ATM’lerdeki ‘biyometrik’ tehlike!

3.019

Bir çok finans kuruluşu biyometrik temelli güvenlik çözümleri üzerinde düşünürken, suçlular parmak izi ve iris görüntüsünün değişmesi imkansız olan bu sistemi siber hırsızlık için yeni bir fırsat olarak görüyor.

Siber dolandırıcılıkta her şey ilkel kart kopyalayıcıları ile başladı. Bunlar, ATM’ye bağlanan kartın manyetik şeriti ve pin kodundan sahte ATM tuş bölgesi veya web kamera sayesinde bilgi çalabilen, ev yapımı cihazlardı. Zamanla bu tip cihazlar, daha az görünür hale getirilerek geliştirildi ve iyileştirildi. Kopyalamanın daha da zor olup imkansız da olmadığı kart şifresi ile alışveriş sisteminin uygulanması ile birlikte bu cihazlar sözde ‘titrek ışık’lara dönüştü. Büyük oranda aynı olmakla birlikte bu cihazlar kartın çipinden bilgi çalarak online role saldırısı gerçekleştirmeye yetecek kadar bilgi çalabiliyor. Banka endüstrisi, bazıları biyometrik temelli olan yeni kimlik doğrulamaya çözümleriyle buna karşılık veriyor.

YASA DIŞI BİYOMETRİK VERİ TANIYAN CİHAZLAR ARAŞTIRILIYOR

Kaspersky Lab’ın yeraltı siber suçlar konusunda yaptığı araştırmaya göre hali hazırda kurbanların parmak izlerini çalabilen kart kopyalayıcı satan en az 12 tane satıcı bulunuyor. En az üç yeraltı satıcısı da avuç içleri ve iris tanıma sistemlerinden yasa dışı olarak veri elde edebilecek cihazlar araştırıyor. Biyometrik kart kopyalayıcıların ilk dalgası Eylül 2015’te ‘satış öncesi testler’de gözlemlenmişti. Testin ilk aşamasında topladığı kanıtlar, ürün geliştirmecilerin birkaç sorun bulduğuna işaret ediyor. Ancak asıl sorun, biyometrik veri transferi için GSM modüllerinin kullanılması sebebi ise elde edilen büyük çaptaki verinin aktarılmasının çok yavaş işlemesi. Dolayısıyla kart kopyalayıcıların yeni versiyonları daha hızlı ve başka veri transfer teknolojileri kullanacak.

SOSYAL MEDYADAKİ FOTOĞRAFLAR KULLANILABİLİR

İnsan yüzüne maske yerleştirmeyi baz alan mobil uygulamaların geliştirilmesi konusunda yeraltı topluluklarında devam eden tartışmaların olduğuna dair işaretler de söz konusu. Böyle bir uygulamaya saldırganlar bir kişinin sosyal medyada yayınlanmış bir fotoğrafını alıp yüz tanıma sistemini kandırmak için kullanabilir.

BİYOMETRİK VERİ DEĞİŞTİRİLEMİYOR

Kaspersky Lab’te Güvenlik Uzmanı görevini yürüten Olga Kochetova konuyla ilgili: “Biyometrikteki sorun, bir saldırı durumunda kolaylıkla değiştirilebilen şifre veya pin kodlarının aksine, parmak iziniz ve iris görüntünüzü değiştirmenizin imkansız olması. Bu sebeple eğer bir kere verileriniz suçluların eline geçerse bu doğrulama sistemini bir kez daha kullanmanız güvenli olmayacaktır. Dolayısıyla bu ti verileri güvende tutmak ve güvenli bir şekilde aktarmak çok ama çok önemli. Biyometrik veriler aynı zamanda e-pasaport ve vizelerde de kayıtlı. Yani bir saldırgan e-pasaportu ele geçirirse sadece dökümana değil, o kişinin biyometrik verilerine de erişebilecek. Bir kişinin kimliğini çalmış olacak,” yorumlarında bulundu.

Araştırmacılara göre ATM’leri bekleyen tek potansiyel siber suç, biyometrik verileri ele geçirme kapasitesine sahip araçların kullanımı değil. Saldırganlar; bankalar ve müşterilerinden daha sonra para çalmak için kullanılabilecek verileri ele geçirmek için kara kutu, ağ saldırıları ve kötü amaçlı yazılım temelli saldırılar gerçekleştirmeye devam edecek.