İnternet ve Mobil Bankacılık Güvenliği

Geçen sonbahar bir akrabam beni telaşla aradı. "Kargo gelecekti, SMS geldi, adres güncelle dedi, linke tıkladım, kart bilgilerini girdim, şimdi hesaptan para çıkıyor" dedi. O an yapabileceğimiz tek şey bankayı arayıp hattı bloke ettirmekti, ama paranın bir kısmı çoktan gitmişti. O olaydan sonra kendi telefonumu eline alıp internet ve mobil bankacılık güvenliğini sıfırdan kurdum. Bu yazı, o gün attığım adımların ve sonradan alışkanlık hâline getirdiğim kuralların derlemesi. Teknik bir güvenlik dersi değil; gerçekten işe yarayan, herkesin uygulayabileceği önlemler.

Dolandırıcılık artık banka sistemlerini "hacklemekle" değil, çoğunlukla insanı kandırmakla çalışıyor. Yani saldırı bankanın sunucusuna değil, doğrudan sizin dikkatinize yapılıyor. Bu yüzden en güçlü güvenlik aracınız, hangi anda durup düşünmeniz gerektiğini bilmenizdir.

Bunu fark etmek başta huzursuz edici olabilir; "demek ki en zayıf halka benim" diye düşünürsünüz. Ama tersinden bakınca güçlü bir konum: bilgisayar korsanlığına karşı tek başınıza pek bir şey yapamazsınız, oysa kendi dikkatinizi ve alışkanlıklarınızı tamamen kontrol edebilirsiniz. Birkaç temel kuralı refleks hâline getirdiğinizde, en yaygın saldırıların neredeyse tamamını daha ilk adımda durdurursunuz.

En yaygın dolandırıcılık yöntemleri

Saldırıların büyük kısmı birkaç klasik kalıba dayanır. Bunları tanırsanız tuzağı daha ilk adımda görürsünüz.

| Yöntem | Nasıl gelir | Amacı | |---|---|---| | Sahte SMS (smishing) | "Kargonuz beklemede, adres güncelleyin" linki | Kart/şifre bilgisi çalmak | | Sahte arama (vishing) | "Bankanızın güvenlik biriminden arıyoruz" | Şifre veya OTP kodu söyletmek | | Sahte site (phishing) | Bankaya benzer görünümlü web sayfası | Giriş bilgilerini ele geçirmek | | Sahte uygulama | Resmi olmayan mağazadan indirilen "banka" uygulaması | Telefonu ele geçirmek | | Sosyal mühendislik | "İkramiye kazandınız, kart bilgilerinizi doğrulayın" | Güveni kazanıp bilgi almak |

Bu tablodaki tüm yöntemlerin ortak noktası, sizden bilgi istemeleridir: şifre, kart numarası, CVV, tek kullanımlık kod (OTP). Gerçek bir banka bunların hiçbirini telefonda, SMS'te veya linkte sormaz.

Sahte SMS'i tanımanın yolları

Akrabamı kandıran SMS klasik bir örnekti. Bu mesajları ayırt etmenin pratik işaretleri:

• Aciliyet baskısı: "Son 1 saat", "hemen", "hesabınız kapanacak" gibi ifadeler sizi düşünmeden hareket ettirmek içindir.
• Garip link adresi: Linkte bankanın gerçek adresi yerine kısaltılmış veya tuhaf harflerle yazılmış bir adres olur.
• Beklenmedik konu: Sipariş vermediğiniz bir kargo, başvurmadığınız bir kredi, katılmadığınız bir çekiliş.
• Yazım hataları: Resmi kurumların mesajlarında nadir görülen imla bozuklukları.

Şüphelendiğiniz anda yapılacak en doğru şey linke dokunmamak ve bankayı kendi resmi numarasından siz aramaktır.

Şifre ve giriş güvenliği

İyi bir şifre, güvenliğin temelidir ama tek başına yetmez. Telefonumu yeniden kurarken şu kuralları uyguladım:

• Benzersiz şifre: Banka şifreniz, e-posta veya sosyal medya şifrenizle aynı olmamalı. Bir yer sızdırılırsa diğerleri açık kalmasın.
• Tahmin edilemez şifre: Doğum tarihi, telefon numarası, "1234" gibi diziler kesinlikle kullanılmamalı.
• Düzenli değişim: Yılda birkaç kez şifreyi yenilemek, eski sızıntıların etkisini azaltır.
• Otomatik kayıt yok: Bankacılık şifresini tarayıcıya veya ortak bilgisayara kaydetmeyin.

İki adımlı doğrulama (OTP) neden hayati

İki adımlı doğrulama, şifrenizi biri ele geçirse bile araya bir engel daha koyar: telefonunuza gelen tek kullanımlık kod. Burada en kritik kural şu: OTP kodunu kimseyle paylaşmayın. Dolandırıcının size telefonla ulaşıp "doğrulama için gelen kodu söyleyin" demesinin tek sebebi, çaldığı şifreyle giriş yaparken araya giren bu engeli aşmaktır. Kodu söylediğiniz an son kapı da açılır.

Mobil uygulama güvenliği

Mobil bankacılık masaüstüne göre genelde daha güvenlidir, ama telefonun kendisi güvensizse o avantaj kaybolur.

• Uygulamayı yalnızca resmi mağazadan indirin: Google Play veya App Store dışındaki kaynaklardan gelen "banka uygulaması" çoğunlukla zararlı yazılımdır.
• Telefon kilidi şart: Parmak izi, yüz tanıma veya güçlü bir ekran kilidi olmadan telefonu açık bırakmak, kapıyı açık bırakmaktır.
• Güncellemeleri erteleme: İşletim sistemi ve banka uygulaması güncellemeleri çoğunlukla güvenlik açıklarını kapatır.
• Bilinmeyen uygulamalara izin vermeyin: Bir uygulamanın ekranınızı görme veya erişilebilirlik izni istemesi, bankacılık için ciddi bir tehlike işaretidir.

Halka açık Wi-Fi tuzağı

Kafede, AVM'de, otobüs terminalinde bulunan şifresiz halka açık Wi-Fi ağları, bankacılık işlemleri için en riskli ortamlardandır. Bu ağlarda biri trafiğinizi dinleyebilir. Mobil bankacılığa girerken halka açık Wi-Fi yerine kendi mobil veri bağlantınızı kullanmak çok daha güvenlidir. Para transferi gibi hassas işlemleri asla bilmediğiniz bir ağda yapmayın.

Bir saldırıyı fark ettiğinizde ne yapmalı

Akrabamla yaşadığımız o panik anında öğrendiğim sıralama şu oldu. Hız her şeydir:

1. Bankayı hemen arayın: Kartı ve internet bankacılığı erişimini bloke ettirin. Bankaların 7/24 müşteri hizmetleri ve acil hat numaraları vardır.
2. Şifreleri değiştirin: Erişim sağlandıysa, başka cihazdan tüm bankacılık ve e-posta şifrelerini değiştirin.
3. İşlemleri durdurun: Devam eden bir para transferi varsa banka çoğu zaman henüz tamamlanmamış işlemi durdurabilir.
4. Tutanak ve şikayet: Maddi kayıp varsa kolluk kuvvetlerine başvurup tutanak tutturun; bu hem süreç hem olası iade için gereklidir.
5. Cihazı kontrol ettirin: Sahte uygulama veya zararlı yazılım yüklendiyse telefonu temizletmek gerekir.

Akrabamın olayında ilk adımı yaklaşık on dakika gecikmeyle attık ve bu gecikme paranın bir kısmının kaçmasına yol açtı. Erken müdahale, kaybı doğrudan etkiliyor.

Kart bilgisi güvenliği

Dolandırıcılığın büyük kısmı kart bilgisine ulaşmaya çalışır. Kartınızın numarası, son kullanma tarihi ve arkasındaki üç haneli CVV koduyla, internetten alışveriş yapmak için gereken her şey ele geçirilmiş olur. Bu yüzden kart bilgilerini korumak, şifre korumak kadar önemlidir.

• CVV'yi kimseyle paylaşmayın: Hiçbir gerçek satıcı veya banka, telefonda CVV kodunuzu istemez.
• Sanal kart kullanın: İnternet alışverişleri için bankaların sunduğu sanal kartı tercih edin; limitini ihtiyacınız kadar ayarlayıp gerisini kapatabilirsiniz.
• Kart bilgisini sitelere kaydetmeyin: Alışveriş sitelerinde "kartı kaydet" seçeneği pratik görünür ama site sızdırılırsa bilginiz açığa çıkar.
• 3D Secure'u açık tutun: Online ödemede telefonunuza gelen doğrulama adımı, kartınız çalınsa bile işlemi engeller.

Temassız ödeme ve kayıp kart

Temassız ödeme pratiktir ama kart çalınır veya kaybolursa belirli bir tutara kadar şifresiz harcama yapılabilir. Kartınızı kaybettiğiniz an bankayı arayıp bloke ettirmek tek doğru harekettir. Çoğu banka uygulamasından kartı anında dondurma özelliği vardır; kaybettiğinizden emin değilseniz bile kartı geçici olarak dondurup sonra geri açabilirsiniz.

Bankanın gönderdiği gerçek bildirimler

Dolandırıcıların en çok istismar ettiği şey, gerçek banka bildirimleriyle sahtelerini ayırt edememeniz. Gerçek bir banka size SMS veya uygulama bildirimi gönderir ama bu bildirimlerin ortak bir özelliği vardır: sizden hiçbir bilgi istemezler. Gerçek bildirim sadece bilgilendirir: "Hesabınızdan şu kadar TL çekildi", "Kartınızla şu işlem yapıldı".

Bildirim sizi bir linke tıklayıp şifre, kart veya kod girmeye yönlendiriyorsa, kaynağı ne kadar resmi görünürse görünsün sahtedir. Bu ayrımı bir kez içselleştirdiğinizde, gelen yüzlerce mesajın hangisinin tuzak olduğunu saniyeler içinde anlarsınız: bilgi istiyorsa tuzak, sadece bilgi veriyorsa gerçek.

İşlem bildirimlerini açık tutun

Hesabınızdaki her hareket için SMS veya uygulama bildirimi almak, bir saldırıyı erken yakalamanın en etkili yoludur. İzniniz dışında bir işlem olduğunda anında haberiniz olur ve dakikalar içinde müdahale edebilirsiniz. Bu bildirimleri kapatmak, kapıdaki alarmı söndürmekle aynı şeydir.

Para transferinde ekstra dikkat

Dolandırıcılar bazen sizi kandırıp kendi elinizle para göndertirler. Transfer yaparken alıcı bilgisini iki kez kontrol etmek hayat kurtarır. IBAN ve alıcı adının uyuştuğundan emin olun; sistem genellikle alıcı adını da gösterir. Transfer yöntemlerinin farkını ve nerede masraf çıktığını bilmek de sizi gereksiz işlemlerden korur; EFT, havale ve FAST farkı yazısı tam bu yüzden faydalı. Para göndermeyle ilgili masrafları da banka masraflarından kaçınmak yazısında topladım.

Tanımadığınız birine "yatırım fırsatı", "kapora", "iade" gibi gerekçelerle para göndermeniz istendiğinde durup düşünün. Acele ettirilen her transfer, üzerine bir kez daha düşünmeyi hak eder.

Aile bireylerini ve yaşlıları korumak

Dolandırıcıların en çok hedeflediği grup, dijital bankacılığa daha az aşina olan yaşlılar ve teknolojiyle arası uzak kişilerdir. Akrabamın yaşadığı olay tam da bu profile uyuyordu: telefonu kullanabiliyordu ama gelen mesajın sahte olabileceğini düşünememişti. Aile içinde birkaç basit önlem, bu riski büyük ölçüde azaltır.

• Tek bir kural öğretin: "Şifre, kart numarası, kod isteyen herkes dolandırıcıdır." Karmaşık teknik bilgi yerine bu tek cümleyi yerleştirmek bile çoğu saldırıyı durdurur.
• Şüphede arasınlar: Bir mesaj veya arama şüphe uyandırdığında, harekete geçmeden önce size veya bankaya danışmalarını alışkanlık hâline getirin.
• Limit koydurun: Yaşlı bir aile büyüğünün hesabında günlük transfer limitini düşük tutmak, olası bir kaybı sınırlar.
• İşlem bildirimini sizin telefonunuza da bağlayın: Bazı durumlarda ortak hesap bildirimleriyle anormal bir hareketi siz de görebilirsiniz.

Panik anında ne söylenmeli

Dolandırıcılar genellikle kurbanı paniğe sürükler: "Hesabınız boşaltılıyor, hemen şu kodu verin." Aile bireylerine öğretilmesi gereken refleks, panik anında durup telefonu kapatmaktır. Gerçek bir banka asla acele ettirmez. "Düşünüp sizi kendim arayacağım" demek, dolandırıcının en sevmediği cümledir; çünkü onun tüm planı sizi düşündürmeden hareket ettirmeye dayanır.

Güvenliği rutine dönüştürmek

Güvenlik tek seferlik bir ayar değil, sürekli bir alışkanlıktır. Telefonumu yeniden kurduktan sonra benimsediğim ve aylardır uyguladığım küçük rutin şu:

• Ayda bir hesap hareketlerimi baştan sona gözden geçiririm; tanımadığım küçük bir işlem bile olsa fark ederim.
• Uygulama ve işletim sistemi güncellemelerini geldiği gün yaparım, ertelemem.
• Şüpheli bir mesaj geldiğinde linke dokunmadan siler, gerekirse bankayı kendim ararım.
• Yılda birkaç kez bankacılık ve e-posta şifrelerimi yenilerim.

Bu rutin başta zahmetli gibi görünse de birkaç hafta içinde otomatikleşiyor. Akrabamın yaşadığı kayıp, bende bu disiplinin değerini kalıcı biçimde oturttu; on dakikalık bir gecikmenin neye mal olabileceğini gördükten sonra, dakikalık önlemler çok ucuz kalıyor.

Cihaz ve oturum güvenliği

Bankacılık güvenliği sadece şifre ve dikkat değil, kullandığınız cihazın kendisiyle de ilgilidir. Telefon veya bilgisayar güvensizse, en güçlü şifre bile yetmez.

• Ortak/halka açık bilgisayar kullanmayın: İnternet kafe veya iş yerindeki ortak bilgisayardan bankacılık işlemi yapmak risklidir; klavye kaydedici yazılım bulunabilir.
• Oturumu kapatın: İşiniz bittiğinde uygulamadan veya internet bankacılığından çıkış yapın, sadece sekmeyi kapatmayın.
• Kayıtlı cihazları denetleyin: Çoğu banka, hesabınıza giriş yapan cihazların listesini gösterir; tanımadığınız bir cihaz görürseniz hemen kaldırın ve şifre değiştirin.
• Eski telefonu temizleyin: Telefon değiştirirken eski cihazdaki banka uygulamasını kaldırıp cihazı fabrika ayarlarına döndürün.

Tarayıcı eklentileri ve indirilen dosyalar

Bilgisayarda bankacılık yaparken, bilinmeyen kaynaklardan indirilen programlar ve şüpheli tarayıcı eklentileri ciddi tehlike oluşturur. Bunlar arka planda tuş hareketlerinizi kaydedebilir veya ekranınızı izleyebilir. "Bedava" vaat eden, kaynağı belirsiz yazılımları kurmamak, bankacılık güvenliğinin görünmeyen ama önemli bir parçasıdır.

Sık yapılan hatalar

• Linke tıklayıp bilgi girmek: SMS veya e-postadaki linke tıklayıp şifre/kart girmek en yaygın hatadır. Banka sitesine her zaman adresini elle yazarak veya resmi uygulamadan girin.
• OTP kodunu söylemek: "Bankadan arıyoruz, doğrulama kodunu okuyun" diyen herkes dolandırıcıdır. Gerçek banka bu kodu asla istemez.
• Aynı şifreyi her yerde kullanmak: Bir hesap sızınca tüm hesaplar açık kalır. Bankacılık şifresi mutlaka benzersiz olmalı.
• Halka açık Wi-Fi'da işlem yapmak: Şifresiz ağlarda yapılan bankacılık işlemleri dinlenebilir. Mobil veri her zaman daha güvenlidir.
• Güncellemeleri ertelemek: Eski uygulama sürümleri kapatılmamış güvenlik açıkları taşır. Güncellemeleri geciktirmek riski büyütür.
• Telefonu kilitsiz bırakmak: Telefonu kaybedince veya çaldırınca, ekran kilidi yoksa mobil bankacılık doğrudan saldırgana açılmış olur.

Sık sorulan sorular

Banka beni arayıp şifremi sorabilir mi?

Hayır. Hiçbir gerçek banka sizi arayıp internet şifrenizi, kart şifrenizi, CVV kodunu veya telefonunuza gelen tek kullanımlık doğrulama kodunu sormaz. Bunları soran her arama, mesaj veya kişi dolandırıcılık girişimidir. Şüphelendiğinizde telefonu kapatıp bankayı kendiniz resmi numarasından arayın.

Mobil bankacılık mı internet bankacılığı mı daha güvenli?

Mobil bankacılık uygulamaları genellikle daha güvenli kabul edilir, çünkü parmak izi/yüz tanıma kilidi ve cihaza özel güvenlik katmanları içerir. Ancak bu avantaj, uygulamanın resmi mağazadan indirilmesine ve telefonun kilitli, güncel ve zararlı yazılımsız olmasına bağlıdır. Güvensiz bir telefonda mobil bankacılık da risklidir.

Sahte siteyi nasıl anlarım?

Bankaya çok benzeyen sahte sitelerde adres çubuğundaki alan adı genellikle gerçeğinden farklıdır; fazladan harfler, garip uzantılar veya kısaltılmış linkler içerir. En güvenli yol, bankanın adresini hiç linke tıklamadan tarayıcıya kendiniz yazmak veya doğrudan resmi mobil uygulamayı kullanmaktır.

Param gittiyse geri alabilir miyim?

İhtimal, ne kadar hızlı hareket ettiğinize bağlıdır. İşlem henüz tamamlanmamışsa banka durdurabilir. Tamamlandıysa süreç zorlaşır ama imkansız değildir; bankayı hemen arayıp hesabı bloke ettirmek, ardından kolluk kuvvetlerine başvurup tutanak tutturmak gerekir. Geçen her dakika geri alma şansını azalttığı için hız en önemli faktördür.