Online İşlem Güvenliği

Yazar: Alpin Karagözoğlu

Son günlerde, gittikçe artan ve internet üzerinden özellikle ticari işlemler yapan kişileri, firmaları zor durumda bırakan dolandırıcılık olayları iyiden iyiye arttı. Bir çok site, blog ve medya unsurunun güvenlik uyarısı yapmasına karşın bu olayların devam etmesi insanların teknolojiye olan güvenini sarsıyor ki, bunun en bariz örneği ilişki içerisinde bulunduğum şirketlerin tavırlarında görmek mümkün.

Aslında teknoloji güvenilirliği %100 olmasa bile inanın ki parayı elden bankaya götürmekten daha güvenli.
Bu yazıda;

1-Güvenlik Sertifikaları
2-Güvenilir  site, banka tespiti
3-Güvenlik Protokolleri
4-İşlem izlerinin silinmesi
5- Online işlemlere yönelik ücretsiz güvenlik araçlarını mümkün olan en basit dilde açıklamaya çalışacağım.

Büyük ihtimal ile şu terimleri görmüşünüzdür, SSL, 128-bit, güvenlik sertifikası, HTTPS.
Tüm bu kavramlar aslında şunu ifade etmekte “GÜVENLİK SERTİFİKASI” peki çok kritik ve neredeyse hayati öneme sahip olan bu güvenlik sertifikası nedir?

SSL En önemli unsurlardan biri;

SSL, “Secure Sockets Layer”‘ ın kısaltılmış halidir. Kabaca tanımlamak gerekirse, bir siteye giriş yaptığınızda, bu site ile sizin aranızda ki işlemler 3. yani başka kişiler tarafından görüntülenebilinir. Bu bilgilere, kredi kartı numaraları, kullanıcı ad ve şifreleri, kişisel ve özel bilgileriniz gibi kritik bilgilerde dahildir. İşte tüm bunların önüne geçmek için, SSL adında bir şifreleme sistemi geliştirilmiştir.

SSL ile ilgili başlı başına bir inceleme yazacağım. Ancak şu nu belirtmeliyim ki, sizin için kritik bilgileri girdiğiniz, kullandığınız sitelerin SSL kullandığından ve HTTPS üzerinden siteyi görüntülediğinizden emin olunuz. (SSL kullanan sayfalar zaten https’ tir)

Örnek, SSL ile korunan bir İnteraktif Bankacılık giriş ekranı (İŞBANKASI)

SSL Login
Resmin büyük hali için resmin üzerine tıklayınız.

 Resimdeki numaralandırmaları açıklayalım;

1-Bu kilit resmi sayfanın SSL içerdiğini veya güvenli bir bağlantı olduğunu belirtiyor.
2- Alttaki View yada Sertifikayı görüntüleye tıkladığımızda, sertifika bilgileri karşımıza gelir.
Bu bilgiler içersinde sertifikayı, hangi kurumun, ne zaman verdiği ve ne zaman sona ereceği gibi bilgiler yer alır.
3-SSL protokolü kullanan bir sayfa ya da site başında ki HTTP yazısı HTTPS’ye dönüşür buda sayfanın
SSL kullandığını belirtir.
4 Dünyada uluslararası olarak sertifika veren belli başlı kurumlar vardır bunların kendilerine
özgü logoları vardır Verisign, RapidSSL, Comodo gibi. Bu kurumların logoları genellikle söz konusu SSL üzerinden yayın yapan sayfada yer alır.

Güvenilir site ve banka sayfası tespiti;

En önemli unsur sitenin adresinin doğru olması!

Öncelikle giriş yapacağımız banka ve online işlem güvenliği olması gerek sitemizin sertifikası olmalı.
Peki acaba bizim girmek istediğimiz ya da girmiş olduğumuz site gerçek sitemiz mi?

 Burda basit ama önemli unsur olan “DOMAIN” devreye giriyor.
Örnek vermek gerekirse ben Garanti Bankası, internet şubesine giriş yapıcağım. SSL’i unuttuğumuzu varsayalım yahut SSL’i anlayamadığımızı varsayalım.
Adres satırına baktığımızda. www.garanti.com adresi üzerinden giriş yaptığımz sitede, online şubeye gelip, tıkladığımızda. https://sube.garanti.com.tr olarak değiştini görüceğiz.
(tam adresi https://sube.garanti.com.tr/isube/login)

 Bu site gerçekten Garanti Bankasının sunucularında olan gerçek site. Çünkü asıl adres sabit kalmıştır.

Şube.Garanti.Com.Tr ancak biz bir şekilde giriş yaptığımızda bu adreste yer alan adresin Garanti.com.tr’ si değiştiği zaman, giriş yaptığımız siteden farklı bir sitede olduğumuzu anlarız.

Örnek girdiğimizden farklı bir site; www.garanti.com.ru , http://www.garantibanka.com/ , http://www.garanti.cc/ , http://www.garantibanka.com/ ,
www.garantibanka.com.tr
  bunlara örnek verilebilinir.  Bu siteler sadece örnek olsun diye yazılmış olup siteler hakkında bilgi sahibi değilimdir. Yani bu sitelere kötü ya da iyi diyemem ancak bu siteler Garanti Bankası ile alakası olmayan sitelerdir.

Gelen Mail;
İngilizcesi Fake Mail olan yani Sahte Mailler. Bankanız ya da alışveriş yaptığınız v.b siteler zaman zaman e-posta atabilir. Bunlar içerisinde reklam, bildiri, ekstre v.s olabilir. Ancak unutmayınız! Hiç bir banka servisi mail ile, Kullanıcı Adı, Şifre, Şifre Değiştirme, ya da şu adresi takip edin ve şifrenizi değiştirin v.b içerikli bir e-posta atmaz. Şunu unutmayın sizin şifrenizi sadece siz bilmelisiniz. Yani bir banka personeli sizin şifrenizi zaten sormaz! Bu mailleri dikkate almamanız ve mümkünse söz konusu postada ki linkleri tıklamamanız önem arz etmektedir. Gelen mail adreslerini kontrol etmenizde önemli çünkü bu mailler sizin bankanız tarafından zaten size yollanmaz. (Şifre, Kullanıcı adı v.b talep içeren) Bir önemli unsurda e-posta bağlantısı ile login (giriş) olmanız istenmez!

 Çok güzel anlatılmış ve gerçekten önemlifake mail-sahte posta incelemesi
bakmanızı kesinlikle tavsiye ederim;
http://www.dmry.net/sahte-akbank-uyari-e-postasina-dikkat

 Bir kuşkunuz olduğu taktirde hiç beklemeden, ilgili kurumun telefon hattından destek alınız, çünkü internet üzerinde ki dolandırıcılık v.b işlemler çok kısa sürede gerçekleşme imkanına sahip ek olarak zaten ilgili kurmunuz bunun için aramanızı bekliyor olacaktır! Özellikle bankacılık işlemlerinde şubenizin ya da kredi, banka kartınızın arkasında ki iletişim bilgilerini kullanınız!

Adres Tespiti;

Bir link’in üzerinize geldiğinizde internet tarayıcınız ile başlat çubuğunuz arasında ki alanda gideceğiniz adres çıkar. Resim olarak bakalım; (Resmin büyük hali için üzerine tıklayınız…)

Link

 Burda yer alan adresin doğruluğu çok büyük önem arz etmektedir. Bu tip adresler maillerde de yer alabilir. Örneğin bu adres şu şekilde olsaydı sahte bir adres olacaktı, kwaz24.com/google.com/reklam ya da google.kwaz24.com v.s. çünkü sunucu üzerinde asıl adresin önüne ve arkasına ek dizin, sub domainler oluşturulabiinir.

Örnek Domain: www.alpinden.com
Sub-domain: alpinden.com/baskadizin
Ya da: ben.alpinden.com

Yani www.kwaz24.com/google adresinin google ile bir alakası yoktur. Ancak www.google.com/services te ki services dizini bir google hizmetidir.

 

SSL+Site+Güvenlik doğrulama araçları;

Aslında gerek tarayıcıya gerekse tarayıcı ile ilişkili sisteme kurulu, başta SSL sertifikalarını tanımlayan ve sizi uyaran veya sitenin doğruluğunu, güvenirliğini tanımlayan araçlar bulunmakta. Bunlar arasında benim favorim Comodo Firmasının ürettiği ” Verification Engine” dir.

1- Verification Engine (Comodo)
2- www.phishtank.com ayrıca firefox tarayıcı eklentiside mevcuttu.
3-Opera tarayıcı ile entegre Fraud Protection (http://www.opera.com/docs/fraudprotection/)

Bunları kullanmayı ve incelemesini daha sonraya bırakıyorum ama Verification Engine ‘ı kurduğunuzda herşeyi kendisi otomatik yapıp SSL sertifikalarını doğruluyor ve sizi güvenli ya da güvensiz sertifika olarak uyarıyor.

Tüm bu yazılımlar ücretsiz olup kullanmanızı tavsiye ederim. Bir sonra ki yazım SSL sertifikaları ile ilgili olacaktır. SSL mantığı, sistemi ve güvenirliğini inceleyeceğim.

Saygı ve Sevgilerimle.
Alpin Karagözoğlu

Bir cevap yazın

E-posta hesabınız yayımlanmayacak. Gerekli alanlar * ile işaretlenmişlerdir