tklandnda, kontrolsz olarak istenmeyen bir say-fann al sayfas olarak tanmlanmasna veya farenin istemd hareket etmesine neden olunabilir.

Anti-Virs ve Gncellemeleri

Bilgisayarn resmi gncellemelerinin yaplmas, iletim sistemine ait gvenlik duvar yazlmnn aktif

tutulmas, gncel ve kaliteli bir anti-virs programnn kullanmasna zen gsterilmelidir.

Sahte Site rnekleri

Grsel 9: Sahte bir internet sitesi www.borcunuogren.com

Grsel 10:Mterilerin kredi kart bor bilgi-lerine ulaabilecekleri belirtilerek kart ve kiiselbilgilerinin elde edilmesi hedeflenmektedir.

Aada baz sahte site rnekleri grsellerin-den de anlalabilecei gibi genel olarak, kul-lanclar kandrabilmek iin sanki resmi, yasalbir site izlenimi verebilmek amacyla bankalogolar, benzer alan adlar kullanlabilmektedir.Bu tarz sahte sitelerin hepsinin ortak noktas,bir ekilde kullancy tuzaa drmek sure-tiyle, kullancnn zlk bilgileri veya finansalbilgileri ile kredi kart bilgilerinin ele geirilmekistenmesidir.

Grsel 9: Banner, Reklam, Pop-Up Ekran


19/521919

Grsel 12:Sahte siteyi inanlr klmak iin kullanlm yntemler.

Grsel 13:Phishing iin hazrlanm bir e-posta metni.


20/522020

4. Vishing (Voice Phishing) Olta Saldrlar

Vishing ses ile aldatma yntemidir. Bu nedenle phishing kelimesindeki p harfinin yerine voice keli-mesinin ilk harfi kullanlarak ses aldatmacas anlamnda kullanlmaktadr. Vishing, sosyal mhendis-lik vakalarnda teknolojilerin getirdii imknlarla da desteklenerek aranlan kiiden daha kolay bilgialnmasn hedeflemektedir. Buradaki teknolojik imkn yurt d internet servis salayclardan (proxy)faydalanarak aranlan kiiye, arayan olarak istedii numaray gstermesidir.

Vishing dolandrclk metodu ile, mterilerinin hesap numaralar, kredi kart bilgileri ve bunun gibikiisel bilgilerini elde etmeye ynelik gnderilen e-postalar ve bu e-postalarn ieriklerinde verileneitli telefon numaralarna ynlendirmeler yaplr. Bu sahte telefon numaralar kurban tarafndanarandnda dolandrcnn daha nceden hazrlad banka sesli yant sistemini ve ar merkezinitaklit eden bir sistem kmakta ve dolandrclar bu yntem sayesinde kurbana ait kiisel bilgileri elegeirebilmektedir.

Senaryo:

Ailesinin gayrimenkul imparatorluunun bana geen Cemal Bey, ilerinin ok youn olduu bir gn

srekli alt ve gvendii X Banktan, bir e-posta alr. Ald e-posta, ona hesaplarnn 2 gn iindepasif hale geleceini ok acil 0(850) *** ** ** numaral ar merkezini arayp, hesaplarn aktif halegetirmesini tembihler.

X Banktan gelmi gibi grnen bu e-postaya gvenen Cemal Bey, belirtilen ar merkezini arar.Dzmece ar merkezi sesli yant sisteminden de hi phelenmeyen Cemal Bey, hesaplarn aktif et-tirmek iin kredi kart bilgilerini sisteme tular ve ilemlerini sonlandrr. Oysaki kart bilgileri alnmtr.

5. Wi-Fi Dolandrcl

Bu yntem ile dolandrclar tarafndan tannm bir cafe, otel, lokal gibi bir yerin ayn adl Wi-Fi eriimnoktas oluturulmakta, bu hizmet cretsiz olarak sunulmakta ve kullanclara salanan bir ara yzile kiisel bilgileri veya internet bankaclna balanrken girilen bilgileri alnmaktadr. Kullanclarnfarknda olmadan verdikleri bu bilgiler dolandrclarn eline gemekte ve dolandrclk amacyla kul-lanlmaktadr.

6. Pop-Up Ekranlar

Bir arza, gelitirme, eriim sorunu, yardm teklifi gibi ierikle kullanc karsna karlan ekranlara kul-lanc kodu ve ifresi girilmesi istenerek eriim yetkileri alnr.

Bu dolandrclk tipinde, kullanc bir pop-up mesaj ile makinesinde tespit edilen bir eksiklikten dolaybaz programlarn almayacana dair bir mesaj karr. Ayn mesaj kendisine imdi ykleyin diyecretsiz yardmc bir program teklif eder.

7. Spam E-Postalar

ou zaman istenmeyen mesajlar olarak adlandrlan bu elektronik postalar, ieriinde zararl yazlm-lar tayabildii gibi, zararl yazlm yayan sitelere de ynlendirme yapabilmektedirler.

8. Teknolojik DonanmlarKt niyetli kiiler, kurbana ait zel bilgileri teknolojik imknlar kullanarak casusluk, dinleme gibiyntemler ile ele geirir. zellikle kurumlarda alan temizlik hizmet personeli veya kurbana yakngrnen gvenini kazanabilen kt niyetli kiiler, klavye kablosunun ucuna takaca bir kopyalamaaparat (donanmsal keylogger) ile gn boyu alann yazdklarn veya ekrann kopyalayacak, bir son-


21/522121

raki temizlik gnnde bilgiler irket dna karlm olacaktr.

9. Teknoloji Kaynakl Zararllarn Bankacla Etkisi

nternet kullanmnn artmasna paralel olarak nternet Bankacl hizmetlerini kullananlarn says daher geen gn artmaktadr.

nternet ube girilerinde Tek Kullanmlk ifre uygulamas Bankaclk Dzenleme ve Denetleme Ku-

rumunun 14.09.2007 tarih ve 26643 sayl Bankalarda Bilgi Sistemleri Ynetiminde Esas Alnacaklkelere likin Tebli gereince 01.01.2010 tarihinde devreye alnmtr.

2010 ylnda nternet Bankacl giri ilemlerinde tek kullanmlk ifre (TK) uygulamasnn zorunluhale gelmesiyle bilgisayar korsanlarnn hedef noktas bu sefer internet ubesi eriim bilgileri ve SMSolarak gnderilen TK bilgisinin ele geirilmesine ynelik zararl yazlm veya yntemler gelitirmekolmutur. Bu yazlmlar dnem dnem deiik adlarla (Zeus, Tinba, FatMAL, OBAD, Surviver vb.)bankaclk sektrnde grlm ve sosyal alarn yaygnlamasyla yaylm gstermitir.

Bu zararl yazlmlara, phishing epostalarnn eklentisi olarak, mobil uygulama, oyun marketlerinde ve

baz internet sitelerinde gvenlik uygulamas olarak rastlamak mmkndr. Phishing yoluyla mteribilgisayarna bulaan virs; mteri internet ubesine girdii anda TCKN, cep telefon numaras vetelefon cihaznn modelini soran bir ekran (pop-up) almasn salamaktadr. Mterinin girmi olduubu bilgiler neticesinde cep telefonuna gelen mesaj ile bir balant adresi gnderilir. Mesaj ieriindekiuygulamann yklenmesi neticesinde SMS ieriini elde etmeye alan zararl yazlm cep telefonunada bulam olur. Bu sayede nternet veya Mobil ubeye giri ile ilem onaylamada gnderilen SMSifre bilgilerinin dolandrclara ynlendirilmesi salanmaktadr.

Grsel 14:Faaliyete gemi Virsnkard Pop-Up ekran rnei.

Grsel 15:Faaliyete gemi Virsnkard bir dier Pop-Up ekranrnei.


22/522222

10. Man InTheMiddle Attack (MitM)

Bu dolandrclk yntemi isminden de anlalaca gibi saldrgann sunucu ve istemci arasnagirerek, kullanclarn bilgilerini ele geirmek, ifre almak ve yerel ada kullanclarn hesaplarnelde etmek iin kullanlmaktadr. MitM dolandrclk yntemi daha ok internetin genel kullan-ma ak gvensiz alanlarda gereklemektedir. MitM saldrlar farkl ekillerde olabilmektedir.Genel olarak anlatmak gerekirse:

Kullanc ortak a (genel kullanmaak) zerinden internette dolarkensaldrgan bu a zerinden aktarlanbilgileri dinlemektedir (Sniffing yn-temi). Saldrgan, kullanc ile internetsitesi arasndaki balanty keserek,gerek siteye ait .html belgesininiine yerletirdii gerek site benze-ri sahte bir .html sayfasna balantyynlendirir. Kullanc her eydenhabersiz banka sayfasna girerken,aslnda saldrgan tarafndan yn-lendirilen ve banka sayfasnn birebirkopyas olan farkl bir sayfaya girmitir.

Bu yntemle, bankalarn mterilerine internet ubeye giri yapmalar iin bankalar tarafndan gnde-rilen TK (tek kullanmlk ifre) bilgisi de saldrgann eline gemi olur.

MitM ile a trafiinin rahatlkla saldrgan zerine ynlendirilmesini nlemek iin Hypertext TransferProtocol Secure (HTTPS) kullanlmaktadr. Fakat kullancy takibe alan bir saldrgan varsa ve MitM

ile araya girmise SSL balantlarn da taklit edebilir. Gvenli balant yapmak istenildiinde taraycsitenin sertifikasyon sorunu olduunu syleyecektir.

Birok kullanc sertifika hatasnn neolduunu bile anlamadan yaptiin devam etmesini isteyerek sahtesertifikay onaylamaktadr. Sahtesertifika kullanc tarafndan gveni-lir olarak kabul edildii anda yaplanbalant SSL* olsa bile Facebook,Messenger ifreleri ve yaplan tmyazmalar saldrgana ulaabilmekte-dir.

Sonu olarak, ortak kullanma ak alanlarda yaplan balantlarda tarayc sertifika konusunda uyar

vermesi durumunda balantnn kesilmesi ve devam edilmemesi en gvenilir yol olacaktr.

Grsel 16:Man-In-TheMiddle Saldrs.

Grsel 17:Sertifika uyars.


23/522323

Senaryo:

- cretsiz ak bir Wi-Fi bulup balandm, sonra da yazmaya baladm...- Semacm sana olan borcumu u an gndereyim, hazr bugn izinliyken hesap numaran

versene (Yazma trafiini takip eden Halil mesajn harfine dokunmadan Semaya gitmesineizin verdi)

Sema ayn ortas olmas nedeniyle acelesi yoktu derken bir yandan da hesap numarasn yazmayda ihmal etmemiti; acelesi yoktu canm. 123754 Taksim ubesi X Bank... ve gnder tuuna bast.

Ksa srede mesaj paketi, Halilin elinin altndayd. Mesajn ieriini yle deitirdi:

- Acelesi yoktu canm... 58897855 Karaky ubesi Y Bank

Bundan sonraki yazmalar yapm olduu hile ortaya kmasn diye kk mdahaleler ile takip etti.Gnderdim canm teekkr ederim

Sema ancak ertesi gn biraz da utanarak telefon at Canm! Yanl bir hesaba gndermi olabilirmisin?

11. Man InTheBrowser Attack (MitB)

Man in the Browser dolandrclk ynteminde ama kullancnn ifresini almak yerine internet taraycszerine zararl yazlm yerletirerek saldr gerekletirmektir.

Zararl yazlm ieren tarayc eklenti-si kullancnn yapt transferlere ait

tutar ve alc bilgisini deitirebilir.MitB yeteneklerine sahip internetbankacl zararl yazlmlar arasndaZeus veya Sinowal rnek verilebilir.

Senaryo:

Evet, benimle ilgisi yoktu ama e-postann ekini amak iin yine de tkladm!Gncel Anti-Virs ile korunmam bir bilgisayarda virsl bir program altrlmt. Bu zararl yazlm,Banka ekranlarn taklit eden sayfalar mterinin nne getirmi ve mteriye zel kod ve ifreleribizzat kendisinin girmesi ile alp dolandrcya iletmitir.

Grsel 18:Man in the Browser Saldrs


24/522424

12. SIM Kart Yenileme ve Operatr Deiiklii

Mteri adna dzenlenen sahte kimlikle, telefonunun alndn veya kaybolduunu beyan edensahtekrlarn GSM bayilerinden yeni bir SIM kart (Subscriber Identification Module) alarak kullanclarninternet ifresini ele geirmeyi amalayan dolandrclk eklidir. Bu yntemlerle SMS ile gnderilenifre sorunsuz bir ekilde dolandrcnn eline gemektedir.

Senaryo:

Mehmet iyerine yeni gelmi ve youn bir i gnne balamadan nce denmesi gereken faturalardemek istiyordu. nternet ubesine girdiinde hesabnda bir deiik olduunu hemen fark ederekbankasnn ar merkezini arad. ar Merkezi alan;

- 5.000 TL X Banktan ekilmi, 1.000 TL ATMden ekilmi, 2.500 TL kuyumcuda kullanlm...- 10.000 TL hesabnzdan km bu ilemi siz mi yaptnz? Diye sordu.

Peki, bu ilemler nasl olmutu? Acaba Mehmet nerede hata yapmt?

Dolandrc uzun zamandan beri Mehmetin hesabn takip ediyordu. Tek sahip olmas gereken Meh-metin internet ubesi iin girite kulland tek kullanmlk ifreydi. Dolandrc, cep telefonuna gelentek kullanmlk ifreyi nasl alacan da planlamt. Mehmetin sahte kimlii ile operatr bayisine gide-cek, cep telefonu kaybettiini beyan ederek yeni bir SIM kart talebinde bulunacakt.

Mehmetin bilgisayarn takip eden dolandrc, internet ubesine giri iin sahip olduu tm bilgiler ileinternet ubesine girebilmiti.

C. Uluslararas Para Transferi Yapan irketler Dolandrclklar

Baz irketler uygun cretler karl dnya genelinde dakikalar iinde para transferi yapabileceinizhzl, kolay ve yaygn para gnderme - alma servisi sunmaktadr. Hzl para transferi irketleri olarakadlandrlan bu uluslararas irketler zerinden gerekletirilen ilemlerde de dolandrclk olaylargrlebilmektedir. Bu tarz dolandrclk yntemleri zellikle Nijerya uyruklu kiiler tarafndan kullanl-maktadr.

Senaryo1:

thalat ve ihracat ileriyle uraan Victor Rose, Trkiyede bulunan B irketi ile anlaarak, mal ithali

talebinde bulunur. stemi olduu mala ait peinat, hzl para transferi yapan bir irket araclylagndereceini, rnlerin teslimat sonrasnda kalan bedeli de yine bu irket araclyla deyeceinibelirtir. B irketi yapt bu anlamaya istinaden peinat demesini alr ve rnleri gndererek teslimatsonrasnda alaca demeyi beklemeye balar.

Aslnda, Victor Roseun farkl bir plan vardr. B irketine ait alc bilgilerini (MTCN, PASAPORT bilgilerivb.) sahte evrak ileri ile uraan kiilerle paylar. Gnderdii 1.000 Euro tutarndaki parann sahtepasaport dzenleyen kiilerce ekilmesi ve sahtecilikle ilgili 100 Euro komisyonu aldktan sonra kalantutarn kendisine geri gnderilmesini salar. Bu arada, yapt ilem dekontunu da (ilem hesap bilgil-eri) B irketine gndererek sorumluluunu yerine getirdiini ve demeyi tamamladn belirtir.

B irketi bilgileriyle dzenlenmi pasaportu elinde bulunduran kii, hzl para transferi irketi aracly-la gelen havaleyi almak zere X Bankn Kukucu ubesine gelir. Gie yetkilisi, kendisine bir formuzatarak bilgileri doldurmasn ve pasaportunu grmek istediini syler. Kii, alc olarak MTCN nu-maras ve tutar bilgisini net olarak bildirmitir. Ancak, gie yetkilisi, pasaportun sahte olabilecein-den phelenerek, ikinci bir kimlik belgesi olup olmadn ve gelen tutarn neye istinaden gnderil-


25/522525

D. SWIFT Dolandrclklar

diini de ieren detayl bilgiler talep eder. Bu kk sorgulama alc olduunu iddia eden kiiyi rahatszeder ve pasaportunu geri alarak tutar ekmeden Kukucu ubesinden ayrlr.

Ayn ahs bu sefer X Bank, Kaygsz ubesine giderek hzl para transferi yoluyla gelen havaleyi ek-mek istediini belirtir. Gie yetkilisi, deme esnasnda talep edilen bilgiler dnda, baka hibir bilgitalep etmeden demeyi gerekletirir. Sahte alc B irketi 1.000 Euro bedeli eker ve 100 Eurolukkomisyon bedelini cebine koyarak kalan bedeli ayn ube ile hzl para transferi irketi zerinden VictorRosea geri gnderir.

Senaryo2:

nternet zerindeki bir sitede hayallerinin arabasn bulan Kadir Bey hemen satc ile iletiime geer.Satc ile e-posta zerinden yapt grmede ara satcsnn Fransada yaadn ancak birka gniinde i iin Trkiyeye gelmek zere olduunu ve arac kendisine getirebileceini teyit eder. Ancaksatc, arac kendisine gtrmek iin Kadir Beyin gerekten alc olduundan emin olmak istediini,bu sebeple 5.000 ABD dolar tutar hzl para transferi irketi zerinden alcnn kendi ailesinden birineFransaya transfer etmesi ve dekontunu satcya gndermesini art koar.

Bylece alcnn ciddiyetinden ve paras olduundan emin olabilecei, ayrca tutar alcnn ailesindenbirinin hesabna gnderildiinden sadece tutar grebilecei ama ekemeyecei konusunda da iknaeder.

Kadir Bey hayalindeki araca piyasa fiyatnn ok altnda bir fiyata sahip olaca iin ikna olmas zor ol-maz. stenileni yapar ve WU zerinden kendi kardei adna 5.000 ABD dolar tutar Fransaya transferederek yapt ilem dekontunu satcya gnderir.

WU para alm iin gerekli olan tm bilgileri (*MTCN, *Gnderici Ad/ Soyad,*Gnderici lke, *Gnde-

rilen para birimi, *Gnderilen tutar) Kadir Beyin gnderdii dekonttan elde eden dolandrc alcadna dzenledii sahte kimlik belgesi ile 5.000 ABD dolar bakiyenin sahibi olarak ortadan kaybolur.

Uluslararas ticaret yapan firmalarn e-posta adresleri biliim sistemlerini ktye kullanan dolandrclar-ca ele geirilmektedir. Ticaret yapan yklenici firmann e-posta yoluyla gnderdii proforma fatu-ra zerinde bulunan IBAN bilgisi silinerek, yerine dolandrclara ait baka bir hesabn IBAN bilgisiyazlmakta ve bu proforma fatura yklenici firmann e-posta adresi ile maln alcs olan dier firmaya

bildirilmektedir. Mal karl gnderilen tutar, ticaret yapan gerek firma yerine kt niyetli kiilere aithesaplara alacak gemekte ve bu sayede bakiye ele geirilmektedir.

Senaryo1:

X Bankn Denizli ubesinde bulunan Yldz D Tic. Ltd. ti. hesaplarna Malezyada yerleik FreshLemon firmasndan 30.381 ABD dolar havale gelmi ancak, Ktahya ubesinin yksek cirolu i yeri buparann kendilerine ait olduunu belirterek X Banka bildirimde bulunmutur.

X Bank yetkilileri durumu muhabir banka aracl ile aratrnca Ktahya ubesindeki mterileri-

nin e-posta adreslerinden gnderilen proforma faturann deitirildii ve Yldz D Tic. Ltd. ti.firmasnn parann alcs olarak ibraz ettii proforma faturann sahte olduu ortaya kmtr.


26/522626

Senaryo2:

Makas Petrol firmasnn ticari iliki iinde bulunduu yurt dndaki bir firmaya ait e-posta adresidolandrclar tarafndan ele geirilmitir. Dolandrclar sahte e-postay kullanarak Makas Petrol fir-masna ekinde sahte belgelerin de bulunduu bir e-posta gndererek, ticarete konu olan 200.000ABD dolarnn yurt dndaki farkl bir hesaba transfer edilmesi istemitir.

Makas Petrol, ticaret ilikisi kurduu firma ile yllardr ilerini e-posta ile yazarak gerekletirmektedir.Bu yzden e-posta ile kendisine yaplan bildirimden hi phelenmez ve talebi yerine getirerek tutare-posta ieriinde bildirilen hesaba gnderir.

Ksa sre sonra yurtd firma, demenin hala kendisine ulamad konusunda Makas Petrole dnyapar. Bu sayede alc firmann e-posta adresinin dolandrclar tarafndan ele geirildii ve tutarndolandrclara gnderildii anlalr.


27/522727


28/5228

III.

BLMBelge ve Bilgi Sahtecilii


29/5229

Kt niyetli kiiler tarafndan dzenlenen sahte bilgi ve belgeler (kimlikler, sahte hesap czdanlar, tali-matlar vb.) yoluyla bankalara sahte bavurular yaplarak, baz ilemler gerekletirilebilmektedir. Tek-nolojideki gelimeler ve bankaclk sistemlerinde kullanmnn yaygnlamas ile birlikte banka sistem-lerinde birok bavuru kontrol mekanizmas kurulmu olmasna ramen kt niyetli kiilerin de gelienteknolojiye ayak uydurarak tekniklerini gelitirdikleri grlmektedir. Dolandrclk giriimlerinin ortaknoktas, hemen hemen tm dolandrclk giriimlerinde sahte belge kullanlmasdr.

A. Kimlik BelgeleriBankaclk sektrnde gerek kii mteri kimliinin tespiti iin, nfus czdan, ehliyet ve pasaportbelgeleri kullanlmaktadr. Her belgenin de kendine zg gvenlik zellikleri bulunmasna karn bubelgeler sahtecilik amacyla da en ok kullanlan belgelerdir.

B. Sahte Bilgi ve Belgelerle Yaplan lemler

1. Kimlik Belgelerinin Kaybolmas/alnmas

Kaybolan veya alnan kimlik belgelerini ele geiren kt niyetli kiiler bu kimliklerle bir takm ktamal ilemler yapabilmektedir.

Bunlar} irket/irketler kurulmas} Bankalardan ek karnesi talep edilmesi} apraz kimlik karlmas} Bor taahhtlerine girilmesi} Sahte fatura dzenlemek suretiyle yasa d gelir elde edilmesi} Cep telefonu hatt alp tehdit, antaj, terr vb. amal kullanlmas

}Yurtdna kta kullanlmas} Banka mterisi olup nternet Bankaclna bavurulmas} Bankadan kredi veya kredi kart bavurusunda bulunulmas

Bilgi ve belgelerin ele geirilme yntemleri genel olarak:} Hrszlk (muhtarlk soygunlar, czdan alnmas, gasp vb.),} Phishing internet siteleri,} p kartrma/posta kutusu hrszl,} Dolandrclk (yz yze, sosyal medya, dolandrclk amal telefon aramalar vb.),} nternet Ortam (virsl e-postalar, Truva atlar vb.)} eitli nedenlerle toplanan kimlik fotokopileri/bilgileri (i bavurular, kurum ii

suiistimaller, yelik bavurular, rn almak iin iyerlerine verilen kimlik fotokopileri vb.)

Bu durumda, gazeteye ilan verilebilir, emniyet makamlarna (pasaport ubesi/mahalli polis makamlar,yurt d iin konsolosluklar vb.) haber verilebilir, emniyet biriminden, kaybolduuna ya da alndnadair yaz veya tutanak alnabilir ve. Vergi Dairesine bildirimde bulunulabilir.

2. Sahte Belge ile Bireysel Kredi/Kredi Kart Bavurusu

Gerek kiilere ait kimlik bilgileri ve belgelerinin kt niyetli nc kiilerce ele geirilerek bu belge-ler ile bankalara kredi/kart bavurusunda bulunulabilmektedir.

olarak gruplandrlabilir.

Adna sahte bavuru yaplan mteri bu durumdan haberdar olduu anda vakit kaybetmeden mutla-ka ilgili banka ile iletiime gemeli, bankasna bilgi vermeli ve yasal mercilere ikyette bulunmaldr.


30/5230

IV.BLMKartl deme SistemleriDolandrclklar


31/5231

Mterilerin otomatik para ekme makineleri (ATM) ve deme noktalar (POS) araclyla banka kart-lar ile ilem yapmas, 1980li yllarn ikinci yarsndan sonra balam ve hzla yaygnlamtr.

Banka ve kredi kartlar ile gerekletirilen dolandrclk eylemlerinin en sk rastlanlanlarna aada yerverilmitir.

A. ATM Dolandrclklar

1. Kart Sktrma

lkemizde kullanlan ATMler genel olarak ilem sresi tamamlanncaya kadar banka kartn kart okuyu-cu blmesinde tutmaktadr. Dolandrclar, ATMnin kart okuyucu blmesine kt, yapkan maddelikart ve benzeri yabanc maddeleri yerletirerek, mterinin ATMye ilem iin soktuklar kartlarn, kartokuyucu haznesinde sktrarak ieriye giriini ya da darya kn engelleyebilmektedirler

Sktrlan kart, mteri ATMden ayrldktan sonra dolandrc(lar) tarafndan geri alnarak, renilenifre ile kullanlr.

Kart Sktrma Ynteminde Kullanlan Aparat rnekleri:


32/5232

2. Para Sktrma

Dolandrclar, baz ATMlerin para ekme haznesinin nne yerletirdikleri n yz para verme haz-nesinin n kapana benzeyen ancak arka ksmnda gl bir yapkan bant bulunan metal aparat ilemterilerin ekmek istedikleri tutar ele geirmektedirler. Kapan arkasndaki orijinal kapak almparay mteriye vermek zere itmitir. Ancak sonradan yerletirilen sahte kapaa taklm ve paraorada beklemektedir.

Yukardaki resimde dolandrclar 18.00da ATMye aparat yerletirmektedir.

Burada resmi verilmeyen madur mterinin para ekme ilemine karn, dolandrclarn yerletirmiolduklar kapak nedeniyle para haznesi almam ve mteri gitmitir.

rnek Olay:

Grsel 20: Para sktrmada kullanlan aparatlar.

Grsel 21: ATM kamera grntleri 1


33/5233

Hemen arkasndan gelen dolandrclk zanllar, para ekme haznesi nne yerletirdikleri aparat

skerek skan 1.000 TLyi alarak ATMden ayrlmtr.

Grsel 22: ATM kamera grntleri 2

B. KART DOLANDIRICILIKLARI

1. Kart Bavuru Sahtecilikleri

Ele geirilmi bir kimlik ya da bir kimliin kopyasn reten dolandrc, bu evrak ve bavuruda ta-lep edilen dier evraklar ile mteri adna eitli kanallar kullanarak kart talebinde bulunmaktadr.Bankalarn kimlik dorulama srelerinde ihtiya duyulan tm bilgileri eitli yntemlerle temin ettiiiin sonraki ifre oluturma, kart teslim alma gibi aamalar sorunsuz geip dolandrclk hedefinigerekletirmektedir.

2. Kart Hesabn Ele Geirme

Kredi kart limitini veya karta bal hesap bakiyesini boaltmak iin kullanlan bu yntem, kartn kendi-sini veya kartla ilem yapabilecek asgari bilgiler ele geirilerek, yaplan dolandrclk trdr.

Bu yntem kart hamili bilgileri ile mevcut mteri adna yeni rn bavurusu, ek kart karma gibiamalar iinde kullanlabilmektedir.

3. Kayp alnt

Dolandrclk amacyla kart hamilinin zafiyetinden faydalanarak veya el abukluu ile fiziki olarak kartnifresi ile birlikte alnmas veya kaybolan bir kartn bakas tarafndan kullanlmasdr. Kaybolan kart-larn limiti ifresiz ilemlerle de boaltlabilmektedir.

4. Sahte Kart

Sahte kartlar, gerek ve geerli kartn bilgileri ile oluturulan kopya kartlardr. Sahte kart yaratabil-menin birinci koulu orijinal bir kart bilgisini ele geirilmesidir. Bilginin ele geirilmesi iki yntemle

olabilmektedir. Birincisi, kart verisini ATM veya POS cihazlar zerine yerletirilen ya da zel bir cihazlakopyalayarak ele geirilmesidir. kincisi ise, kart bilgilerinin depoland veri tabanndan alnarak eldeedilen kart numaralar sahte kartlara yklenerek dolandrclk amal kullanlmasdr.

Dolandrclar, geerliliini yitirmi kartlarn manyetik bilgilerini silerek bunun yerine geerli bir kartverisini yklerler.


34/5234

Orijinal kart retmek olduka pahaldr. Kart zerinde-ki hologramn yaplmas dhil pek ok zorluklar vardr.Bu nedenle manyetii olan kartlara bilgi yklemek dahapratik ve ucuz bir yoldur. Bunu yan sra White Plastic(Beyaz plastik kart) diye tabir edilen, zerinde hi bir gr-sel logo gibi emareler olmayan kartlarn manyetiklerine debu bilgiler aktarlabilmektedir. White Plastic kartlarla zararyaratabilmek iin ya bir ye iyeri ile birlikte kt niyetli

davranlmaldr ya da kartlar ATMde kullanlmaldr.

Baka bir karta aktarlm sahte kart bilgileri ile gerekkartn zerindeki bilgilerin uyumamas ye iyeri tarafn-dan yaplabilecek basit ve etkili bir kontroldr.

Sahte kart konusunda ska kullanlan yntemler aadaki gibidir:

Kart Kopyalama (Skimming):

Kart kopyalama, sahte kartlar konusunda en sk rast-lanlan yntemlerden biridir. ATMlere kurulan kopyalamadzenei ve ye iyerlerinde Skimmer cihaz ile yaplankopyalamalardr.

ATM zerinden yaplan kart kopyalamalarda kart giriyuvasna taklan bir aparat ile gerekletirilir.

Bu aparat sadece kart manyetiinin bilgilerini almak-

tadr. Mterinin girmekte olduu ifrenin alnmas iinise; sahte klavye (PINPAD) ya da klavyeye odaklanm vegizlenmi bir kamera kullanlabilmektedir.

Nadir de olsa, sahte ATMler ile de ayn ilemler yaplmak-tadr. Bilinen ATMlerin yanna bir kullanm iin bir kam-panya yrten kk sahte modeller yerletirilmekte, ATMkiosklarnn kap girilerine kart okuyucu ve ifre giri cihazkonulabilmektedir.

Dolandrclk ebekeleri kartlardan elde ettikleri manyetik alan bilgilerini bo kartlara yazarak, banka

kart zelliine sahip kopya kartlar olutururlar. Oluturulan bu kartlara ait ifreler de bilindiindenherhangi bir ATMden mterilerin hesaplarndan para ekebilir ya da harcama yaplabilir.

ATMde Kopyalama Dzenei:

Dolandrclar parmak izi ihtimalini de gznnde bulundurarak eldiven ile dzeneklerini ATMye ta-karlar. Skimmer cihaz (kopyalama aparat) ve kamera hazrl ierisinde olan dolandrclarn resimle-rine yanda verilmitir.

Grsel 23: Beyaz plastik kartlar

Grsel 24: Kart manyetik kopyalamaaparat


35/5235

Grsel 25: Kopyalama cihazn yerletirilmesi

Baz skimmer (kopyalama) cihaz rnekleri aadadr:

Grsel 26: Kopyalama cihazlar


36/523636

ATM tavanna yaptrlan plastik dzenein iine gizlenen cep telefonunun kameras kullanlarak kul-lancnn klavye hareketleri gzlemlenmektedir.

POS Kaynakl Kart Kopyalama:

ye iyerlerinde Skimmer cihaz ile yaplan kopyalamalarda ise; genellikle lokanta, dinlenme yerleri,alveri maazalarnda alan dolandrclk ebekesi yeleri, deme yaplmak amacyla verilen kart-lar ikinci bir okuyucudan geirerek kopyalar. ifreyi alan bizzat almaktadr. Nadiren de olsa, POSmakinesinin ierisine bu dzenek teknisyen klna girmi kiiler tarafndan da yerletirilebilmekte butakdirde ifreleri loglayp alabilmektedirler.

Bu kartlarn manyetik alan bilgileri baka kartlara ykle-nir. Kopyalanm kartlarla, sahte belgelerle alm yeiyerlerinden harcama yaplm gibi gsterilir ya dasahte kimlik kullanlarak konudan habersiz ye iyer-lerinde alveri yaplr.

Kartn manyetik alannn kopyalanmas zellikle yazaylarnda, turizm blgelerinde ve byk ehirlerdedaha sk grlmektedir.

Sahte Slip rnei: Slipteki onay kodu 7 haneli (6 haneli olmal) ve Slipte POS

bankasna ait bilgi bulunmuyor.

ifrelerin alnmas iin kullanlan kamera dzenekleri aada verilmitir:

Grsel 28: Sahte bir slip.

Grsel 27: Kamera Dzenekleri


37/5237


38/5238

V.BLMDolandrclktan KorunmaYntemleri


39/5239

Dolandrclkla mcadele konusunda alnacak nlemlerde hem kurumlara hem de kiilere nemli so-rumluluklar dmektedir. Zaman iinde dolandrclar kendilerini gelitirdike onlara kar alnacaknlemler de geliecektir. inde bulunduumuz 2015 yl itibariyle bankalar ve mteri tarafndandolandrclkla mcadele konusunda alnabilecek nlemlere aada detayl bir ekilde deinilmitir.

A. Bankalar Tarafndan Kullanlan Gvenlik Unsurlar

Bankalar tarafndan kullanlan gvenlik unsurlar mterilerin ilem gvenliklerini ve finansal deerle-rini korumaya yneliktir. Bunun iin bankalar tarafndan sunulan internet bankacl, mobil bankaclk,telefon bankacl veya ATM gibi kanallar iin yaratlm en st dzey gvenlik nlemlerinin alndortamlardr.

Kullanc Ad / Mteri Numaras:Banka tarafndan mteriye zel tanmlanan kiiye zel bir koddur.

Parola / ifre:Kimlik dorulamada kullanlan, deitirilmesi zorunlu klnmayan gizli alfabetik ve/veya rakamsal karak-terler dizisidir.

Tek Kullanmlk ifre:Bankalar tarafndan sanal ortamlarda eriim hakk verdikleri mterilerine tanmlanan ve ilem bazl dakullanlan deiken kodlardr. Tek kullanmlk ifreler, banka tarafndan ilem annda otomatik olarakretilen ve mteri cep telefonuna gnderilen bir ifre olabilecei gibi farkl cihaz ve yntemlerle deretilerek mteriye iletilir.

lem Dorulama Resmi:Baz bankalar tarafndan mteri giriinde gsterilmek zere belirlenen resim/koddur. Ayrca bu resim-ler baz durumlarda oktan semeli olarak ilem onaylarnda da kullanlabilmektedir.

Elektronik mza:15.01.2004 tarihli ve 5070 sayl Elektronik mza Kanununda tanmlanan kiiye zel elektronik imzasertifikasdr.

Kiisel Bilgiler:Gerek kii kullanclarn ad, soyad, T.C. kimlik numaras, pasaport numaras, vergi kimlik numaras,sosyal gvenlik numaras, kimlik tanmlaycs, doum yeri, doum tarihi, telefon numaras, adresi,

elektronik posta adresi, resim, grnt ve ses kaytlar, biyometrik veriler gibi bilinmesi halinde tekbana veya dier bilgiler ile bir araya geldiinde ait olduu kiiyi belirleyen ya da belirlenebilir halegetiren bilgi ya da bilgi setidir.

Mteri Bilgilendirmeleri:Bankalarn internet sitelerinde veya e-posta/SMS yolu ile mterilerine gvenlik ile ilgili yapmolduklar bildirimlerdir.

B. Mteriler Tarafndan Alnmas Gereken nlemler

Bankalar tarafndan alnan gvenlik nlemleri ile birlikte mterilerini de ncelikli olarak almas gere-ken baz nlemler ve uymas gereken kurallar mevcuttur.


40/5240

Cep Telefonu Marka ve Modeli:Mterinin sanal bankaclk kodlarn ele geirmek hedefi ile oluturulan zararl yazlmlarca, kullancnntelefonuna ait marka ve model bilgileri istenebilmekte olup, bu bilgiler zerinden mteri telefoncihazna zararl kod yklenebilmektedir. Sanal ortamda karlalan bu tip bir talep olduunda bankayabyle bir uygulama olup olmad sorularak mutlaka teyit edilmelidir.

Bilgi Hrszl:Kiiler finansal veya finansal olmayan bilgilerini zenli kullanmal ve korumaldr. Sosyal medya zerin-

den paylalan bilgilerin gizliliinin korunmas amacyla bu uygulamalarn saladklar gizlilik ayarlarnnyaplmas nerilir.

Bankalardan Gelen Bildirimler:rnlerin gvenlii ile ilgili hususlar hakknda bankalar tarafndan verilen bilgilerin/aklamalarn okun-mas ve belirlenen talimatlara uygun olarak ilem yaplmas gvelik asndan byk nem arz etmek-tedir. Gvenlikle ilgili herhangi bir tereddt olumas durumunda mutlaka bankaya bavurulmal ve bil-gi verilmelidir. Unutulmamaldr ki, bankalar kiisel bilgileri mterilerinden e-posta yoluyla asla talepetmezler. Kiisel bilgileri soran e-posta ve/veya e-posta ierisinde yer alan linkler zerinden bilgi pay-lalmamal, cevap verilmemeli ve bu tr bir durumla karlaldnda ilgili bankaya bilgi verilmelidir.

Bilgi Gizlilii:Banka ilemlerinde kullanlan kimliklerin gvenlii son derece nem arz ettiinden; kimliklerin taran-m grntleri bilgisayarlarda saklanmamal, fotokopileri rastgele yerlerde bulundurulmamaldr.

C. nternet ile Yaplacak Dolandrclk Eylemlerinden Korunma

Yaknlarnzn isim, doum tarihi, tutulan takmnkurulu yl gibi zel gn ve tarihler, telefon nu-

maras gibi tahmine ak bilgiler ifre olarakseilmemelidir. Ayrca gvenlik iin her yerde aynifre kullanlmamaldr. Facebook kullanc [email protected] ve ifreniz kapi07.Muhtemelen kullandnz e-posta adresinizdekiifreniz de kapi07dir.

nternet bankacl ifresi herhangi bir yereyazlmamal ve kimseyle paylalmamaldr. ifrelerBilgisayara veya taraycya kayt edilmemelidir.

Sadece gvenliinden emin olunan bilgisayar-lardan ilem yaplmaldr. Herkesin kullanmnaak bilgisayarlara, zararl yazlm yklenip yklen-medii hususunda emin olunamamaktadr.Bilgisayarn nasl korunduu hususunda birbilgi yoksa internet bankacl gibi riskli ilemleryaplmamaldr. Bu tr bilgisayarlara yklenen

programlar vastasyla kullanc ad, ifre ve parola kolaylkla ele geirilebilmektedir. nternet kafe gibiortak kullanma ak alanlardaki bilgisayarlarda ve i yeri bilgisayar gibi bakalarna ait ya da baka-larnn eriimine ak bilgisayarlarda internet bankacl ilemi yaplmas gvenli deildir.

nternet bankacl girilerinde sanal klavye kullanmna zen gsterilmelidir.

Bilgisayar ve eriim amacyla kullanlan cihazlarda kopya veya lisansz yazlm kullanlmamal, yazlm-

Grsel 29:ifre Gvenlii


41/5241

Grsel 30: Herkese ak internet kullanm alan (nternet Kafe)

larn gncel srmleri tercih edilmelidir. Lisans olmayan ve krk olarak tabir edilen bir programn iinebilgi toplayan bir yazlm atlm olabilir. Bunun yan sra, lisansz yazlmlarda gvenlik aklar olabi-lecei gibi, fark edilen aklar iin gncelleme yaplamamaktadr.

letim sistemi ve internet taraycsnn gncel tutulmas gerekmektedir. Bilgisayarn korunmas ve so-runsuz almasnn salanmas iin, yazlm reten firmalar tarafndan yaynlanan gncellemeler takipedilmeli ve gncellemeler zamannda yaplmaldr.

Bilgisayarlarda lisansl anti-virs yazlmlar kullanlmal ve bu yazlmlar gncellenmelidir.

nternet bankacl sitesine girite adresin doru bir ekilde taraycnn adres alanna yazlmas ve her-hangi bir ynlendirici link kullanlarak internet bankacl sitelerine giri yaplmamas nerilmektedir.

nternet zerinden yaplan aramalar sonucu alnan adres bilgilerinin yanl ve yanltc olabileceiunutulmamaldr.

Gvenli internet sitelerinde adresin geerli ve gvenli olduunu gsteren sertifikalar kontroledilmelidir.

nternet gvenlik duvar (firewall) kullanlmal ve bu tr uygulamalar bilgisayarlarda aktiftutulmaldr. Firewall yazlmlar, bilgisayarlara yetkisiz eriimi en-gelleyebilir.

Taraycda otomatik tanmlama fonksiyonu kullanlmamaldr.Otomatik tanmlama fonksiyonu, daha nce girilen ifreler de dhilolmak zere tm bilgileri saklar. Gvenlik asndan otomatik tanm-lama fonksiyonu devre d braklmaldr. Ek olarak, ifreyi Hatrla(Remember Password) zellii ayrca uzak durulmas gereken birseenektir. Bu seenek kullanldnda, bilgisayarnza erien kii-nin e-postalarnz, yeliklerinizi ele geirmesi iin artk size ihtiyacyoktur.

Grsel 31: Gvenlik duvarkullanlmaldr


42/5242

Grsel 33: ifreleriniz iin otomatik tanmla-ma fonksiyonu kullanlmamaldr.

Grsel 32: ifre hatrla seeneiseilmemelidir

nternet gezgini tarafndan indirilen dosyalarn sk sk temizlenmesi gerekir. Baz internet sitelerinegirildiinde, sitelere yklenen uygulamalar ve kk yazlmlar ile siteye giren kiiler hakknda bilgitoplanr. Toplanan bilgiler bir metin (.txt uzantl) dosyasnda tutulur. Bu dosyalara Tanmlama Bilgisi(Cookie/erez) denir. erez dosyalar, hangi sitelerin ziyaret edildiine ve bu sitelerde internet sitelerizerinden doldurulan formlara ait bilgilerden oluur.

Cookieler (erez) virs yaymak iin kullanlamazlar. Ancak baz zel bilgilerinizin kt amal kiilerineline gemesini kolaylatrr.

Ek olarak, internet sitelerine girildiinde baz gereksiz dosyalar Temporary Internet Files dizini altn-da depolanmaya balar.

zel bilgilerin olabilecei bu dosya ve Cookieleri silebilmek iin aadaki admlarn takip edilmesigerekir. Bu ileme Cache n bellek temizlii denir.

Grsel 34: Internet Explorer Cache Temizlii

nternet Explorer iin:

Aralar nternet Seenekleri Gz Atma Seenekleri

mensnden, sil (Delete) butonuna basarak alanpenceredeki tm seenekleri iaretleyip, sil butonunabaslarak yaplr.


43/5243

Grsel 35: Google ChromeCacheTemizlii

Google Chrome iin:

Chrome men butonu Gemi Tarama Verilerini Temizleyolundan alan pencerede, en batan seenei ile tmkutucuklar seilerek, Tarama verilerini temizle butonuna

baslarak yaplr.Bunlara ek olarak taraycnza ait gvenlik seviyesi her zamaniin st seviyede olmaldr. Otomatik form doldurma ile ifrekayt etme fonksiyonlarn aktif etmemeniz ise daha gvenlibir kullanm olacaktr.

Bireysel kullanclarn internet knda kullandklar cihazlara (Wi-Fi)ifre koymalar gerekmektedir.

ifresiz ya da kolay tahmin edilebilir bir Wi-Fi kullanmnda bilgileri-nizin alnmasnn yan sra, su bazen kullandnz cihazlar zerinizdenilenebilir. WEP ifreleme sistemi yerine WPA/PSK ifreleme sisteminikullanmanz anzn gvenliini arttrmada nemli bir unsurdur.

Wi-Fi balantnzda modem ayarlar iinde Lowest Common Deno-

minator ayarlarndan en yksek seviyeyi seerek, WEP ve WPAifrelemelerini 128 Bitlik bir korumaya karabilirsiniz.

Ek olarak, modeminizi kullanmadnz zamanlarda kapatmanz basit ama etkili bir davran olacaktr.

A zerinden oynanan oyunlarn ou bilgisayarn gvenlik duvarn ve aktif virs programlarnkapatmay art koar. nk bu gvenlik katmanlarnn olmas oyun sunucusu ile bilgisayar arasndakibilgi alveriini yavalatr veya tamamen engeller.

O anda balanlan sunucudan bir saldr olmam olmas daha sonra olmayaca anlamna gelmez.

Bunun nne geebilmek iin sadece tannm ve byk firmalara ait sunuculara balanlmas neri-lir. Ayrca gvenlik duvarn kaldrarak, oynanan oyunlardan sonra bilgisayarn tekrar en st seviyedegvenlie tanmas doru olacaktr.

Mobil Cihazlar

Mobil cihazlara uygulama marketleri dndaki ortamlardan uygulama indirilmemesi gerekir. Bu ortam-lardan indirilen uygulamalar ile cihaznzdaki bilgilerin alnmas mmkndr, iletim sistemi krlmmobil cihazlarla yaplan bankaclk ilemleri gvenlik risklerine aktr. Zararl uygulamalardan korun-mak iin cihaz ayarlarnzda bulunan market d uygulamalarn yklenmesi seeneinin iaretli ol-

mamas gerekir.

Grsel 25: Wi-Fi konu


44/5244

D. Telefon ile Yaplacak Dolandrclk Eylemlerinden Korunma

Telefon bankacl ifrenizi herhangi bir yere yazmaynz. Bilgisayara veya taraycya kayt etmeyiniz.Yaknlarnzn ismi, doum gn, taraftar olduunuz takmn kurulu yl gibi zel gn ve tarihleri, tele-fon numaranz gibi tahmine ak bilgileri ifre olarak kullanmaynz.

Telefon ifrelerini telefona tulayarak giriniz. ifreleriniz szl veya yazl olarak talep edilirse kesinliklebilgi vermeyiniz; grmelerinizi derhal sonlandrarak bankanza konu hakknda bilgi veriniz.

Telefon cihazn vererek size yardm etmek isteyen kiilerin teklifini kabul etmeyiniz.

Bakalarna ait ve kamuya ak alanlardaki telefonlardan grme yapmak iin, aradnz numaraykendiniz eviriniz. Numaray doru evirdiinizden emin olunuz.

Yaptnz grmeler sonrasnda, tuladnz ilem ifrelerinizin telefon hafzasna alnmadndanemin olunuz.

Yaptnz telefon grmeleri srasnda, pheli ahslar tarafndan izlenmediinizden ve dinlenme-diinizden emin olunuz.

E. ATM ile Yaplacak Dolandrclk Eylemlerinden Korunma

ifreniz size zel bir bilgidir. Kimseyle paylamaynz ve kullanm esnasnda gizlilii hususunda ge-rekli zeni gsteriniz. ifrenizi ATMde kullanrken gizleyin, evrenizde ifrenizi grebilecek kiilerinolmadna emin olunuz. phelendiiniz durumlarda bankanz bilgilendiriniz.

ATMde yardm teklif eden pheli kiilerden yardm almaynz, bunun yerine varsa banka grevlisin-den yoksa ar merkezlerini arayarak yardm alnz.

ATMlerden para ekerken (zellikle hafta sonu) ATM cihaznda herhangi bir farkllk olup olmadnkontrol ediniz.

lem yaptnz ATMde pheli bir durumla karlatnzda (zel olarak yerletirilmi bir cihaz vb.)ilem yapmayarak derhal bankanza haber veriniz. evrenizde pheli ahslar olmadndan eminolunuz.

Kartnzn ATMde skmas, alkonulmas gibi durumlarda size yardmc olmak isteyen kiilerden yardmalmaynz. ATMde kartnz kalm ise kt niyetli kiiler ATMye tekrar ifrenizi girmeniz halindekartnzn iptal edileceini belirtebilir ve hatta kendi cep telefonlar ile bankanz aramanza yardmcolmay teklif ederek kart ifrenizi elde edebilirler. Bu tr yardmlar kabul etmeyiniz. Varsa kendi ceptelefonunuzla veya en yakndaki gvenli bir telefonla bankanza derhal haber veriniz.

F. Kart ile Yaplacak Dolandrclk Eylemlerinden Korunma

Kart bilgileri kiiye zeldir ve bu bilgilerin gizliliini (kart numaras, son kullanma tarihi, gvenlik kodu/

CVV2 kodu) koruyunuz. Gvensiz ortamlarda kullanmaynz, nc kiilerle paylamaynz.

Kart ve kart ile birlikte kullanlan; kartn kendisi, ifre ve mesaj gelen cihazlar, ifre reten cihazlar gibiunsurlar koruyunuz.


45/5245

Bankanza vermi olduunuz iletiim bilgilerinizin (e-posta adresi, adres, telefon numaras, vb.) gizli-liini korumaya zen gsteriniz

Kartl dolandrclklarla ilgili kullanlan rnlerin gvenlii hakknda bilgi sahibi olmanz son derecenemlidir. Banka internet sitelerinde gvenlik hakkndaki sayfalar titizlikle takip edilebilir.

Kartnzla yaptnz ilemlerde deme bilgilerini kontrol ediniz.

Kredi kart ile sanal ortamlarda yaplan alverilerde sanal kart tercih ediniz.

Bankaya verdiiniz bildirim adreslerinizin deimesi durumunda bankanz bilgilendiriniz ve deiik-likleri bildiriniz. Banka hesap durumunun ve faturalarn her zaman yeni adrese gnderildiinden eminolunuz. Adres deiikliinin bildirilmemesi durumunda eski adrese gnderilen hesap zeti/durumu vefatura bilgilerinin kt niyetli kiilerin eline geme olasl olduunu unutmaynz.

Gven vermeyen ve itibar olmayan internet siteleri zerinden alveri, telefonla veya mektuplasipari alan firmalar ile kart ve kimlik bilgilerini paylamaynz. Sanal alveri yaplan sitelerde 3Dgvenlik zellii olan siteleri tercih ediniz.

Adnza bir bakas tarafndan yaplan harcamalardan haberdar olmanz iin hesap kesim cetvellerikontrol ediniz ve gncel dnem borlarnz dzenli takip ediniz.

pheli durumlarda ivedi olarak bankanzla iletiime geip olay hakknda bankanza bilgi veriniz.


46/5246

VI.BLMTerminoloji


47/5247

NO TRKE NGLZCE AIKLAMA1 Abone Kimlik

ModlSubscriber Identifi-cation Module (SIM)

Mobil telefonlarn GSM servis salaycdan hizmetalmasn salayan mikroip.

2 Alr KapanrPencere

Pop-Up Bir siteye girildii zaman onunla birlikte alanreklam pencerelerine pop-up denilmektedir.

3 Alfanmerik Alphanumeric Harfleri, rakamlar, bazen de gdm karakterlerini,zel karakterleri ve bo karakterleri kapsayan k-medir. (r. ifrelemelerde "alfa nmerik karakterlergiriniz" eklinde uyarlarla karlalabilir.)

4 AlternatifDatm Kanallar(ADK)

Alternative Distribu-tion Channels (ADC)

Mteri ile yz yze gelinmeden gerekletirilenbankaclk ilemlerini salayan ara veya ortam-lardr. (r. nternet Bankacl, ar Merkezi, ATMvb.)

5 Anonim Anonymous Kimlik belirtilmeyen durum ve ortamlardr.

6 Arama Motoru Search Engine nternet zerinde bulunan ierii aramak iin kul-lanlan bir mekanizmadr. (r. Google, Yandex,Yahoo, vb.)

7 Atak, Saldr Attack Bir bilgisayar sistemine izinsizce girme, bir websayfasn kirletme, bir Truva at sokma veya bir kodukrma, vb. giriimlerdir.

8 Ate Duvar Firewall nternet zerinden bir sisteme girileri korumaamal olarak kstlayan/yasaklayan ve genellikle birinternet gateway servisi (ana internet balantsnsalayan servis - a geidi) olarak alan bir bilgi-

sayar zerinde bulunan gvenlik sistemine verilengenel addr.9 Balant Link nternette bir sayfa iinde balant salanarak ba-

ka bir sayfaya ynlendirme salayan fonksiyondur.Balantlar genellikle alt izgili ya da farkl renkle-rde grlr. zerine geldiinizde mouse el iaretinednr.

10 Bilgi Sznt En-gellemesi

Data Leakage Pre-vention (DLP)

Veri sznts engelleme.

11 Bilgisayar Kor-

san

Hacker ahs bilgisayarlara veya eitli kurum ve kurululara

ait bilgisayarlara ve alara izinsiz olarak giri yapankiilere denir.12 Biyometri Biometer Kullancnn fiziksel ve davransal zelliklerini tan-

yarak kimlik saptamak zere gelitirilmi bilgisayarkontroll, otomatik sistemler iin kullanlan genelbir terimdir.

13 erez Cookie Tarayc zerinde tutulan tanmlama bilgisidir.14 evirim D Off-line Bilgisayar sisteminde sunucuya bal olmama ha-

lidir.15 evirim i On-line Bilgisayar sisteminde sunucuya bal ve alr du-

rumda olma halidir.16 Dorulama Authentication Elektronik bankaclkta, kimlik denetimi, yetki de-

netimi; aslna uygunluu kantlama, kimlik, yetki vesaym denetim protokolleridir.

Aada biliim, teknoloji ve dolandrclk literatrnde ska karlalan baz terimlerin ngilizce veTrke karlklar ile aklamalarna yer verilmitir.


48/5248

NO TRKE NGLZCE AIKLAMA17 Dolandrclk Fraud Bankaclk sisteminde dolandrclk, sahtekrlk,

hrszlk, kar amal yaplan kt niyetli giriimleriifade eder.

18 Eklenti Attachment Bilgisayarda bir mesaja (e-posta) eklenen dosyadr.19 Ekran Kaydedici Screen-Logger Ekran grnts alan casus yazlmlardr.20 Elektronik Bank-

aclk

Online Banking ubesiz bankaclk. Alternatif Datm Kanallar ze-

rinden yaplan bankaclk ilemleridir.21 E-Posta ve Tele-

fon ile SipariMail Order/Tele-phone Order (MO/TO)

nternet veya Telefon zerinden alveri ilemidir.

22 Eriim Access Elektronik bankaclkta bilgisayar z kaynaklarnkullanma olanan elde etme olarak ska kul-lanlmaktadr. Bir sisteme eriim hakkn, kullanmahakkn elde etmek olarak da bilinir.

23 Etkinletirme Activation Elektronik bankaclkta sunulan bir rnn kimlikdorulama kouluna bal olarak kullanma almassreci olarak kullanlmaktadr.

24 Fla Oynatc Flash Player Flash Player eitli ekran ve tarayclarda ben-zersiz uygulama, ierik veya videolarn hataszgrntlenmesini salayan tarayc tabanl bir me-dya oynatcsdr.

25 Gvenli Hip-er-Metin TransferProtokol

HyperText TransportProtocol Secure(HTTPS)

nternet anda data transfer protokoldr ancakSLL ile ifrelenmektedir.

26 Gvenli Soket

Katman

Secure Sockets Lay-

er (SSL)

Sunucu ile istemci arasndaki iletiimin ifrelenmi

ekilde yaplabilmesine imkn veren standartlambir teknolojidir.27 Hesap Ele

GeirmeAccount Takeover Kredi kart limitinin veya karta bal hesap bakiyesi

boaltmak iin kullanlan kartn kendisi veya kartlailem yaplabilecek asgari bilgileri ele geirilmesiyleyaplan dolandrclk trdr.

28 Hiper-MetinTransfer Pro-tokol

Hypertext TransferProtocol (HTTP)

nternet anda data transfer protokoldr.

29 ndirme Download Elektronik bir ortamdan dosya ekme ilemi.

30 nternetDolandrclAlarm Sistemi

Internet FraudAlarm System (IFAS) Bankalarn ortak paylamda bulunduu internetdolandrcl alarm sistemidir.

31 nternet ProtokolAdresi

Internet ProtocolAddress (IP)

nternet adresleme sistemidir. (r. http//www.ornek.com adresi aslnda 195.175.68.4 rakamlarnakarlk gelir.)

32 Kablosuz Eriim Wireles Fidelity (Wi-Fi )

Kablosuz eriim noktalar aracl ile yerel alan a-na balanmay ifade eder.

33 Kabloya EdeerMahremiyet

Wired EquivalentPrivacy (WEP)

Kablosuz a balantlarnda (Wi-Fi) Veri ba ta-bakasnda alan bir ifreleme yntemidir.

34 Kart Hesabn EleGeirme

Account Takeover Kart bilgilerinin veya fiziki olarak kartn dolandrctarafndan ele geirilmesidir.

35 Krlm Yazlm Crack Orijinal olmayan, program, oyun vb. uygulamalarorijinal yapmamza yarayan korsan dosyalardr.


49/5249

NO TRKE NGLZCE AIKLAMA36 Koklama Sniffing Birden fazla bilgisayar arasnda yaplan bilgi

al-veriini gizlice yakalamaya ve bilgi edinmeye"sniffing" denilir.

37 Kt AmalYazlm

Malware Bir virs, solucan ya da Truva At gibi zarar vericiilemler yapabilen bilgisayar programdr.

38 Kullanc User Bir sistemi, uygulamay kullanan olarak tanmlanan

kiidir.39 Laminasyon Lamination Farkl yzeylerin ve katmanlarn, s, basn ve

yaptrclar ile bir araya getirilerek tek bir katmanhaline getirilmesi ilemidir.

40 Lazer Perfore Laser Perfore Grsellerin zerine yerletirilmi zel iaret veyasimgelerdir.

41 ManyetikKopyalama

Skimming Plastik kart kopyalama dolandrclna verilenaddr.

42 Merkezi Nfusdaresi Sistemi

MERNIS Merkezi Nfus daresi Sistemidir.

43 Mobil letiimin KreselSistem

Global System forMobile Communica-tions (GSM)

Cep telefonu iletiim sistemidir.

44 Mortesi Ultraviyole (UV) Dalga boyu 100 ile 400 nm arasndaki nma denir.45 Oltalama Phishing Dolandrclarn rastgele kullanc hesaplarna gn-

derdikleri, kullancnn zel bilgilerini (ifre, paro-la, mteri numaras, kullanc ad, kredi kart nu-maras vb.) elektronik ortamlarda ele geirilmesiniamalayan saldr trdr.

46 Ortadaki AdamSaldrs Man In the MiddleAttack (MitM) Saldrgann sunucu ve istemci arasna girerek kul-lanc bilgilerini ele geirmeyi amalayan saldrtrdr.

47 Otomatik Paraekme Makinel-eri

Automatic TellerMachine (ATM)

zellikle para ekme/yatrma iin kullanlan vebunu yan sra hesap hareketleri, havale, eft, faturademe gibi ilemler iin kullanlan insansz alanubirim aygtdr.

48 n demeDolandrcl

Advance-Fee Fraud(AFF)

419 dolandrcl olarak da bilinir, n deme yoluy-la dolandrclk yaplmasdr.

49 Para Transferi

Kontrol Nu-maras

Money Transfer

Control Number(MTCN)

Para gnderim ileminde Western Union tarafndan

ileme zel oluturulan bir numaradr.

50 Reklam Band Banner nternet sitelerinde tantm, reklam amacyla yer-letirilen, farkl boyutlarda, sabit ya da hareketliolabilen panolardr.

51 Reklam E-Postas(stenmeyen)

SPAM E-mail Kullanc tercihinden bamsz olarak yaplan hertrl elektronik posta gnderimidir.

52 Sahte Alan Ad Fake Domain Sahte alan adlarna denir. r. www.sahtealanadi.com

53 Sanal zel A Virtual Private Net-work (VPN)

nternet zerinden baka bir aa balanmaysalayan balant eididir.

54 Sat Noktas Point Of Sales Ter-minal (POS)

Kredi kartlarnn ilem yapabilmesi iin kullanlancihazdr.


50/5250

NO TRKE NGLZCE AIKLAMA55 Solucan Worm Network zerinde kendilerini bir makineden ba-

ka bir makineye kopyalayabilen, kendi kendilerineoalma yeteneklerine sahip olan zararl yazlm-lardr.

56 Sosyal A Social Network Sanal ortamlarda sosyal iletiim kurmaya yarayanalardr. (r: Facebook, Twitter, Instagram, vb.)

57 Sunucu Server Dier bilgisayarlara veri sunan ok daha kapasitelibilgisayara verilen addr.58 Swift Swift Tm dnyadaki bankalar arasnda elektronik fon

transferi standard salayan bir sistemdir.59 ifre reten

CihazToken Bir sisteme giri iin ifre reten cihazlara ya da

yazlmlara denilir. (hard token/soft token)60 ifreleme Encryption Gizlenmek istenen bir bilginin (metin, fotoraf, ses

kayd, kiisel bilgiler vb.) bir algoritma yardmyla birbakas tarafndan okunmasn ya da deitirilmesiniengellemek iin yaplan ifrele ilemine denir.

61 Tarayc Browser "www." zerinde dokmanlarn transfer edilipgrntlenmesini salayan programlara "browser(tarayc)" ad verilir. (r. nternet Explorer, GoogleChrome, Firefox, vb.)

62 TaraycdakiAdam Saldrs

Man In The Browser(MitB)

nternet taraycs zerine zararl yazlm yerletir-ilerek kullanc bilgilerini ele geirmeyi amalayansaldr trdr.

63 Tek Kullanmlkifre

One Time Password(OTP)

Online bankaclkta ilem onaylar veya login ekran-larnda kullanlan ek gvenlik salayan tek kullanm-lk ifredir.

64 Truva At Trojan Horse Bir bilgisayar programna balanarak gizlenen,tahribatn yaparken programn olaan almasnaizin veriyormu gibi gzken virslerdir.

65 Tu Kaydedici Key-Logger Klavyeden baslan her tuun loglarn tutan casusyazlmlardr.

66 Tu Takm Pin Pad POS cihazlarnda, kart sahibinin ifresini zel olarakgirmesi iin kullanlan cihazlara denir.

67 Uyar Alarm Dolandrclk ve suiistimal takip ekiplerininolaand bir duruma alm olduklar her trl ika-zdr.

68 Varolmayan Kart Card not Present(CNP)

Bilgileri kullanlabilmesi iin dolandrc tarafndanoluturulmu fakat fiziki olarak baslmam karttr.

69 Veri Kanal Port Bir bilgisayarla d aygtlar arasndaki kablo ileiletiimi salayan veri kanaldr. (r. SCSI, USB, vb.)

70 Virs nler Anti-Virus Bilgisayar gvenliini salayabilmek iin bazvirsleri temizlemeye ynelik programlardr.

71 Vishing Vishing Kimlik avclarnn, IP zerinden ses (VolP) uygula-masn kulland ses ile aldatma yntemidir. Tele-fonla kiisel bilgilerin ele geirilmesidir.

72 Western Union Western Union (WU) Bir para transfer sistemidir.73 Wi-Fi Korumal

EriimWi-Fi ProtectedAccess (WPA)

Wi-Fi zerinde, WEP ifreleme sisteminden dahagvenli ve daha yeni bir teknolojidir.

74 Yerel Hizmet A Local Area Network(LAN)

Ev, okul, laboratuvar, i binalar vb. gibi snrl cora-fi alanda bilgisayarlar ve aralar birbirine balayanbir bilgisayar adr.

75 Yklemek Upload Elektronik bir ortama dosya ykleme ilemidir.


51/5251


52/52

TRKYE BANKALAR BRL

Nispetiye Cad. Akmerkez B3 Blok Kat 13 34340 Etiler/stanbul

Tel: 0212-282 09 73 | Faks: 0212-282 09 46

Dolandırıcılık Eylemleri ve Korunma Yöntemleri

Documents

Transcript of Dolandırıcılık Eylemleri ve Korunma Yöntemleri