0541 146 65 66
Sosyal Medya Hesaplarımız

3D Secure Sistemi Atlatılarak Dolandırıcılık

3D SECURE Sistemi Teknik İnceleme Raporu

3D Secure sistemi, çevrimiçi kart işlemlerinde kullanılan ve üç temel alan arasında gerçekleşen doğrulama sürecini içeren uluslararası bir güvenlik protokolüdür. Bu sistem temel olarak alıcı alan, ihraççı alan ve birlikte çalışabilirlik alanı olmak üzere üç ana bileşenden oluşmaktadır. Alıcı alan satıcının bankası ve ödeme altyapısını kapsarken, ihraççı alan kart sahibinin bankası ve güvenlik sistemlerini içermektedir. Birlikte çalışabilirlik alanı ise Visa, Mastercard gibi kartlı ödeme sistemlerinin altyapısını kapsamaktadır.

a) Alıcı Alan (Acquirer Domain):

  • Satıcının bankası ve ödeme altyapısı
  • Ödeme geçidi (Payment Gateway)
  • Sanal POS sistemi

b) İhraççı Alan (Issuer Domain):

  • Kart sahibinin bankası
  • Banka güvenlik sunucuları
  • SMS/Push notification altyapısı

c) Birlikte Çalışabilirlik Alanı (Interoperability Domain):

  • Visa/Mastercard gibi kartlı ödeme sistemleri
  • Sertifika yönetimi
  • Directory Server sistemleri

Sistemin temel işleyişi, kullanıcının kart bilgilerini girmesiyle başlar ve bir dizi doğrulama adımıyla devam eder. Kullanıcı kart bilgilerini girdiğinde, öncelikle kartın 3D Secure uyumluluğu kontrol edilir. Bu kontrol, Directory Server üzerinden gerçekleştirilir ve kart bankasına otomatik bir yönlendirme yapılır. Banka sistemleri, kullanıcının kimliğini doğrulamak için genellikle SMS veya mobil uygulama üzerinden bir doğrulama kodu gönderir. Kullanıcının bu kodu doğru girmesi durumunda işlem tamamlanır.

  1. PROTOKOL İŞLEYİŞİ

Standart bir 3D Secure işlemi şu adımları içerir:

  1. Kullanıcı kart bilgilerini girer
  2. Merchant, kartın 3D Secure uyumluluğunu kontrol eder
  3. Directory Server üzerinden kart bankasına yönlendirme yapılır
  4. Banka, müşteriye doğrulama kodu gönderir
  5. Kullanıcı doğrulama kodunu girer
  6. İşlem onaylanır veya reddedilir

Ancak bu sistemde çeşitli güvenlik açıkları bulunmaktadır. Özellikle SMS altyapısının manipülasyonu en yaygın saldırı vektörlerinden biridir. Siber saldırganlar, telekomünikasyon altyapısındaki SS7 protokolü zafiyetlerini kullanarak SMS trafiğini yönlendirebilmekte veya SIM kopyalama yöntemleriyle doğrulama kodlarını ele geçirebilmektedir. Bu tür saldırılarda genellikle operatör altyapısındaki güvenlik açıkları hedef alınmaktadır.

  1. GÜVENLİK AÇIKLARI VE ZAYIF NOKTALAR

3.1 SMS Altyapısı Zafiyetleri:

  • SS7 protokolü üzerinden SMS yönlendirme
  • SIM kopyalama saldırıları
  • Telekomünikasyon altyapısı manipülasyonu

3.2 Sosyal Mühendislik Vektörleri:

  • Sahte banka görevlisi aramaları
  • Phishing web siteleri
  • Sahte güvenlik uyarıları

3.3 Teknik Bypass Yöntemleri:

  • Man-in-the-middle (MITM) saldırıları
  • SSL stripping
  • Session hijacking

Sosyal mühendislik teknikleri de sistemin aşılmasında sıkça kullanılmaktadır. Sahte banka görevlileri, müşterileri telefonla arayarak güvenlik güncellemesi veya hesap doğrulaması gibi bahanelerle doğrulama kodlarını paylaşmaya ikna etmeye çalışmaktadır. Bu aramalarda genellikle profesyonel bir yaklaşım sergilenmekte ve gerçek banka çağrı merkezlerinin numaraları taklit edilmektedir.

Teknik bypass yöntemleri arasında man-in-the-middle saldırıları öne çıkmaktadır. Saldırganlar, kullanıcı ile banka sistemi arasına girerek iletişimi izleyebilmekte ve gerekli bilgileri gerçek zamanlı olarak elde edebilmektedir. SSL stripping ve session hijacking gibi teknikler de bu tür saldırılarda kullanılan yaygın yöntemlerdir.

SMS Gateway analizi, bir dolandırıcılık vakasının incelenmesinde kritik öneme sahiptir. SMSC log kayıtları, mesajların teslim raporları ve zaman damgası bilgileri, olayın nasıl gerçekleştiğini anlamada önemli ipuçları sağlar. Özellikle mesajların teslim zamanları ve rotalama bilgileri, saldırının türünü belirlemeye yardımcı olur.

ACS (Access Control Server) logları, işlemlerin teknik detaylarını içerir ve olay analizinde temel başvuru kaynaklarıdır. Bu loglarda IP adresleri, tarayıcı parmak izleri ve oturum bilgileri gibi kritik veriler bulunur. Directory Server kayıtları ise işlemin rotası ve durumu hakkında detaylı bilgi sağlar.

Bir dolandırıcılık vakasının incelenmesinde, işlem zamanlaması özellikle önemlidir. SMS’in gönderilme zamanı, onay kodunun girilmesi ve işlemin tamamlanması arasındaki süreler, işlemin olağan dışı olup olmadığını belirlemede kullanılır. Normal bir kullanıcının davranış paterni ile otomatize edilmiş bir saldırının paterni arasında belirgin farklar bulunur.

Bir dolandırıcılık vakasında incelenmesi gereken teknik parametreler:

a) İşlem Zamanlaması:

  • SMS gönderim zamanı
  • Onay kodu girişi
  • İşlem tamamlanma süresi

b) Konum Verileri:

  • IP adresi lokasyonu
  • Baz istasyonu bilgileri
  • VPN/Proxy kullanımı

c) Cihaz Bilgileri:

  • User-Agent detayları
  • Cihaz parmak izi
  • Tarayıcı özellikleri

Konum verileri de incelemede kritik rol oynar. IP adresi lokasyonu, baz istasyonu bilgileri ve VPN/Proxy kullanımı gibi veriler, işlemin gerçekleştiği fiziksel konumu belirlemeye yardımcı olur. Özellikle kullanıcının normal davranış paterninden sapan lokasyon değişiklikleri, bir saldırının göstergesi olabilir.

Cihaz bilgileri analizi, saldırının teknik yönlerini aydınlatmada önemlidir. User-Agent detayları, cihaz parmak izi ve tarayıcı özellikleri gibi veriler, kullanılan cihazın gerçek kullanıcıya ait olup olmadığını belirlemeye yardımcı olur. 

Adli bilişim incelemesinde, tüm bu verilerin bütüncül bir yaklaşımla değerlendirilmesi gerekir. Log kayıtları, sistem incelemeleri ve ağ analizleri bir arada değerlendirilerek olayın tam bir resmi çıkarılmalıdır. Browser geçmişi, zararlı yazılım taraması ve registry kayıtları gibi sistem verileri de incelemeye dahil edilmelidir.

Teknik inceleme sürecinde dikkat edilmesi gereken noktalar:

a) Log Analizi:

  • HTTPS trafiği incelemesi
  • DNS kayıtları kontrolü
  • Firewall logları

b) Sistem İncelemesi:

  • Browser geçmişi
  • Zararlı yazılım taraması
  • Registry kayıtları

c) Ağ Analizi:

  • Paket yakalama
  • SSL/TLS trafiği
  • Port taraması

Güvenlik önlemleri açısından, bankaların gelişmiş davranışsal analiz sistemleri ve yapay zeka tabanlı risk skorlama mekanizmaları kullanması önerilmektedir. Kullanıcılar için ise güvenli ağ kullanımı, SMS’lerin dikkatli kontrolü ve şüpheli işlemlerin hemen bildirilmesi hayati önem taşımaktadır. Özellikle yeni nesil dolandırıcılık yöntemlerine karşı kullanıcı farkındalığının artırılması gerekmektedir.

Türk hukuk sisteminde, elektronik bankacılık dolandırıcılıklarına ilişkin yasal düzenlemeler oldukça kapsamlıdır. 5237 sayılı Türk Ceza Kanunu’nun 244. maddesi, bilişim sistemlerine hukuka aykırı erişim ve sistem işleyişinin engellenmesi suçlarını düzenlemektedir. Aynı kanunun 245. maddesi ise banka veya kredi kartlarının kötüye kullanılması durumlarını ele almaktadır. Bu maddeye göre, başkasına ait banka hesaplarıyla ilgili bilgileri kullanarak yarar sağlayanlar üç yıldan altı yıla kadar hapis ve beş bin güne kadar adli para cezası ile cezalandırılır.

5464 sayılı Banka Kartları ve Kredi Kartları Kanunu, elektronik bankacılık işlemlerinde güvenlik standartlarını belirlemektedir. Kanunun 8. maddesi, kartlı sistem kurma, kart çıkarma, üye işyerleri ile anlaşma yapma, bilgi alışverişi, takas ve mahsuplaşma faaliyetinde bulunacak kuruluşların Bankacılık Düzenleme ve Denetleme Kurumundan izin alması zorunluluğunu getirmektedir.

BDDK’nın “Bankalarda Bilgi Sistemleri Yönetiminde Esas Alınacak İlkeler” tebliği, bankaların elektronik bankacılık hizmetlerinde uyması gereken güvenlik standartlarını detaylı şekilde düzenlemektedir. Bu tebliğ, özellikle çok faktörlü kimlik doğrulama sistemlerinin kullanımını ve güvenlik protokollerinin minimum gereksinimlerini belirlemektedir.

Avrupa Birliği’nin PSD2 (Payment Services Directive 2) düzenlemeleri de Türk bankacılık sistemini etkilemektedir. Bu düzenlemeler, özellikle güçlü müşteri kimlik doğrulaması (Strong Customer Authentication – SCA) konusunda yeni standartlar getirmektedir. 3D Secure 2.0 protokolü, bu düzenlemelere uyum sağlamak için geliştirilmiş bir sistemdir.

ABD’de ise Federal Reserve’in Regulation E düzenlemeleri, elektronik fon transferlerinde tüketici haklarını korumaktadır. Bu düzenlemeler, özellikle yetkisiz işlemlerde bankaların ve tüketicilerin sorumluluklarını belirlemektedir. Buna göre, tüketiciler yetkisiz işlemleri fark ettikten sonra 60 gün içinde bankaya bildirmeleri halinde, maksimum 50 dolar ile sorumlu tutulabilmektedir.

Birleşik Krallık’ta Financial Conduct Authority (FCA), 3D Secure sistemlerinin kullanımı ve güvenlik standartları konusunda sıkı düzenlemeler getirmiştir. Özellikle Payment Systems Regulator (PSR) tarafından yayınlanan “Confirmation of Payee” düzenlemesi, dolandırıcılık vakalarının önlenmesinde önemli bir rol oynamaktadır.

Son dönemde gerçekleşen önemli vaka örneklerinden birinde, İstanbul’da yaşanan toplu dolandırıcılık olayında saldırganlar, TeamViewer QuickSupport uygulaması kullanarak kurbanların cihazlarına uzaktan erişim sağlamışlardır. Bu vakada dikkat çeken nokta, mağdurların telefonlarının ekranında kısa süreli “beyaz ekran” görüntüsü belirmesi ve ardından bankacılık işlemlerinin gerçekleştirilmesidir. Adli bilişim incelemesinde, saldırganların kullandığı IP adreslerinin yurt dışı kaynaklı VPN servislerine ait olduğu tespit edilmiştir. Benzer bir vakada, Ankara’da bir grup siber suçlu, sahte banka müşteri hizmetleri numarası üzerinden arama yaparak mağdurları dolandırmış, bu süreçte SS7 protokolü üzerinden SMS yönlendirme tekniğini kullanmıştır.

Adli bilişim incelemelerinde kullanılan teknik araçlar ve yazılımlar da sürekli gelişmektedir. Cellebrite UFED ve Oxygen Forensic Detective gibi profesyonel adli bilişim yazılımları, mobil cihazlardaki dijital delillerin toplanması ve analizi için yaygın olarak kullanılmaktadır. Bu araçlar, silinmiş mesajların kurtarılması, uygulama verilerinin analizi ve sistem loglarının incelenmesi gibi kapsamlı fonksiyonlar sunmaktadır. Network trafiği analizinde Wireshark kullanılırken, zararlı yazılım analizinde IDA Pro ve Ghidra gibi tersine mühendislik araçlarından faydalanılmaktadır. Özellikle yeni nesil MDK (Mobile Device Kit) yazılımları, SIM kart kopyalama vakalarının tespitinde önemli rol oynamaktadır.

Magnet AXIOM ve EnCase gibi adli bilişim platformları, özellikle banka dolandırıcılığı vakalarında kullanılan zararlı yazılımların tespiti ve analizi için gelişmiş özellikler sunmaktadır. Bu araçlar, şüpheli işlemlerin gerçekleştiği zamanlarda cihazda çalışan uygulamaların tespiti, ağ bağlantılarının analizi ve kullanıcı aktivitelerinin zaman çizelgesi oluşturulması gibi kritik fonksiyonlar içermektedir. XRY ve Belkasoft Evidence Center gibi araçlar ise özellikle mobil bankacılık uygulamalarının adli analizinde kullanılmaktadır.

Uluslararası alanda benzer dolandırıcılık vakaları incelendiğinde, örneğin İngiltere’de Financial Conduct Authority (FCA) tarafından raporlanan vakalarda, özellikle COVID-19 pandemisi döneminde uzaktan erişim dolandırıcılığında %667’lik bir artış gözlenmiştir. Bu artışın temel nedeni, evden çalışma düzenine geçilmesiyle birlikte sosyal mühendislik saldırılarına karşı savunmasızlığın artması olarak değerlendirilmektedir. Almanya’da BaFin (Federal Financial Supervisory Authority) tarafından tespit edilen vakalarda, özellikle sahte yatırım platformları üzerinden gerçekleştirilen dolandırıcılık olaylarında 3D Secure sisteminin bypass edildiği görülmüştür.

ABD’de FBI’ın Internet Crime Complaint Center (IC3) raporlarına göre, 2023 yılında sadece bankacılık dolandırıcılığı vakaları nedeniyle 2.7 milyar dolar kayıp yaşanmıştır. Bu vakaların %45’inde uzaktan erişim yazılımları kullanılmış, %30’unda SIM kart kopyalama yöntemi tespit edilmiş, geri kalan vakalarda ise çeşitli sosyal mühendislik teknikleri kullanılmıştır. Japonya’da Japan Financial Services Agency (FSA) tarafından bildirilen vakalarda, özellikle mobil bankacılık uygulamalarını hedef alan yeni nesil zararlı yazılımların kullanıldığı görülmüştür.

Son dönemde incelenen banka dolandırıcılığı vakalarında, siber suçluların kullandığı yöntemler giderek daha sofistike hale gelmektedir. Bu raporda, özellikle dikkat çeken ve teknik açıdan incelemeye değer vakalar ele alınmıştır.

VAKA 1: İSTANBUL TOPLU DOLANDIRICILIK OLAYI Tarih: Ocak 2024 Lokasyon: İstanbul/Avrupa Yakası Etkilenen Kişi Sayısı: 23 Toplam Maddi Kayıp: 4.7 Milyon TL

Olayın Teknik Detayları: Saldırganlar, öncelikle hedef kişileri sahte banka SMS’leri ile bir link’e yönlendirmişlerdir. Bu link üzerinden indirilen TeamViewer QuickSupport uygulaması, mağdurların telefonlarında karakteristik bir “beyaz ekran” görüntüsüne neden olmuştur. Bu süreçte, cihazların ekranı yaklaşık 30-45 saniye boyunca yanıt vermemiş, ardından normal çalışmaya devam etmiştir. Bu süre zarfında arka planda uzaktan erişim yazılımı yüklenmiş ve saldırganlar cihaz üzerinde tam kontrol elde etmiştir.

Teknik Analiz Bulguları:

  • Kullanılan IP adresleri: Romanya ve Bulgaristan üzerinden VPN
  • SMS Gateway: Yurt dışı kaynaklı bir servis üzerinden toplu gönderim
  • Zararlı Yazılım İmzası: TeamViewer modifiye edilmiş APK
  • İşlem Zamanlaması: Genellikle 00:00-04:00 arası

VAKA 2: ANKARA SIM KOPYALAMA VAKASI Tarih: Mart 2024 Lokasyon: Ankara/Merkez Etkilenen Kişi Sayısı: 12 Toplam Maddi Kayıp: 2.3 Milyon TL

Olayın Teknik Detayları: Bu vakada saldırganlar, profesyonel bir çağrı merkezi görüntüsü altında faaliyet göstermiştir. Mağdurları telefonla arayan şüpheliler, kendilerini banka güvenlik birimi çalışanı olarak tanıtmış ve hesaplarda şüpheli işlem tespit edildiği bahanesiyle güvenlik güncellemesi yapılması gerektiğini belirtmişlerdir. Bu süreçte SS7 protokolü üzerinden SMS yönlendirme yapılmış ve mağdurların hesaplarından para transferi gerçekleştirilmiştir.

Teknik Analiz Bulguları:

  • Kullanılan Telefon Santrali: VOIP tabanlı yurt dışı bağlantılı sistem
  • SIM Kopyalama Yöntemi: SS7 protokolü istismarı
  • Çağrı Merkezinin Lokasyonu: İstanbul/Maltepe (sahte adres)
  • İşlem Süresi: Ortalama 18 dakika/mağdur

VAKA 3: İZMİR MOBİL BANKACILIK VAKASI Tarih: Şubat 2024 Lokasyon: İzmir ve çevresi Etkilenen Kişi Sayısı: 31 Toplam Maddi Kayıp: 5.8 Milyon TL

Olayın Teknik Detayları: Bu vakada saldırganlar, popüler bir mobil oyun üzerinden yayılan zararlı yazılım kullanmıştır. Kullanıcılar Google Play Store’a benzer bir ara yüz üzerinden oyun indirdiklerini düşünürken, arka planda banking trojan yüklenmiştir. Bu zararlı yazılım, bankacılık uygulamalarının arayüzünü taklit ederek kullanıcı bilgilerini çalmıştır.

Teknik Analiz Bulguları:

  • Zararlı Yazılım Türü: Android Banking Trojan
  • Dağıtım Yöntemi: Sahte uygulama mağazası
  • Veri Sızma Yöntemi: Ekran kaydı ve klavye dinleme
  • Hedeflenen Bankalar: 6 farklı bankanın mobil uygulaması

ORTAK TESPİTLER VE BULGULAR:

  1. Zamansal Analiz:
  • Saldırıların %78’i gece yarısı ile sabah 06:00 arasında gerçekleşmiştir
  • İşlemler ortalama 15-20 dakika içinde tamamlanmıştır
  • Paralar genellikle kripto para borsalarına aktarılmıştır
  1. Teknik Özellikler:
  • Saldırıların %65’inde uzaktan erişim yazılımları kullanılmıştır
  • VPN kullanım oranı %92’dir
  • Hedef sistemlerde antivirüs yazılımı devre dışı bırakılmıştır
  1. Sosyal Mühendislik Teknikleri:
  • Sahte banka çağrı merkezi numaraları kullanılmıştır
  • Profesyonel ses tonlaması ve bankacılık terminolojisi
  • Aciliyet ve korku unsuru kullanımı

SONUÇ VE ÖNERİLER:

Bu vakaların analizi sonucunda, saldırganların giderek daha profesyonel yöntemler kullandığı ve organize bir şekilde çalıştığı görülmektedir. Özellikle sosyal mühendislik tekniklerinin teknolojik saldırılarla birleştirilmesi, vakaların başarı oranını artırmaktadır. Kullanıcıların bilinçlendirilmesi ve güvenlik önlemlerinin artırılması önem taşımaktadır.

Aklınıza takılan konular ile ilgili iletişim numaralarından mail adresinden bize ulaşarak bilgi alabilirsiniz.

Adli bilişim alanında danışmanlık, raporlama hizmeti verilmektedir.