Banka hesapları nasıl boşaltılıyor? Sahte banka kartları nasıl
yapılıyor? Neden hep aynı bankanın müşterileri soyuluyor? Son dört
aydır‘Hesaplarımız boşaltılıyor’ diyen binlerce memura neden kimse
kulak vermiyor? Banka neden güvenlik önlemi almıyor / alamıyor?
Milyonlarca YTL’lik vurgunun içinde kimler var? Ne kadar hesap ve para
boşaltıldı? Sahte kart çetesinin hedefinde başka hangi bankalar var?
Tüm bu soruların cevabı, İhsan AYDIN ve Ersin ÇELİK'in hazırladığı müthiş yazı dizisinde...
Banka hesapları boşaltılan vatandaşların feryadından yola çıkarak
hazırladığımız haber sonrasında, bize ulaşan esrarengiz bilgileri takip
ederek hazırladığımız bu dosya büyük yankı uyandıracak.
10 Ocak’ta hesaplardan 3,5 milyon YTL boşalttığı iddia edilerek
tutuklanan, Türkiye’nin en büyük banka kartı vurguncusu olarak da
bilinen Sadun Özkaya’ya ‘yazılım’ temin ettiğini ileri süren bir
‘kriptografi/kriptoloji’ uzmanın anlattıkları, milyonlarca YTL’nin,
ciddi bir güvenliği olmayan bankalardan nasıl çekildiğini gözler önüne
serdi. Sahte kart çetesinin uluslar arası boyutu ve şu anda bile
hesapları boşaltılan bankadaki güvenlik zafiyetleri akıl almaz
derecelerde. Yapmış olduğumuz derin araştırmalar sonucu elde ettiğimiz
bilgiler ışığında hazırlanan bu yazı dizisi, sizi bankamatik kartı
dolandırıcılığının temelinden en üst noktasına ulaştıracak.
MEMUR MAAŞLARI NASIL ÇALINIYOR?
Ocak ayının sonu itibariyle,
www.rotahaber.com’unmail kutusuna bir hafta içerisinde onlarca şikâyet e-maili geldi.
Maillerin hepsi de hemen hemen birbirinin benzeriydi ve aynı bankanın
müşterilerindendi. “Banka hesabımdan haberim olmadan para çekilmiş”
içerikli mailleri araştırmaya başladığımızda, olayın münferit bir olay
olmadığını, birçok kişinin başına geldiğini gördük. Bazı internet forum
sitelerinde bir araya gelerek tepkilerini dile getiren binlerce banka
mağduru, seslerini bir türlü kamuoyuna duyuramamıştı.
İŞTE ÇETENİN KULLANDIĞI MALZEMELER/ FOTO GALERİ
Rotahaber.com olarak, daha çok memurlardan gelen şikayetleri
değerlendirerek hazırladığımız, “Memurların maaşını kimler çalıyor?”
başlıklı haberden sonra sitemize gelen teşekkür maillerinin arasında;
“Haberinizle ilgili görüşmek istiyorum” diyen bir mail dikkatimizi
çekti.
ESRARENGİZ E-MAİL!
İşte tam bundan sonra casusluk filmlerini aratmayacak ölçüde gizemli
bir görüşme süreci başladı! Bize maille ulaşan ‘Kier’ kod adlı,
bilgisayar kod yazılım uzmanıyla ilk başta MSN üzerinden görüşme
yaptık. Yaklaşık iki saat süren bu görüşmede, Kier, o kadar ciddi
iddialarda bulundu ki, bunları mutlaka sözlü olarak da duymamız
gerektiğine karar verip, kendisini yüz yüze görüşmek için ikna etmeye
çalıştık.
Uzun uğraşlardan sonra bize inanılmaz iddialarda bulunan Kier’i yüz
yüze görüşmeye ikna ettik. Fakat Kier ‘Randevu yerini internet
üzerinden belirlemeyelim’ diyordu. İstanbul’da olduğunu söyleyen şahıs,
internete takip edilemeyecek kadar güvenli bir yoldan bağlandığını
fakat yine de huzursuz olduğunu söylüyordu.
Randevu yeri ve zamanı güvenli bir iletişim aracından bildirilmeliydi.
Önce kendi oluşturduğu bir mail adresinin kullanıcı adını ve şifresini
bize vererek bir program kurmamızı istedi, güvenli MSN yazışması için
gerekli program sorun çıkartınca, bir süre sonra güvenli bir telefon
bulup bizi arayacağını söyledi ve aradı. Bizi derin bilgilere ulaştıran
buluşma için nihayet randevulaşıldı ve daha önceden yeri 3 defa
değiştirilen buluşma gerçekleşti. Kier kod adını kullanan şahıs, bu
bilgileri bize aktarırken kesinlikle deşifre edilmemesini ve bu konuda
bize ister istemez güvendiğini belirtti. Adını sorduğumuzda önce vermek
istemedi ama biraz düşündükten sonra bir isim söyledi. Fakat biz bu
isimden çok da emin değiliz yine de!
KİM BU KİER? Kendisini, ‘Kriptografi Kriptoloji’ uzmanı diye tanıtan ve
yaklaşık 4 saat süren görüşmede bize gündemi sarsacak önemli bilgiler
veren Kier, 26 yaşında ve İngiltere'de eğitim görmüş. Geçtiğimiz
günlerde yakalanmasıyla gündemi bir hayli meşgul eden ünlü kredi kart
kopyalayıcısı Sadun Özkaya gibi kart işleriyle uğraşan kişilere sipariş
usulu yazılım ürettiğini iddia eden Kier, Sadun’un yakalanmasıyla,
polisin arayıp bulamadığı tek isim olduğunu ileri sürüyor. Bize
anlattığı şeylerde çok ‘şeffaf’ olduğunu ifade eden Kier, bahsettiği
konunun hassasiyeti noktasında ise şunları söylüyor:
“BENİ ANCAK, TEKNOLOJİK BİLGİSİ YÜKSEK BİR SAVCI ANLAR”
“Benim hedefimde binlerce insanın mağdur edilmesine göz yuman bir banka
var. Bu işte Sadun, ben ve diğerleri ne kadar suçluysa, banka da alması
gereken güvenlik önlemlerini almadığı için bizden daha fazla suçlu.”
Kendisini bir ‘silah üreticisine’ benzeten Kier, “Ben silah üretirim.
Onunla ister hırsız yakalarlar, ister adam vururlar o benim karışacağım
iş değil” diyerek kendisinin yazılım konusunda uzman olduğunu ve
insanların kendisine sipariş ettiği işleri yaptığını söyleyerek
kendisini müdafaa etse de, daha sonra suça girecek işlere bulaştığını
itiraf ediyor. Verdiği bilgilerin BDDK tarafından da ilgi ile takip
edileceğini söyleyen Kier, binlerce müşterisinin mağdur olduğu bankanın
güvenlik açığını kapatmamakta ciddi şüpheleri olduğunu belirterek,
insanların parası çalınırken bankaya sayısızca uyarı maili atmasına
rağmen banka tarafından ciddiye alınmadığını öne sürüyor ve ekliyor;
“Su anda bile, bu bankada hesabı olan insanların paraları çalınmaya
devam ediyor..!”
Bulaştığı işten dolayı pişmanlık duyduğunu fakat bu şekilde teslim
olması halinde alacağı cezayı hak etmeyeceğini ifade eden Kier'e göre
tek kurtuluşu ancak şöyle olur: “Beni ancak teknolojik bilgilisi çok
iyi olan bir savcı anlar”
BANKA BAZI AÇIKLARI KAPATTI
Yaptığımız görüşmeden sonra Kier, bankanın bazı açıklarını kapadığını,
bankaya maaş yatıran şirket ve kurumların ise paraları blokeli
yatırdığını bildirdi. Bu süreçte de bankanın parası çekilen birçok
kişiye ödeme yaptığı yine şikayet edilen forumlardan anlaşılıyor. Şu
anda işi ChaO takma adlı bir Türk yürütüyor. Banka her ne kadar önlem
alsa da önceden kopyalanmış kartlar ve kullanılmamış hesaplar hala
hackerlerin elinde.
Kier ile yaptığımız görüşmede, banka isimleri, teknik yöntemler ve
birçok bilgi açık bir biçimde ifade edilmiştir. Ancak adı geçen
bankanın adını, bilgi toplamak için kullanılan bazı yöntemleri, bazı
şahısların isimlerini açık bir biçimde vermeyeceğiz.
Merak ettiğimiz ilk konu;
NEDEN HEP AYNI BANKANIN MÜŞTERİLERİ SOYULUYORDU?
Geçtiğimiz 2007'nin yazında yeni kartını tanıtırken, kartın alışveriş
limitinin 100 bin YTL olduğunu açıklayan banka kart vurguncularının
hemen dikkatini çeker. Çünkü tek çekimde 100 bin YTL'lik alışveriş
yapılabiliyordu ve tek tek üç beş bin YTL yerine bir seferde, bir kartı
kopyaladıkları anda 100 bin YTL'lik alışveriş yapabileceklerdi.
Kartçıların sahte kartlarla kolayca paraya çevrilebilecek, takı,
elektronik eşya aldıklarını söyleyen Kier, kartların ilk başta
kopyalamaya İzmir’de başlandığını. ATM’lerin ön kısımlarına takılan
paneller üretilmek sureti ile elde edilen kart bilgileri nakte veya
harcamaya dönüştürüldüğünü fakat kartlar kopyalanmaya başlayınca
bankanın kart limitlerini önce 5 bin YTL’ye sonra da 250 YTL’ye
düşürdüğünü söylüyor.
Bu olaydan sonra geride kalan ve bu işle uğraşan insanlardan biri
Kier’le irtibata geçer. Kart bilgileri para etmediği için farklı bir
yöntem aranmaya başlanmıştır.
WINDOWS'TAKİ BİLİNMEYEN AÇIK
Önce kişinin internet bankacılığı bilgileri ele geçirilir. Bu bilgiler
Windows'taki, herkesin bilmediği, sadece bu işlerle ilgilenen kişilerin
bildiği bir iki açık vasıtasıyla toplanmaktadır. Ve bilgi toplama işi
iş büyüyünce bu işte uzmanlaşan Rus Hackerler tarafından yapılır. Bilgi
karşılığı çekilen paranın yüzde 50’si Ruslara gönderilir. İnternet
bankacılığı bilgilerinin korsanların eline geçmesi için, bilgisayara
virüs bulaşmış olması gerekmiyor. Sadece işlem yapmanız yeterli. Bu
konuya daha sonra değineceğiz.
İnternet bankacılığında kullanılan parolaların şifrelerini ele geçiren
‘kartçılar’, sahte kart için gerekli bilgileri toplamak için işe
koyulur. Kier bu bilgileri elde etmek için ya içeriden birinin bilgi
vermesi gerektiğini söylüyor -ki bunun imkansız olduğunu da belirtiyor-
ya da açıkları kullanmak gerektiğini vurguluyor.
Sahte kart yapmaya başlamadan önce internet bankacığına giriş için
gerekli bilgiler gerekiyor. Kullanıcı kodu, parola ve şifre Ruslar
tarafından ele geçirilerek gönderiliyor.
SADECE İNTERNET ŞUBESİ
Kier bu bilgilerle sadece internet şubesine girilebileceğini
belirtiyor. Bankanın da yapmış olduğu açıklamada, internet şubesinin
güvenli olduğu, para transferi ya da bu bilgilerle herhangi bir işlemin
yapılmayacağını Kier de onaylıyor. Çünkü tek kullanımlık şifreler, sms
onayları buna imkan tanımıyor. Bu bilgiler başka bir işe yarıyor…
Bankaların uluslar arası bankacılık sisteminde kullandıkları kart
tiplerine göre (Visa / MasterCard) bin adı verilen rakam gruplarıyla
sınıflandırılmış olduğunu söyleyen Kier, bu işlerden anlayan herkesin
bu bilgiyi çok rahat bulabileceğini ve hangi bankanın hangi numara
grubuyla sınıflandırdığını gösteren programlar olduğunu da belirtiyor.
İlgili bankanın ilk 6 kart numarasının sabit olduğunu söyleyen Kier,
100 bin YTL limitli kartın issuer ide numaralarını yani yedinci ve
sekizinci rakamlarının da 40 ve 41 olduğunu sözlerine ekliyor.
Elde edilen kart varyantlarından gerçek kart bilgilerini böyle elde ediyorlar
Kier; “İlk zamanlarda bankanın sitesinde, hemen müşteri giriş butonun
yanında kullanıcı numaranızı bilmiyorsanız öğrenmek için tıklayın
butonu vardı. Ona bastığınızda bir sayfa açılıyordu. Bu sayfaya kart
numaranızı girdiğinizde size müşteri numarasını veriyordu. İnternet
üzerinden toplayabileceğiniz bilgi kişinin kullanıcı kodu, parolası ve
şifresidir. Bankamatik kart şifresidir. Bir internet şubesine
girdiğiniz zaman size kart numarasının tamamını vermez, son kullanma
tarihini, güvenlik kodunu vermez.”
Kier: İlk zamanlarda bankanın sitesinde, hemen müşteri giriş butonun
yanında kullanıcı numaranızı bilmiyorsanız öğrenmek için tıklayın
butonu vardı.
Bankanın kart üretiminde kullandığı ilk 6 rakamın bilindiğini belirten
Kier, sonraki iki rakamın da bankanın o kartı için standart bir rakam
kullandığını söyleyerek, bu uygulamayla baştan bir güvenlik zafiyeti
olduğunu ve 8 rakamla işe başladıklarını belirtiyor. Kier, kişinin
internet bankacılığı hesabına girildiğinde kart numarasının son dört
rakamının da görüldüğünü (**** **** **** 2381) belirterek geriye üçüncü
dörtlünün kaldığını söylüyor.
"4-5 SAATTE BULUYORDUK"
Kier, “İnternet şubesinde zaten onu yazınca çıktığı için ben de çok
basit bir brute force tool yazdım. Bu eklenti de ne yapıyordu;
browserın üzerinde 9999’a kadar deniyordu. Şimdi bu yolla bulunca da
başka türlü bir açığa ihtiyacımız yoktu. Ne oluyordu üç dört saate kart
numarasını buluyorduk. Kart numarasına karşılık gelecek müşteri
numarası var elimizde oradan eşleştirmeyi yapıyordu direk söylüyordu
kart numarası bu diye.”
(Kier’in verdiği bilgiye göre kart üretimleri şu şekilde yapılıyor: Bu
tarz manyetik kartlarda ISO 7811 standardındadır. 3 tane Track
kullanılır.
Track 1 de: KARTNOSU^SOYISIM/ISIM^CVV KODU + SON KULLANM.T. + KART IMZASI
Track 2 de: KARTNOSU=CVV KODU+SON KULLANM.T.+KART IMZASI)
Yani sadece kart numarası sahte kart için yeterli değil. Birçok bilgi
gerekiyor sahte bir kart yapmak için. Gelin bu bilgilerin nasıl
toplandığını, hangi hataların yapıldığını Kier’den dinleyelim.
TESADÜFEN BULUNAN BİLGİ
Bu araştırmalar yapılırken sahte kart yapımında lazım olan önemli bir
bilgiyi de tesadüf eseri bulduklarını belirten Kier, “Sonra internet
şubesinde daha ilk tarama yaptığımızda kaynak kodları içerisinde bir
database hatası bulduk. Bu hatadan dolayı source kaynak kodların içine
normalde görünmeyecek şekilde, hangi akıllı programcıysa bu hala
kapatılmadı, hala ciddiye alınıp bu açıklar incelenmedi; bir kişinin
banka kartının son kullanma tarihini görmeniz mümkün. Bunu browser
üzerinde çalışan basit bir tool’la almayı başardım.”
Geriye CVV kodu ve signature kaldı
Daha önceden çeşitli yollarla elde edilen 30-40 bin kart numarasından
bir algoritma üretmeye çalıştıklarını söyleyen Kier bu arada başka bir
açık daha bulur; “O arada bir şey fark ettik, her kartta farklı olması
gereken kartın cvv dediğimiz güvenlik kodu bankanın tüm kartlarında
120…. Her kartta farklı olması lazım, yapmamışlar ondan sonra bir de
her karta ait bir imza vardır. Hani bu kartın tek olduğunu gösteren/
anlatan bir imza (dijital imza gibi bir şey). ‘Kart signature’ deriz de
tam olarak dijital imza demek teknik olarak hata olur. Bazı kartlarda
bu imzanın olduğunu gördük bazı kartlarda sadece sıfır var. Şimdi siz
gidin karta 666666 yazın kabul etmez, ama sıfır yazdığımızda 6 tane,
ATM bunu kabul ediyor, pos makineleri bunu kabul ediyor. Ya kartın
orijinal sigaturesi gerekiyor ya da 6 adet sıfır yazılması gerekiyor.”
Konu: Bankadaki paranızı böyle çalıyorlar! 
Perş. Eyl. 25, 2008 2:20 pm