Çevrimiçi bankacılık ne kadar kullanışlı olursa olsun, suçluların hassas verileri çalması için pek çok saldırı noktası vardır. Binlerce banka müşterisi artık bir veri sızıntısının kurbanı oldu. TECHBOOK sizin de etkilenip etkilenmeyeceğinizi ve etkilenmeniz durumunda ne yapmanız gerektiğini açıklıyor.
Dijital çağda banka müşterilerinin işi kolay değil. Dolandırıcılar, giderek daha karmaşık yöntemler kullanarak hassas verileri ele geçirmeye çalışıyor. Özenli müşteriler, kendilerini aldatıcı gerçek kimlik avı e-postalarından veya SMS’lerinden bir dereceye kadar koruyabilirler, ancak bilgisayar korsanları bankaya veya ortaklarına saldırırsa ne olur? 7 Temmuz 2023 Cuma günü Postbank ve Comdirect, yetkisiz kişilerin bir veri sızıntısı yoluyla kişisel verileri çaldığını duyurdu. Ancak görünüşe göre ING ve Deutsche Bank’ın müşterileri de, artık bilindiği gibi etkileniyor.
Ayrıca ilginç: çevrimiçi bankacılık hakkında her şey
Moveit yazılımına hacker saldırısı
Veri sızıntısı bankaların kendilerinde değil, finans kurumlarının birlikte çalıştığı hesap değiştirme hizmeti Majorel Germany’de meydana geldi. 2016’dan beri finansal kuruluşlar, (yeni) müşterilerini hesap değiştirirken yasal olarak desteklemekle yükümlüdür. Bu, bankaların, diğer şeylerin yanı sıra, önceki otomatik ödeme talimatlarını ve gelen ve giden havaleleri eski hesaptan devraldığı anlamına gelir. Bankalar, kanunen en fazla on iki iş günü içinde tamamlanması gereken bu veri aktarımını Majorel Germany veya yan kuruluşu Kontowechsel24.de’ye yaptırır. Bu şirket bunun için Moveit yazılımını kullanıyor ve bu, bilgisayar korsanlarının yararlandığı zayıf noktaydı ve muhtemelen ilk kez değil.
Moveit yazılımı, çok çeşitli sektörlerden birçok uluslararası şirket tarafından kullanılmaktadır. Haziran 2023 gibi erken bir tarihte Clop şantaj grubu, Moveit yazılımıyla da çalışan İngiliz bordro hizmeti sağlayıcısı Zellis’i başarıyla hackledi. Zelli’nin etkilenen müşterileri arasında BBC, British Airways, Aer Lingus, Boots’un yanı sıra Rochester Üniversitesi ve Kanada’nın Nova Scotia eyaleti hükümeti vardı. Bu nedenle, bu veri aktarım yazılımındaki güvenlik açıklarının ve veri sızıntılarının neden olduğu hasar çok büyük. Ve şimdi Almanya’daki banka müşterileri de etkileniyor. Ancak hacker saldırısının arkasında kimin olduğu henüz bilinmiyor.
Bu veriler dinlendi
Majorel Almanya kendi açıklamalarına göre veri sızıntısını çoktan kapatmış durumda. Bir Deutsche Bank sözcüsüne göre çalınan veriler, Majorel’in hesap değiştirme hizmetini 2016, 2017, 2018 ve 2020’de kullanan Deutsche Bank, Postbank ve Comdirect müşterilerinin adlarını, soyadlarını ve IBAN’larını içeriyor. ING Almanya’da da veriler muhtemelen hesapları birkaç yıl önce değişen müşterilerden çalındı. ING müşterilerinin “dört haneli düşük bir rakamının” etkilendiği söyleniyor. Bununla birlikte, mevcut bilgilere göre, ING sözcüsü TECHBOOK’a yalnızca yasal hesap değiştirme yardımının verilerinin etkilendiğini, ancak “çok daha sık kullandığımız hesap değiştirme hizmetinin” verilerinin etkilenmediğini doğruladı. Kanunen zorunlu tutulmayan bu hesap değiştirme hizmeti, ING’nin yeni müşteriler için ek bir teklifidir. Ama burada da ING, Majorel Germany ile çalışıyor.
Çalınan veriler kişisel ve hassas olsa da suçluların hesabı boşaltması yeterli değildir. Bu iyi haber. Ancak, dolandırıcılar bunu otomatik ödeme emri vermek için kullanabilir. Etkilenen müşteriler bu nedenle geleceğe özellikle yakından bakmalı ve yetkisiz otomatik ödemeleri derhal bankalarına ve gerekirse polise bildirmelidir. Yetkisiz otomatik ödeme durumunda, müşteriler paralarını 13 ay sonrasına kadar bankadan geri talep edebilirler. Bu da iyi bir haber.
Ayrıca ilginç: Yasal e-postaları kimlik avından ayırt edebiliyor musunuz?
Kimlik avı e-postalarına dikkat edin
Ancak kötü haber şu ki, etkilenen müşteriler artık daha fazla dolandırıcılık riski altında. Cuma gününden bu yana bankaları tarafından veri sızıntısından haberdar edildiler. Ancak, (varsayılan) finans kuruluşlarından bir e-posta alırlarsa, potansiyel olarak etkilenenler artık özellikle dikkatli olmalıdır. Çünkü ad ve IBAN gibi kişisel verilerle dolandırıcılar, özellikle gerçek görünen kimlik avı e-postaları oluşturabilir. Bu nedenle, etkilenen ING müşterilerine en geç bu hafta sonuna kadar ulaşacak olan mektupla bilgi verilecektir. Şüpheli bir e-posta aldıysanız, içerdiği bağlantıyı asla açmayın ve e-postanın içeriğini doğrulamak için bankanızla başka bir araçla, örneğin telefonla iletişime geçmeye çalışın. Postbank uyardı alan ayrıca dolandırıcılar tarafından 2023’ün başında gerçekleşen BT değişimine atıfta bulunarak gönderilen kimlik avı e-postalarından.
Comdirect bilgisayar korsanı saldırısından etkilenmiş olsa da, ana şirket Commerzbank’ın müşterilerinin mevcut bilgi durumuna göre endişelenmesine gerek yok. Volks ve Raiffeisenbanken müşterileri ile tasarruf bankaları da rahat bir nefes alabilir. Kendi açıklamalarına göre bu kredi kuruluşları Majorel Germany ile çalışmıyor.