x

Visa kredi kartlarını 6 saniyede hack’leyen yöntem keşfedildi [Güncellendi]

hacker katilYalnızca Visa kart kullanıcıları değil, internet alışverişleri için bir kötü haber: İngiltere’den Newcastle University araştırmacılarının yayınladığı sonuçlara göre, Visa kredi kartlarının numarasını, son kullanma tarihini ve güvenlik kodunu (CVV numarası) hack’lemek altı saniye gibi kısa bir sürede mümkün. Üstelik bunun için tek yapılması gereken hızlı bir tahmin sistemi kullanmak.

Hack’leme yöntemini açıklayan makaleye göre, dağıtık tahmin saldırısı adı verilen yöntemle, kartlara ait özel bilgiler tahmin edilip, bu tahminler eşzamanlı olarak yüzlerce farklı sitede deneniyor. Yüzlerce botu aynı anda çalıştıran saldırı, Visa’nın ödeme altyapısında herhangi bir alarmın çalmasına sebep olmuyor. Mastercard ağında ise on tahminden sonrasına izin verilmiyor. Bu açıdan daha güvenli bir altyapı sunan MasterCard, tahmin saldırıları gerçekleşmeye başladığında bunu tespit edip, ödeme işlemini bloklayabiliyor.

Güvenlik konusunda yeni bir adımı bugün duyuran Mastercard, mağaza içi veya online alışverişlerdeki bir ödeme işleminin sahte olup olmadığına yönelik kapsamlı karar verebilmeyi sağlayan ve dolandırıcılığı tespit etmeye yarayan Decision Intelligence ürününü tanıttı. Mastercard’ın sunduğu bu çözüm, yapay zeka teknolojisi kullanarak sahte işlemleri tespit ederken yanlışlıkla reddedilen işlem adetini de azaltmayı hedefliyor.

Standartlaşma ve merkezileşme

Saldırıların engellenmesi içinse, e-ticaret sitelerinin ödeme sayfalarında standartlaşma zorunlu. Aynı sayıda bölümün doldurulduğu, aynı arayüzü kullanan websiteleri saldırıların ölçeklenmesini engelliyor. Standartlaşmayla birlikte merkezileşmenin de önemini vurgulayan araştırma, ödeme altyapısı ve kart ödeme ağlarının bu sayede ağlarındaki tüm ödemeleri görmesinin mümkün olacağını söylüyor. Öneriler internetin esneklik ve kişiselleştirme özgürlüğü prensiplerine aykırı olsa da, güvenlik gerek siteler gerek kullanıcılar için her şeyden önce geliyor.

Güncelleme: Haberi yayınlamamıza istinaden Visa tarafından bize iletilen açıklamayı aşağıda görebilirsiniz:

Habere konu olan Newcastle Üniversitesi tarafından yapılan araştırma, sahteciliği önlemede kullanılan çok katmanlı güvenlik sistemleri hesaba katılmadan yapılmıştır. Oysa ki gerçek hayatta yapılan her işlem, çok katmanlı güvenlik sisteminin gerektirdiği tüm kriterleri sağlamak zorundadır.

Bununla birlikte ödemelerin güvenli bir şekilde gerçekleşmesi Visa için en temel ve en öncelikli
konudur. Var olma sebebidir. Visa sahteciliği en düşük oranda tutmaya kendini adamıştır. Bu yaklaşımıyla, gerek kart çıkaran, gerek kart kabul eden kuruluşlarla yakın çalışarak kart numaralarının yasadışı bir şekilde elde edilmesi ve kullanılmasını son derece zor hale getirmektedir. Visa olarak kart çıkaran bankalarımıza işlemlerin riskini değerlendirmeleri için gereken verileri sağlıyoruz. Aynı zamanda kart çıkaran bankaların ve üye işyerlerinin bu gibi girişimleri önlemek için atacakları bir takım adımlar bulunuyor. Tüketiciler için en önemli nokta ise, sahte bir işlemin gerçekleşmesi durumunda kart sahibinin söz konusu işlemden sorumlu tutulmamasıdır.

Visa olarak sunduğumuz her hizmet ve ürünün merkezinde güvenlik yer alıyor. Geçtiğimiz yıl sahteciliğin önlenmesi ve risk yönetimi konusunda pek çok yeni hizmetimizi pazara sunduk. Kart sahiplerini yaptıkları işlemlerle ilgili anında bilgilendirmeye yönelik hizmetler, kartın kullanıldığı lokasyonla kart sahibinin bulunduğu yeri eşleştiren uygulamalar, işyerlerinin sadece dakikalar içerisinde sahtecilik analizi yapmalarını sağlayan programlar, API’lar aracılığıyla son derece gelişmiş uyarı hizmetleri, Fireeye işbirliği ile geliştirilen iş yerleri ve bankaların siber atakları hızlıca tespit etmesini ve önlem almasını sağlayan “Visa Threat Intelligence” Portalı ve Visa Tokenization teknolojisi bu hizmetlerin başında geliyor.  Visa Tokenization hizmeti kart üzerinde bulunan 16 haneli kart numarasının yerine, değersiz bir sembolik kart bilgisi üretilmesine dayanıyor. Ödeme yapıldığında otorizasyon sürecinde bu sembolik bilginin, yani “token”ın devreye girmesiyle, kart bilgilerinin açık bir şekilde dolaşması engelleniyor. Bu teknoloji aynı zamanda finansal kurumlara, sembolik kart bilgisi ile ödeme yapılan ortamları belirleme imkanı sağlıyor. Örneğin temassız ödeme için oluşturulan bir sembolik kart bilgisi, online alışverişlerde kullanılamıyor. Mobil cihazın çalınması ya da kaybolması durumunda da üretilen sembolik kart bilgisi, kolaylıkla ve zaman kaybetmeden kullanılamaz hale getirilebiliyor. Böylece gerçek kart bilgisi korunmuş oluyor. e-ticaret alanında da 3DSecure standardına dayanan Verified by Visa ile online işlemlerin güvenliğini en üst seviyede sağlıyoruz. Yeni duyurduğumuz 3DSEcure 2.0 ile bu güvenliği daha da ileriye taşıyacağız.

Güvenlik konusunda üzerinde çalışılan tüm hizmetler ve inovasyonun yanısıra Visa bu konuyu global ölçekte paydaşları ile de ele alarak finansal kurumlarla, hükümetlerle, düzenleyici ve kanun yapıcılarla etkin olarak işbirliği yapıyor. Tüm bu çalışmalarla hedeflenen ödeme sistemlerinin güvenliği konusunda sektör geneline hitap eden bir yol haritası çıkarmak, ödemelerin güvenliğini en üst seviyeye çıkarmak.

Yorumlar (5)

  1. Ahmet Poyraz |

    MasterCard reklamı gibi olmuş.

    Cevapla
  2. Yazıda geçen şu kısmı biraz daha açabilecek olan var mı? “… Aynı sayıda bölümün doldurulduğu, aynı arayüzü kullanan websiteleri saldırıların ölçeklenmesini engelliyor …” Asıl her sitenin tek tip olması BOT’ların işini kolaylaştırmaz mı?

    Cevapla
    • Orda anlatılmak istenen, custom yani kendine has odeme kısmı arayuzunu (kredi kartı her 4 rakam hanesinin tek bir henede olması veya çoklu olması) gibi her eticaret sitesi kendine gore duzenlemesi yerine, uygun gorulen yuksek guvenlikli bir arayuz yapılıp her eticaret sitesinin onu kullanılması oneriliyor. Konuya gelince, dene yanıl metoduna onlem almadıysa visa pes, saniyeler içinde binlerce varyasyon denenebilir oylece. Ancak merak ettiğim bunlar 3d secure yani telefon onaylı olmayanlar için geçerli sadece.

      Cevapla
  3. MasterCard bunu beğendi.

    Cevapla
  4. bu VISA için tam anlamıyla bir skandal.

    Cevapla

Bir Cevap Yazın