Bankadaki paranızı böyle çalıyorlar!

Banka kartlarının nasıl kopyalandığını ve hesapların ne şekilde boşaltıldığını araştırdık. Ulaştığımız bilgi ve belgeler ışığında hazırlanan bu yazı dizisi Türkiye'yi ayağa kaldıracak:

Bankadaki paranızı böyle çalıyorlar!
Bankadaki paranızı böyle çalıyorlar!
GİRİŞ 03.03.2008 14:10 GÜNCELLEME 07.11.2017 11:31
Bu Habere 24 Yorum Yapılmış

İhsan AYDIN - Ersin ÇELİK

Banka hesapları nasıl boşaltılıyor? Sahte banka kartları nasıl yapılıyor? Neden hep aynı bankanın müşterileri soyuluyor? Son dört aydır‘Hesaplarımız boşaltılıyor’ diyen binlerce memura neden kimse kulak vermiyor? Banka neden güvenlik önlemi almıyor / alamıyor? Milyonlarca YTL’lik vurgunun içinde kimler var? Ne kadar hesap ve para boşaltıldı? Sahte kart çetesinin hedefinde başka hangi bankalar var?

Tüm bu soruların cevabı, İhsan AYDIN ve Ersin ÇELİK'in hazırladığı müthiş yazı dizisinde...

Banka hesapları boşaltılan vatandaşların feryadından yola çıkarak hazırladığımız haber sonrasında, bize ulaşan esrarengiz bilgileri takip ederek hazırladığımız bu dosya büyük yankı uyandıracak.

10 Ocak’ta hesaplardan 3,5 milyon YTL boşalttığı iddia edilerek tutuklanan, Türkiye’nin en büyük banka kartı vurguncusu olarak da bilinen Sadun Özkaya’ya ‘yazılım’ temin ettiğini ileri süren bir ‘kriptografi/kriptoloji’ uzmanın anlattıkları, milyonlarca YTL’nin, ciddi bir güvenliği olmayan bankalardan nasıl çekildiğini gözler önüne serdi. Sahte kart çetesinin uluslar arası boyutu ve şu anda bile hesapları boşaltılan bankadaki güvenlik zafiyetleri akıl almaz derecelerde. Yapmış olduğumuz derin araştırmalar sonucu elde ettiğimiz bilgiler ışığında hazırlanan bu yazı dizisi, sizi bankamatik kartı dolandırıcılığının temelinden en üst noktasına ulaştıracak.

MEMUR MAAŞLARI NASIL ÇALINIYOR?

Ocak ayının sonu itibariyle, www.rotahaber.com’un mail kutusuna bir hafta içerisinde onlarca şikâyet e-maili geldi. Maillerin hepsi de hemen hemen birbirinin benzeriydi ve aynı bankanın müşterilerindendi. “Banka hesabımdan haberim olmadan para çekilmiş” içerikli mailleri araştırmaya başladığımızda, olayın münferit bir olay olmadığını, birçok kişinin başına geldiğini gördük. Bazı internet forum sitelerinde bir araya gelerek tepkilerini dile getiren binlerce banka mağduru, seslerini bir türlü kamuoyuna duyuramamıştı.

İŞTE ÇETENİN KULLANDIĞI MALZEMELER/ FOTO GALERİ

Rotahaber.com olarak, daha çok memurlardan gelen şikayetleri değerlendirerek hazırladığımız, “Memurların maaşını kimler çalıyor?” başlıklı haberden sonra sitemize gelen teşekkür maillerinin arasında; “Haberinizle ilgili görüşmek istiyorum” diyen bir mail dikkatimizi çekti.

ESRARENGİZ E-MAİL!

İşte tam bundan sonra casusluk filmlerini aratmayacak ölçüde gizemli bir görüşme süreci başladı! Bize maille ulaşan ‘Kier’ kod adlı, bilgisayar kod yazılım uzmanıyla ilk başta MSN üzerinden görüşme yaptık. Yaklaşık iki saat süren bu görüşmede, Kier, o kadar ciddi iddialarda bulundu ki, bunları mutlaka sözlü olarak da duymamız gerektiğine karar verip, kendisini yüz yüze görüşmek için ikna etmeye çalıştık.

Uzun uğraşlardan sonra bize inanılmaz iddialarda bulunan Kier’i yüz yüze görüşmeye ikna ettik. Fakat Kier ‘Randevu yerini internet üzerinden belirlemeyelim’ diyordu. İstanbul’da olduğunu söyleyen şahıs, internete takip edilemeyecek kadar güvenli bir yoldan bağlandığını fakat yine de huzursuz olduğunu söylüyordu.

Randevu yeri ve zamanı güvenli bir iletişim aracından bildirilmeliydi.

Önce kendi oluşturduğu bir mail adresinin kullanıcı adını ve şifresini bize vererek bir program kurmamızı istedi, güvenli MSN yazışması için gerekli program sorun çıkartınca, bir süre sonra güvenli bir telefon bulup bizi arayacağını söyledi ve aradı. Bizi derin bilgilere ulaştıran buluşma için nihayet randevulaşıldı ve daha önceden yeri 3 defa değiştirilen buluşma gerçekleşti. Kier kod adını kullanan şahıs, bu bilgileri bize aktarırken kesinlikle deşifre edilmemesini ve bu konuda bize ister istemez güvendiğini belirtti. Adını sorduğumuzda önce vermek istemedi ama biraz düşündükten sonra bir isim söyledi. Fakat biz bu isimden çok da emin değiliz yine de!

KİM BU KİER? Kendisini, ‘Kriptografi Kriptoloji’ uzmanı diye tanıtan ve yaklaşık 4 saat süren görüşmede bize gündemi sarsacak önemli bilgiler veren Kier, 26 yaşında ve İngiltere'de eğitim görmüş. Geçtiğimiz günlerde yakalanmasıyla gündemi bir hayli meşgul eden ünlü kredi kart kopyalayıcısı Sadun Özkaya gibi kart işleriyle uğraşan kişilere sipariş usulu yazılım ürettiğini iddia eden Kier, Sadun’un yakalanmasıyla, polisin arayıp bulamadığı tek isim olduğunu ileri sürüyor. Bize anlattığı şeylerde çok ‘şeffaf’ olduğunu ifade eden Kier, bahsettiği konunun hassasiyeti noktasında ise şunları söylüyor:

“BENİ ANCAK, TEKNOLOJİK BİLGİSİ YÜKSEK BİR SAVCI ANLAR”

“Benim hedefimde binlerce insanın mağdur edilmesine göz yuman bir banka var. Bu işte Sadun, ben ve diğerleri ne kadar suçluysa, banka da alması gereken güvenlik önlemlerini almadığı için bizden daha fazla suçlu.”
Kendisini bir ‘silah üreticisine’ benzeten Kier, “Ben silah üretirim. Onunla ister hırsız yakalarlar, ister adam vururlar o benim karışacağım iş değil” diyerek kendisinin yazılım konusunda uzman olduğunu ve insanların kendisine sipariş ettiği işleri yaptığını söyleyerek kendisini müdafaa etse de, daha sonra suça girecek işlere bulaştığını itiraf ediyor. Verdiği bilgilerin BDDK tarafından da ilgi ile takip edileceğini söyleyen Kier, binlerce müşterisinin mağdur olduğu bankanın güvenlik açığını kapatmamakta ciddi şüpheleri olduğunu belirterek, insanların parası çalınırken bankaya sayısızca uyarı maili atmasına rağmen banka tarafından ciddiye alınmadığını öne sürüyor ve ekliyor; “Su anda bile, bu bankada hesabı olan insanların paraları çalınmaya devam ediyor..!”

Bulaştığı işten dolayı pişmanlık duyduğunu fakat bu şekilde teslim olması halinde alacağı cezayı hak etmeyeceğini ifade eden Kier'e göre tek kurtuluşu ancak şöyle olur: “Beni ancak teknolojik bilgilisi çok iyi olan bir savcı anlar”

BANKA BAZI AÇIKLARI KAPATTI

Yaptığımız görüşmeden sonra Kier, bankanın bazı açıklarını kapadığını, bankaya maaş yatıran şirket ve kurumların ise paraları blokeli yatırdığını bildirdi. Bu süreçte de bankanın parası çekilen birçok kişiye ödeme yaptığı yine şikayet edilen forumlardan anlaşılıyor. Şu anda işi ChaO takma adlı bir Türk yürütüyor. Banka her ne kadar önlem alsa da önceden kopyalanmış kartlar ve kullanılmamış hesaplar hala hackerlerin elinde.

Kier ile yaptığımız görüşmede, banka isimleri, teknik yöntemler ve birçok bilgi açık bir biçimde ifade edilmiştir. Ancak adı geçen bankanın adını, bilgi toplamak için kullanılan bazı yöntemleri, bazı şahısların isimlerini açık bir biçimde vermeyeceğiz.

Merak ettiğimiz ilk konu;
NEDEN HEP AYNI BANKANIN MÜŞTERİLERİ SOYULUYORDU?

Geçtiğimiz 2007'nin yazında yeni kartını tanıtırken, kartın alışveriş limitinin 100 bin YTL olduğunu açıklayan banka kart vurguncularının hemen dikkatini çeker. Çünkü tek çekimde 100 bin YTL'lik alışveriş yapılabiliyordu ve tek tek üç beş bin YTL yerine bir seferde, bir kartı kopyaladıkları anda 100 bin YTL'lik alışveriş yapabileceklerdi. Kartçıların sahte kartlarla kolayca paraya çevrilebilecek, takı, elektronik eşya aldıklarını söyleyen Kier, kartların ilk başta kopyalamaya İzmir’de başlandığını. ATM’lerin ön kısımlarına takılan paneller üretilmek sureti ile elde edilen kart bilgileri nakte veya harcamaya dönüştürüldüğünü fakat kartlar kopyalanmaya başlayınca bankanın kart limitlerini önce 5 bin YTL’ye sonra da 250 YTL’ye düşürdüğünü söylüyor.

Bu olaydan sonra geride kalan ve bu işle uğraşan insanlardan biri Kier’le irtibata geçer. Kart bilgileri para etmediği için farklı bir yöntem aranmaya başlanmıştır.

WINDOWS'TAKİ BİLİNMEYEN AÇIK

Önce kişinin internet bankacılığı bilgileri ele geçirilir. Bu bilgiler Windows'taki, herkesin bilmediği, sadece bu işlerle ilgilenen kişilerin bildiği bir iki açık vasıtasıyla toplanmaktadır. Ve bilgi toplama işi iş büyüyünce bu işte uzmanlaşan Rus Hackerler tarafından yapılır. Bilgi karşılığı çekilen paranın yüzde 50’si Ruslara gönderilir. İnternet bankacılığı bilgilerinin korsanların eline geçmesi için, bilgisayara virüs bulaşmış olması gerekmiyor. Sadece işlem yapmanız yeterli. Bu konuya daha sonra değineceğiz.

İnternet bankacılığında kullanılan parolaların şifrelerini ele geçiren ‘kartçılar’, sahte kart için gerekli bilgileri toplamak için işe koyulur. Kier bu bilgileri elde etmek için ya içeriden birinin bilgi vermesi gerektiğini söylüyor -ki bunun imkansız olduğunu da belirtiyor- ya da açıkları kullanmak gerektiğini vurguluyor.

Sahte kart yapmaya başlamadan önce internet bankacığına giriş için gerekli bilgiler gerekiyor. Kullanıcı kodu, parola ve şifre Ruslar tarafından ele geçirilerek gönderiliyor.

SADECE İNTERNET ŞUBESİ

Kier bu bilgilerle sadece internet şubesine girilebileceğini belirtiyor. Bankanın da yapmış olduğu açıklamada, internet şubesinin güvenli olduğu, para transferi ya da bu bilgilerle herhangi bir işlemin yapılmayacağını Kier de onaylıyor. Çünkü tek kullanımlık şifreler, sms onayları buna imkan tanımıyor. Bu bilgiler başka bir işe yarıyor…

Bankaların uluslar arası bankacılık sisteminde kullandıkları kart tiplerine göre (Visa / MasterCard) bin adı verilen rakam gruplarıyla sınıflandırılmış olduğunu söyleyen Kier, bu işlerden anlayan herkesin bu bilgiyi çok rahat bulabileceğini ve hangi bankanın hangi numara grubuyla sınıflandırdığını gösteren programlar olduğunu da belirtiyor. İlgili bankanın ilk 6 kart numarasının sabit olduğunu söyleyen Kier, 100 bin YTL limitli kartın issuer ide numaralarını yani yedinci ve sekizinci rakamlarının da 40 ve 41 olduğunu sözlerine ekliyor.

Elde edilen kart varyantlarından gerçek kart bilgilerini böyle elde ediyorlar



Kier; “İlk zamanlarda bankanın sitesinde, hemen müşteri giriş butonun yanında kullanıcı numaranızı bilmiyorsanız öğrenmek için tıklayın butonu vardı. Ona bastığınızda bir sayfa açılıyordu. Bu sayfaya kart numaranızı girdiğinizde size müşteri numarasını veriyordu. İnternet üzerinden toplayabileceğiniz bilgi kişinin kullanıcı kodu, parolası ve şifresidir. Bankamatik kart şifresidir. Bir internet şubesine girdiğiniz zaman size kart numarasının tamamını vermez, son kullanma tarihini, güvenlik kodunu vermez.”



Kier: İlk zamanlarda bankanın sitesinde, hemen müşteri giriş butonun yanında kullanıcı numaranızı bilmiyorsanız öğrenmek için tıklayın butonu vardı.


Bankanın kart üretiminde kullandığı ilk 6 rakamın bilindiğini belirten Kier, sonraki iki rakamın da bankanın o kartı için standart bir rakam kullandığını söyleyerek, bu uygulamayla baştan bir güvenlik zafiyeti olduğunu ve 8 rakamla işe başladıklarını belirtiyor. Kier, kişinin internet bankacılığı hesabına girildiğinde kart numarasının son dört rakamının da görüldüğünü (**** **** **** 2381) belirterek geriye üçüncü dörtlünün kaldığını söylüyor.

'4-5 SAATTE BULUYORDUK'

Kier, “İnternet şubesinde zaten onu yazınca çıktığı için ben de çok basit bir brute force tool yazdım. Bu eklenti de ne yapıyordu; browserın üzerinde 9999’a kadar deniyordu. Şimdi bu yolla bulunca da başka türlü bir açığa ihtiyacımız yoktu. Ne oluyordu üç dört saate kart numarasını buluyorduk. Kart numarasına karşılık gelecek müşteri numarası var elimizde oradan eşleştirmeyi yapıyordu direk söylüyordu kart numarası bu diye.”

(Kier’in verdiği bilgiye göre kart üretimleri şu şekilde yapılıyor: Bu tarz manyetik kartlarda ISO 7811 standardındadır. 3 tane Track kullanılır.

Track 1 de: KARTNOSU^SOYISIM/ISIM^CVV KODU + SON KULLANM.T. + KART IMZASI

Track 2 de: KARTNOSU=CVV KODU+SON KULLANM.T.+KART IMZASI)

Yani sadece kart numarası sahte kart için yeterli değil. Birçok bilgi gerekiyor sahte bir kart yapmak için. Gelin bu bilgilerin nasıl toplandığını, hangi hataların yapıldığını Kier’den dinleyelim.



TESADÜFEN BULUNAN BİLGİ

Bu araştırmalar yapılırken sahte kart yapımında lazım olan önemli bir bilgiyi de tesadüf eseri bulduklarını belirten Kier, “Sonra internet şubesinde daha ilk tarama yaptığımızda kaynak kodları içerisinde bir database hatası bulduk. Bu hatadan dolayı source kaynak kodların içine normalde görünmeyecek şekilde, hangi akıllı programcıysa bu hala kapatılmadı, hala ciddiye alınıp bu açıklar incelenmedi; bir kişinin banka kartının son kullanma tarihini görmeniz mümkün. Bunu browser üzerinde çalışan basit bir tool’la almayı başardım.”

Geriye CVV kodu ve signature kaldı

Daha önceden çeşitli yollarla elde edilen 30-40 bin kart numarasından bir algoritma üretmeye çalıştıklarını söyleyen Kier bu arada başka bir açık daha bulur; “O arada bir şey fark ettik, her kartta farklı olması gereken kartın cvv dediğimiz güvenlik kodu bankanın tüm kartlarında 120…. Her kartta farklı olması lazım, yapmamışlar ondan sonra bir de her karta ait bir imza vardır. Hani bu kartın tek olduğunu gösteren/ anlatan bir imza (dijital imza gibi bir şey). ‘Kart signature’ deriz de tam olarak dijital imza demek teknik olarak hata olur. Bazı kartlarda bu imzanın olduğunu gördük bazı kartlarda sadece sıfır var. Şimdi siz gidin karta 666666 yazın kabul etmez, ama sıfır yazdığımızda 6 tane, ATM bunu kabul ediyor, pos makineleri bunu kabul ediyor. Ya kartın orijinal sigaturesi gerekiyor ya da 6 adet sıfır yazılması gerekiyor.”

Bu bilgiler toplanırken banka ekim ayında, kart numarasından müşteri numarası sorgulamayı kaldırır. Bunun üzerine kartçılar telefon bankacılığındaki bir açığı kullanır. Bu açık da kısa bir sürede kapatıldıktan sonra iş Kier’e gelir.

Kier, “Dünyadaki bütün Visa /Master kartların numaraları Mod10 denilen Luhn algoritmasına göre üretilir. Kart numaralarını 150 ile 10 olasılık arasında değişiyordu. İlk bu açıklar kapandığında bana Luhn’la ilgili bir program yaz dediler, yazdım programı bunlar 20-30 olasılık çıkanları kullanmaya başladılar. Adama veriyorlar 20 tane kart, adam gidiyor bankamatiğin başına tek tek deniyor. Tüm bankamatiklerde deneyebiliyorlar bu kartları. Her ATM’de bir iki kart deneniyor 10 ATM’de doğru kart bulunuyor.”

Kier, bu kart deneme işlemine, kopyalanan bankanın önlem almadığını diğer bankaların önlem aldığı söylüyor. Ancak ATM başında çok oyalanıldığı ve diğer bankaların deneme işine karşı önlem almasından dolayı sorunlar yaşanmaya başlamış. Olasılıkları düşürmek için yeni bir açık arayan Kier, bulduğu başka bir açıkla en fazla 10-20 olasılığa düşürmüş.

Bu noktada tıkandığını söyleyen Kier, kart işini yöneten eski Demir Perde ülkelerinden birinde yaşayan Türk’e yani ChaO’ya gidildiğini söylüyor; “ChaO’ya gidildi, ‘bizim bu ATM kartlarını ATM’ye gitmeden teke indirmemiz lazım’ denildi. Çekecek adama tek kart vermek için nasıl bir çözüm bulunabilinir?’ diye soruldu. ChaO’dan iki gün sonra cevap geldi, size bir pos modifiye edeyim diye.”

Bankanın kullandığı posların yüzde 80’nin Nurit marka olduğunu söyleyen ve üzerinde LipmanOS diye bir işletim sisteminin çalıştığını belirten Kier, “ChaO bu LipmanOS üzerine bir patch (yama program) yazdı. Mesela bir o bankanın POS’unu buldunuz, ilk başta son dördü girdiniz, basıyorsunuz girişe üçüncü dörtlüleri girmeye. Sırayla deniyorsunuz. Doğrusunu girdiğiniz an pos size doğrusunu girdin dur diyor.” ChaO’nun yaptığı işle ilgili kimse bilgi vermediğini belirten Kier programın mantığını şöyle tahmin ediyor; “ChaO asla yaptığı için kaynağını söylemez vermez. Ben incelediğimde POS’la telefon hattı arasındaki log’u okuyarak anlamaya çalıştım. Kartı çektiğiniz meblağı girdiniz ya bu 0.001 meblağıyla çekim yapıyor yazdığı her kart numarasına ama onun yazdığı program kart bilgisini tamamlıyor.” Yine burada bir POS’un bu şekilde kullanılmasının banka tarafından engellenmesi gerektiğini belirten Kier, başka banka POS’larının böyle kullanılmadığını hemen POS’u kapattıklarını söylüyor.

Yeni bir güvenlik açığı ‘Clark Kent bankadan para çekiyor’

Kier, “Kart’a Abuzer Kadayıf yazılıp para çekildiğini gördüm. Hoş geldiniz Abuzer Kadayıf, hesabınızda şu kadar para var Abuzer Kadayıf diye karşılıyor makine. Bir de slip veriyor Abuzer Kadayıf diye. Kontrol etmiyor track1’i sadece track 2 çalışıyor. Clark Kent diye falan çekildiğini hatırlıyorum.” Kier bir bankamatikten bir seferde 64 kartla para çekildiğini söylüyor.



- İNTERNET BANKACILIĞI BİLGİLERİ NASIL TOPLANIYORDU?

-  SAHTE MAİLLERLE BİLGİ TOPLAYAMAYAN HACKERLAR NASIL BİR YOL BULDU?

- TÜM BU SİSTEM NASIL İŞLİYOR?

Rotahaber.Com

GÜNÜN ÖNEMLİ GELİŞMELERİ

YORUMLAR 24
  • aphilion 9 ay önce Şikayet Et
    Merhaba Stres ve hızlı onay olmadan kişisel veya ticari krediye mi ihtiyacınız var? Eğer öyleyse, şimdi% 3 faiz oranıyla kredi sunduğumuz için lütfen bizimle iletişime geçin. Kredimiz güvenli ve güvenlidir, daha fazla bilgi ve başvuru için lütfen bu e-postayı yanıtlayın. herofinancein@gmail.com, whatsapp +917338386140 gereken ad ve miktar
    Cevapla
  • Barış ŞİMŞEK 12 yıl önce Şikayet Et
    inanmayın. inanmayın arkadaşlar bu tarz şeylere adam html kod düzeneği kurmuş linke tıkladığınızda gerçekten o siteye bağlanıyormuşsunuz gibi anlıyorsunuz halbuki öyle değil yani anlatılanlara bakılırsa uzaya çıkmış gibi gelior ama alakası yok html kod tasarımından anlayan herkes yapabilir bu işlemi.Bu tarz insanlara prim vermemek; bilinçli kullanıcı olmaktan geçmektedir.Bu nasıl olmaktadır net üzeirnden gelen linklere tıklamdan özellikle internet ortamında tanımadığınız insanlara bilgi vermemkle.
    Cevapla
  • Sinan Bol 12 yıl önce Şikayet Et
    Bu işlerden emekli olmuş biri olarak diyorum ki. Siz siz olun 3 kuruşluk bilginizle internet bankacılığını kullanmayın. Değil antivirüs, sms doğrulatması, e-anahtar veya dokunmatik sanal klavye göz taramalı şifrede kullansanız yinede hesabınıza girilir. Bunu tüm samimiyetimle söylüyorum. Gözden çıkarabileceğiniz bir limitle internet bankacılığını kullanın ve diğer hesaplarınızı transferlere kapatın.Yoksa bir sabah uyandığınızda hesabınızdaki para 7 ülke dolaşarak birilerinin eline geçmiş olabilir. Mahkemelerdende sonuç çıkmaz Söylediklerim sanal içindir:)
    Cevapla
  • İlksen Tamer 12 yıl önce Şikayet Et
    SİGORTA KUTUSU. 1-kesinlikle e-anahtar kulanın. 2-Telefon onayı kullanın 3-şifre alanlarında mouse kullanın(ekran klavyes) 4-güvenlik duvarı olan virüs programları kurun 5-2-3 ayda bir şifrenizi değiştirin 6-bankacılık işlemlerinde msn,hotmail,gmail, mynet gibi posta kutularını kullanmayın. yada çoğunuz adsl üyesisiniz ..... adresi oluşturun ücretsizdir. 7-bankanızdaki müşteri temsilcinizin cep telefonunu kesinlikle alın.acil durumda haber vermeniz gerekebilir. 8-ms explorer yerine mozilla
    Cevapla
  • Atatürkçü Laik Gençlik 12 yıl önce Şikayet Et
    Suç Kullanıcılarda . Bir hacker düzmece bir site kurmuş msn aşkı gibi bi isimle şifre ve üye girişi diye msn mail şifrelerini istiyordu 2 günde 350 kişi şifresini bulmuş ordan msn lerini şifrelerini kırmadan kontrol etmiş ve 350 e mailde 5 tane kredi kartı ve şifre bilgisine ulaşmış 5 x 5 = 25 milyar insanlar karı kız ayarlayacam diye her şeye atlarlarsa olacağı budur
    Cevapla
Daha fazla yorum görüntüle