Online rezervasyon devi Booking.com üzerinden yapılan dolandırıcılıkların ardı arkası kesilmiyor. Peki böylesine büyük bir mecrada bu nasıl mümkün olabiliyor?
Dünyanın en popüler otel rezervasyon platformlarından biri olan Booking.com, son dönemde organize siber suç şebekelerinin hedefi haline gelmiş durumda. Platformun kendi iç iletişim dinamiklerini manipüle eden dolandırıcılar, kullanıcıları doğrudan sistem içerisinden gönderdikleri sahte bağlantılarla ağlarına düşürüyor. Yıllardır süregelen bu güvenlik açığı ve uluslararası finansal sistemlerdeki yasal boşluklar, mağdurların hak arama süreçlerini zorlaştırıyor.
Bu karmaşık dolandırıcılık modelinin en güncel örneklerinden biri, yurt dışında yaşayan iki ailenin İspanya tatili planıyla gün yüzüne çıktı. Mağdurlar, rezervasyon işlemlerini tamamlayıp ödemelerini kendi kredi kartlarıyla gerçekleştirdikten kısa bir süre sonra organize bir saldırıya maruz kaldılar. Yurt dışı bankacılık sistemlerinde kredi kartı ile yapılan harcamalar, "chargeback" (ters ibraz) ve siber sigorta altyapıları sayesinde güçlü bir koruma kalkanına sahiptir. Borçlanma prensibiyle çalışan bu kartlar üzerinden çalınan meblağları geri almak nispeten daha kolay ve hızlı olmaktadır. Ancak Türkiye'deki siber suçlar mevzuatında ve bankacılık uygulamalarında saptanan bazı yasal boşluklar ile bürokratik engeller, yerel mağdurların paralarını geri alma süreçlerini aylarca süren sancılı bir döneme dönüştürebilmektedir.
Sistem içinden gelen tehlike: "phishing" ağının yeni yüzü
Geleneksel kimlik avı (phishing) yöntemlerinde dolandırıcılar, kurbanlarına e-posta yoluyla şüpheli bağlantılar gönderirler. Bilinçli bir internet kullanıcısı, kaynağı belirsiz e-postalarda yer alan https://booking.id.1561.56.info gibi manipüle edilmiş sahte linkleri kolayca fark ederek güvenliğini koruyabilir. Fakat bu yeni nesil dolandırıcılık modelinde suçlular, e-posta yerine doğrudan Booking.com platformunun kendi içindeki "otel-müşteri" diyalog kutularını kullanmaktadır. Doğrudan sistemin entegre mesajlaşma alanından gelen ve son derece profesyonel, akıcı bir İngilizce ile kaleme alınan bu mesajlarda kullanıcılara; "Rezervasyonunuzu onaylamamız gerekiyor, lütfen bu bağlantıya tıklayın. Herhangi bir ücret tahsil edilmeyecektir, işlem sadece konfirme amaçlıdır" şeklinde sahte bildirimler iletilmektedir.
Kullanıcılar, mesajın doğrudan Booking.com altyapısından gelmesinden ötürü hiçbir şüphe duymadan ilgili bağlantıya tıklamaktadır. Linkin arkasına gizlenen zararlı yazılımlar ve sahte ara yüzler vasıtasıyla, rezervasyon esnasında kullanılan asıl kredi kartının tüm limitleri saniyeler içinde boşaltılmaktadır. Ne yazık ki bu nitelikli hırsızlık vakaları platformda yıllardır kronik bir sorun olarak devam etmekte ve köklü bir güvenlik önlemi alınmamaktadır.
Sorumluluk reddi ve "içerideki" güvenlik zafiyeti
Platform yetkilileri ile yapılan görüşmelerde, Booking.com'un mevcut savunma mekanizması olarak şu argümanı sunduğu görülmektedir: Rezervasyon esnasında kart bilgileri sisteme girildiğinde, altyapı bu verileri maskeleyerek otele iletmek üzere tamamen farklı ve sanal bir kart numarası üretmektedir. Site yönetimi bu yöntemin kusursuz bir güvenlik sağladığını iddia etse de, ilgili otel yönetimleriyle yapılan doğrudan görüşmeler olayın arka planını netleştirmektedir. Oteller sistemlerinde farklı kart numaralarının tanımlandığını doğrulamaktadır; ancak bu durum, hackerların elindeki asıl kart bilgilerinin güvenliğini sağlamaya yetmemektedir. Mağdurun ana kart bilgileri çoktan siber korsanların eline geçmiş ve saldırı için hazır bekletilmektedir.
Sistem zafiyetini kabul etmek istemeyen platform yetkilileri, yıllardır yinelenen klişe bahanelerin arkasına sığınarak suçu kullanıcıya yıkmaya çalışmaktadır. Mağdurlara telefonlarının veya bilgisayarlarının ele geçirildiği, yetersiz şifre kullandıkları yönünde teknik temeli zayıf senaryolar anlatılmaktadır. Oysa ki bu denli organize ve doğrudan veri tabanını hedef alan sızıntılarda suçluyu dışarıda aramaya gerek yoktur. Bilgilerin bu kadar zahmetsizce dışarı sızması, iki temel ihtimali doğurmaktadır: Ya platformun koruma kalkanı son derece ilkel ve yetersizdir ya da sistem mimarisini ve açıklarını en ince ayrıntısına kadar bilen içeriden bir yapı bu sürece zemin hazırlamaktadır.
Sanal paraya dönüştürülen kaynaklar ve gece operasyonları
Siber suç çeteleri ele geçirdikleri finansal kaynakları hızla aklamak için gelişmiş yöntemler kullanmaktadır. Kartlardan çekilen paralar genellikle uluslararası oyun firmalarının hesaplarına aktarılmakta, ardından "oyun içi kazanç" süsü verilerek hızla Bitcoin ve diğer kripto para birimlerine dönüştürülmektedir. Bu dijital iz kaybettirme taktiği, paranın takibini ve hukuki yollarla geri alınmasını neredeyse imkansız hale getirmektedir.
Vakaların istatistiksel dağılımı incelendiğinde, hesap boşaltma işlemlerinin büyük bir titizlikle gece saatlerinde gerçekleştirildiği görülmektedir. Yurt dışından operasyon yürüten bu çeteler, aradaki saat farkını bir silah olarak kullanmakta; kurbanların uykuda olduğu, bankaların ve kullanıcıların işlem reflekslerinin en düşük olduğu saatlerde hesapları sıfırlamaktadır. Bu süreçte telefona yüklenen ücretsiz maç, film ve dizi izleme uygulamaları (App) büyük bir risk barındırmaktadır. Bu tür illegal uygulamalar arka planda casus yazılımlar çalıştırarak bankacılık verilerini kopyalayabilmektedir. Kısacası, internet dünyasında mutlak güvenlik, yalnızca fişi çekilmiş bir bilgisayar veya tamamen kapalı bir telefon ile mümkündür.
Bireysel olarak alınabilecek güvenlik önlemleri
Bu ve benzeri küresel platformlarda mağduriyet yaşamamak adına her tüketicinin uygulaması gereken temel siber hijyen kuralları şunlardır:
* Mesajları Doğrulamadan İşlem Yapmayın: Booking.com veya benzeri sitelerin iç mesajlaşma alanlarında dahi olsa, gelen hiçbir onay ve güncelleme linkine doğrudan tıklamayın. Şüpheli durumlarda oteli doğrudan telefonla arayarak teyit alın.
* Kart Bilgilerinizi Kaydetmeyin: Alışveriş yaptığınız hiçbir dijital platformda banka veya kredi kartı bilgilerinizi sisteme kalıcı olarak kaydetmeyin.
* Sanal Kart ve Limit Yönetimi Kullanın: İnternet alışverişleriniz için mutlaka bir sanal kart tanımı yapın. Kartın limitini sadece harcama yapacağınız an belirleyin; işlem bittiğinde limiti sıfıra veya çok düşük (örneğin 100 TL gibi) bir tutara çekin.
* Banka İletişimini Geciktirmeyin: Şüpheli bir hareket veya yetkisiz bir link etkileşimi fark ettiğiniz anda vakit kaybetmeden ilgili bankayı arayarak kartınızı tamamen iptal ettirin.
* Güvenilir Kaynaklar Dışında Uygulama İndirmeyin: Cep telefonunuza Google Play Store veya App Store gibi resmi mağazalar haricinde asla dışarıdan (APK vb.) uygulama yüklemeyin.
* Korsan Yazılımları Temizleyin: Telefonunuzda bulunan ücretsiz maç, film, dizi veya proxy sağlayan illegal uygulamaları cihazınızdan tamamen kaldırın. Eğer cihazınızda mobil bankacılık uygulamaları varsa, bu tür korsan yazılımlar kişisel verileriniz için çok ciddi birer güvenlik tehdididir.
