Sosyal Mühendislik, bir sisteminin kullanıcılarını, yetkisi olmadan erişim elde etmek için gizli bilgileri açığa çıkarma sanatıdır.
Sosyal Mühendislikte kuşkusuz bir anda olup biten bir durum değildir. Bu işlemleri yapıp karşı tarafı kandırmak veya aldatmak için belli başlı aşağıdaki adımların ve yolların takip edilmesi gerekir;
Bilgi Toplama : Öncelikle aldatılacak olan kurbanın hakkında maksimum seviyede bilgiler toplanır. Elde edilen bilgiler şirket web sitelerinden, diğer yayınlardan ve sık olmamakla birlikte hedef sistemde çalışanlarla konuşarak birçok bilgi toplanabilir.
Saldırıyı Planla : Saldırganlar saldırıyı nasıl yürütmek istediğini açıklar.
Saldırma Araçları : Saldırganın saldırıyı başlatırken kullanacağı bilgisayar programlarını içermektedir.
Bilgileri Kullanma : Ev hayvanı isimleri, doğum tarihleri, doğum yerleri gibi birçok sosyal mühendislik taktikleri sırasında toplanan bilgiler, şifre tahminlerinde kullanılabilir.
Ben bu yazımda daha çok Ödeme Sistemlerinin açıklarından bahsedeceğim;
1- HSM Güvenliği: Kartlı Ödeme Endüstrisi Veri Güvenlik Standardı (PCI DSS), kredi kartının işlenmesi, iletilmesi ve saklanması aşamalarında uyulması gereken mantıksal ve fiziksel bilgi güvenliği kurallarını tanımlamaktadır. Bu kurallar PCI (Payment Card Industry) adı verilen ve aralarında American Express, MasterCard, Visa, Discover Financial Services gibi üyeleri bulunan bir konsey tarafından geliştirilmekte ve yayımlanmaktadır.
“PCI-HSM v1.x” Nisan 2019 tarihinde sonlandı. Bu sebeple PCI denetimine girenlerin “PCI-HSM v2.x” uyumlu cihaz kullanmaları doğru olacaktır. Bu nedenle, PCI-HSM v1.x ve v2.x arasındaki farkları (örn. Key uzunlukları, TR-31 kullanımı…) gözeterek algoritmanızı değerlendirmeniz gerekiyor.
Özellikle bankaların; Bilgi Güvenliği ve Ödeme Sistemleri birimlerinde çalışan arkadaşların HSM key ve güvenlik terminolojilerine çok hakim olmaması, sadece dokümantasyon hazırlamaktan ibaret işleri, bankaların ödeme sistemleri güvenliği konusunda önemli açıklarıdır. Bu arkadaşların ISACA, CEH veya Thales sertifikasyonlarına hakim olması gerekir.
HSM’lerin versiyon güncellemeleri; Bankaların, PCI-HSM v2 cihazları kullanmaları önem arz ediyor. Özellikle Test’de kullanılan cihazın versiyonu ile Prod’da kullanılan HSM cihaz uyumsuzlukları da diğer önemli nokta. Kısaca; “Şu an problem yok, gittiği yere kadar gitsin” mantığının terk edilmesi gerekiyor.
Prod ve Test key’lerin saklanması; Custodian dediğimiz key sahipleri iyi belirlenmesi ve Prod / Test LMK key’lerinin iyi saklanması gerekiyor. Aynı zamanda Kart Basım HSM’leri için RSA key yedeklemelerinin düzenli yapılması gerekiyor.
2-POS Açıkları: POS tefeciliği günümüzde genel olarak kredi kartından çekim yapılması karşılığında nakit para alınması veya kredi kartı borçlarının ödetilmesi şekilde iki ayrı yöntemle yapılıyor.
Birden fazla kredi kartı sahibi olma eğilimi. Mevcut gelir seviyesinin çok üstünde limitlerle kredi kartlarına sahip olmak. Borcu borçla kapatmaya alışmak. Kredi kartları aracılığıyla gelirinin çok üstünde harcama yapmak. Kredi kartını bir ödeme aracı değil, kredi aracı olarak kullanma alışkanlığı.
Ülkemizde Pos tefeciliği en fazla kuyumculuk sektörü ve kontör bayilerinde görülmektedir. Gerçekte altın ve köntör satışı olmadığı için, satılmış gibi gösterilen fatura sahte belge olarak kabul ediliyor ve pos sahibi için hem para cezası hem de hapis cezası olarak yaptırımları mevcut. 5464 sayılı Banka Kartları ve Kredi Kartları Kanunu’nun 36. maddesinde üye işyerleri ile yapılan sözleşmelerin tamamında da POS makinelerinden herhangi bir mal teslimi ve hizmet ifası olmaksızın işlem yapılamayacağı açıkça belirtilmektedir.
Diğer bir açık, manyetik kartların POS’larda kullanılmaması.
3- ATM ve Debit Kart Açıkları: ATM’lerin kullanılarak gerçekleştirildiği en son teknoloji “kart kopyalama” tekniği her zaman kullanılıyor. Gerçekten de birçok tüketici tarafından rutin bir işlem olarak algılanan para çekme işlemi sırasında pek çok şeye dikkat etmiyoruz. Dikkat etmeye çalışsak bile uygulamak mümkün değil. Türkiye’de bankalar tarafından yapılan ATM alımlarında bir standart olmadığı için aynı bankanın iki ATM’sinde bulunan görsellik tamamen farklı olabiliyor. Bu da kötü niyetli kişilerin bu açığı çok başarılı olarak kullanmalarına imkan veriyor.
ATM’ler de özellikle “Fiziksel, Yazılımsal ve Gerçek Zamanlı Alarm” yazılımları kullanmaları gerekir.
Debit kartlarda, Manyetik veya MagStripe kartların kullanımı giderek azılıyor. Chip’li debit kartlar veya Dual kart kullanımı ile bu açık biraz daha azaltılabilir.
4- DB Kullanıcı ve Uygulama Şifreleri: Özellikle çoğu uygulama “weak veya zayıf” şifreye izin veriyor. Örneğin; 1111, 1234 gibi. Bu kullanımlar direkt HSM’den önlenebilir.
5- Gateway Sunucular: Bu sunucular genelde load balance amacıyla, POS, ATM, SMS sunucularını dengelemek için DMZ gibi yalıtılmış bölgelere konulur. Yanlış yapılandırılmış load balancerlar işlemleri çoklayabilir fail ettirebilirler. Doğru yapılandırmaları, işlemlerin fail süreleleri dikkatli incelenmeli.
6- Güncel ATM ve POS Sertifikasyon Uyumlulukları: MC, Visa, JCB, MIR, CUP, Discover, American Express, Google, Troy vb. büyük hizmet sağlayacılar; Piyasaya çıkacak her bir POS ve ATM’in güncel sertifikasyon testlerinden geçmesini ister. Çünkü güncel EMV standartlarında olup olmadığı bu testlerde ortaya çıkar. Eğer bu testlere girilmezse; Chargeback, takas ve işlemlerin uyumsuzluk durumunda bankaya çok ciddi maddi yaptırımlar yapabilirler.
Şu an birçok bankada EMV Level2 LOA sertifikası expire olmuş POS ve ATM kullanılmaktadır. Cihaz üreticileri (Ingenico, Verifone, Arçelik, NCR, GRG vb.) EMV ve PCI sertifikası expire olmuş cihazlara fiziksel ve yazılımsal güvenlik garantisi vermemektedir. Bu da önemli güvenlik açığına sebep olabiliyor.
6- Sosyal Mühendislik Eksikliği: Çoğu IT ve Ödeme Sistemleri çalışanları Sosyal Mühendislik ve Ters Mühendislik konu ve uygulamaları hakkında teorik ve pratik bilgilerinin bulunmaması.
.
Ödeme Sistemlerinde Sosyal Mühendislik Ve Güvenlik Açıkları
Kayıtlar
