|
|
Selamlar,
Internet.Bankaciligi genelde PIN-TAN usulu ile kullanilir. Bu durum Turkiye`de oldugu gibi Almanya ve Isvicre`de de oyle. Internet bankaciligini, diger e-bankacilik usullerinden ayiran en onemli ozelligi, kolayligidir. Internet baglantisi olan bir bilgisayar ve internet tarayicisindan baska bir seye ihtiyaciniz olmaz.
Internet bankaciligindan yararlanmak isteyen banka musterisi, bankasi ile yapacagi anlasma sonucu, ek bir hizmet olarak Internet-Bankaciligi hizmetini talep edebilir. Bankanin hic bir sekilde, musterisinin internet bankaciligini kullanmasina imkan saglayacak bir sozlesme yapma zorunlulugu yoktur. Kisaca, banka riza gostermedikce, musteri internet bankaciligi imkanina sahip olamaz.
Yapilan sozlesme ile Internet bankaciligina izin verilmis musteri, bankanin web sitesi uzerinden gerekli sartlari gerceklestirmek sartiyla internet bankaciligindan yararlanabilir.
Burada kisaca, Internet Bankaciliginda en cok kullanilan yontem olan PIN-TAN yonteminden bahsedecegim.
Musteri, kendi bankasindan Acilis PIN`i ve TAN alir. PIN teriminin turkceye personal kimlik numarasi olarak cevrilebilir. TAN ise, islem numarasi. Bu iki numara, musteriye guvenlik nedenlerinden dolayi internet ortamindan degil, normal posta yolu ile yollanir. Numaralar, bankanin bilgisayarlari tarafindan otomatik olarak meydana getirilir. Bu numaralardan bankanin calisanlarinin haberi asla olmaz.
Bankanin yolladigi ilk PIN, degistirilmek zorundadir. Bunun icin, musteri bankanin web sitesine kayit yaptirmak zorundadir. Kayittan sonra, bu ilk PIN, musterinin elinde bulunan TAN listeinden bir TAN sayesinde degistirilebilir. Yeni PIN`in ne olacagina musteri karar verir. Yeni PIN`in secilmesinde, musterinin ismi, soyadi, dogum tarihi veya buna benzer kisisel bilgiler asla kullanilmamalidir. Bunda amac, kotu niyetli 3. kisilöerin sizin PIN ne oldugunu tahmin etmesini engellemektir.
Yukarida bahsettigimiz gibi, PIN`in yaninda musteri bir de TAN-Listesi alir. Bu listede 5 haneli numaralar mevcuttur. Bunlarin sayisi bankadan bankaya degismektedir. Kimi banka 20 tane TAN`in mevcut oldugu liste yollarken, kimisi de 100 tane TAN in oldugu bir liste yollar. PIN`in yaninda TAN ikincil bir kimlik tanimlama aracidir. TAN ve PIN`in kombinasyonu bir cesit musteri imzasidir. TAN onemini havale ve benzeri onemli islemlerde gosterir. Eger musteri sadece hesabina goz atmak istiyorsa, bunu Musteri numarasi, sozlesme numarasi veya bankanin kendisine verdigi bir ID`nin yani sira PIN ile yapabilir. Ancak TAN olmadan asla havale yapamaz.
Her TAN bir kez kullanilir.
TAN`in onemi ve Hacker lar tarafindan ele gecirilmesini onlemek icin, bankalar calismalarina devam etmis ve musterilerine yeni olanaklar sunmuslardir.
iTAN: Bu durumda, bankadan musteriye yollanan her TAN`in yaninda bir de sira numarasi mevcuttur. Havale yapmak istediginizde, Banka sizden herhangi bir TAN girmenizi degil, sadece belirli siradaki TAN`i girmenizi ister. Mesela, 87. sirada bulunan TAN`i girmeniz istenir. Eger 87. sirada bulunan TAN disinda baska bir TAN girerseniz, islemi yapamazsiniz. Kimi bankalar ek onlem olarak, onay numarasi da isteyebilir. Eger bankaniz yerine, hacker larin sitesine girip, 87. numarali TAN girdikten sonra, yapilan islemin onaylandigini gosteren bir yazi cikacak ve onun yaninda bir de numara belirecektir. Bu numara size yollanan TAN listesinin arka sayfasinda bulunan numara ile eslesmek zorundadir. Eger eslesmiyorsa, bilinki bankanin sitesinde degilsiniz. Bu durumda derhal PIN ve tum TAN listesi bloke edilmeli ve bankaya bilgilendirilmelidir.
mTAN: Musteri havale yapmak istediginde, gerekli olan TAN kendisinin cep telefonuna yollanmaktadir. Bu durumda musteri TAn listesine ihtiyaci yoktur. TAn gerektiren islemlerde, TAN kendisine banka tarafindan SMS olarak yollanacaktir. Ayrica bilgi notu olarak, yapilacak islem ile ilgili bilgi de verilecektir. SMS ile yollanan o TAN sadece o islem icin gecerlidir. Yani; (A) ya yapilacak olan havale icin size 12345 TAN yollanacak ve bunun sadece (A) ya yapilacak olan havalede kullanilacagi belirtilir. Siz (B) ye yapacaginiz havale icin 12345 olan TAN i kullanamazsiniz. Bu da „Man in the middle“ ataklarina karsi sizi korur.
mTAN, iTAN`a gore daha guvenli ve kullanisli gorulmektedir. iTAN da oldugu gibi, cebinizde TAN-Listesi ile dolasmak zorunda olmazsiniz. Buna iliskin bir olay anlatmak isterim. Her ne kadar guvenli gozukse de, kotu niyetliler buna karsi da bir cozum gelistirmisler. Hedef alinan musteriye, kisisel bilgilerine ulasmak amacli iletisime geciliyor. Ya bir is basvurusu yada bir anket icin gerekli oldugu belirtilerek, hedef kisinin kisisel bilgileri alindiktan sonra, bu kisinin adina ikinci bir nufus kagidi cikariliyor. Sonra musteriye, cep telefonu gorusme yapmasina hizmet veren GSM operatorune gidilip, Cep telefonunu ve haliyle SIM kartini kaybettigi ileri surulup, yeni bir SIM karti cikarttiriuliyor. Ilk SIM karti iptal ettiriliyor. Bu sayede, mTAN bu ikinci sim kartina geliyor ve 3. kisiler paralari yine baska hesaplara yollayabiliyorlar.
Goruldugu gibi, hirsiza kilit dayanmiyor.
Musteri kendi ustune dusen yukumlulukleri yerine getirdigi surece, zararinin tazminini bankadan isteyebilir. Ancak Musterinin ustine dusen yukumlululer az degil.
PIN ve TAN, musteriden baska kimsece bilinmemeli, ne esi ne anasi ne babasi ne cocuklari ne de en sevdigi arkadasi. Cunku PIN ve TAN`dan haberdar olan herkes, banka hesabinda diledigini yapabilir.
Musteri, kendi PIN ve TAN`in baska birileri tarafindan bilindigini biliyor veyahut supheleniyor ise, PIN derhal degistirilmeli, TAN ise derhal bloke edilmelidir. Eger, musteri bunu ogrendigi an, bu iki islemi yapmaya imkani yoksa, derhal durumu bankaya bildirmelidir.
Eger PIN veya TAN, ust uste 3 kere ( sayi bankadan bankaya degisebilir) yanlis girildiginde, banka derhal bu iki numarayi bloke eder. Bu bankanin yukumlulugudur. Turkiye`nin buyuk bir bankasinin bashukuk musaviri ile yaptigim bir sohbette, kendisi benzer bir durumda mahkemenin bankayi kusurlu buldugnu belirtmisti, sanirsam PIN veya TAN 6 kez ust uste yanlis girilmis ve 7. giriste dogru numara girilmis ve 3.kisiler gerekli havaleleri yapmisti. Mahkeme, bankayi, 6 kere yanlis girilen bir numarayi bloke etmemesinde kusurlu bulmustu.
Internet bankaciligini 3 alanda incelememiz gerekir. Ilk olarak bankalarin kendi guvenlik sistemleri. Genel olarak bakilduiginda, Turk Bankalarinin yabanci bankalarin asagi kalir bir tarafi yok, hatta fazlalari bile var. Ikinci alan, Musteri PC ile Banka ana bilgisayari arasindaki alan, yani Internet. Internet bildiginiz gibi acik bir agdir. Bu konuya daha sonra ayrintili olarak deginecegim. 3. Alan ise, Musterinin kendi bilgisayari. Bu en onemli alan zira, mevcut soygunlar, cogunlukla bu alandaki guvenlik aciklarindan meydana geliyor.
Musteri her seyden once, kendi bilgisayarina gerekli anti-virus ve benzeri koruyucu programlari yuklemekle yukumludur. Hem kendi isletim sistemini hem de bu Tipp koruyucu programlarin her zaman guncellemesini yapmak zorundadir.
Musteri, banka sitesine giriyorum diye girdigi siteyi cok iyi incelemelidir. Bankalarin sitesi ile hacker larin sitesi cok benzesede, belli puf noktalardan sahte site anlasilir. Oncelikle adres cubugunda bankanin adresi yer aldigindan emin olunmalidir, ayrica banka adresleri her zaman httpS// ile baslar. Ayrica, musteri Aktive-X fonksiyonlarini da her zaman deaktivite etmelidir.
Internet-bankaciliginin basindaki en buyuk bela Phishing dir. Bunun ne oldugu forumda aciklanmis. Artik sifre calan bu tip programlar, her sekilde bilgisayarimiza girebilmektedir. Buna karsin gerekli yazilimlar yuklenerek, onlem alinabilir, en guzeli ise, internet bankaciligi yaptiginiz bilgisayariniz ile, asla ve asla tanimadiginiz guvenli olmayan sitelere girmeyin ve tanimadiginiz kisilerden gelen postalari o bilgisayarda acmayin.
Eger bunlari yapamazsaniz, bir gun mutlaka bir hacker sizin de kapinizi calar. O nedenle ben sizlere, Kapali ag uzerinden yapilan bir online-bankacilik veya Internet ustunden yapilan ama FINts teknigi kullanilan, dijital imza destekli Online—Bankaciligi tavsiye ediyorum.
Burada yazdiklarim genel kavramlardir ve bankalara gore ufak da olsa fark gosterebilir.
|