PrismAccordion
Kayıtlı Kullanıcı
**Bilgi Kutusu**
Bir sabah uyanıyorsun, öyle alelade bir gün sanıyorsun, derken telefonuna bir mesaj düşüyor. Alışık olduğun o banka kısa kodundan değil, sıradan, uzun bir cep telefonu numarasından. Abi ya, bu nasıl bir iş şimdi, hani bizim güvenliğimiz, hani o iki aşamalı doğrulama zırhı dedikleri? Gözlerimiz fal taşı gibi açılıyor vallahi, "işlem onayı için tıklayınız" minvalinde bir şeyler yazıyor bir de... Kim bu, kimden geldi bu mesaj, kafamızda bin bir soru işareti beliriyor, biliyorum. Normalde bankaların kullandığı o kurumsal kısa kodlar, özel olarak tahsis edilmiş, mesajlaşma servis sağlayıcıları (SMS Gateway providers) üzerinden geçen ve gönderici kimliği (Sender ID) net belirli olan numaralar değil midir? Peki ya şimdi bu... Bu garip, altı haneli bir kod yerine 05xx ile başlayan bir numaradan gelen kimliksiz bildirim neyin nesi? Gerçekten bizimle mi konuşuyorlar, yoksa ekranın öteki tarafında bambaşka bir senaryo mu dönüyor acaba, kim bilir...
Düşünsek, hani bankaların da kendi içinde farklı operasyonel birimleri var, değil mi? Kimi zaman kredi kartı departmanı, kimi zaman sigorta, kimi zaman da genel bankacılık işlemleri için farklı iletişim kanalları kullanabiliyorlar. Bu durum, arka planda farklı üçüncü taraf yazılım firmalarıyla çalışmanın veya sistem entegrasyonlarının karmaşıklığının bir sonucu olabilir mi? Belki bir ödeme emri için kullandıkları sistem başka bir "transactional SMS" hizmet sağlayıcısıyla entegre, e-fatura bildirimi için başka bir sağlayıcıyla... Bu çeşitlilik, biz son kullanıcı için bir muamma yumağına dönüşüyor ama işin iç yüzünde belki de devasa bir IT altyapısının farklı bacakları var, hepsi bu. Sanki bir orkestra, her enstrüman farklı yerden ses çıkarıyor gibi, armoniyi bozmadan devam etmeye çalışıyorlar, sadece bazı notalar beklediğimiz tondan gelmiyor işte. Bir bakmışsın, kredi kartı harcama bilgin başka, EFT onay kodun başka bir numaradan gelmiş... Her seferinde bir "acaba bu gerçek mi" telaşı düşüyor içimize, vallahi billahi canımız sıkılıyor.
Peki ya bu durumu fırsata çevirenler, hani o siber âlemin karanlık yüzündeki kötü niyetli aktörler? İşte onlar tam da bu belirsizliği, bu "acaba bankam mı gönderdi" boşluğunu kolluyorlar. Bir yandan bankaların da kendileri bu farklı numaralarla gelince, dolandırıcılar için "sender ID spoofing" yani gönderici kimliği taklidi yapmak daha da kolaylaşıyor sanki. Sıradan bir mobil numara üzerinden "bankanızdan önemli bir bildirim" başlıklı bir mesaj, içinde kısaltılmış bir linkle (URL shortener) beraber gelip o linke tıklamamızı bekliyor... O linkin bizi nereye götüreceğini kimse bilmiyor, sahte bir banka arayüzüne mi, direkt bir zararlı yazılıma mı... Bir tıkla tüm birikimlerinizi riske atma ihtimali, bu bir loto değil, bir kabus senaryosu. İşte bu teknik açığı, yani bankaların kendi içindeki iletişim tutarsızlığını, fırsat bilip bizim cebimize uzanmak istiyorlar, abi.
İki faktörlü doğrulama (2FA) sistemi, hani o can simidimiz, bizi olası kimlik hırsızlıklarından koruyan ana mekanizma... Bu, bankacılık işlemlerinde güvenlik protokolünün vazgeçilmez bir parçası olarak tasarlandı, değil mi? Temelde, birincil doğrulama (şifre) başarısız olsa bile, ikincil doğrulama adımıyla (SMS'e gelen tek kullanımlık şifre - OTP) ekstra bir bariyer oluşturmak hedefleniyor. Ama bu OTP'nin geldiği kanalın güvenilirliği sorgulanır hale geldiğinde, bu güvenlik katmanı da kendi içinde bir çelişkiye düşmüyor mu? Düşünsenize, banka sistemi üzerinden belirli bir işlem başlattınız, mesela yüksek meblağlı bir EFT, ve onay kodu geldi. Ama bu kez alışılmışın dışında bir numaradan... İşte o an, sistemin bütün katmanları gözümüzde bir anda çöküveriyor, o güven duygusu paramparça oluyor, inanın. Bu, aslında o çok önemli "authentication token"ın ne kadar hassas bir yolla bize ulaştırılması gerektiğinin somut bir göstergesi.
Ne yapsak, nasıl hareket etsek de bu belirsizlik bulutunu dağıtsak peki? Her gelen farklı numaralı mesaja şüpheyle yaklaşıyoruz, bu artık bir refleks haline geldi. O an hemen bankanın resmi çağrı merkezini arayıp teyit almak, ya da mobil uygulamaya girip bildirimleri kontrol etmek... Bu adımlar, evet, gerekli. Ama düşünsenize, her defasında bir teyit mekanizması çalıştırmak, zaman kaybı değil mi? Her bir işlem için, sistemin bize gönderdiği mesajın güvenilirliğini sorgulamak, bizi finansal okuryazarlıktan çok, bir çeşit siber dedektiflik oyununa zorluyor. Biz aslında sadece bankacılık işlemimizi yapmak istiyoruz, ama her seferinde bir güvenlik duvarı daha aşmamız gerekiyor... Kendimize sormadan edemiyoruz, bankaların da bu konuda daha şeffaf ve tutarlı bir iletişim stratejisi izlemesi gerekmez miydi?
Aslında bu durum, sadece bir SMS onayı meselesi değil, çok daha derinlerde yatan bir güven erozyonu meselesi. Finansal hizmet sağlayıcıları ile aramızdaki o kırılgan güven köprüsünün sallanması demek bu. Bizim, yani tüm bu işlemlerin mağduru ya da potansiyel mağduru olan bizlerin, bankalarımızdan beklentisi net: İletişim kanallarında tutarlılık ve şeffaflık. Eğer gerçekten farklı numaralar kullanılıyorsa, bunun ardındaki teknik detaylar, güvenlik protokolleri ve bizim güvenliğimizi nasıl etkilediği hakkında bilgilendirilmemiz gerekmez mi? Böylece, kötü niyetli bir "phishing" denemesi ile gerçek bir banka bildirimini ayırmak için her seferinde bir dedektif gibi çalışmak zorunda kalmayız. Mesele sadece teknik bir ayar değil, mesele karşılıklı bir ilişki, karşılıklı bir saygı ve en önemlisi, karşılıklı bir güven... Ve bu güven, ancak sistemlerin bize sunduğu her parçanın tutarlı ve anlaşılır olmasıyla pekişir.
Bir sabah uyanıyorsun, öyle alelade bir gün sanıyorsun, derken telefonuna bir mesaj düşüyor. Alışık olduğun o banka kısa kodundan değil, sıradan, uzun bir cep telefonu numarasından. Abi ya, bu nasıl bir iş şimdi, hani bizim güvenliğimiz, hani o iki aşamalı doğrulama zırhı dedikleri? Gözlerimiz fal taşı gibi açılıyor vallahi, "işlem onayı için tıklayınız" minvalinde bir şeyler yazıyor bir de... Kim bu, kimden geldi bu mesaj, kafamızda bin bir soru işareti beliriyor, biliyorum. Normalde bankaların kullandığı o kurumsal kısa kodlar, özel olarak tahsis edilmiş, mesajlaşma servis sağlayıcıları (SMS Gateway providers) üzerinden geçen ve gönderici kimliği (Sender ID) net belirli olan numaralar değil midir? Peki ya şimdi bu... Bu garip, altı haneli bir kod yerine 05xx ile başlayan bir numaradan gelen kimliksiz bildirim neyin nesi? Gerçekten bizimle mi konuşuyorlar, yoksa ekranın öteki tarafında bambaşka bir senaryo mu dönüyor acaba, kim bilir...
Düşünsek, hani bankaların da kendi içinde farklı operasyonel birimleri var, değil mi? Kimi zaman kredi kartı departmanı, kimi zaman sigorta, kimi zaman da genel bankacılık işlemleri için farklı iletişim kanalları kullanabiliyorlar. Bu durum, arka planda farklı üçüncü taraf yazılım firmalarıyla çalışmanın veya sistem entegrasyonlarının karmaşıklığının bir sonucu olabilir mi? Belki bir ödeme emri için kullandıkları sistem başka bir "transactional SMS" hizmet sağlayıcısıyla entegre, e-fatura bildirimi için başka bir sağlayıcıyla... Bu çeşitlilik, biz son kullanıcı için bir muamma yumağına dönüşüyor ama işin iç yüzünde belki de devasa bir IT altyapısının farklı bacakları var, hepsi bu. Sanki bir orkestra, her enstrüman farklı yerden ses çıkarıyor gibi, armoniyi bozmadan devam etmeye çalışıyorlar, sadece bazı notalar beklediğimiz tondan gelmiyor işte. Bir bakmışsın, kredi kartı harcama bilgin başka, EFT onay kodun başka bir numaradan gelmiş... Her seferinde bir "acaba bu gerçek mi" telaşı düşüyor içimize, vallahi billahi canımız sıkılıyor.
Peki ya bu durumu fırsata çevirenler, hani o siber âlemin karanlık yüzündeki kötü niyetli aktörler? İşte onlar tam da bu belirsizliği, bu "acaba bankam mı gönderdi" boşluğunu kolluyorlar. Bir yandan bankaların da kendileri bu farklı numaralarla gelince, dolandırıcılar için "sender ID spoofing" yani gönderici kimliği taklidi yapmak daha da kolaylaşıyor sanki. Sıradan bir mobil numara üzerinden "bankanızdan önemli bir bildirim" başlıklı bir mesaj, içinde kısaltılmış bir linkle (URL shortener) beraber gelip o linke tıklamamızı bekliyor... O linkin bizi nereye götüreceğini kimse bilmiyor, sahte bir banka arayüzüne mi, direkt bir zararlı yazılıma mı... Bir tıkla tüm birikimlerinizi riske atma ihtimali, bu bir loto değil, bir kabus senaryosu. İşte bu teknik açığı, yani bankaların kendi içindeki iletişim tutarsızlığını, fırsat bilip bizim cebimize uzanmak istiyorlar, abi.
İki faktörlü doğrulama (2FA) sistemi, hani o can simidimiz, bizi olası kimlik hırsızlıklarından koruyan ana mekanizma... Bu, bankacılık işlemlerinde güvenlik protokolünün vazgeçilmez bir parçası olarak tasarlandı, değil mi? Temelde, birincil doğrulama (şifre) başarısız olsa bile, ikincil doğrulama adımıyla (SMS'e gelen tek kullanımlık şifre - OTP) ekstra bir bariyer oluşturmak hedefleniyor. Ama bu OTP'nin geldiği kanalın güvenilirliği sorgulanır hale geldiğinde, bu güvenlik katmanı da kendi içinde bir çelişkiye düşmüyor mu? Düşünsenize, banka sistemi üzerinden belirli bir işlem başlattınız, mesela yüksek meblağlı bir EFT, ve onay kodu geldi. Ama bu kez alışılmışın dışında bir numaradan... İşte o an, sistemin bütün katmanları gözümüzde bir anda çöküveriyor, o güven duygusu paramparça oluyor, inanın. Bu, aslında o çok önemli "authentication token"ın ne kadar hassas bir yolla bize ulaştırılması gerektiğinin somut bir göstergesi.
Ne yapsak, nasıl hareket etsek de bu belirsizlik bulutunu dağıtsak peki? Her gelen farklı numaralı mesaja şüpheyle yaklaşıyoruz, bu artık bir refleks haline geldi. O an hemen bankanın resmi çağrı merkezini arayıp teyit almak, ya da mobil uygulamaya girip bildirimleri kontrol etmek... Bu adımlar, evet, gerekli. Ama düşünsenize, her defasında bir teyit mekanizması çalıştırmak, zaman kaybı değil mi? Her bir işlem için, sistemin bize gönderdiği mesajın güvenilirliğini sorgulamak, bizi finansal okuryazarlıktan çok, bir çeşit siber dedektiflik oyununa zorluyor. Biz aslında sadece bankacılık işlemimizi yapmak istiyoruz, ama her seferinde bir güvenlik duvarı daha aşmamız gerekiyor... Kendimize sormadan edemiyoruz, bankaların da bu konuda daha şeffaf ve tutarlı bir iletişim stratejisi izlemesi gerekmez miydi?
Aslında bu durum, sadece bir SMS onayı meselesi değil, çok daha derinlerde yatan bir güven erozyonu meselesi. Finansal hizmet sağlayıcıları ile aramızdaki o kırılgan güven köprüsünün sallanması demek bu. Bizim, yani tüm bu işlemlerin mağduru ya da potansiyel mağduru olan bizlerin, bankalarımızdan beklentisi net: İletişim kanallarında tutarlılık ve şeffaflık. Eğer gerçekten farklı numaralar kullanılıyorsa, bunun ardındaki teknik detaylar, güvenlik protokolleri ve bizim güvenliğimizi nasıl etkilediği hakkında bilgilendirilmemiz gerekmez mi? Böylece, kötü niyetli bir "phishing" denemesi ile gerçek bir banka bildirimini ayırmak için her seferinde bir dedektif gibi çalışmak zorunda kalmayız. Mesele sadece teknik bir ayar değil, mesele karşılıklı bir ilişki, karşılıklı bir saygı ve en önemlisi, karşılıklı bir güven... Ve bu güven, ancak sistemlerin bize sunduğu her parçanın tutarlı ve anlaşılır olmasıyla pekişir.
