İhsan Aydın - Ersin Çelik

Banka kartı bilgilerinin nasıl ve ne şekilde, kimler tarafından çalındığına ilişkin, dün yayınlamaya başladığımız yazı dizisi kamuoyunda geniş yankı uyandırdı. Banka kartlarını kopyalayarak, milyonlarca YTL’lik vurgun yapan ve binlerce insanı mağdur eden çeteye, yazılım temin ettiğini ileri süren ‘Kier’ kod adlı Kripto/Kriptoloji uzmanının verdiği bilgiler ve yapmış olduğumuz araştırmaların ikinci kısmı da gündemi sarsacak…

Dün yayınlamış olduğumuz ‘Bankadaki paranızı böyle çalıyorlar!’ başlıklı haberde, kart çetesinin, mağdurların banka kartı bilgilerini nasıl elde ettiğini ve kopyalama işlemlerini detayları ile vermiştik.  Bugün ise, elde edilen bilgilerin internet üzerinden nasıl bir araya getirildiğini, müşterileri mağdur olan bankanın güvenlik önleminin nasıl aşıldığını, Rusların işe dahil oluşunu ve asıl sorunun, hemen herkesin kullandığı Windows XP’de yer alan bir güvenlik açığından kaynaklandığını okuyacaksınız.  

İşte Ersin Çelik ve İhsan Aydın’ın kaleminden, kart vurgununda ikinci bölüm:

Peki bu bilgileri bir araya getirmek için temel teşkil eden internet bankacılığı bilgileri nasıl toplanıyordu? Bilgisayara virüs bulaşmış olması şart mı? Güvenlik duvarları, anti virüs programları olan bilgisayarlara da virüs bulaşabiliyor mu? Bankanın burada aldığı önlemler yeterli mi?

İNTERNET BANKACILIĞI BİLGELERİ NASIL TOPLANIYORDU?

Açıkçası biz Kier’i dinlerken, ağzımız bir karış açık kaldı. Çünkü bu bilgileri ele geçirenler için, bilgisayardaki hiçbir anti virüs programı işe yaramıyor, önlem alamıyor. Temel sorun Windows XP’deki bir açık. Ve bu açığı önlem alınmaması için deşifre etmiyorlar. Buyurun okuyun…

BANKA KARTI İLE İNTERNET BANKACILIĞI ŞİFRESİ AYNI OLURSA…

Başta da belirttiğimiz gibi, internet bankacılığı bilgileri sahte kart üretiminde çok fazla işe yaramıyor. Bu bilgiyle kart numarasını son dört rakamını bulunuyor ve internet şifresi ile kart şifresi aynı olduğu için, sahte kartın şifresi ele geçmiş oluyor. (Bu bilgi çok önemli. Çünkü her banka internet şifresiyle kart şifresinin aynı olmasına izin vermiyor, bu çok büyük bir güvenlik açığı. Zaten Kier’le bu görüşmeyi yaptıktan sonra, banka (14-15 Ocak’ta) internet şifresiyle kart şifresinin farklı olma zorunluluğu getirdi. Yine de kartçıların ellerinde binlerce kart bilgisi var. Banka kartı şifresiyle internet bankacılığı şifresi aynı olanlar bir an önce şifrelerini değiştirse iyi olur.) Bu noktada, dünyaca ünlü kart kopyalayıcısı ChaO’nun modifiye ettiği POS makinesi ile sıfır hata ile kart numaralarının bulunduğunu söyleyen Kier,  “Artık sahte kart üretmek için tüm bilgiler bir araya gelmişti… “ diyor.
Sahte maillere karşı Türk halkı uyanmış…

İlk zamanlar phishing mailler, fake maillerle (sahte internet sayfalarına yönlendiren mailler) uğraşan bir sürü insanın olduğunu ve bu mailleri hazırlamaları için 10-15 kişiye ihtiyaç olduğunu söyleyen Kier, maillerin içine gömecekleri flashları da, profesyonel bir şey olması için kendilerinin hazırladığını da ekliyor. Bu şekilde toplanan kart bilgilerinin tanesini ilk başlarda yüz dolara satın aldıklarını fakat bu yöntemin pek işlemediğini belirten Kier sebebini ise şöyle açıklıyor: “İnsanlar uyandığı için sahte maillere prim veriyorlardı. Haftada 5-10 hesap bilgisi geliyordu. Bunların da tamamı kullanılmadığı için istenilen bilgiler bir türlü toplanamıyordu…”

Sahte maillerle yeteri kadar hesap bilgisi toplayamayan ve bu yüzden farklı bir yöntem aramaya başlayan çete, yazdıkları virüsün geliştirilmesi için Ruslarla iş birliği yapar. Bu zamana kadar, topladıkları bilgileri teker teker denediklerini söyleyen Kier, “İşler de biraz ilerlemeye başlayınca, ben hala o süre zarfında o açığın tamamını teslim etmemiştim kartla ilgili, teker teker deneyerek varyantlarla uğraşarak bulmaya çalışıyorlardı, ne yapalım diye; bu tarz işlerle uğraşan insanların kullandığı fakat açıklanmayan bir sürü açık var, Windows XP’de… Bunlar duyurulmaz ki kullanılsın. Sızdırılmaz, herkesle paylaşılmaz. Karşı tarafa bir şey yüklemeden IP atak yaparak, o bilgisayarda açık varsa, her istediğiniz exe’yi (çalıştırılabilir dosya) adamın ruhu duymadan yükleyebilirsiniz. Atak yapılan bilgisayarda anti virüs, firewall (güvenlik duvarı) olsa da, yüklenen virüs Microsoft’un eklentisi olarak göründüğü için, anti virüs ve firewall’lar, yüklenen virüsü algılamıyor.Tüm işlemlerden sonra kişi, internette ne yaparsa bir kopyası da karşı tarafa gönderilmiş oluyor. Kişinin internet bankacılığı üzerinden yaptığı işlemlerin bir kopyasını da bana gönderiyor yani... Buna Echo etmek deniliyor.

Hesap bilgileri bir de Activex açığıyla toplanıyordu. Activex açığıyla toplamanın da birkaç yöntemi var. Biri karşı tarafa hiçbir şey göndermeden sadece o açığı kullanarak, browserına bir tane plugin (ufak ve karmaşık yazılımcıklar) yüklüyordunuz. Kişinin internette yazdığı her bilgi, plugin aracılığıyla size geliyordu.

İkincisi bir de host dosyası değiştiriliyordu. Windows’un host klasörüne sahte bir dosya olarak girerseniz kendi IP adresinizi. Bankanın internet sitesini tanımlayıp, www.xxxbank.com diye yazar ve bankanın sayfası gelir önünüze. Ama benim üzerimden banka sayfasına girmiştir. Bu durumda arada biri olmuş oluyor. Bakıyorsunuz sitenin IP’leri değişiyor, güvenli sunucu falan ama kullanıcı şubeye girerken tüm bilgi aradaki insanın üzerinden geçiyor.

Bu bilgileri tek başına toplanamayacağı kararıan varan çetenin, kendisini Nuclear Winter (Mebroot’un yazılımcısı) diye bir Rus gruba yönlendirdiğini söylen Kier, hesap toplama işinin bu grup tarafından yapılmaya başlandığını belirtiyor.
 
Daha sonra onlar vasıtasıyla ve ChaO’nun referansıyla bir Rus gruba da gidildiğini söyleyen Kier,  bu grubun eldeki wormları biraz daha geliştirdiğini ve tüm bu bilgiler karşılığında yüzde 50 istediklerini anlatıyor.



HESAP BİLGİLERİ ÇALINAN 10 BİN KİŞİ VAR!
Grubun bu teklifini kabul ettiklerini belirten Kier’in bu iddiası ise bir hayli sarsıcı: “Peki dendi, başladı onlar bilgi göndermeye. Mağdur olan kişi sayısı için gazetelerde 2500 kişi deniliyor. Ama kaç 2500 kişi. Banka çıksın açıklasın, kaç kişinin parası çalındı. Ben gülüyorum buna… Takriben 10 bin kişiden fazladır hatta çok daha fazladır. 10 bin kişi parası giden, hesabı çalınan. Çalınan tüm hesaplar kullanılamadı ki. Vakit yetmedi. ”

Rus grup için çok tehlikeli insanlar diyen Kier bakın gurubu nasıl tanımlıyor: “İster Rus mafyası deyin, ne derseniz deyin. Ben onların nicklerini bile kullanmayayım. Bela insanlar. Ama onların ne yaptığını Ukrayna hükümeti, Rus hükümeti bilir. Fakat kendi hesaplarına dokunmadıkları için ses çıkartmazlar. Adamların tüm işi Amerikalılarla… Bu sefer Türklerle de oldu.”

SİSTEM NASIL İŞLİYOR?
“Ruslar günde 300-500 tane kişi bilgisi gönderiyorlardı bazen daha fazla. Tabi kullanamıyorsun hepsini. Bir de hepsi para değil, çoğu boş hesap oluyor. Boş hesaplar da şunun için kullanılıyor, mesela adımın hesabında 10 bin YTL var, günde bin YTL çekebiliyorsunuz, banka açıklama yapmış müşterinin izni ve bilgisi dışında para transfer etmek mümkün değil, nasıl değil kardeşim, ATM’ye git kişinin hesap numarasını gir, adı soyadı bile gerekmiyor transferi anında yapıyorsun. Ondan sonra adamın hesabından çekiyorsun iki. Hesaptan maksimum iki kere üç kere çekmek mümkün olabiliyor. O zaman ikramiye dağıtılıyor şimdi, önceden çekim saatlerinde gün aşımı 12’ydi şimdi banka bunlarla oynamalar yaptı, Cuma akşamı 10’a kadar para çekerseniz bir karttan, bir kere çektiniz bir de havale yaptınız etti iki, cumartesi sabahı 07.01’de kartın blokesi kalkıyor, gün ağarmadan bir iki daha çektiğiniz etti dört sabah 7’de çekerseniz ertesi gün hesap açılıyor gece iki de, gece gittiniz bir iki daha çektiniz  cumartesiyi Pazara bağlayan gece etti 6, gece ikide çekerseniz Pazar günü, pazartesi taa sabah 7’de açılıyor. Pazartesi sabah da çekiyorsunuz iki daha ondan sonra, adam sabah geliyor bir bakıyor hesap sıfır. Bir hesaptan 8 bin çıktığı da oluyor. Düzgün kullanmayanlara bir daha iş verilmez zaten.”

Yazı dizisinin ilk bölümünü okumak için başlığı tıklayınız:

Bankadaki paranızı böyle çalıyorlar!



İŞTE ÇETENİN KULLANDIĞI MALZEMELER/ FOTO GALERİ



YARIN:
Kier bu bilgileri bize neden verdi? İşin içinde kimler var? Neden bu kadar uzun süre yakalanmadılar?
Rotahaber.com