ATM’lerde vatandaşı bekleyen büyük tehlike
Kaspersky Lab uzmanları, siber suçluların yeni ATM kimlik doğrulama teknolojilerini nasıl istismar edebileceğini araştırdı.
Pek çok finansal kuruluş biyometrik temelli çözümlerin mevcut kimlik doğrulama metotlarının yerini tutmasa da onlara yapılacak en iyi iyileştirmeler olduğunu düşünüyor, ancak siber suçlular biyometriği hassas bilgileri çalmak için yeni bir fırsat olarak görüyor.
ATM’ler kredi kartı verileri konusunda her zaman siber suçluluların gündeminde oldu. Her şey ilkel kart kopyalayıcıları ile başladı. Bu kopyalayıcılar; ATM’ye bağlanan, kartın manyetik şeriti ve pin kodundan sahte ATM tuş bölgesi veya web kamera sayesinde bilgi çalabilen, ev yapımı cihazlardı. Zamanla bu tip cihazlar, daha az görünür hale getirilerek geliştirildi ve iyileştirildi. Kopyalamanın daha da zor olup imkansız da olmadığı kart şifresi ile alışveriş sisteminin uygulanması ile birlikte bu cihazlar sözde ‘titrek ışık’lara (shimmer) dönüştü. Büyük oranda aynı olmakla birlikte bu cihazlar kartın çipinden bilgi çalarak online role (aktarma/anahtarlama) saldırısı gerçekleştirmeye yetecek kadar bilgi çalabiliyor. Banka endüstrisi, bazıları biyometrik temelli olan yeni kimlik doğrulamaya çözümleriyle buna karşılık veriyor.
Kaspersky Lab’ın yeraltı siber suçlar konusunda yaptığı araştırmaya göre hali hazırda kurbanların parmak izlerini çalabilen kart kopyalayıcı satan en az 12 tane satıcı bulunuyor. En az üç yeraltı satıcısı da avuç içleri ve iris tanıma sistemlerinden yasa dışı olarak veri elde edebilecek cihazlar araştırıyor.
Biyometrik kart kopyalayıcıların ilk dalgası Eylül 2015’te ‘satış öncesi testler’de gözlemlenmişti. Kaspersky Lab araştırmacılarının testin ilk aşamasında topladığı kanıtlar, ürün geliştirmecilerin birkaç sorun bulduğuna işaret ediyor. Ancak asıl sorun, biyometrik veri transferi için GSM modüllerinin kullanılması; sebebi ise elde edilen büyük çaptaki verinin aktarılmasının çok yavaş işlemesi. Dolayısıyla kart kopyalayıcıların yeni versiyonları daha hızlı ve başka veri transfer teknolojileri kullanacak.
İnsan yüzüne maske yerleştirmeyi baz alan mobil uygulamaların geliştirilmesi konusunda yeraltı topluluklarında devam eden tartışmaların olduğuna dair işaretler de söz konusu. Böyle bir uygulamaya saldırganlar bir kişinin sosyal medyada yayınlanmış bir fotoğrafını alıp yüz tanıma sistemini kandırmak için kullanabilir.
Kaspersky Lab’te Güvenlik Uzmanı görevini yürüten Olga Kochetova konuyla ilgili: “Biyometrikteki sorun, bir saldırı durumunda kolaylıkla değiştirilebilen şifre veya pin kodlarının aksine, parmak iziniz ve iris görüntünüzü değiştirmenizin imkansız olması. Bu sebeple eğer bir kere verileriniz suçluların eline geçerse bu doğrulama sistemini bir kez daha kullanmanız güvenli olmayacaktır. Dolayısıyla bu ti verileri güvende tutmak ve güvenli bir şekilde aktarmak çok ama çok önemli. Biyometrik veriler aynı zamanda e-pasaport ve vizelerde de kayıtlı. Yani bir saldırgan e-pasaportu ele geçirirse sadece dökümana değil, o kişinin biyometrik verilerine de erişebilecek. Bir kişinin kimliğini çalmış olacak,” yorumlarında bulundu.
Kaspersky Lab araştırmacılarına göre ATM’leri bekleyen tek potansiyel siber suç, biyometrik verileri ele geçirme kapasitesine sahip araçların kullanımı değil. Saldırganlar; bankalar ve müşterilerinden daha sonra para çalmak için kullanılabilecek verileri ele geçirmek için kara kutu, ağ saldırıları ve kötü amaçlı yazılım temelli saldırılar gerçekleştirmeye devam edecek.
Nakit para makinelerinin karşı karşıya kalabileceği siber tehditler ve bankaları bu tip tehditlerden koruma yöntemleri ile ilgili tüm tehdit raporunu Securelist.com’dan görebilirsiniz.
