Sihirli Elmalar
İnternetten alışveriş yapmak güvenli midir?
Online alışverişte kredi kartı kullanmak riskli midir?
İnternetten ilk kez sipariş vermeyi düşünenlerin kafalarına en çok takılan soru genelde budur. Alışveriş yapacağımız siteye nasıl güveneceğiz, siparişlerimizin gelip gelmeyeceğinden ya da bize ulaşan ürünün sitede belirtildiği gibi olup olmayacağından nasıl emin olacağız, kredi kartı bilgilerimizi vermemiz riskli olmaz mı?
Bu makalemizde özellikle kredi kartı kullanımı hakkındaki endişelerden bahsedeceğiz. Diğer konular üzerinde daha sonra ayrıntılarıyla duracağız.
Kredi kartı bilgilerinizi vermekten çekiniyor olabilirsiniz ancak aslında sorun çıkma ihtimali en düşük olan kısım alışverişinizin ödeme kısmıdır. Normal hayatta kredi kartı ile yaptığınız alışverişler internetten yapacaklarınıza göre aslında çok daha risklidir. Buna karşı olan bazı görüşlere yanıt makalenin ilerleyen bölümlerinde verilmektedir.Ödeme yapmak için kredi kartınızı rahatlıkla garsonlara ya da kasiyerlere verirsiniz. İnternette kimsenin eline geçmesin diye çekindiğiniz bilgileri normal hayatta kendi elinizle bir başkasına çok rahatlıkla verir ve bu güvenli mi diye düşünmezsiniz bile. Aradaki tek fark kartınızı verdiğiniz kişiyi görüyor olmanız, ama elbette kesinlikle güvenli olduğu anlamına gelmiyor.
(Konuyla ilgili bazı haberler : Sabah : Kopyacı iki garson tutuklandı , Netbul : Kredi kartı çetesi yakalandı , Akşam : Sosyetede kopyacı garson paniği)
Ciddi olarak bu işi yapan online alışveriş siteleri bu bilgileri doğrudan bankaya iletmektedir; bir diğer değişle, bu bilgiler tüzel kişilikleri bankalar tarafından onaylanmış olan firmalar aracılığı ile bankaya iletilmektedir. Fiziksel olarak kart bilgilerinizi kime verdiğinizi görmeseniz de, bilmelisiniz ki, bankanın onaylayıp kabul ettiği bir firmayla çalışmaktasınız.Gerçekte gördüğünüz ama bilmediğiniz kişiler bir tarafta, görmediğiniz ancak kimlikleri belli olanlar bir tarafta. Bu durumda sizin açınızdan önemli olan sadece sizin o firmaya güveniyor olmanızdır.Bir firmaya güvenip güvenemeyeceğinizi nasıl anlarsınız? İlerleyen konularda bununla ilgili bilgiler vereceğiz. Firmaya güvenmiş iseniz ve elbette bu sipariş verme işlemi güvenli ortamda gerçekleşiyorsa, bu alışverişten çekinmenize gerek yoktur.
Peki nedir bu güvenli ortam?
İnternette bilgilerin karşı tarafa güvenli iletimi SSL (Secure Socket Layer) ve SET adı verilen bağlantı protokolleri kullanılarak sağlanır. Biz SET yaygın olmadığı için yazılarımızda sadece yaygın olarak kullanılan SSL şifreleme protokolünden bahsedeceğiz.
Netscape tarafından geliştirilen bu şifreleme yöntemi hemen hemen bütün tarayıcılarda standart olarak bulunmaktadır. SSL en basit anlatımıyla, yazmış olduğunuz bilginin sadece karşı tarafta (bu durumda sözkonusu taraf banka) deşifre edilebilecek şekilde şifrelenerek gönderilmesidir. SSL kullanımı ile hangi iki adres arasında bilgi iletişimi yapılacağı sabittir. Bilgi firmanın web alanından bankanın adresine iletilecektir. Gönderilecek olan bilgi otomatik olarak şifrelenir ve ancak önceden belirlenmiş olan gönderilen adreste yani bankada deşifre edilebilir. Bu bize kredi kartı bilgilerimizin üçüncü şahısların eline geçmeyeceğini garantiler. Gelen bu talebe banka olumlu ya da olumsuz bir yanıtı firmanın sayfasına geri gönderir ve sayfada siparişinizin onaylandığı ya da siparişinizin onaylanmadığı mesajını alırsınız.Firma kart bilgilerinizi alıp daha sonra çekim yapmaz, bu işlem o anda banka ile iletişim kurmak suretiyle anında, saniye ile ifade edilebilecek çok kısa bir an içerisinde gerçekleşir. Gerçek pos makinasından kartınızı geçirmek gibidir ki, internette kullanılan bu sisteme Sanal Pos adı verilmektedir. Eğer site sanal pos kullanarak çalışmıyorsa büyük ihtimalle amatördür ve SSL de kullanmıyordur. SSL kullanıyor diyelim; sanal pos ile çalışmıyorsa kart bilgilerinizi kaydetmesi gerekecektir ki bu tür sitelerden alışveriş yapmamanızı zaten özellikle tavsiye ediyoruz. İlerleyen bölümlerde bu konuda detaylı bilgilere ulaşacaksınız. SSL şifreleme ile birlikte Sanal Pos kullanımının birlikte olması, maksimum alışveriş güvenliğinin sağlanması için kesinlikle şarttır.
SSL Şifreleme Kırılamaz mı?
Peki SSL şifreleme kötü niyetli birileri tarafından kırılarak bu bilgilere ulaşılamaz mı? Diyelim ki birisi iki taraf arasındaki iletişime bir şekilde dahil oldu ve bilgileri ele geçirdi, bu şifreyi nasıl çözecek?
Şifrenin zorluğu, şifrelemede kullanılan anahtar uzunluğuna göre değişmektedir. Şu anda genel olarak kullanılan değerler 40bit ve 128bit'tir. 40bit'e pek rastlamayacaksınız çünkü uzun bir zamandır 128bit neredeyse standart haline geldi. Her iki değer de yüksek bir şifreleme içerir ki bilgi bir başkasının eline geçse bile bu bilginin çözülmesi yıllarca sürebilecek bir zaman alır ve oldukça da yüksek bir maliyet gerektirir. Başta da belirttiğimiz gibi, gerçek hayatta çok kolay ulaşılabilir olan bu bilgiyi internette elde etmeye çalışmak anlamsızdır. Sadece internette alışverişin güvenli olmadığını ispat etmek çabasında olan birisi ya da kendini ispat etmek adına buna kafa yoran bir kişi bu şifreyi çözmek için uğraşacaktır. Gerçekten kötü niyetli olan bir kişi ise zaten işin kolayına kaçacak ve daha kolay yollardan amaçlarına ulaşmaya çalışacaktır. İnternetteki alışverişlerinizi bir yolunu bularak takip edip, çözülmesi çok zor bir şekilde şifrelenmiş kart bilgilerinizi ele geçirmekle uğraşacaklarını, sonra da yıllarca bu şifreyi çözmeye çalışacaklarını beklemeyin.
Sanıldığının aksine internette kredi kartı bilgilerinin çalınması online alışverişte yazdığınız bilgilere ulaşılıp, şifrenin çözülmesi ve bu şekilde bilgilerin alınması şeklinde olmaz. İnternette kredi kartı bilgilerini ele geçirmek isteyenler daha kolay yolu; insanların saflıklarından; internet ve güvenlik hakkındaki bilgizliklerinden faydalanma yöntemini seçmişlerdir.
Örneğin bir bankadan geliyormuş gibi insanlara mail atıp kredi kartı bilgilerini onaylamalarını istemeleri gibi.
Bu bağlantıyı inceleyin :Doç. Dr. Bilal Güneş : Banka Dolandırıcılığı
Bir diğer yöntem de; yine hiçbir şifre çözme uğraşısı gerektirmeyen bir yöntem: Özellikle e-maille size gelen EXE, PPS, SCR vb. dosyalarını hiç kontrol etmeden açıyor iseniz; ya da internette güvenilir olup olmadığını bilmediğiniz gelişigüzel sitelerden programlar indiriyorsanız; özellikle de genelde uygunsuz içerikli sitelerde dağıtılan bir kısım programları kullanıyorsanız dikkatli olun. Gizli bilgilerinize ulaşma amacıyla hazırlanmış bazı programları bilmeden kullanıyor olabilirsiniz. Bu programlar keylogger ya da trojan adı verilen casus programlar içeriyor olabilir. Eğer bilgisayarınızda bir trojan varsa, size bu trojanı gönderen kişi bilgisayarınızdaki kayıtlı hertürlü bilgiye çok rahatlıkla ulaşabilir. Şifre çözmekle uğraşmaz. Eğer bilgisayarınızda keylogger varsa bu programı kullanmaya başladığınız andan itibaren yazdığınız bütün bilgileri bu keylogger programını size gönderen kişi okuyabilir. Yine hiçbir şifre ile uğraşmaz.
Bilgisayarınızda bu tür programların olup olmadığını online olarak kontrol edebilirsiniz: TrendMicro : Online Virus, Spyware, Trojan Taraması (Site İngilizce'dir. Sırasıyla: Scan Now! 'a tıklayın. Ülke seçiminizi yapın. Start Free Scan Now butonuna tıklayın. Complete Scan seçin. Tarama yapılacak alanı belirleyin (My Computer / Bilgisayarım). Next'e tıklayın. Bileşenler yüklenmeye başlar ve yükleme tamamlanıca online tarama başlar. Bu işlemin süresi internet hızınıza ve taranacak alanın büyüklüğüne göre değişir ve uzun sürebilir. Eğer sistemizde virüs ya da trojan varsa şuna benzer bir mesaj alırsınız: "Danger! Potential threats detected!". "Show" butonu ile bulunanları görebilirsiniz. Next. Bunu seçin :"Delete files if clean action is not successful". Next.)
Güncel bir virüs kontrol yazılımı satın alıp her zaman kullanmanız en uygun çözüm olacaktır. Download ederim ve crack programı kullanırım diye düşünmüyorsunuz, değil mi? Crack programları, trojanları ve keylogger programlarını yaymak için kullanılan en yaygın yollardan biridir. Rehberimizden virüs kontrol programı satan alışveriş sitelerine ulaşabilirsiniz.
Ancak kredi kartı bilgilerinize ulaşmak için uğraşmak isteyecekleri başka bir yöntem var ve bu konuda dikkatli olmanız gerekmekte. Bu durum şudur: Eğer online alışveriş yapacağınız firma kredi kartı bilgilerinizi kaydediyor ise; çok sayıda kredi kartı kaydı olan bu veritabanına ulaşmak için çalışacaklar olacaktır. Bu, anlık gerçekleşen SSL şifrelemeyi çözmekle kıyaslanmayacak kadar kolaydır ve kötü niyetli kişiler için elbette iştah kabartıcıdır. Bu nedenle kredi kartı bilgilerinizi kaydeden sitelerden alışveriş yapmamanızı ya da eğer mecburen yapacaksanız limit belirleyebildiğiniz bir sanal kartınızı kullanmanızı tavsiye ederiz. Normal kredi kartınızı kullanacaksanız firmadan %100 emin olmalısınız ki, aksi takdirde gereksiz bir riske girmiş olursunuz. Kredi kartı bilgilerini kaydetmek büyük bir sorumluluk gerektirdiği için hemen hemen hiçbir alışveriş sitesi bunu yapmamakta ve sayfalarında da özellikle belirtmektedir. Alışveriş yapacağınız sitede bu bilginin yer alıp almadığını mutlaka inceleyin.
Sonuç olarak; doğrudan, internette alışveriş güvenlidir ya da internette alışveriş güvenli değildir diye bir yargıya varılamaz. Güvenlik iki yönlü olarak sağlanmak zorundadır. Hem sizin sisteminiz hem de kredi kartınızla alışveriş yapacağınız site güvenilir ise güvenli alışveriş yapılabilir Her ikisinden de emin olmanız gereklidir.
Alışveriş yapmayı düşündüğünüz sitede nelere dikkat etmelisiniz?
1. SİTENİN SSL SERTİFİKASI VAR MI?
Eğer kredi kartı ile alışveriş yapmayı düşünüyorsanızilk dikkat etmeniz gereken şey, sitenin bir SSL sertifikası olup olmadığını ve var ise geçerli olup olmadığını kontrol etmek olmalıdır. Bu sertifikaya sahip olan her site bunu genelde anasayfasında açıkça belirtmiştir.
Bu güvenlik sertifikaları farklı güvenlik firmaları tarafından sağlanabilir. Güvenlik sertifikası sağlayan başlıca kurumlar şunlardır:
COMODO http://www.comodogroup.com
VeriSign http://www.verisign.com
Thawte http://www.thawte.com
GlobalSign http://www.globalsign.com
TRUSTe http://www.truste.org
 * Sertifika sağlayan kurumlar burada belirtilenle sınırlı değildir. Girdiğiniz alışveriş sitelerinde burada belirtilenlerden farklı güvenlik sertifikalarıyla karşılaşmanız da mümkündür. Sertifika sağlayıcı güvenlik firmalarının WebTrust'a bağlı olup olmadıklarını kontrol edebilirsiniz.
WebTrust'ın sitesinde, güvenlik sertifikası verme yetkisi olan bazı kurumların listesini inceleyebilirsiniz. Tam liste verilmemiş ancak sertifika sağlayıcıların sitesinde de WebTrust'a bağlı olduklarını gösterir tıklanabilir logolar bulunmaktadır. Bu logoları tıklayarak firmanın yetkili olup olmadığını görebilirsiniz. Bu logo yanda gördüğünüz gibi WebTrust simgesidir ve genelde daha küçük boyutlarda olanı kullanılır.
* Türkiye içerisinde ya da yurtdışında yukarıdaki listede göremeyeceğiniz ancak onlara bağlı temsilci olarak hizmet veren firmalar olabilir. Bu tür sitelerde WebTrust'ın logosu yer almayabilir. Örneğin yukarıdaki verdiğimiz örneklerden TRUSTe, Thawte'ye bağlı olarak hizmet vermektedir. Kullanıcı açısından önemli olan sadece SSL güvenliğinin sağlanması ancak ek bilgi olarak bunların kontrolünü de ilerleyen bölümlerde anlatacağız. Bu durumun güvenlik açısından kesinlikle bir dezavantajı sözkonusu değildir. Bir istisna durum olarak da; alışveriş yapacağınız bazı online alışveriş siteleri kredi kartlı ödeme sayfalarında, yayınlama hizmetlerini yapan sunucu firmanın sertifikasını ortak olarak kullanabilir ya da SSL sertifikası almaya gerek olmaksızın ödemelerini doğrudan bankanın güvenlik sertifikasında sahip ortak ödeme sayfasından alıyor olabilir. Bu durumda sayfalarında SSL sertifikası logolarını görmemeniz mümkündür. Sayfada bu logoları görmek sitenin güvenli olduğunun; logo olmaması ise tek başına sayfanın güvenli olmadığının ispatı değildir. Ancak tıklanabilir sertifika logosun olması, firmanın profesyonel çalıştığına dair bir ipucu olarak kabul edilebilir. Bunların sizin tarafınızdan kontrol edilmesi gereklidir ve sertifika kontrolü makalenin ilerleyen bölümlerinde anlatılacaktır. Kafanız karışmasın; bu kontrol sayfadan çıkmadan anında yapılabilir ve çok kolaydır.
2. SSL SERTİFİKASI KONTROLÜ
- Alışveriş sitelerinde 128bit SSL logolarını görüyorsunuz, peki gerçek olup olmadığını nasıl kontrol edeceksiniz? Sadece bu logoyu görmeniz yeterli değil. Logolar kolayca kopyalanıp herhangi bir sayfaya eklenebilir, bu nedenle tek başlarına bir anlam ifade etmezler. Bu logolara tıklanabilir olmalıdır ve tıkladığınızda da güvenlik ile bilgiler veren sitenin bir başka sayfası ya da sertifika firmasının ana sayfası açılmamalıdır! Açılmamalıdır derken, bir kural olarak değil elbette, olması gereken bu değildir. Açılması gereken sayfa; sertifika sağlayan kurumun; logoyu tıkladığınız sitenin adresini onaylayan bir kontrol sayfası olmalıdır. Yine de; logo tıklanabilir olmasa da ya da tıkladığınızda biraz önce belirttiğimiz diğer sayfalar açılsa da çok önemli değil, hemen sitenin güvensiz olduğunu düşünmeyin. Ancak, amatör bir alışveriş sitesiyle karşı karşıya olduğunuzu düşünmeniz yanlış olmaz.
Önemli olan, sitede kredi kartı bilgilerinizi yazacağınız sayfada SSL güvenliğinin sağlanmış olmasıdır. Kredi kartı bilgilerinizin girilmesinin istenildiği sayfanın şu iki şartı sağlamış olduğundan emin olun:
- Tarayıcınızın altında gördüğünüz durum çubuğunda, diğer sayfalarda iken görünmeyen sarı bir kilit simgesi
 belirmesi gerekir. Bu simgeyi çift tıkladığınızda ise  sağ taraftaki imajda -büyük boy için imaja tıklayın- gördüğünüze benzer bir pencere açılır. Bu açılan pencerede, o anda bulunduğunuz web sayfasının adresi Issued to : yazıyor olmalıdır. Altındaki satırda sertifikayı veren kurum Issued by : belirtilir. En alt bölümde ise sertifikanın hangi tarihler arasında geçerli olduğu belirtilmektedir. Sertifikada belirtilen adres bulunduğunuz sitenin adresi ise ve sertifika süresi dolmamış ise bu sertifika geçerli bir sertifikadır, aşağıdaki ikinci şart da sağlanıyor ise güvenle bilgilerinizi girebilirsiniz.
- Mozilla Firefox tarayıcılarda kilit simgesi ve sertifika farklı görünür. Kilit simgesinin yanında hangi sitede olduğunuz belirtilmektedir. Bu bölüme çift klik yaptığınızda sayfa hakkında bilgi veren tarayıcı kutusunun Security / Güvenlik bölümü açılır ve sitenin güvenli iletişimi sağladığını onaylar. Buradaki View / Göster butonuna tıkladığınızda sertifikayı görmeniz ve detayları incelemeniz mümkündür.
- Kart bilgilerinizi yazacağınız sayfasının adres çubuğuna bakın ve adresin "http://" değil, "https://" ile başlıyor olduğundan emin olun.
 (* Bunu alışveriş yapacağınız sitenin tüm sayfalarında görmeniz gerekmiyor; diğer sayfalarda adresin https:// ile başlaması ya da http:// olması ya da sipariş onay sayfalarında https'nin http'ye dönmesi mühim değildir.)
- Ek olarak şunlara da dikkat etmenizi tavsiye ediyoruz:
- Kredi kartı bilgilerinizi yazacağınız sayfa pop-up şeklinde yeni bir sayfada açıldıysa dikkatli olmalısınız. JavaScript kullanılarak açılan sayfalarda hem adres çubuğu hem de durum çubuğu taklit edilebilir. Yine JavaScript ile, kilit simgesine tıkladığınızda sahte bir sertifika size gösterilebilir. Eğer site, güvenip güvenemeyeceğinizi bilmediğiniz bir site ise kart bilgilerinizi yazmamanız tavsiye edilir. Eğer deneyimli bir internet kullanıcısı iseniz bunu kolayca farkedebilirsiniz: Sertifika penceresi işletim sistemin bir parçası gibi hemen açılmaz, bir web sayfası gibi -imaj içerdiğinden dolayı- daha yavaş yüklenir. Konuyla ilgili olarak ContentVerification web sitesini inceleyebilirsiniz.
- SSL güvenliği kart bilgilerinizin üçüncü şahısların eline geçmesini engelleyecektir. Peki acaba alışveriş yaptığınız sayfa bu bilgileri doğruca bankaya mı iletiyor yoksa şifrelenmeden önce kaydediyor mu? Firmaya güvenseniz bile elbette bu bilgilerin kaydedilmemesi daha doğrudur. Alışveriş yapacağınız sitenin kredi kartı bilgilerini kaydedip kaydetmediği; sitenin yardım bölümünde, alışveriş sepetinde ya da kart bilgilerinin istendiği sayfada belirtiliyor olabilir. Eğer sitede kart bilgilerinin kaydedilmediğine dair bir bilgi yoksa, kaydettiğini varsayabilir ya da mail ile bilgi isteyebilirsiniz. Özellikle, her ay ya da belirli zaman dilimlerinde çekim yapılması muhtemel olan hizmet satışlarında kart bilgileri kaydedilmektedir ancak bir ürün siparişi verdiğiniz sitenin bu bilgileri kaydetmesi tamamen gereksizdir, sorumluluk gerektirir ve durumdan şühelenmeniz gerekir.
SSL güvenliği sunmayan bir sayfada kesinlikle kredi kartı bilgilerinizi yazmayın. Online ticareti ciddi olarak yapan bir firma zaten sizden SSL güvenliği sunmadan bu bilgileri istemeyecektir. Ancak, güvenlikten habersiz ve internette tecrübesiz bazı firmalar bu bilgileri mail aracılığıyla alıp, gerçek pos makinasına bilgileri girmek suretiyle çekim yapabilmektedir. İyi niyetli çalışıyor olsalar bile, güvenlik açısından bu durum son derece sakıncalıdır.
Bu makale alisverissiteleri.net tarafından hazırlanmıştır. |
Resimleri Görmek için Tıklayınız
