NetSec listesinde geçen bir konuyu kaydetmek istiyorum.

Merhaba, Eticaret sitemizde başımıza şöyle bir olay geldi.Kullanıcının kredi kartında 3D secure ile hiç haberi olmadan alışveriş yapılmış.Gece telefonuna 3D secure mesajı geliyor uyurken sabah kalktığında ise alışveriş yapılmış oluyor.Bi kaç kullanıcının başına gelmiş bir durum ve kullanıcılarla konuştuğumuzda farklı sitelerdende aynı yöntemle alışveriş yapılmış kartlarından.3D Secure u nasıl aşıyor olabilir ?

 

Hesperbot olabilir. Bu saldırı türünün bankaların göndermiş olduğu tek kullanımlık sms şifrelere (aslında tüm inbox) erişebildiğini biliyoruz.  Detaylı analiz için bkz : http://www.bilgiguvenligi.gov.tr/siniflandirilmamis/hesperbot-defref-saldirilari-geliserek-devam-ediyor.html

Akıllı telefonlarındaki SMS okuma yetkisi olan uygulama(lar) ile gerçekleşmiş olabilir. Kurbanların akıllı telefonlarındaki bu yetkiyi kullanan uygulamaların, ortak uygulamaların ve uygulama yayımcılarının incelenmesinde fayda var.

 

Akıllı telefon kullanıyorlar ise gelen SMS doğrulama kodunu dolandırıcıya yönlendiren bir zararlı yazılım cihazlarında yüklü olabilir, aynı bankacılık zararlı yazılımlarında (https://www.bilgiguvenligi.gov.tr/siniflandirilmamis/hesperbot-defref-saldirilari-geliserek-devam-ediyor.html) olduğu gibi.

 

Tahminimce geceleyin Telefon ya fiziksel olarak ya da zararlı yazılımla ele geçirilmiştir..
ne yazıkki 3D secure tamamen güvenli değil, ve bence hukuki dayanağıda tartışmalı.

parasal işlemler aşağıdaki 3 yöntemden en az ikisiyle gerçekleştirilebilir
*) Something you know (eg. a password) = Bildiğin (örn: şifre)
*) Something you have (eg. a smart card) = Sahip olduğun (örn: akıllı kart, anahtar)
*) Something you are (eg. a fingerprint) = Olduğun (örn: parmakizi, retina taraması, ses)

Kredi kartıyla ön ve arka yüzündeki bilgiler kartla bir bütün oluşturduğundan sahip olduğunuz birşeydir.
Cep telefonuna gelen tek kullanımlık şifre içeren SMS mesajıda telefonla bir bütünlük oluşturduğundan sahip olduğunuz birşeydir.

Eskiden 3D secure işlemlerinde 4 haneli PIN kodunun 2 hanesi (something you know=bildiğin birşey) isteniyordu ve bu durumda Two factor authentication sağlanmış oluyordu. şimdiyse sahip olduğunuz iki şey; kredi kartı ve cep telefonuyla işlem gerçekleştirilebiliyor. Artık 3D secure bildiğiniz veya olduğunuz herhangi birşeye ihtiyaç duymuyor ki bu yanlış.

Sizin yapabileceğiniz şey, her siparişi mesai saatleri içerisinde telefonla müşterilerinizi arayıp hem sipariş bilgilerini hemde müşteri telefon numarasını & adresini teyit etmektir.
çok yüksek tutarlı işlemlerde veya şüpheli durumlarda POS veren bankanızla irtibat kurarak; kart sahibinin kendi bankası tarafından aranılıp teyidi alınmasını isteyebilirsiniz veya riski azaltmak adına bu tür durumlarda müşteriden kredi kartı önlü arkalı fotokopisi, kart sahibi kimlik fotokopisi, ile beraber kart sahibi tarafından imzalanmış sipariş formu, mailorder formu vs isteyebilirsiniz..

Bankaların burda riski, suistimali dahada düşürmek ve yasal olarak zor duruma düşmemek adına yapması gereken şey, tek kullanımlık şifre SMS’ini kaldırmadan; buna ek olarak 4 haneli PIN kodunun herhangi 2 hanesini eskisi gibi talep etmeye tekrar başlamaktır. böylece 3D secure gerçekten güvenli olabilir. Ayrıca bazı bankaların yüksek tutarlı her işlem için kart sahibine işlem bilgilerini SMS atması güzel, ancak bunuda her banka uyguluyor mu bilmiyorum ama uygulamalıdır.

Bildiğim kadarıyla; mevcut mevzuata göre internet işlemine harcama itirazı durumunda, harcama tutarı, işlemin yapıldığı karta iade edilmek zorundadır. bu nedenle mahkeme ve icra yollarıyla uğraşmamak adına tedbirli davranmak doğru olacaktır. mal/mülk satışlarında teslimat belgesi imzalatıp saklamalısınız. mesela fatura veya irsaliyeyi kargocu/kurye müşteriye imzalayıp bir nüshasını size geri göndermelidir. aksi durumda kargo teslim tutanağı kargo içeriğini belgelemez ve hukuki ihtilaf durumunda hakimin insafına kalabilirsiniz.
ayrıca paketlerin kolilerin üzerine “sadece alıcı kişiye teslim edilebilir” diye etiket yapıştırmalı, kargo/kurye şirketine SADECE ALICI KİŞİYE kimlik kontrolü ve ıslak imzalı tutanakla teslim etmesi konusunda anlaşma yapmalısınız.

 

2 YORUMLAR

  1. geçen yazıcıyı payu kullanan bir siteden aldık, hiçde telefona 3d secure şifresi gelmeden, direk parayı çektiler, yani esasında bu ödemeyi alan(payu) ile bankanın anlaşması, arabirimi altyapısı ile ilgili bir durum gibi duruyor.

    eminimki gerekli bilgiler olsa kartno arkadaki 3basamak vs hiç uyarısız yığınla karttan para çekebilirler, en iyisi sanal kart..

CEVAP VER