Forumlarımızda uzunca bir süredir sıcak tartışma konusu olarak süren "Sanal Banka Mağdurları" başlığında Fatih Gülçiçek dostumuz uyarınca(aşağıdaki ekran görüntüsünü de o hazırlamış) konudan haberdar olduk: Son 15-20 gün içerisinde bir çok Akbank müşterisinin banka kartları kopyalanarak hesaplarından para çekilmiş. Örneğin sadece bugün Şikayetvar sitesinde konuyla ilgili epeyce şikayet yayına sokulmuş (site bir firma için her gün belirli bir limite kadar şikayet yayınlıyor). Üst üste şikayetler durumun ciddiyetini gösteriyor olsa gerek.

akbankqf5.thumbnail Akbankın Internet bankacılığı ile başı dertte mi?: Müşteriler mağdur

Memurlar.net adlı sitede de benzer bir konu üzerine arama yapınca yine 2008'in ilk haftalarına ait mağdur müşteriler olduğunu görüyoruz. Aralarında emniyet mensupları da var. Peki bu hesaplardan nasıl para çekildi?

Bizce bu konunun sebebi, çok net bir şekilde, bir çok kullanıcının e-posta kutusuna gönderilen sahte Akbank e-postaları gibi gözüküyor. (Daha önce Akbank adı altında gönderilen sahte e-postaların dikkatini çekmiştik. ) Bu e-postayı Akbank'ın kendisinin gönderdiğini sanan kullanıcılar, e-postada yer alan "online bankacılık hesabınızın süresi dolmak üzere, aşağıdaki linki kullanarak hesabınıza ulaşabilir ve tekrar aktif edebilirsiniz" ifadesine kanıp aslında e-posta verilen bağlantıya tıklıyorlar ve Akbank ile aynı tasarıma sahip bir başka siteye yönlendiriliyorlar. (Ki bu e-postayı gönderen kurum Akbank değil, bir dolandırıcı sizi kandırmak için gönderiyor). Kullanıcılar, tuzak bir sitede olduklarını bilmeden-farketmeden aslında girmemeleri gereken bilgileri(örneğin anne kızlık soyadı) girerek hırsızların tüm bilgileri öğrenmelerini sağlıyorlar. Bu phishing(olta) saldırılarının sonucu açık: artık dolandırıcılar bu bilgilerle sizin kartınızın kopyasını üretebilir, işlem yapabilir.

Peki burada suç kimde? Öğrendiğimiz kadarıyla Akbank, bu tür mağduriyeti olan müşterilerin zararlarını başvurduklarında geri ödüyor. Paralarını geri alamayanlar, biraz geç geri alanlar da var. Bazı kullanıcılar Internet bankacılığını kullanmadıkları halde paralarının çekildiğini belirtmiş.

Kullanıcıların olta saldırısına düşmesi bir kenara ortada 2 farklı durum var:

  • ATM cihazlarına yerleştirilen "papağan" adı verilen cihaz ile kartlar kopyalanıyor olabilir. ATM'lerin güvenliğinden bankalar sorumlu olduğu için, olası dolandırıcılıkla müşteriyi mağdur etmemekle yükümlüler. Ancak bu kadar fazla kullanıcının aynı anda bilgilerinin çalınması, ATM'lere konulan cihazlarla yapılan bir dolandırıcılık ihtimalini azaltıyor.
  • Sorunun esas kaynağı şu: Akbank'ın Internet şubesini kullanmak istediğinizde sizlerden banka kartınızın şifresi isteniyor, ki bu çok büyük bir güvenlik açığı. Yukarıda bahsettiğimiz gibi, spam yapan bir dolandırıcı, Internet'te bulabildiği kadar kişiye Akbank'tan giriyormuş gibi bir e-posta gönderiyor. Mesela ben Akbank'ta hesabım olmamasına rağmen 2 haftada bir böyle bir e-posta alıyorum:

akbank pishing Akbankın Internet bankacılığı ile başı dertte mi?: Müşteriler mağdur
Bu e-posta sahte! Hiç bir banka sizden böyle bir talepte bulunmaz.

Akbank'ın Internet şubesine girişte kart şifresini istemesi çook büyük bir güvenlik açığı ve maalesef bunun acısını çekmekteler. Yeterli güvenlik önleminin sağlanmadığı ortada ve kullanıcılar da bundan şikayetçi. Bu noktada olası zararların önüne geçmek için geçici olarak Akbank hesaplarını bloke etmek işe yarayabilir. En azından durumu araştırmak için.

Peki suç kimin, önlemi kim alacak?

Öncelikle bankanın olası açıkları en hızlı şekilde kapatması, diğer bankaların yaptığı gibi bir dizi önlem alması gerekiyor. Örneğin bizim gördüğümüz ve uygulanan bazı yöntemler şöyle:

  • Internet bankacılığı için girilen bilgiler kredi kartı ve ATM kart bilgilerinden tamamen farklı olmalı.
  • 2 aşamalı şifre sistemi geliştirilmeli. Bunlardan ilkinde kullanıcı adı ve parola, daha sonraki adımda şifre girilmeli. Bu şifrelerin 2 haftada bir müşteriler tarafından değiştirilmesi talep edilmeli. Sanal klavye kullanımı gibi artık işe yaramayan yöntemler de var ama bu da şart.
  • Gerçekten de bankanızın sitesinde olduğunuzu anlamanız için bazı tedbirlerin alınması şart. Mesela Garanti bankasının uyguladığı sistem şu: sizden bir tane resim seçmenizi istiyor ve bu resim her bankaya girişinizde karşınıza çıkıyor. Eğer sahte bir sitede iseniz, karşınıza çok yüksek ihtimalle farklı bir resim çıkacak ve son sisteme giriş bilgileriniz farklı olacak. Banka bu resim havuzunu zamanla güncellemeli, değiştirmeli ve kullanıcılardan da bu değişikliği 1-2 ayda bir yapmasını istemeli.
  • Sürekli farklı şifre üreten şifrematik gibi cihazların kullanımına imkan verilmeli ve gerekirse her müşterinin bu cihazı kullanması şart koşulmalı.
  • Havale / EFT / Kredi kartı ödemesi gibi işlemlerde cep telefonunuza gelecek onay kodunu girmeden sizlere işlem imkanı vermemeli.
  • Cep telefon adres gibi bilgiler sadece hesap sahibi tarafından banka şubesine şahsi olarak gidilmesi sonucu değiştirilebilmeli.
  • Ve tabii ki banka, kullandığı yazılımda açık olmaması için elinden gelen tüm çabayı göstermeli.
  • Üst üste belirli miktarlarda havale yapılan hesaplar anında koruma altına alınıp hesap sahibinden telefonla teyit alınmalı.

Bunlar bankanın alacağı önlem ve tedbirler.

Kullanıcı hangi önlemi alacak?

Kullanıcıların da dikkat etmesi gereken bir kaç konu var.

  • Olur da yukarıda bahsettiğimz gibi bir e-posta alırsanız ve bu e-postanın gerçek olup olmadığından emin değilseniz derhal bankayı arayın ve durumu sorun. Bankalar sizlerden bu tür bilgilerinizi girmenizi istemezler.
  • Bilgisayarınızda kullandığınız güncel bir antivirüs yazılımı olsun ve bu yazılım mümkünse spyware yazılımları da tanıyacak nitelikte olsun.
  • Şifrelerinizi sık sık değiştirin.
  • Bankanızın şifrematik gibi sürekli farklı şifre girmenize imkan veren bir sistemi varsa, onu mutlaka kullanın.
  • Eğer bankanızın yeterli güvenliği sağladığını düşünmüyorsanız, Internet bankacılığı hizmetini durdurun.
  • Gmail gibi "olta" saldırılarını tanıyan web tabanlı e-posta hizmeti kullanabilirsiniz. Ya da Thunderbird gibi sahte e-postaları tanıyan e-posta istemcisi kullanmalısınız.
  • Internet Explorer 6'yı kenara atın. Tuzak saldırılarını engelleyen bir web tarayıcısı kullanın. Bizim tavsiyemiz Firefox. Firefox kullanamıyorsanız, bari Internet Explorer 7 kullanın. Kullandığınız web tarayıcısının olta saldırılarını tanıyıp tanımadığını anlamak için bu test sayfasına bakabilirsiniz.
  • Tanımadığınız kişilerin kullanabildiği PC'lerde internet bankacılığı işlemlerinizi yapmayın.
  • Sıkıştığınız noktada bir bilene sorun. Forumlar bu konuda iyi platformlardır.

Ekstra Bilgiler

Bu konuyla ilgili mağdur olan kullanıcılar madem var nette gördüğümüz şu açıklamayı aktarmakta fayda olabilir:

Sayın İlgili;

Son günlerde AKBANK kullanıcısı bazı tüketicilerin Bankamatik hesapları çeşitli yöntemlerle boşaltılmaktadır. Derneğimize bu konu ile ilgili ulaşan şikayetler ile ilgili istatistiki veri oluşturulmaktadır. Ayrıca mağduriyetlerin sayısının artmaması ve mağdur edilen tüketicilerin haklarının savunulabilmesi için kamuoyu nezdinde bir çalışma başlattık. Hukuk Komitemiz tarafından yürütülen bu çalışma çerçevesinde Akbank Bankamatik kartı hesabı (maaş hesabı) boşaltılan tüketicilerin Merkezimiz ile ( tuketici@tumer.org) irtibata geçmeleri için bizlere yardımcı olmanızı diler, saygılar sunarım.

Ömer KESER
Tüketici Hakları Merkezi TÜ-MER

Olası güncellemeleri yorum kısmından takip edebilirsiniz.