İşte bilgisayar korsanlarının başkalarının kredi kartı bilgilerini ele geçirmek için en sık kullandığı yöntemlerden bazıları ve bunlardan korunma yolları
Kayıt dışı siber suç ekonomisi, yıllık değeri trilyonlarca dolara ulaşan ve adeta tıkır tıkır işleyen bir makine gibi. Siber suçlular karanlık internet sitelerinde, emniyet güçlerinden ve birçok tüketiciden gizli olarak büyük miktarda çalıntı veriyi ve bu verileri edinmek için kullanılan korsanlık araçlarını alıp satmaktadır. Örneğin, şu an yasa dışı yollarla ele geçirilen neredeyse 24 milyar kullanıcı adı ve şifrenin bu tür sitelerde dolaşımda olduğu tahmin ediliyor. En fazla rağbet görenler arasında ise yeni kart bilgileri yer alıyor ve bu bilgiler, devamında kimlik hırsızlığı yapmak için dolandırıcılar tarafından topluca satın alınıyor.
Çip ve PIN (EMV) sistemlerinin uygulandığı ülkelerde bu tür bilgileri klonlanmış kartlara dönüştürmek oldukça güç. Bu nedenle bu bilgiler, en çok çevrim içi kart (CNP) saldırılarında kullanılıyor. Dolandırıcılar, bu bilgileri ileriye dönük olarak lüks eşyalar satın almak veya yasa dışı yollarla elde edilmiş kazançlarını aklamak üzere tercih edilen bir diğer popüler yöntem, toplu hediye kartı satın alımı yapmak için kullanabiliyor.
Bu tür kartların piyasa büyüklüğünü tahmin etmek zor. Ancak dünyanın en büyük kayıt dışı pazar yerinin yöneticisi, tahmini 358 milyon ABD doları kazanç elde ederek yakın bir zamanda emekliye ayrıldı.
Bunu da göz önünde tutarak, bilgisayar korsanlarının kredi kartı bilgilerinizi ele geçirmek için kullandığı en yaygın 5 yöntemi ve bunları engellenmenin yollarını sizin için araştırdık:
1. Kimlik Avı
Kimlik avı, siber suçluların veri çalmak için kullandığı en popüler tekniklerden biri. En basit tabiriyle kimlik avı, bilgisayar korsanlarının sizi kişisel bilgilerinizi vermeniz ya da farkında olmadan kötü amaçlı yazılım indirmeniz amacıyla kandırıp kendilerini (bir banka, e-ticaret hizmeti sağlayıcısı veya teknoloji firması vb.) meşru bir kuruluş gibi göstermeye çalıştığı bir dolandırıcılık yöntemidir. Genellikle kullanıcıları bir bağlantıya tıklamaya veya bir eki açmaya teşvik ederler. Bazen de bunu yapmak için kullanıcıyı, kişisel ve finansal bilgilerini girmeye teşvik edilebileceği bir kimlik avı sayfasına yönlendirirler. Kimlik avı dolandırıcılığının, 2022’in ilk çeyreğinde tüm zamanların rekorunu kırdığı belirtiliyor.
Bu tür dolandırıcılıklar, son zamanlarda bir dönüşüm geçirdi. Kendini bir teslimat şirketi, bir devlet kurumu ya da güvenilen başka bir kurum gibi gösteren bir dolandırıcıdan bugün bir e-posta almak yerine kötü amaçlı bir kısa mesaj (SMS) da alabilirsiniz. Hatta dolandırıcılar, kart bilgilerinizi ele geçirmek amacıyla sizi arayarak güvenilen bir kurummuş gibi davranabilir. Bir tahmine göre, sesli arama ile kimlik avı (vishing) ciddi bir artış gösterirken SMS ile kimlik avı (smishing) 2021’de bir önceki yıla göre iki katından fazla artmıştır.
2. Kötü amaçlı yazılımlar
Kayıt dışı siber suç ekonomisi, sadece veriler için değil aynı zamanda kötü amaçlı yazılımlar için de büyük bir pazar yeri. Bilgi çalmak amacıyla yıllar içerisinde farklı türlerde kötü amaçlı kodlar tasarlanmıştır. Örneğin bunlardan bazıları, bir e-ticaret veya banka sitesinde kart bilgilerinizi girerken tuş vuruşlarınızı kaydeder. Peki kötü niyetli kişiler bu araçları bilgisayarınıza nasıl yerleştiriyor?
Kimlik avı e-postaları veya kısa mesajları da popüler yöntemler arasında gösteriliyor. Kötü amaçlı çevrim içi reklamlar ise diğer bir yöntem. Bazı durumlarda ise popüler internet sitelerine virüs bulaştırarak kullanıcıların bu internet sitelerini ziyaret etmesini beklerler. Virüs bulaşmış bu internet sayfasını ziyaret ettiğiniz anda indirme yoluyla kötü amaçlı yazılım yüklenir. Bilgi çalan kötü amaçlı yazılımlar da genellikle meşru görünen ancak kötü amaçlı mobil uygulamalar içerisinde gizlidir.
3. Dijital kart bilgisi kopyalama
Dolandırıcılar bazen de e-ticaret sitelerinin ödeme sayfalarına kötü amaçlı yazılım yükler. Kullanıcılar bunları göremese de bu yazılımlar kart bilgilerini girildikleri an kopyalar. Kullanıcıların bunlara karşı, daha güvenli olması muhtemel olan büyük markalar ve internet siteleri üzerinden alışveriş yapmaktan başka yapabileceği pek bir şey yok. Çevrim içi kart bilgisi kopyalama olarak da bilinen dijital kart bilgisi kopyalama saldırıları, 2021’in Mayıs ve Kasım ayları arasında %150 artış gösterdi.
4. Veri İhlalleri
Bazen de kart bilgileri, doğrudan iş yaptığınız şirketler üzerinden çalınır. Bu şirket; bir sağlık hizmet sağlayıcısı, bir e-ticaret şirketi veya seyahat şirketi olabilir. Bu, dolandırıcılar açısından saldırıları gerçekleştirmek için daha maliyet etkin bir yöntemdir çünkü tek bir saldırı ile büyük oranda veri ele geçirilir.
Diğer yandan, kimlik avı saldırıları genellikle otomatik şekilde yapılıyor olsa da bu saldırılar ile dolandırıcılar, bilgileri teker teker kişilerden çalmak zorundadır. Kötü haber, 2021 ABD'de veri ihlallerinin gerçekleştiği rekor bir yıl oldu.
5. Halka açık Wi-Fi bağlantıları
Dışarıya çıktığınızda havalimanları, kafeler ve diğer ortak alanlardaki halka açık Wi-Fi erişim noktaları üzerinden ücretsiz bir şekilde internette dolaşmak çekici gelebilir. Ağa katılmak için ödeme yapmanız gerekse bile dolandırıcılar da aynı şeyi yapmışsa bu ağa katılmak güvenli olmayabilir. Dolandırıcılar bu erişimi, bilgilerinizi girdiğiniz an gözetlemek için kullanabilir.
Kart bilgilerinizi nasıl korursunuz?
Neyse ki kart bilgilerinizin kötü niyetli kişilerin eline düşme riskini hafifletmek için birçok yöntem var. Aşağıdakileri başlangıç için iyi birer adım olarak görebilirsiniz:
Tetikte olun: İstenmeyen e-postalara hiçbir zaman cevap vermeyin, bu e-postalardaki bağlantılara tıklamayın veya bunların eklerini açmayın. Gizli tuzak içeren kötü amaçlı bir yazılım olabilirler. Veya sizi bilgilerinizi girmeye teşvik eden ve meşru görünen kimlik avı sayfalarına yönlendirebilirler.
Telefonun diğer ucundaki kişi ikna edici gelse bile telefon üzerinden hiçbir bilginizi vermeyin. Nereden aradıklarını sorun ve ardından teyit amacıyla o kurumu arayın. Ancak teyit için size kendi verdikleri iletişim numarasını da aramayın.
Bir sanal özel ağ kullanmadan halka açık Wi-Fi bağlantılarından internete girmeyin. Girmeniz gerekiyorsa da bu bağlantıları kullanırken kart bilgilerinizi girmenizi gerektiren online alışveriş gibi işlemler yapmayın.
Size bir sonraki ziyaretlerinizde zaman kazandıracak olsa da online alışveriş sitelerinde ve diğer sitelerde kart bilgilerinizi kaydetmeyin. Bu durum, o şirketin verileri ihlal edilirse ya da hesabınız ele geçirilirse kart bilgilerinizin çalınma ihtimalini azaltacaktır.
Tüm dizüstü bilgisayarlarınıza ve (telefon ve tablet vb. gibi) araçlarınıza ESET gibi saygın bir güvenlik sağlayıcısından kimlik avı korumasını da içeren bir antivirüs programını indirin.
Tüm hassas hesaplarınızda iki faktörlü kimlik doğrulamasını kullanın. Bu durum, çalınan/kimlik avı ile ele geçirilen şifrelerle bilgisayar korsanlarının hesaplarınızı kırıp açma ihtimallerini azaltır.
Sadece meşru pazar yerlerinde yer alan (Apple App Store ve Google Play) uygulamaları indirin.
Online alışveriş yapıyorsanız sadece HTTPS kullanan (URL’nin yanındaki tarayıcı adres çubuğunda bir kilit işareti olan) internet sitelerini tercih edin. Bu, verilerin ele geçirilme ihtimalinin daha düşük olduğu anlamına gelir.
Son olarak tüm banka ve kart hesaplarınıza dikkat etmek de iyi bir yöntem. Herhangi bir şüpheli işlem tespit ederseniz bu durumu hemen banka/kart hizmet sağlayıcınızın dolandırıcılık ekibine bildirin. Şu an bazı uygulamalar, bir güvenlik ihlali olup olmadığını saptayana kadar belirli kartlar üzerinde tüm harcamaları “dondurmanıza” olanak tanımaktadır. Kötü niyetli kişilerin kart bilgilerimizi ele geçirmek için kullandığı birçok yöntem olsa da bizim de onları engellemek için alabileceğimiz pek çok önlem mevcut.