mobil bankacılık güvenlik riskleri ve önlemleri

2024’te İstanbul’da bir arkadaşımın hesabı, sahte bir mobil uygulama yüzünden pat diye boşaldı. Adamlar SMS üzerinden "güvenlik güncellemesi" diye link gönderiyor, tık diye herkes düşüyor. Parmak iziyle girmenin rahatlığına fazla güveniliyor ama telefonda zararlı yazılım varsa parmak izinin de anlamı kalmıyor. Bankaların çifter çifter doğrulama istemesi boşuna değil, tek şifreyle gezmek kumar oynamak gibi. Kendi telefonunda banka uygulamasını marketten indirip, düzenli olarak güncellemek şart. Açık Wi-Fi’de asla işlem yapmıyorum, kafede oturup para transferi yapanı görünce içim sıkışıyor. Şifreyi de “123456” yapan kaldıysa, ona geçmiş olsun demekten başka çare yok.

Geçen ay Garanti BBVA'nın mobil uygulamasında, sahte arama ve SMS'lerle hesap çalmaya çalışan bayağı organize dolandırıcılar çıktı. Şifreyi kesinlikle klavyede otomatik doldurmamak, tanımadığın bir linkten uygulamayı güncellememek şart. Uygulamayı sadece App Store veya Google Play’den indirmek, çift faktör korumayı açmak büyük fark yaratıyor. Banka asla arayıp şifre istemez, bunu kulağına küpe et.

Beş yıl öncesine kıyasla mobil bankacılık uygulamalarının güvenlik katmanları çok daha sofistike hale geldi ama aynı zamanda saldırı vektörleri de çoğaldı. Bugün bir hesabı ele geçirmek için artık sadece şifre yeterli değil—biometric doğrulama, cihaz tanıma, anomali tespiti katmanlı olarak devreye giriyor. Yine de kullanıcı tarafının en zayıf noktası hep aynı kalıyor: telefonunu açık bırakma, WiFi ağına bağlanırken dikkat etmeme, SMS üzerinden gelen OTP'yi başkasına verme gibi basit hatalar.

Gerçek tehlike şu—bankalar sistemi koruyabilir ama senin telefonun ele geçerse hiçbir iki faktörlü doğrulama kurtaramaz. SIM swap saldırıları, keylogger, spyware yüklü sahte uygulamalar hep burada dolanıyor. Parola yöneticisi kullan, uygulama sadece resmi mağazalardan indir, bilinmeyen bağlantılardan para transferi yapma. Gerisini teknoloji halletsin diye düşünmek en sık hata.

Geçen sene Kadıköy’de kahve içerken, arkadaşım bir anda bankadan “şüpheli giriş” bildirimi aldı. Meğer eski bir uygulamadan kalan açık yüzünden kart bilgileri sızmış. O günden beri uygulama şifremi rakamlardan çok harf ve özel karakterle değiştiriyorum, telefona da mutlaka güncel antivirüs kuruyorum. Şifreyi SMS yerine bankanın kendi uygulamasından almak da ciddi fark yaratıyor.

Mobil bankacılık uygulamaları parasını korumak için yaptığın en iyi yatırım değil, kötü şifre seçimi ve açık ağlar üzerinden işlem yapmanın en hızlı yolu. Çoğu insan telefonundaki banka uygulamasını masaüstü kadar tehlikeli görmüyor ama mobil cihazlar fiziksel olarak çalınabilir, malware ile enfekte edilebilir ve kamu Wi-Fi'sinde veriler yakalanabilir.

Gerçek koruma şu adımlarla başlıyor: Biyometrik kimlik doğrulama (parmak izi, yüz tanıma) etkinleştir. Çift faktörlü doğrulamayı (2FA) her zaman aç. Hiçbir zaman kamu Wi-Fi'sinde para transferi yapma; mobil veri veya güvenli ev ağı kullan. Uygulamayı direkt resmi app store'dan indir, hiçbir "benzeri" arama motoru sonucundan kurma.

Telefon yazılımını güncellemeleri hemen yükle. Kırılmış telefonları (jailbreak, root) banka uygulamasıyla kullanma. Şifreni hiçbir yerde not etme, cihazda saklama veya başkasına söyleme. Şüpheli işlem gördüğünde bankayı ara, "sonra kontrol ederim" deme—o işlem yapılmış sayılmıştır.

Güvenlik sadece teknoloji değil, alışkanlıktır. Dikkatli olmayan birini en iyi enkripsiyon bile kurtaramaz.