Bankacılıkta Sahte İşlem Tespiti ve Önleme Yöntemleri

Bankacılıkta Sahte İşlem Tespiti ve Önleme Yöntemleri

• 1. Slide1 Bankacılıkta Sahte İşlem Tespiti ve Önleme Yöntemleri
• 2. Sahtecilik(Dolandırıcılık) Sahtecilik(Dolandırıcılık) •Dolandırıcı kelimesi Türk Dil Kurumu Sözlüğünde “birini aldatarak mal veya parasını alan kimse” olarak tanımlanmaktadır. Dolandırıcılık eylemlerine hemen her ülkede ve kültürde rastlamak mümkündür. Son yıllarda özellikle bilişim sektöründeki meydana gelen hızlı gelişmeler nedeniyle dolandırıcılık eylemleri teknolojik yöntemlerin kullanıldığı daha karmaşık bir yapıya bürünmüştür. •İnsan davranışlarındaki önyargılar üzerine kurgulanır. Bu önyargılara insana dair “sistem açıkları” demek yanlış olmayacaktır. Önyargılar sosyal ve ekonomik kararlarda insan davranışlarını yönlendirir. İşin karmaşıklığı, belirsizlikler, zaman kısıtı, odaklanma ve hedef olmak, inanç, baskı etkileri, sürü psikolojisi, empati etkisi, bilginin nasıl sunulduğu, algıda seçicilik gibi etmenler önyargıları harekete geçirir. Sosyal mühendis, insan davranışlarında etkili olan bu önyargıları harekete geçirecek yöntemler ile kendisine bir avantaj sağlar.
• 3. Slide4 •“Bir kurumun güvenliği için en büyük tehlike anahtar bir programdaki güncelleme eksikliği ya da kötü yüklenmiş güvenlik uygulaması değildir. Gerçekte en büyük tehlike siz olabilirsiniz. Şahsen, insanı yanıltmanın teknolojiyi yanıltmaktan daha kolay olduğunu gördüm. Organizasyonların birçoğu insan faktörünü göz ardı etmektedir.” (Kevin Mitnick) Sahtecilik(Dolandırıcılık)
• 4. Önyargı Çeşitleri Önyargı Çeşitleri • Zafer kazanma duygusu (ödül kazandınız mesajları...) • Otorite korkusu (emniyetten arıyoruz, tehdit mesajı atmışsınız...) • Yardımcı olma arzusu (devletimize canımız feda, derhal...) • Kaybetme korkusu (bu fırsat sadece bugün için sunulmuştur...) • Tembellik (işlemler için şubeye gelemeyecekseniz, biz buradan hemen yapalım siz zahmet etmeyin…) • Değer verilme arzusu; Ego (sizin gibi değerli bir çalışan ile iş yapıyoruz, şahsi numaranızı alabilir miyim?) • Yetersiz bilgi (kart numaramı versem ne olacak ki?) • Vaadcilik (kredi kart aidatı ve kredi dosya masraflarını alırız…)
• 5. Sosyal Mühendislik Döngüsü Sosyal Mühendislik Döngüsü •Güven Oluşturmak: Oluşturulan ve iyi tasarlanmış bir senaryo ile kişilerle temas kurulur. Güven oluşturacak bir ortam yaratılır. Çalışanların/yöneticilerin isimlerini kullanarak kendisini de kuruma ait bir çalışan gibi gösterir. •Manipülasyon: Senaryosu gereği erişmek istediği ama için bu güveni manipüle ederek bilgiyi ele geçirir. • Hedef ile Ortamı Terk Etmek: Senaryoda hedeflenen şeyin ele geçirilmesi ile bu bilgiler kullanılmaya çalışılacak ve bu sürenin sonuna kadar da şüphe uyandırmayacak şekilde ortamdan çekilecektir.
• 6. Sosyal Mühendislik Yöntemleri Sosyal Mühendislik Yöntemleri •Taklit Kişinin algısını yanıltacak, sağlıklı düşünme yetisini bir süreliğine engelleyecek araç ve yöntemler ile sosyal mühendis planlarını gerçekleştirecek faaliyetlerde bulunur. Bu tür sosyal mühendislikler şube çalışanlarına yönelik olarak yürütülerek, kurum ya da kişileri taklit yoluyla müşteri hesaplarına kendi cep telefon numaraları tanımlatılabilir. •Çöp Kurcalama Kurumların değersiz olarak nitelendirdikleri ya da imha prosedürüne bağlamadıkları, üzerinde bilgi bulunan her türlü materyallerin kurum çöplüklerine atılabildiği ve bu atıkların sosyal mühendisler tarafından bilgiye erişmek amacıyla toplandıkları görülmüştür.
• 7. Sosyal Mühendislik Yöntemleri Sosyal Mühendislik Yöntemleri •Omuz Sörfü, Casusluk ve Kulak Misafirliği Akıllı bir gözlemci kullanıcının girdiği şifreyi görene kadar takip eder ve şifreyi ele geçirir. Bütün ihtiyacı olan kullanıcının ellerini görebilmektir. Bunun için fiziki yakınlık, dürbün ve kamera kullanılmaktadır. Aynı şekilde kişiler arasında geçen konuşmalara kulak kabarmak ipuçlarına giden yoldur. Fiziki yakınlığın yanı sıra, masaya bırakılmış bir telefon, gizli bir mikrofon gibi kayıt yapan veya ses ileten cihazlarda kullanılmaktadır. •Teknisyen Kurumu temsilen kendisini teknisyen gibi gösteren kişi erişim kodlarını kullanıcıdan talep edebilir. •Destek Eleman (Hizmetli) Kurumda temizlikçi/geçici eleman gibi çalışan bir kişi bilginin tam ortasındadır. Sosyal mühendisler bu yolla bilgi çalmakta, toplamaktadırlar.
• 8. Sosyal Mühendislik Yöntemleri Sosyal Mühendislik Yöntemleri •İkna/Korkutma Kullanıcı üzerinde empati yaratarak, yada endişede bırakarak haksız çıkar sağlayacak işlemler yapılabilir, bilgi alınabilir. Müşteri, kendisini kamu görevlisi olarak (polis, savcı, hâkim, banka çalışanı vb.) tanıtan kişiler tarafından aranarak “terör örgütü ile ilişkisi olduğu, banka hesabının terör örgütü tarafından kullanıldığı, cep telefonu numarasının kopyalandığı, bu hat üzerinden üst düzey kişilere uygunsuz içerikli SMS gönderildiği” vb. söylemler ile korkutulmakta ve kontör/TL yüklemesi, para transferi yapması konusunda ikna edilmektedir.
• 9. Sosyal Mühendisliğin Kurum Üzerine Etkileri  Sosyal Mühendisliğin Kurum Üzerine Etkileri •İtibar kaybı •İyi niyet kaybı •Finansal zarar •Bilgilerin geri dönülmez ifşası •Hukuki sorunlar, cezalar •Kurumların zafiyetlerine yönelik denetim cezaları •Kurum varlık zararı •Önlemeye dair yatırım maliyetleri •Zaman kaybı •İşgücü kaybı •Güven kaybı
• 10. İnternet Bilişim Suçları  İnternet Bilişim Suçları •Bilgisayar ve haberleşme teknolojileri hakkındaki bilgisini kendisine ait olmayan ve gizli verilere ulaşmak, ağlar üzerinde yasal olmayan zarar verici işler yapmak için kullanan kişilere internet bilgi hırsızı (hacker, bilgisayar korsanı) denir. Bu bilgisayar korsanlarının genel olarak amaçları, bir programda, sistemde veya güvenli bir ağdaki açıkları tespit ederek, elde ettiği bilgileri, esas sahiplerinin isteği dışında, kendi faydası için kullanmaktır. •Türkiye’de faaliyet gösteren bankaların birçoğu müşterilerine internet bankacılığı veya mobil bankacılık hizmeti sunmaktadır. İlk internet bankacılık hizmeti 1997 ve ilk mobil bankacılık hizmeti ise, 2011 tarihinde verilmeye başlanmıştır. Bu dağıtım kanallarının ilk yıllarında kayıtlı dolandırıcılık eylemi oldukça azdır. Zamanla internet ve mobil kanalların kullanımlarındaki artışlar, bu konudaki yasal boşluklar, sistemsel açıklar ve kullanıcı bilgi eksiklikleri internet bilgi hırsızları tarafından fark edilmiş, kötü niyetli girişimler ve saldırılar başlamıştır.
• 11. İnternet Dolandırıcılığı Çete Yapısı  İnternet Dolandırıcılığı Çete Yapısı
• 12. Kişisel Bilgilerin İnternet Üzerinden Elde Edilmesi  Kişisel Bilgilerin İnternet Üzerinden Elde Edilmesi •Truva Yazılımları (Trojan) •Tuş ve Ekran Kaydediciler (Keylogger ve Screenlogger) •Phishing (Olta Saldırıları) •Vishing (Voice Phishing) Olta Saldırıları •Wi-Fi Dolandırıcılığı •Pop-Up Ekranlar •Spam E-Postalar •Teknolojik Donanımlar •Man In The Middle Attack (MitM) •Man In The Browser Attack (MitB) •SIM Kart Yenileme ve Operatör Değişikliği
• 13. Kişisel Bilgilerin İnternet Üzerinden Elde Edilmemesi İçin Dikkat Edilmesi Gerekenler Kişisel Bilgilerin İnternet Üzerinden Elde Edilmemesi İçin Dikkat Edilmesi Gerekenler •Sürekli kullandığınız ve SSL sertifikası ile korunan sitede sertifika kilidinin olup olmadığına dikkat edilmelidir. SSL sertifikasının görsel olarak olması durumunda bile, sertifikanın kimin ismine verildiği ve o an hangi sitenin içinde olduğunuzu karşılaştırın. •Görselin üzerine sağ tık (klik) ile özellikler (properties) seçeneği açıldığında, görselin site ismi ile aynı olup olmadığı anlaşılacaktır.
• 14. Kişisel Bilgilerin İnternet Üzerinden Elde Edilmemesi İçin Dikkat Edilmesi Gerekenler Kişisel Bilgilerin İnternet Üzerinden Elde Edilmemesi İçin Dikkat Edilmesi Gerekenler •Bildiğiniz bir kişiden gelen ancak tuhaf bir e- postanın IP adresinin, kişinin yaşadığı bölge ile ilgili olup olmadığının kontrolü işe yarayabilir. •Bunun için arama motorunuza “lookup IP address” yazarsanız, IP lokasyon kontrolü yapabileceğiniz birçok site gelecektir. •Şöyle bir mesajla mutlaka karşılaşmışsınızdır; “Flash Player’ınızın güncellenmesi gerekir. Hemen gidin aşağıda verilen linkten güncelleyin!’’ Onlar virüs tarama uygulamaları adı altında, aslında virüsün ta kendisini dağıtan kişilerdir. •Bannerlar, Reklamlar, Pop-up Ekranlar: Bir kere tıkladığınızda kontrolü elinizden kaçırabilirsiniz. İstemediğiniz bir sayfa default sayfanız olarak tanımlanabilir (bu kötünün en iyisidir) veya mouse’unuz (fare) istem dışı hareket etmeye başlayabilir.
• 15. İnternet Şubesi Güvenliği İçin Yapılması Gerekenler İnternet Şubesi Güvenliği İçin Yapılması Gerekenler •Bankaların internet bankacılığı kullanan müşterilerine yılda en az bir kere bu hususların anlatılması/okutulması, okunduğuna dair teyit alınması sağlanmalıdır. •Kullanıcı bilgileri kişiye özeldir ve gizli kalmasına azami özen göstermelidir. Bu bilgiler aşağıda sıralanmıştır: •Kullanıcı Adı •Değişken Parola •Parola/Şifre •Tek Kullanımlık Parola •İşlem Doğrulama Kodu •Elektronik İmza •Kişisel Bilgiler •Hesap Bakiyesi •Hesap Hareketleri •Cep Telefonu Marka ve Modeli •Kapsamlı “güvenlik uyarılarının” mutlaka okunması tavsiye edilmelidir.
• 16. İnternet Şubesi Güvenliği İçin Yapılması Gerekenler İnternet Şubesi Güvenliği İçin Yapılması Gerekenler •Kart bilgileri; kart numarası, son kullanım tarihi, kart güvenlik kodu vb. bilgiler ile özellikle şifrelerin korunması gerekir. Ayrıca, şifreler kolaylıkla tahmin edilemeyecek, bankaların güvenlik prosedürlerine uygun şekilde belirlenmeli ve belirli dönemlerde değiştirilmelidir. •Güvenlik için her yerde aynı şifreyi kullanmamalıdır. Facebook kullanıcı adınız sanaldunya@cipostal.com ve şifreniz “kapi07”. Muhtemelen kullandığınız e-posta adresinizdeki şifreniz de “kapi07”dir. •Sadece güvenliğinden emin olunan bilgisayarlardan işlem yapılmalıdır. Herkesin kullanımına açık bilgisayarlara, zararlı yazılım yüklenip yüklenmediği hususunda emin olamazsınız. Bilgisayarın nasıl korunduğu hususunda bir bilginiz yoksa internet bankacılığı gibi riskli işlemler yapılmamalıdır. Bu tür bilgisayarlara yüklenen programlar vasıtasıyla kullanıcı adı, şifre ve parola kolaylıkla ele geçirilebilmektedir. İnternet kafeler bu türden riskleri barındıran yerlerdir. •Lisansı olmayan yazılım kullanılmamalıdır. Lisansı olmayan ve kırık olarak tabir edilen bir programın içine bilgi toplayan bir yazılım atılmış olabilir. Bunun yanı sıra, lisansız yazılımlarda güvenlik açıkları olabileceği gibi, fark edilen açıklar için güncelleme yamaları yapılamamaktadır.
• 17. İnternet Şubesi Güvenliği İçin Yapılması Gerekenler İnternet Şubesi Güvenliği İçin Yapılması Gerekenler •Anti-virüs yazılımı kullanılmalıdır. Anti-virüs yazılımları bilgisayarları zararlı yazılımlara ve diğer tehlikelere karşı korumak üzere kullanılır. Bilgisayarın güven içinde kullanılması için bir anti- virüs yazılımı kullanılmalı ve yazılım güncel tutulmalıdır.
• 18. Çağrı Merkezi ve Banka Şubesi Yoluyla Yapılan Müşteri Bilgi Değişikliği Çağrı Merkezi ve Banka Şubesi Yoluyla Yapılan Müşteri Bilgi Değişikliği •Banka müşterisine ait kimlik, adres gibi kişisel bilgilerin yanı sıra, bankacılık işlemlerini gerçekleştirmek için gerekli olan özel telefon numarası, anne kızlık soyadı gibi kritik bilgileri elde eden kişi, banka şubesini arayarak kendisini müşteri olarak tanıtır. •Şube çalışanı tarafından sorulan güvenlik sorularına doğru cevap vererek karşısındakinin güvenini kazanır. Sonrasında telefon numarasının değişmesi sebebiyle internet şubesi ve çağrı merkezini acil işlemleri için kullanamadığını belirtir. •Bankaların, bilgi değişikliği taleplerini yazılı talimat ile gerçekleştirmelerine rağmen, telefon ile yaptığı teyitlere güvenen şube çalışanı, kişinin sistemde bulunan cep telefonu numarasını günceller.
• 19. Çağrı Merkezi ve Banka Şubesi Yoluyla Yapılan Müşteri Bilgi Değişikliği Çağrı Merkezi ve Banka Şubesi Yoluyla Yapılan Müşteri Bilgi Değişikliği •Telefon bilgisinin güncellenmesi sayesinde alternatif hizmet kanalları üzerinden hesap yönetimini ele geçiren şüpheli, müşteri hesabında bulunan tutarı dolandırıcılık amacıyla açılan başka bir hesaba aktarır. •Aynı işlem, kredi kartı limitlerini artırmak/kullanmak için de yapılabilmektedir.
• 20. Uluslararası Para Transferi Yapan Şirketler Dolandırıcılıkları  Uluslararası Para Transferi Yapan Şirketler Dolandırıcılıkları •Western Union, MoneyGram, UPT, vb. şirketler uygun ücretler karşılığı Dünya genelinde dakikalar içinde para transferi yapabileceğiniz hızlı, kolay ve yaygın para gönderme - alma servisi sunmaktadır. •Son dönemde uluslararası para gönderen şirketlerin yaptığı işlemler dolandırıcıların da iştahını kabartmış olacak ki bu şirketler üzerinden gerçekleştirilen işlemlerde dolandırıcılık olaylarında artış tespit edilmiştir. İlgili dolandırıcılık yönteminin özellikle Nijerya uyruklu kişiler tarafından kullanıldığı görülmüştür.
• 21. SWIFT Dolandırıcılıkları  SWIFT Dolandırıcılıkları •Uluslararası ticaret yapan firmaların e-posta adresleri bilişim sistemlerini kötüye kullanan dolandırıcılarca ele geçirilmektedir. Ticaret yapan yüklenici firmanın e-posta yoluyla gönderdiği proforma fatura üzerinde bulunan IBAN bilgisi silinerek, yerine dolandırıcılara ait başka bir hesabın IBAN bilgisi yazılmakta ve bu proforma fatura yüklenici firmanın e-posta adresi ile malın alıcısı olan diğer firmaya bildirilmektedir. Mal karşılığı gönderilen tutar, ticaret yapan gerçek firma yerine kötü niyetli kişilere ait hesaplara alacak geçmekte ve bu sayede bakiye ele geçirilmektedir.
• 22. Belge ve Bilgi Sahteciliği  Belge ve Bilgi Sahteciliği •Kötü niyetli kişiler tarafından düzenlenen sahte bilgi ve belgeler (kimlikler, sahte hesap cüzdanları, talimatlar vb.) yoluyla bankalara sahte başvurular yapılarak, kredi, kredi kartı, hesabı açılması gibi birçok işlem gerçekleştirilmektedir. Teknolojideki gelişmeler ve bankacılık sistemlerinde kullanımının yaygınlaşması ile birlikte banka sistemlerinde birçok başvuru kontrol mekanizması kurulmuş olmasına rağmen kötü niyetli kişilerin de gelişen teknolojiye ayak uydurarak tekniklerini geliştirdikleri görünmektedir. •Çapraz Kimlik Kontrolleri •Fotoğraf Kontrolü •Nüfus Bilgileri Kontrolü •Kimlik Tespitinde Kullanılacak Diğer Belgeler
• 23. Sahte Belge ile Yapılması Öngörülen İşlemlere Karşı Alınması Gereken Önlemler Sahte Belge ile Yapılması Öngörülen İşlemlere Karşı Alınması Gereken Önlemler •Kişinin beyan ettiği kimliğin KPS(Kimlik Paylaşımı Sistemi) ile uyumlu olup olmadığı kontrolü. •Kimlik üzerinde yer alan güvenlik özelliklerinin bulunup bulunmadığı. •Hesap açma nedeninin sorgulanması. •Meslek teyidinin yapılması. •Adres ve Telefon teyidinin yapılması (kişinin beyan ettiği evrakların teyidi, KKB kayıtlarında yer alabilecek farklı adres/telefonların teyidi vb.) gerekmektedir. •Müşterinin şubede sergileyeceği tutum ve halleri takip edilmeli.
• 24. Kartlı Ödeme Sistemleri Dolandırıcılıkları Kartlı Ödeme Sistemleri Dolandırıcılıkları •Müşterilerin otomatik para çekme makineleri (ATM) ve ödeme noktaları (POS) aracılığıyla banka kartları ile işlem yapması, 1980’li yılların ikinci yarısından sonra başlamış ve hızla yaygınlaşmıştır. •Kısa sürede hizmetin yaygınlaşması ve çeşitlenmesine karşın, kullanıcı ürünler hakkında yeterince bilgi edinememiş, teknolojik gelişmeleri takip edememiş, bu konuda geri kalmış ve olası riskler açısından yeterince bilgilendirilememiştir. Bu gelişmenin aksine dolandırıcı, başlarda daha ilkel yöntemlerle yapmakta olduğu dolandırıcılık faaliyetlerinde, teknolojiyi ciddi boyutlarda kullanmaya başlamıştır.
• 25. ATM Dolandırıcılıkları  ATM Dolandırıcılıkları •Kart Sıkıştırma •Para Sıkıştırma •ATM’lere Zararlı Program Yükleme •Fiziki ATM Soygunu
• 26. Kart Dolandırıcılıkları  Kart Dolandırıcılıkları •1. Kart Başvuru Sahtecilikleri •2. Kart Hesabını Ele Geçirme (Account Takeover) •3. Kayıp Çalıntı •4. Sahte Kart •Kart kopyalama, sahte kartlar konusunda en sık rastlanılan yöntemlerden biridir. ATM’lere kurulan kopyalama düzeneği ve üye işyerlerinde “Skimmer” cihazı ile yapılan kopyalamalardır. •Üye işyerlerinde “Skimmer” cihazı ile yapılan kopyalamalarda ise; genellikle lokanta, dinlenme yerleri, alışveriş mağazalarında çalışan dolandırıcılık şebekesi üyeleri, ödeme yapılmak amacıyla verilen kartları ikinci bir okuyucudan geçirerek kopyalar. Şifreyi çalışan bizzat almaktadır. Nadiren de olsa, POS makinesinin içerisine bu düzenek teknisyen kılığına girmiş kişiler tarafından da yerleştirilebilmekte bu takdirde şifreleri loglayıp çalabilmektedirler.
• 27. Kart ile Yapılacak Dolandırıcılık Eylemlerinden Korunma  Kart ile Yapılacak Dolandırıcılık Eylemlerinden Korunma •Kimlik bilgilerinin mahremiyetini korumalıdır. •Fiziki olarak sahip olduğu kimlik doğrulama unsurlarını korumalıdır. •İletişim bilgilerinin kendisinin ve içeriğinin gizliliğini sağlamalı, bu iletişim bilgilerine erişen unsurları (kullanıcı kodu, şifre vb.) korumalıdır. •Finansal/Finansal olmayan, hakkında bilgi toplanabilecek üyeliklerini, bilgilerini özenli kullanmalıdır. (Facebook, Instagram, Twitter, vakıf dernek üyelikleri, banka hesap bilgileri vb.) •Dolandırıcılıklar hususunda en azından kullandığı ürünlerin güvenliği hususlarında bilgi sahibi olmalıdır. (Banka web sitelerinde güvenlik hakkındaki sayfalar vb.) •Güvenli olmayan ortamlarda bilgi paylaşmamalı/işlem yapmamalıdır (İnternet kafeler gibi.) •Tanımadığı kişilerden gelen talimat, teklif ve önerilere şüpheli yaklaşmalıdır. •Ödeme aracı olan kartlar kullanılırken, kart hamili işlemleri göreceği şekilde yapılmasını sağlamalıdır. •ATM’de olağan dışı bir durumda ya da yardım teklif eden kişilere şüpheli yaklaşılmalı, bunun yerine varsa banka görevlisinden, yoksa çağrı merkezlerini arayarak yardım talep edilmelidir. •İtibarı olmayan internet alış veriş/telefonla sipariş, mektupla sipariş alan firmalar ile kart ve kimlik bilgilerinin paylaşılmaması önemlidir. •Şüphe duyulan bir durumda ivedi olarak yetkililerle irtibata geçilmelidir.
• 28. Kaynakça Kaynakça [1] Bankacılıkta Dolandırıcılık Eylemleri Tespit ve Önleme Yöntemleri (Türkiye Bankalar Birliği,10/2015)(https://www.tbb.org.tr/gec/KTPV14.pdf) [2] http://www.masak.gov.tr/tr/content/supheli-islem-bildirim-tipleri/243(10/2019) [3]http://www.roedl.net/tr/tr/yayinlar/yazilar/sahte_belge_sahte_belge_kullanimi_ve_cezalari.html (10/2019) [4] https://webrazzi.com/2013/05/28/fraud-nedir-nasil-hesaplanir-nasil-engellenir/(10/2019) [5]https://www.tcmb.gov.tr/wps/wcm/connect/TR/TCMB+TR/Main+Menu/Banknotlar/Sahte+Bank notlar/Sahteciligin+Yasal+Boyutu(10/2019)