Avrupa Birliği’nin finansal hizmetler alanında devrim yaratan düzenlemesi PSD2 (İkinci Ödeme Hizmetleri Direktifi), müşteri güvenliğini ve rekabeti artırmak amacıyla Güçlü Müşteri Kimlik Doğrulaması (SCA – Strong Customer Authentication) kavramını zorunlu kılmıştır. Bu yeni dönemde, finansal kuruluşlar için kullanıcı işlemlerini sadece doğru kişi tarafından değil, aynı zamanda güvenli bir cihaz üzerinden yapıldığını da kanıtlamak kritik bir önem taşımaktadır. Dolandırıcılık yöntemlerinin giderek karmaşıklaştığı günümüzde, geleneksel güvenlik önlemleri yetersiz kalmakta ve saldırıların henüz başlangıç noktasındayken, yani kullanıcı cihazındayken durdurulması gerekmektedir. İşte bu noktada, cihaz analizi ve donanım tabanlı güvenlik teknolojileri, PSD2 ve SCA uyumluluğunun temel taşı haline gelmektedir.
PSD2 ve Güçlü Müşteri Kimlik Doğrulaması (SCA) Temelleri
Dijital finans dünyası, PSD2’nin getirdiği yeniliklerle birlikte daha güvenli ve rekabetçi bir yapıya bürünmüştür. Bu direktifin merkezinde yer alan Güçlü Müşteri Kimlik Doğrulaması, finansal işlemlerde sahtekarlığı en aza indirmeyi hedeflerken, bu sürecin en önemli bileşenlerinden biri de işlemlerin yapıldığı cihazın güvenliğinin doğrulanmasıdır.
PSD2 Direktifi Nedir ve Finansal Ekosisteme Etkileri
İkinci Ödeme Hizmetleri Direktifi (PSD2), Avrupa Birliği’nde ödeme hizmetlerini düzenleyen ve modernize eden bir yasal çerçevedir. Bu direktifin temel amaçları arasında; ödemeler pazarında rekabeti artırmak, inovasyonu teşvik etmek, tüketici haklarını güçlendirmek ve en önemlisi ödeme güvenliğini en üst düzeye çıkarmak yer alır. PSD2, bankaların müşteri onayıyla hesap bilgilerini lisanslı üçüncü parti sağlayıcılarla (TPP – Third Party Provider) paylaşmasına olanak tanıyarak Açık Bankacılık (Open Banking) çağını başlatmıştır. Bu durum, finansal ekosistemi daha dinamik hale getirirken, aynı zamanda yeni güvenlik risklerini de beraberinde getirmiştir.
Güçlü Müşteri Kimlik Doğrulaması (SCA) Nedir ve Temel Bileşenleri
Güçlü Müşteri Kimlik Doğrulaması (SCA), bir kullanıcının dijital bir işlem gerçekleştirirken kimliğinin en az iki bağımsız faktörle doğrulanmasını gerektiren bir güvenlik önlemidir. PSD2 kapsamında zorunlu hale getirilen SCA, çalınan bir şifre gibi tek bir güvenlik unsurunun dolandırıcılık için yeterli olmamasını sağlar. SCA’nın üç temel bileşeni bulunmaktadır:
Bilgi (Knowledge) Faktörü
Kullanıcının sadece kendisinin bildiği bir bilgiyi içerir. Bu faktöre en yaygın örnekler parola, PIN kodu veya güvenlik sorusunun cevabıdır.
Sahiplik (Possession) Faktörü
Kullanıcının sadece kendisinin sahip olduğu bir nesneyi ifade eder. Mobil telefon, tek kullanımlık şifre (OTP) üreten bir cihaz veya akıllı kart gibi fiziksel bir donanım bu kategoriye girer.
Biyometri (Inherence) Faktörü
Kullanıcının biyolojik bir özelliğini temsil eder. Parmak izi, yüz tanıma, ses tanıma veya iris taraması gibi biyometrik veriler bu faktörün temelini oluşturur.
SCA’nın Uygulanması Gereken Senaryolar ve İstisnalar
SCA, genel olarak Avrupa Ekonomik Alanı (EEA) içinde gerçekleştirilen çoğu elektronik ödeme işlemi için zorunludur. Özellikle online bankacılık hesaplarına erişim, elektronik bir ödeme işleminin başlatılması ve uzaktan gerçekleştirilen diğer riskli işlemler SCA gerektirir. Ancak, kullanıcı deneyimini olumsuz etkilememek adına bazı istisnalar da mevcuttur. Düşük tutarlı işlemler, daha önce güvenli olarak listelenmiş alıcılara yapılan transferler ve düzenli (abonelik gibi) ödemeler gibi senaryolar, risk analizine bağlı olarak SCA gerekliliklerinden muaf tutulabilir.
SCA Süreçlerinde Cihaz Analizinin Kritik Önemi
Güçlü Müşteri Kimlik Doğrulaması’nın (SCA) temel amacı, dijital işlemleri daha güvenli hale getirmektir. Bu güvenliğin sağlanmasında, doğrulama faktörlerinin her biri önemli bir rol oynar. Ancak “Sahiplik” faktörü, doğrudan kullanıcının işlem yaptığı cihazla ilgili olduğu için siber saldırganların birincil hedefi haline gelmiştir. Bu nedenle modern güvenlik yaklaşımları, cihazın kendisini bir kale gibi korumayı hedefler.
“Sahiplik” Faktörünün Sağlanmasında Cihazın Rolü
SCA’nın “Sahiplik” bileşeni, geleneksel olarak kullanıcının mobil telefonuna gönderilen bir SMS şifresi ile karşılanırdı. Buradaki mantık, telefonun kullanıcıya ait olduğu ve dolayısıyla SMS’i sadece onun görebileceği varsayımına dayanır. Ancak günümüz tehdit ortamında bu varsayım geçerliliğini yitirmiştir. Modern güvenlik anlayışında cihaz, sadece bir mesaj alıcısı değil, kimliğin kriptografik olarak kanıtlandığı bir donanım parçası olarak görülmelidir. Kullanıcının oturumu, cihaza özel donanım bileşenleriyle eşleştirildiğinde, “Sahiplik” faktörü taklit edilmesi neredeyse imkansız bir seviyeye yükseltilir.
Geleneksel Doğrulama Yöntemlerinin (Örn: SMS OTP) Zafiyetleri
Tek Kullanımlık Şifre (OTP) içeren SMS’ler, uzun yıllar boyunca bir standart olarak kabul edilse de artık ciddi güvenlik zafiyetleri barındırmaktadır. Saldırganlar, bu yöntemi atlatmak için çeşitli teknikler geliştirmiştir. Örneğin, kötü amaçlı yazılımlar (malware) aracılığıyla SMS’leri ele geçirebilir, sahte baz istasyonları (IMSI Catcher) ile mobil trafiği dinleyebilir veya sosyal mühendislik yöntemleriyle kullanıcıları kandırarak OTP şifrelerini çalabilirler. Bu yöntemlerin en tehlikelilerinden biri ise SIM Swap saldırısıdır.
SIM Swap, Hesap Ele Geçirme (ATO) ve Malware Saldırılarına Karşı Cihaz Odaklı Güvenlik Yaklaşımı
SIM Swap saldırısında dolandırıcı, telekom operatörünü kandırarak kurbanın telefon numarasını kendi kontrolündeki bir SIM karta taşır. Bu andan itibaren, kurbana gönderilen tüm SMS OTP’ler doğrudan saldırganın eline geçer ve bu durum kolayca hesap ele geçirme (ATO) ile sonuçlanır. Benzer şekilde, cihaza sızan bir malware, SMS’leri okuyabilir veya sahte giriş ekranları (overlay) göstererek kullanıcının bilgilerini çalabilir. Bu tehditlere karşı en etkili savunma, güvenliği SMS gibi taşınabilir bir kanaldan, cihazın kendisi gibi “taşınamaz” ve donanım tabanlı bir temele oturtmaktır. Cihazın parmak izini çıkarmak ve kullanıcı hesabını bu parmak izine kriptografik olarak bağlamak, SIM kart çalınsa bile hesabın güvende kalmasını sağlar.
Gelişmiş Bir Çözüm Olarak İHS Teknoloji’nin Sunduğu Fraud.com “Device Trust”
PSD2 ve SCA’nın getirdiği karmaşık güvenlik gereksinimlerini karşılarken, kullanıcı deneyimini de korumak isteyen finansal kuruluşlar için geleneksel yöntemlerin ötesinde, bütünleşik ve proaktif çözümlere ihtiyaç duyulmaktadır. İHS Teknoloji, global teknoloji lideri Fraud.com iş birliği ile geliştirdiği Device Trust platformuyla, saldırıları henüz kullanıcı cihazındayken durduran çok katmanlı bir güvenlik mimarisi sunar.
Device Trust Nedir? Bütünleşik Bir Güvenlik Kalkanı Olarak Konumlandırılması
Device Trust, mobil ve web uygulamalarınızı cihazın donanım seviyesinden başlayarak API uç noktasına kadar koruyan bütünleşik bir güvenlik katmanıdır. Sadece tek bir güvenlik açığına odaklanmak yerine, SIM Swap saldırılarından sofistike bot faaliyetlerine, tersine mühendislik girişimlerinden malware kaynaklı veri hırsızlığına kadar geniş bir tehdit yelpazesine karşı uçtan uca koruma sağlar. Temel felsefesi, siber saldırıları sunucuya ulaşmadan, kaynağında yani kullanıcının cihazında tespit edip engellemektir. Bu proaktif yaklaşım, finansal kayıpları ve itibar zedelenmesini önlemede kritik bir rol oynar.
PSD2 ve SCA Uyum Süreçlerinde Device Trust’ın Sağladığı Avantajlar
Device Trust, SCA’nın üç temel faktörünü de güçlendiren mekanizmalar sunar. Özellikle “Sahiplik” faktörünü, SMS gibi zayıf bir kanaldan alıp, uygulamanın silinmesi veya güncellenmesinden etkilenmeyen, donanım tabanlı bir parmak izine bağlar. Bu sayede SIM Swap gibi saldırılara karşı tam bir direnç gösterir. Ayrıca, her işlem için dinamik bir risk skoru üreterek, SCA istisnalarının güvenli bir şekilde uygulanmasına olanak tanır ve böylece sürtünmesiz bir kullanıcı deneyimi sunar.
| Güvenlik Tehdidi | Geleneksel Yöntemler (Örn: SMS OTP) | Device Trust Yaklaşımı |
|---|---|---|
| SIM Swap Saldırısı | Savunmasız. Saldırgan SMS’leri ele geçirir. | Tam Koruma. Kullanıcı oturumu fiziksel cihaza bağlıdır, SIM kartın taşınması anlamsızdır. |
| Malware ile Veri Hırsızlığı | Kısmi koruma. Cihazdaki malware SMS’i okuyabilir veya ekranı taklit edebilir. | Kapsamlı Koruma. Malware, Root, Jailbreak, Ekran Kaplama gibi tehditleri aktif olarak tespit eder. |
| Hesap Ele Geçirme (ATO) | Yüksek risk. Kimlik bilgileri çalındığında savunma zayıftır. | Düşük Risk. Çalınan kimlik bilgileri, donanım kimliği eşleşmediği için başka cihazda kullanılamaz. |
| Bot ve Otomasyon Saldırıları | Genellikle sunucu tarafında (WAF vb.) engellenmeye çalışılır. | Kaynakta Engelleme. Botlar, daha API’ye ulaşmadan istemci (cihaz/tarayıcı) tarafında tespit edilir. |
Modüler SDK Yapısı ile İhtiyaca Yönelik Güvenlik Katmanları
Device Trust, her kurumun kendi risk iştahına ve güvenlik ihtiyaçlarına göre ölçeklenebilen modüler bir yapı sunar. Bu yapı, farklı güvenlik katmanları sunan SDK paketlerinden oluşur:
CORE SDK: Çalışma Zamanı Koruması
Uygulamanın çalıştığı ortamın güvenliğini sağlar. Root, Jailbreak, emülatör gibi riskli ortamları ve tersine mühendislik girişimlerini tespit eder.
ZERO SDK: Donanım Tabanlı Kimlik ve API Güvenliği
Cihazın donanımından benzersiz bir kimlik türetir, SIM Swap ve oturum hırsızlığına karşı koruma sağlar ve API trafiğini güvence altına alır.
FORT SDK: Uçtan Uca Veri Şifreleme
Ağ trafiğini “Ortadaki Adam” (MiTM) saldırılarına karşı korur ve cihaz üzerindeki hassas verileri şifreleyerek veri sızıntılarını engeller.
MALWARE SDK: Dış Tehditlere Karşı Koruma
Cihazda bulunan kötü amaçlı yazılımları, casus yazılımları ve uygulamanızın sahte kopyalarını aktif olarak tarar ve tespit eder.
WEB: Tarayıcı Tabanlı Tehdit Engelleme
Web uygulamalarını bot, veri kazıyıcı (scraper) ve otomasyon saldırılarına karşı CAPTCHA’ya ihtiyaç duymadan korur.
Çalışma Zamanı ve Uygulama Bütünlüğünün Korunması: Device Trust CORE SDK
Finansal uygulamaların güvenliği, sadece sunucu tarafında alınan önlemlerle sınırlı değildir. Uygulamanın çalıştığı cihazın ve ortamın kendisi, güven zincirinin ilk ve en kritik halkasıdır. Device Trust CORE SDK, bu halkayı güçlendirmek için tasarlanmıştır. Uygulamanın çalışma anında (runtime) maruz kalabileceği tehditleri ve manipülasyon girişimlerini tespit ederek saldırı yüzeyini en başından daraltır.
Ortam Güvenliği Analizi
Uygulamanın güvenli bir zeminde çalışıp çalışmadığını anlamak, tüm güvenlik kontrollerinin temelini oluşturur. CORE SDK, bu analizi iki ana eksende gerçekleştirir:
Root / Jailbreak Tespiti
Root (Android) veya Jailbreak (iOS) işlemleri, cihazın işletim sistemi üzerindeki yerleşik güvenlik katmanlarını devre dışı bırakır. Bu durum, kötü amaçlı yazılımların hassas verilere erişmesini, uygulama trafiğini dinlemesini veya diğer uygulamaların belleğine müdahale etmesini kolaylaştırır. CORE SDK, bu tür yetkisiz yetki yükseltme girişimlerini tespit ederek uygulamanın savunmasız bir ortamda çalışmasını engeller ve olası veri sızıntılarının önüne geçer.
Emülatör / Simülatör Tespiti
Saldırganlar, genellikle gerçek bir fiziksel cihaz yerine sanal ortamlarda (emülatör/simülatör) çalışmayı tercih ederler. Bunun sebebi, bu ortamlarda saldırıları otomatize etmenin, uygulama davranışlarını analiz etmenin ve birden fazla sahte hesap oluşturmanın (bot çiftlikleri) daha kolay olmasıdır. CORE SDK, uygulamanın gerçek bir donanım üzerinde mi yoksa bir sanal ortamda mı çalıştığını tespit ederek sahte cihaz trafiğini ve otomatik saldırı girişimlerini ayırt etmenizi sağlar.
Tersine Mühendislik ve Manipülasyon Engelleme
Saldırganların uygulamanızın çalışma mantığını anlaması veya kodunu değiştirmesi, ciddi güvenlik riskleri doğurur. CORE SDK, bu tür girişimlere karşı çok katmanlı bir savunma mekanizması sunar:
Hata Ayıklayıcı (Debugger) Tespiti
Hata ayıklayıcılar (debugger), geliştiriciler için önemli araçlar olsa da, saldırganlar tarafından uygulamanın kod akışını izlemek, bellekteki hassas verileri (şifreler, anahtarlar vb.) okumak ve çalışma zamanında uygulamanın davranışını değiştirmek için kullanılır. CORE SDK, aktif bir hata ayıklayıcının uygulamaya bağlanmasını tespit ederek bu tür analiz girişimlerini engeller.
Kanca (Hooking) Tespiti
Frida veya Xposed gibi dinamik analiz çerçeveleri, saldırganların uygulama çalışırken fonksiyonların arasına girerek (“hooking”) iş mantığını değiştirmesine, güvenlik kontrollerini atlamasına veya şifrelenmemiş verileri çalmasına olanak tanır. CORE SDK, bu tür çalışma zamanı müdahalelerini anında yakalar.
Manipülasyon (Tampering) Tespiti
Bu özellik, uygulamanın orijinal bütünlüğünün korunup korunmadığını denetler. Uygulamanın dijital imzası, paket adı veya yüklendiği mağaza bilgisi gibi kritik meta verilerini kontrol eder. Eğer uygulama yeniden paketlenmiş, içine zararlı kod enjekte edilmiş veya korsan bir sürümü oluşturulmuşsa, bu durum bir manipülasyon olarak algılanır ve uygulama bütünlüğünün bozulduğu raporlanır.
Cihaz Seviyesinde Güvenlik Kontrolleri
CORE SDK, ortam ve uygulama bütünlüğünün yanı sıra, cihazın kendisindeki spesifik riskleri de analiz eder:
Cihaz Eşleştirme (Device Binding)
Uygulamayı, bulunduğu fiziksel cihaza kriptografik yöntemlerle eşler. Bu sayede, uygulamanın tüm verileriyle birlikte kopyalanıp başka bir cihazda çalıştırılması imkansız hale gelir. Bu özellik, klonlanmış uygulamalara ve yetkisiz taşımalara karşı güçlü bir koruma sağlar.
Ekran Kaplama (Overlay) ve Erişilebilirlik İstismarı Tespiti
Saldırganlar, uygulamanızın üzerine şeffaf veya sahte bir ekran katmanı (overlay) çizerek kullanıcıyı kandırabilir ve aslında görmediği bir butona tıklamasını sağlayabilir. Benzer şekilde, görme engelliler için tasarlanan erişilebilirlik servisleri, kötü niyetli yazılımlar tarafından ekranı okumak veya tuş vuruşlarını kaydetmek için istismar edilebilir. CORE SDK, bu tür tehlikeli aktiviteleri tespit ederek kullanıcı etkileşimini korur.
Yükleme Kaynak Analizi
Uygulamanın Google Play veya App Store gibi güvenilir resmi mağazalar dışından (sideloading) yüklenip yüklenmediğini kontrol eder. Resmi olmayan kaynaklardan yüklenen uygulamalar, güvenlik denetimlerinden geçmediği için yüksek risk taşır ve bu özellik, kaynağı belirsiz yüklemeleri işaretler.
Geliştirici Modu Denetimi
Cihazın “Geliştirici Seçenekleri” modunun aktif olup olmadığını kontrol eder. Bu mod, normal kullanıcılar için genellikle kapalıdır ancak saldırganlar tarafından USB hata ayıklama veya sahte konum belirleme gibi ileri seviye manipülasyonlar için sıklıkla kullanılır. Bu nedenle aktif olması önemli bir risk göstergesidir.
Donanım Tabanlı Kimlik Doğrulama ve API Güvenliği: Device Trust ZERO SDK
Güçlü Müşteri Kimlik Doğrulaması (SCA) süreçlerinin en kritik bileşenlerinden biri olan “Sahiplik” faktörünü, geleneksel yöntemlerin zafiyetlerinden arındırarak yeniden tanımlar. ZERO SDK, güvenliği cihazın yazılım katmanından donanım katmanına indirgeyerek, taklit edilemez ve kalıcı bir kimlik oluşturur. Bu sayede en tehlikeli kimlik hırsızlığı senaryolarına ve API suistimallerine karşı sağlam bir savunma hattı inşa eder.
Değişmez ve Güvenilir Cihaz Kimliği
ZERO SDK’nın temelini, her cihaza özgü, değiştirilemez bir kimlik atama yeteneği oluşturur.
Mobil Parmak İzi ve Donanım Tabanlı Cihaz Kimliği
Uygulamanın silinip yeniden yüklenmesi veya işletim sisteminin güncellenmesi gibi yazılımsal değişikliklerden etkilenmeyen, kalıcı bir cihaz kimliği oluşturur. Bu kimlik, cihazın işlemcisi, sensörleri, bellek yapısı ve diğer donanım karakteristiklerinden türetilen benzersiz bir parmak izidir. Bu sayede, bir dolandırıcı cihazı sıfırlasa bile, aynı donanım yeniden sisteme bağlandığında tanınır ve işaretlenir.
SCA için Kritik Güvenlik Mekanizmaları
Donanım tabanlı kimlik, SCA’yı hedef alan en yaygın ve tehlikeli saldırı vektörlerini etkisiz hale getirir.
SIM Swap Koruması
Kullanıcı kimliğini ve oturumunu, telefon numarasına veya SIM karta değil, doğrudan fiziksel cihazın kendisine kriptografik olarak bağlar. Bu sayede, bir saldırgan kurbanın telefon numarasını kendi SIM kartına (SIM Swap) taşısa veya SMS ile gönderilen OTP şifrelerini ele geçirse bile, işlem talebi orijinal ve eşleştirilmiş cihazdan gelmediği için sistem tarafından anında reddedilir. Bu, SMS tabanlı doğrulamaların en büyük zafiyetine karşı kesin bir çözüm sunar.
Cihaz Eşleştirme ile Oturum Hırsızlığı (Session Hijacking) Engelleme
Kullanıcı oturumunu başlatan token’lar veya anahtarlar, oluşturulan donanım kimliği ile “mühürlenir”. Eğer bu oturum bilgileri bir şekilde çalınır ve başka bir cihazdan kullanılmaya çalışılırsa, ZERO SDK bu uyumsuzluğu tespit eder ve erişimi anında bloke eder. Bu mekanizma, oturum hırsızlığı (session hijacking) ve token çalınması gibi senaryolara karşı tam koruma sağlar.
API Uç Noktalarının Korunması
ZERO SDK, sadece cihazı değil, aynı zamanda cihaz ile sunucu arasındaki en kritik iletişim kanalı olan API’leri de korur.
API Koruması ve Uygulama Doğrulama (Kriptogram ile)
Mobil uygulamadan gönderilen her API isteğine, SDK tarafından o an için özel olarak üretilen, tek kullanımlık ve taklit edilemez bir dijital imza (kriptogram) eklenir. Bu kriptogram, isteğin gerçekten sizin orijinal uygulamanızdan, bilinen bir cihazdan ve manipüle edilmemiş bir ortamdan geldiğini matematiksel olarak kanıtlar. Bu sayede botlar, script’ler veya taklit yazılımlar tarafından yapılan yetkisiz API çağrıları geçersiz kılınır.
Dinamik Risk Skoru
Her API çağrısı anında, cihazın güvenlik durumu (root, emülatör, debugger varlığı vb.) analiz edilir ve bu analiz sonucunda dinamik bir risk skoru üretilir. Bu skor, finansal kuruluşların risk temelli yaklaşımlar geliştirmesine olanak tanır. Örneğin, düşük riskli bir işlem doğrudan onaylanırken, yüksek riskli bir işlem reddedilebilir veya ek bir doğrulama adımı (örn: biyometri) talep edilebilir.
Veri ve İşlem Bütünlüğü
Mobil uygulamadan gönderilen işlem verilerinin (örneğin, transfer tutarı veya alıcı IBAN’ı) API sunucusuna ulaşana kadar yolda değiştirilmesini engeller. Veri paketi, cihazda kriptografik olarak imzalanır ve sunucu tarafında bu imza doğrulanır. Bu, araya giren saldırganların işlem detaylarını manipüle etmesini önleyerek operasyonel güvenliği en üst düzeye çıkarır.
Uçtan Uca Veri Şifreleme ve Ağ Güvenliği: Device Trust FORT SDK
Finansal verilerin güvenliği, sadece cihaz üzerinde değil, aynı zamanda cihaz ile sunucu arasındaki iletişim sırasında da sağlanmalıdır. Device Trust FORT SDK, bu iletişim kanalını ve cihazda saklanan hassas bilgileri hedef alan saldırılara karşı tasarlanmış tam kapsamlı bir veri güvenliği kalkanıdır. Veri hırsızlığına ve “Ortadaki Adam” (Man-in-the-Middle – MiTM) saldırılarına karşı en üst düzeyde koruma sağlar.
Ağ Katmanı Saldırılarına Karşı Koruma
Ağ trafiğinin gizliliğini ve bütünlüğünü sağlamak, FORT SDK’nın öncelikli görevlerinden biridir.
Dinamik Sertifika Sabitleme (Dynamic TLS/SSL Pinning) ile “Ortadaki Adam” (MiTM) Engelleme
Geleneksel SSL/TLS şifrelemesi, trafiği kötü niyetli Wi-Fi ağları veya sahte proxy sunucuları üzerinden dinlemeye çalışan saldırganlara karşı her zaman yeterli olmayabilir. Saldırganlar, sahte SSL sertifikaları kullanarak trafiği çözebilir. SSL Pinning, mobil uygulamanın yalnızca belirli, güvenilir sunucu sertifikalarına bağlanmasını zorunlu kılarak bu riski ortadan kaldırır. FORT SDK’nın sunduğu “Dinamik” SSL Pinning ise, sunucu sertifikası değiştiğinde uygulama güncellemesi gerektirmeyen esnek bir yapı sunar. Bu teknoloji, Charles Proxy ve Burp Suite gibi analiz araçları kullanılarak yapılan “Ortadaki Adam” (MiTM) saldırılarını ve SSL sökme (stripping) girişimlerini etkin bir şekilde engeller.
Cihaz Üzerindeki Hassas Verilerin Güvenliği
Uygulamanın kodunda veya dosyalarında saklanan hassas bilgiler, saldırganlar için değerli hedeflerdir.
Güvenli Kasa (Secure Vault) ile Anahtar ve Sertifika Yönetimi
Uygulama içerisindeki API anahtarları, şifreleme anahtarları, sertifikalar ve diğer kritik bilgiler, statik analiz araçlarıyla kolayca bulunabilir. FORT SDK’nın Güvenli Kasa özelliği, bu tür hassas verileri cihaz üzerinde donanım destekli, şifrelenmiş bir alanda saklar. Bu sayede, saldırganlar uygulamanın kodunu analiz etse bile bu kritik bilgilere erişemez. Ayrıca, kasanın içeriği uzaktan yönetilebilir; böylece bir anahtarın tehlikeye girmesi durumunda, uygulama güncellemesi gerekmeksizin uzaktan geçersiz kılınabilir veya değiştirilebilir.
Durağan Veri Şifreleme (Data-at-Rest Encryption)
Uygulamanın cihaz üzerinde sakladığı tüm verileri (veritabanları, önbellek dosyaları, kullanıcı tercihleri vb.) güçlü kriptografik algoritmalarla şifreler. Bu, cihazın çalınması veya bir saldırganın dosya sistemine doğrudan erişim sağlaması durumunda bile uygulama verilerinin okunamaz ve anlamsız kalmasını garanti eder. Veri güvenliği, sadece hareket halindeyken (in-transit) değil, durağan haldeyken (at-rest) de sağlanmış olur.
Veri Mahremiyetinin Sağlanması
Kişisel ve finansal verilerin korunması, PSD2 ve diğer veri koruma regülasyonlarının temel gerekliliklerindendir.
Uçtan Uca Şifreleme (End-to-End Encryption)
Kişisel Verilerin Korunması (PII) ve finansal bilgiler gibi hassas verileri, daha cihazdan çıkmadan kaynağında şifreler. Veri yükleri (payload), sadece sunucudaki yetkili servisler tarafından çözülebilecek şekilde şifrelenir. Bu yöntem, standart SSL/TLS şifrelemesinin ötesine geçer. SSL trafiği bir sonlandırma noktasında (örn: bir yük dengeleyici) çözülse bile, hassas veri şifreli kalmaya devam eder. Bu, kötü niyetli sistem yöneticileri veya altyapıya sızmış saldırganların bile verileri görememesini sağlayarak veri mahremiyetini en üst düzeye çıkarır.
Dış Tehditlere ve Kötü Amaçlı Yazılımlara Karşı Koruma: Device Trust MALWARE SDK
Finansal uygulamaların güvenliği, yalnızca uygulamanın kendi kod bütünlüğüne veya iletişim kanalının güvenliğine bağlı değildir. Uygulamanın çalıştığı cihazın kendisi, dış tehditler tarafından ele geçirilmişse, en güçlü uygulama içi korumalar bile yetersiz kalabilir. Device Trust MALWARE SDK, bu dış tehditlere karşı proaktif bir savunma katmanı olarak tasarlanmıştır. Cihazı aktif olarak tarayarak kötü amaçlı yazılımları, casusluk girişimlerini ve uygulama sahteciliğini tespit eder.
Aktif Tehdit Taraması
MALWARE SDK, cihaz üzerinde çalışan bir antivirüs motoru gibi davranarak potansiyel tehlikeleri sürekli olarak izler.
Zararlı Yazılım Tespiti (Malware Detection)
Cihazda yüklü olan tüm uygulamaları tarayarak, bilinen kötü amaçlı yazılım ailelerini, bankacılık trojanlarını, fidye yazılımlarını ve diğer tehditleri tespit eder. Güncel tehdit istihbaratı veritabanlarını kullanarak, yeni ve gelişmekte olan saldırı kampanyalarına karşı koruma sağlar. Bu özellik, kullanıcının farkında olmadan cihazına bulaştırdığı bir zararlının, finansal uygulamanıza zarar vermesini engeller.
Veri Sızıntısı ve Dolandırıcılık Vektörlerinin Analizi
Bazı uygulamalar doğrudan “kötü amaçlı” olarak sınıflandırılmasa da, talep ettikleri izinler ciddi bir risk oluşturabilir.
Riskli İzin Tespiti (SMS Okuma, Ekran Kaydı vb.)
MALWARE SDK, uygulamaların sahip olduğu izinleri analiz eder ve bunları potansiyel risklerine göre sınıflandırır. Örneğin, basit bir el feneri uygulamasının SMS okuma izni istemesi son derece şüphelidir ve bu, OTP şifrelerini çalmaya yönelik bir girişim olabilir. Benzer şekilde, ekran kaydı (Screen Recording) yetkisi isteyen bir uygulama, kullanıcının şifrelerini veya kart bilgilerini girdiği anları kaydedebilir. SDK, rehbere, konuma veya mikrofona gereksiz yere erişim isteyen bu tür “casus” yazılımları belirleyerek veri sızıntısı ve dolandırıcılık riskini minimize eder.
Uygulama Sahteciliğine Karşı Önlemler
Saldırganlar, popüler finansal uygulamaları kopyalayarak veya taklit ederek kullanıcıları kandırmaya çalışır.
Korsan Yazılım Tespiti
Cihazdaki uygulamaların yükleme kaynaklarını analiz ederek, Google Play veya App Store gibi resmi mağazalar dışından yüklenmiş uygulamaları tespit eder. Saldırganlar genellikle güvenlik önlemlerini devre dışı bıraktıkları modifiye edilmiş uygulamaları bu tür alternatif kanallardan dağıtır. MALWARE SDK, bu güvenilir olmayan kaynaklardan yüklenmiş ve potansiyel olarak tehlikeli olan korsan yazılımları işaretler.
Sahte Uygulama Tespiti
Saldırganların, uygulamanızın görünümünü ve işlevlerini taklit eden, ancak arka planda kullanıcı bilgilerini çalan veya ödemeleri kendi hesaplarına yönlendiren sahte uygulamalar oluşturması yaygın bir saldırı yöntemidir. MALWARE SDK, cihazdaki uygulamaların paket adını, imza sertifikasını ve diğer teknik özelliklerini orijinal uygulamanızla karşılaştırarak bu tür klon veya sahte versiyonları tespit eder. Bu sayede, markanızın itibarını ve kullanıcılarınızın finansal güvenliğini korur.
Web Uygulamaları için PSD2 ve SCA Uyumluluğu: Device Trust WEB
PSD2 ve Güçlü Müşteri Kimlik Doğrulaması (SCA) gereksinimleri sadece mobil uygulamalarla sınırlı değildir; web tabanlı finansal hizmetler de aynı düzeyde güvenlik sağlamak zorundadır. Device Trust WEB, mobil platformlardaki gelişmiş koruma yeteneklerini tarayıcı ortamına taşıyarak, web uygulamalarını ve API’lerini modern siber tehditlere karşı korur. Kullanıcı deneyimini bozan CAPTCHA gibi yöntemlere başvurmadan, botları, veri kazıyıcıları ve otomasyon saldırılarını etkin bir şekilde engeller.
Tarayıcı Tabanlı Tehdit Tespiti
Device Trust WEB, her tarayıcı oturumunu benzersiz bir kimlikle ilişkilendirerek ve davranışlarını analiz ederek tehditleri kaynağında tespit eder.
Tarayıcı Parmak İzi ve Cihaz Kimliği
Tarayıcının sürümü, işletim sistemi, ekran çözünürlüğü, yüklü fontlar ve diğer birçok teknik parametreyi analiz ederek, manipülasyona karşı oldukça dirençli bir tarayıcı parmak izi oluşturur. Bu kimlik, saldırgan IP adresini, konumunu veya çerezleri değiştirse bile aynı tarayıcının tanınmasını sağlar. Bu sayede sahte hesap açılışları, hesap ele geçirme (ATO) denemeleri ve diğer suistimaller kolayca tespit edilir.
Otomasyon, Bot ve Veri Kazıyıcı (Scraper) Engelleme
Selenium, Puppeteer gibi otomasyon framework’lerini, script tabanlı botları ve insan davranışı taklit etmeyen başsız (headless) tarayıcıları anında tespit eder. Bu özellik, e-ticaret sitelerinde stokları anında tüketen “scalping” botlarını, API’lerinizi hedef alan hacimsel saldırıları ve web sitenizdeki içerikleri (fiyatlar, ürün bilgileri vb.) izinsiz olarak kopyalayan veri kazıyıcıları (scrapers) altyapınızdan uzak tutar.
Tersine Mühendislik ve Sahtekarlık Girişimlerine Karşı Koruma
Saldırganların web uygulamanızın mantığını anlamasını veya kullanıcıları kandırmasını engellemek kritik öneme sahiptir.
Tersine Mühendislik Tespiti (DevTools ve Debugger Kontrolü)
Tarayıcıların Geliştirici Araçları’nın (DevTools) açılması veya bir hata ayıklama (debugging) oturumunun başlatılması gibi eylemleri anında tespit eder. Bu, saldırganların uygulamanızın JavaScript kodunu analiz etmesini, API isteklerini izlemesini ve güvenlik mekanizmalarınızı atlatmaya yönelik stratejiler geliştirmesini engeller. Algoritmalarınızın ve iş mantığınızın gizliliğini korur.
Gizli Mod (Incognito) Tespiti
Kullanıcıların kimliklerini gizlemek veya takip edilmeyi önlemek için kullandığı “Gizli Mod” (Incognito) ile açılan oturumları tespit eder. Finansal kuruluşlar, bu tür anonim oturumlardan gelen yüksek riskli işlem talepleri için ek doğrulama adımları isteyebilir veya belirli kısıtlamalar uygulayabilir. Bu, dolandırıcılık riskini yönetmede önemli bir veri noktası sağlar.
Gelişmiş Mimarî ile Güvenlik
Device Trust WEB, güvenliğini sağlamak için modern ve kurcalamaya karşı dirençli teknolojilerden yararlanır.
WebAssembly (Wasm) Tabanlı Koruma Ajanı
Tarayıcı tarafında çalışan güvenlik ajanı, kolayca okunabilen ve manipüle edilebilen standart JavaScript yerine, derlenmiş ve performansı optimize edilmiş WebAssembly (Wasm) modülleri üzerinde çalışır. Bu mimari, güvenlik kodunun saldırganlar tarafından analiz edilmesini ve tersine mühendislik yöntemleriyle çözülmesini son derece zorlaştırır. Ajan, kendi bütünlüğünü sürekli olarak denetleyerek bypass edilme girişimlerini de engeller.
İşlem Bütünlüğü Denetimi
Tıpkı ZERO SDK’da olduğu gibi, web üzerinden yapılan her API çağrısı, tarayıcı parmak izini ve anlık tehdit verilerini içeren imzalı bir kriptogram ile mühürlenir. Bu, oturumun kaynak tarayıcıya kriptografik olarak bağlanmasını sağlar ve oturum hırsızlığına (session hijacking) karşı koruma sunar. Ayrıca, veri paketlerinin yolda değiştirilmediğini garanti ederek enjeksiyon ve manipülasyon (tampering) saldırılarını önler.
PSD2 ve SCA Süreçlerinde Cihaz Analizi İçin Neden İHS Teknoloji’yi Tercih Etmelisiniz?
PSD2 ve Güçlü Müşteri Kimlik Doğrulaması (SCA) uyumluluğu, finansal kuruluşlar için sadece yasal bir zorunluluk değil, aynı zamanda müşteri güvenini kazanmanın ve dijital varlıkları korumanın temel bir gerekliliğidir. Bu karmaşık süreçte doğru teknoloji ortağını seçmek, güvenlik, kullanıcı deneyimi ve operasyonel verimlilik arasındaki hassas dengeyi kurmak anlamına gelir. İHS Teknoloji, sunduğu Fraud.com “Device Trust” çözümüyle bu dengeyi sağlamak için tasarlanmış bütünleşik ve geleceğe dönük bir yaklaşım sunar.
| Özellik | Açıklama | SCA ve PSD2 için Sağladığı Katkı |
|---|---|---|
| Donanım Tabanlı Kimlik | Uygulama silinse bile değişmeyen, cihazın donanımından türetilen kalıcı parmak izi. | SCA’nın “Sahiplik” faktörünü en güvenli seviyeye taşır. SIM Swap ve cihaz klonlamayı etkisiz kılar. |
| Çok Katmanlı Tehdit Tespiti | Root, emülatör, malware, hooking, botlar ve tersine mühendislik gibi geniş bir yelpazede tehdit analizi. | İşlemin sadece doğru kişi tarafından değil, aynı zamanda güvenli bir cihaz ve ortamdan yapıldığını garanti eder. |
| Görünmez Koruma | Kullanıcı deneyimini bozan CAPTCHA gibi ek adımlara ihtiyaç duymadan tehditleri arka planda engeller. | SCA istisnalarının güvenle uygulanmasını sağlar, müşteri memnuniyetini artırır ve terk oranlarını düşürür. |
| Modüler ve Ölçeklenebilir Yapı | Kurumların risk iştahına göre özelleştirilebilen CORE, ZERO, FORT, MALWARE ve WEB SDK paketleri. | İhtiyaca yönelik, maliyet etkin bir güvenlik mimarisi kurma esnekliği sunar. |
Fraud.com’un Global Teknoloji Liderliği ve İHS Teknoloji’nin Yerel Uzmanlığı
Device Trust, dolandırıcılık tespiti ve önleme alanında dünyanın önde gelen teknoloji sağlayıcılarından Fraud.com’un mühendislik gücünü, İHS Teknoloji’nin Türkiye’deki finansal regülasyonlara ve pazar dinamiklerine olan derin hakimiyetiyle birleştirir. Bu iş birliği, global standartlarda bir güvenliği, yerel ihtiyaçlara ve yasal çerçeveye tam uyumlu bir şekilde sunar.
SCA’nın “Sahiplik” Faktörünü Donanım Seviyesinde Karşılayan Bütünleşik Çözüm
Device Trust, SCA’nın “Sahiplik” (Possession) faktörünü, zafiyetleri kanıtlanmış SMS OTP gibi yöntemlerden çok daha ileriye taşır. Kullanıcıyı ve oturumunu doğrudan cihazın donanımına kriptografik olarak bağlayarak, bu faktörün taklit edilmesini veya çalınmasını neredeyse imkansız hale getirir. Bu, PSD2 uyumluluğunun temelini en sağlam şekilde atmak anlamına gelir.
SIM Swap’tan Gelişmiş Bot Saldırılarına Kadar Geniş Tehdit Yelpazesine Karşı Kapsamlı Koruma
Çözümümüz, tek bir probleme odaklanmak yerine, dijital kanalları hedef alan tüm modern tehdit vektörlerini kapsar. Mobil uygulamalarınızı hedef alan malware, tersine mühendislik ve klonlama girişimlerinden, web API’lerinizi suistimal etmeye çalışan sofistike bot ve otomasyon saldırılarına kadar her katmanda proaktif bir koruma sağlar.
Modüler Yapı Sayesinde İhtiyaca Özel ve Ölçeklenebilir Güvenlik Mimarisi
Her finansal kuruluşun risk profili ve bütçesi farklıdır. Device Trust’ın modüler SDK yapısı, temel ortam güvenliğinden (CORE) başlayarak, donanım tabanlı kimlik (ZERO), veri şifreleme (FORT), malware tespiti (MALWARE) ve web koruması (WEB) gibi katmanları ihtiyaca göre eklemenize olanak tanır. Bu esneklik, hem bugünün hem de geleceğin tehditlerine karşı ölçeklenebilir bir güvenlik stratejisi oluşturmanızı sağlar.
Kullanıcı Deneyimini Bozmadan Yüksek Güvenlik Sağlama Yeteneği
Güvenlik, müşteri deneyiminin önüne bir engel olarak çıkmamalıdır. Device Trust, tehditleri arka planda, milisaniyeler içinde ve kullanıcıya herhangi bir ek yük getirmeden tespit edip engeller. Dinamik risk skorlama yeteneği sayesinde, düşük riskli işlemleri hızlandırarak ve sadece şüpheli durumlarda ek doğrulama isteyerek güvenliği ve kullanıcı memnuniyetini bir arada sunar.
