Finans ve Bankacılık, Dolandırıcılık Yönetimi ve Siber Suçlar, Dolandırıcılık Riski Yönetimi
BAE’de Artık SIM Takas Dolandırıcılığı Vakaları Yok – İşte Nedeni
Anis Ahmed •
24 Mayıs 2024
SIM takas dolandırıcılığı, hem tüketiciler hem de finansal kurumlar için önemli mali kayıplara yol açarak finansal ekosistemin bütünlüğünü baltalamaya devam ediyor. FBI’ın IC3 Raporuna göre ABD’de 1.075 olay rapor edildi ve bu durum toplam 48,7 milyon dolarlık kayıpla sonuçlandı.
Ayrıca bakınız: Web Semineri | Efsanevi MDR
Birleşik Arap Emirlikleri’nde bankacılık sektörü bu dolandırıcılık planı nedeniyle ciddi kayıplara uğradı. Bu dolandırıcılığın arkasındaki örgüt iyi organize edilmiş, çalışkan ve bilgili bir örgüttü.
BAE’nin önde gelen bankalarından biri olarak kolluk kuvvetleriyle yakın işbirliği içinde çalıştık, operasyonlar yürüttük ve neredeyse iki düzine sendika üyesinin yakalanmasına yardımcı olduk, ancak sendikanın en üst katmanına ulaşmayı başaramadık. Bu olay, kariyerimde SIM takas dolandırıcılığının arkasındaki önemli liderleri yakalayamadığımız birkaç olaydan biri olmaya devam ediyor.
Bu zorluğun üstesinden gelmek için dolandırıcılıkla mücadele, bilgi güvenliği, teknoloji, iş ve operasyon ekiplerinden temsilcilerden oluşan işlevler arası bir çalışma grubu oluşturduk. Ses biyometrisi ve fiziksel belirteçler gibi çözümleri değerlendirdik ancak yeni teknolojinin uygulanmasının aylar alacağını fark ettik; bu, dolandırıcılık olaylarının yüksek sıklığı nedeniyle karşılayamayacağımız bir zaman dilimiydi. Bu 2015’in başlarındaydı ve yeni teknolojileri entegre etme süreci bugünkü kadar karmaşık değildi.
Sınırlı seçeneklerimizin bilincinde olarak, dolandırıcılığa karşı en iyi bilinen silahı kullandık: suçluların dolandırıcılık yapmasını zorlaştırmak.
Güvenlik açıklarını ve olası karşı önlemleri belirlemek için SIM takas dolandırıcılığının işleyiş tarzını yeniden yapılandırarak, karmaşık katmanlarını inceleyerek başladık.
SIM Takas Dolandırıcılığını Anlamak
- Aşama 1: Dolandırıcı, mağdurun banka hesap numarasını ve cep telefonu numarasını alır. Bu bilgiler kimlik avı, sosyal mühendislik, karanlık ağ veya çevrimiçi araştırma yoluyla elde edilebilir. Bazı durumlarda bilgiler mağdurun bankasından alınır.
- Adım 2: Dolandırıcı, ya müşterinin kimliğine bürünerek ya da mobil operatör personeline müşterinin numarasına bir SIM kopyası vermesi için rüşvet vererek kurbanın mobil operatörünü manipüle eder.
- Aşama 3: Dolandırıcı, kurbanın telefon numarasına erişim sağlayarak, MFA kodları (OTP) dahil olmak üzere e-posta ve çevrimiçi bankacılık hesapları için oturum açma kimlik bilgilerini sıfırlamasına olanak tanır. Bazı bankalar, çevrimiçi bankacılık kimlik bilgilerini sıfırlamak için arayanlardan, dolandırıcının zaten bildiği, annesinin kızlık soyadı, doğum tarihi, adresi, son işlemi veya şube adı gibi güvenlik sorularını yanıtlamalarını da isteyebilir.
- Adım 4: Dolandırıcı artık kurbanın banka hesaplarına tam erişime sahip; bu da kurbanın para transferi yapmasına, alışveriş yapmasına veya diğer finansal olanaklardan yararlanmasına olanak sağlıyor.
İşleyiş tarzını katman katman belgeledikten sonra mevcut kontrolleri araştırdık. Banka olarak müşteri verilerinin çalınmasını önlemek en büyük önceliğimizdi. Ancak telekomünikasyon operatörlerinin yedek SIM kartlarını verirken süreçleri üzerinde hiçbir etkimiz yoktu. Özetle, 1. veya 2. Adımlar üzerinde kontrolümüz yoktu.
Keşif süreci, 3. ve 4. Adımlardaki kontrolleri aramamızı gerektirdi. Çevrimiçi bankacılık sürecine kaydolmak veya sıfırlamak için müşterilerden gereken bilgileri inceledik. Bu genellikle ya temel dinamik güvenlik sorularının sorulmasını ya da MFA kodlarının telefon ya da e-posta yoluyla gönderilmesini içeriyordu. Bu noktada, dolandırıcıların zaman zaman banka personelini belirli bilgileri ifşa etmeleri için kandırmayı veya rüşvet vermeyi başarması nedeniyle bu kontrollerin etkili olmadığı açıktı.
Banka sistemlerinde, sosyal medyada, e-postalarda ve hatta karanlık ağda bile bulunamayacak, müşteriye özel bilgilerin belirlenmesi çok önemliydi. İki veri kümesi belirledik: Kartın arkasındaki CVV numarası ve banka kartı PIN’i. Bu iki veri seti bankanın sisteminde şifreli olarak mevcuttu. CVV numaralarının normal çevrimdışı işlemler sırasında ifşa edilebileceğini göz önünde bulundurarak PIN’i yalnızca müşterinin bildiği benzersiz bir veri parçası olarak kullandık.
Online bankacılık kayıt ve sıfırlama süreçlerinde süreç iyileştirmeleri yaptık. Artık bir müşterinin çevrimiçi bankacılık kimlik bilgilerini kaydetmesi veya sıfırlaması gerektiğinde, hem çağrı merkezi IVR’sinde hem de çevrimiçi bankacılık platformlarında PIN’in girilmesini zorunlu kıldık. Birkaç hafta içinde ve minimum masrafla sistemlerimizdeki süreç akışını yeniden tasarladık.
İşte bu kadar; dolandırıcılık sona erdi! Bu değişikliğin uygulanmasından bu yana bugüne kadar herhangi bir SIM değiştirme olayı bildirilmedi.
Dikkate alınacak faktörler
Buna karşı bir iddia olabilir: Ya dolandırıcılar PIN’i müşterilerden sosyal olarak tasarladıysa? Bu mümkündür, ancak dikkate alınması gereken birkaç faktör vardır.
Dolandırıcılar yatırım getirileri konusunda temkinli davranıyor. SIM takas dolandırıcılığı yüksek riskli bir girişimdir ve genellikle daha yüksek ödüller beklerler. Telekomünikasyon operatörünün tesislerini fiziksel olarak ziyaret etme, gerçek görünümlü müşteri kimlik belgeleri edinme, çalışanların katırlarını kullanma veya bankaya veya telekomünikasyon personeline rüşvet verme riskini içerir. Hedefleri çoğunlukla hem banka hesapları hem de cüzdanlar dahil olmak üzere yüksek bakiyeli hesaplardır. Yıllar geçtikçe, önemli miktarda hesap bakiyesi olan müşterilerin sosyal mühendislik planları sırasında sıklıkla banka bilgilerini ve OTP’leri paylaşabileceğini ancak algılanan risk nedeniyle genellikle PIN’lerini paylaşmaktan kaçındıklarını öğrendik.
Müşterilerin küçük bir yüzdesi PIN’lerini paylaşsa bile, potansiyel kurbanların çoğunluğu PIN’lerini paylaşmaktan kaçınacağından risk yine de en aza indirilecektir. Dolandırıcıların iki yerine üç düzeyde taviz vermesi gerekecek: veri toplama, telekom operatörünü tehlikeye atma ve müşteriyi ikna etme. Müşteriler şüpheli bir şey tespit ederse alarma geçebilir ve bu da dolandırıcıların yatırımlarını boşa harcamasına neden olabilir.
Amaç dolandırıcıları etkili bir şekilde caydırmak ve müşterileri korumaktı. Bu dolandırıcılık planının temellerine odaklanmamız basitleştirilerek, aylar hatta yıllar sürebilecek sorunları birkaç hafta içinde çözdük.
Başarı stratejimizi bankacılık camiasıyla paylaştık; Bazıları benzer kontrolleri hızlı bir şekilde uygularken, diğerleri deneme yanılma sonrasında bunları benimsedi ve daha fazla kayıp yaşadı.
Sektör olarak, birkaç ay süren ancak sonuçta istenen sonuçları veren ek hafifletici kontrolleri uygulamak için birlikte çalıştık. BAE’nin bankacılık birliği aracılığıyla, SIM kaydı ve yeniden düzenlenmesi için BAE’nin Ulusal Kimlik kartlarının kullanılmasını zorunlu kılmak için telekom düzenleyicilerine ulaştık. Emirlik Kimliği, çipler ve biyometri gibi güvenlik özellikleriyle donatılmış BAE’nin Dijital Kamu Altyapısının bir parçasıdır. Telekomünikasyon düzenleyicileri, telekomünikasyon operatörlerinin çip ve parmak izi okuyucu özelliklerini kullanarak Emirates kimlik kartını doğrulamaları gerektiğini kabul etti ve zorunlu kıldı. Bu vekalet tabuta çakılan son çiviydi.
Artık BAE’de SIM takas olaylarımız yok.