Özbek bankalarının müşterileri ciddi bir cyberattackten zarar görüyor
11 Kasım’da, bazı Özbek vatandaşlarının banka kartlarından büyük miktarlarda para çekildi. Bilinmeyen kişiler SMS kodlarının korumasını aşmayı başardı. Gazeta.uz’e göre, bu hack saldırısının sonucunda en az 16 kişi mağdur oldu ve kendilerine verilen zararın miktarı yaklaşık 1 milyar som’a ulaştı.
Sosyal medya ve bazı Telegram kanalları, sunucuların hacklendiğini, dolandırıcıların banka kartlarından para çekip ülkeden çıkardıklarını bildirdi.
Bunun ardından, Humo ödeme sistemi bu raporların yanlış olduğunu ve sistemin tüm güvenlik gerekliliklerini karşıladığını duyurdu.
Merkez Bankası da banka ve ödeme sistemlerine siber saldırılar olmadığını ve operasyonlarının şu anda tüm güvenlik gereksinimlerini karşıladığını belirtti.
Gazeta.uz tarafından aranan birkaç mağdurun ifadesine göre, 11 Kasım’da banka kartlarından büyük miktarlarda para çekildi.
Victoria adlı bir öğrenci, Tenge Bankası tarafından verilen Humo kartından 11 Kasım gecesi 19,7 milyon som’un üç transfer aracılığıyla çekildiğini sabah öğrendi.
Victoria, Unired navlun tarafından ve OFB-ex (muhtemelen OFB Express) tarafından da mesajlar aldığını belirtti. Bu isimde hiçbir uygulamanın telefonuna yüklenmediğini açıkladı.
Daha sonra, Victoria’nın eşi Unired programını telefonuna yükledi.
“Bu programda Humo kartıyla ilgili tüm bilgiler bulunuyor, telefon numaramın altında bir yabancı adı yazıyor. Bu programdan 19,7 milyon som’un, başka bir yabancının kartına transfer edildiği görüldü. Daha sonra bu kartın Tenge Bankası’nda hesabı olan gerçek kişiler olduğu ortaya çıktı,” diye yazdı Victoria.
Başka bir mağdur olan Sergey, 11 Kasım gecesi InfinBank ve Uzmilliybank tarafından verilen iki Humo kartından Unired uygulaması aracılığıyla toplam 74 milyon som’luk para transferinin yapıldığını belirtti. Gece, önceki vakalarda olduğu gibi, Sergey hiçkimseye SMS ile aldığı kodları vermedi.
Bahsi geçen Unired uygulaması, Universalbank’a aitti. Sergey, bu bankayla bir açıklama için iletişime geçtiğini belirtti.
“Banka çalışanlarından uygulamada herhangi bir güvenlik algoritması olmadığını öğrendim (gece bir kişi uygulamayı indirdi, bir banka kartını bağladı ve karttaki tüm parayı çekti ve banka bu durumu şüpheli bir işlem olarak değerlendirmiyor). Ayrıca günlük limitin 10.000 dolar olduğunu söyledi. Banka çalışanları, herhangi bir kişinin kimlik tespitini geçebileceğini (benim durumumda belirli bir yabancının geçtiğini) ve kart sahibinin uygunluğunu kontrol etmeden herhangi bir kartı ekleyebileceğini söyledi,” diye yazdı Sergey.
Diyorbek, kendisine istenmeden birkaç kez işlem onay kodları gönderildiğini ve bu durumdan sonra Qishloq qurilish bankasının kartından 18,7 milyon som ve Xalq Banki kartından 2,8 milyon som’un çekildiğini bildirdi.
“Unired hesabıma erişmeye çalıştım ve başarılı oldum. Hesabıma girdiğimde, benimki olmadığı, ancak başka bir bilinmeyen adına başka bir kimlikle doğrulandığı görülüyordu,” diye yazdı Diyorbek.
Yukarıda belirtilen üç vakada da mağdurlar gece uyumakta olduklarını (tüm vakalarda işlemler 02:00 ila 06:00 arasında yapıldı) ve hiçkimseye kodları sormadıklarını veya aktarmadıklarını iddia etti. Bu vakalarla ilgili olarak kolluk kuvvetleri nezdinde başvuruda bulunulmuştur.
Gazeta.uz, en az 16 kişinin izinsiz para transferlerinden mağdur olduğuna ve kendilerine verilen zararın miktarının neredeyse 1 milyar som olduğuna dair bilgi aldı. Şu ana kadar bu bilgi devlet kurumları tarafından netleştirilmemiştir.
Ayrıca, 11 Kasım Cumartesi günü, Potrebitel.uz grubundan bir üye, Octobank (eski adıyla Ravnaq Bank) tarafından verilen Humo kartından aşırı miktarda para çekildiğini bildirdi.
Bir kadın tarafından gönderilen ekran görüntülerinden, Unired’in kartından para çekme işlemlerini doğrulamak için birkaç kez kod gönderdiği görülmektedir. Yazarın ifadesine göre, kodları hiçkimseye vermediği belirtiliyor. Bununla birlikte ekran görüntülerinden elde edilen bilgilere göre, karttan üç işlemde toplam 43 milyon som çekilmiştir.
Bu kadının kartını veren Octobank daha sonra durumu yorumladı. Banka çalışanları olayı araştırdı ve para transfer işlemlerinin Unired Mobil uygulaması aracılığıyla yapıldığını ve tüm işlemlerin Unired Mobil’den gönderilen SMS kodları ile doğrulandığını tespit etti.
“Octobank’ın dolandırıcılığa karşı koruma sisteminde herhangi bir eksiklik veya arıza olasılığının hiçbiri tespit edilmemiştir,” denildi.
Banka, müşterinin hesabının dolandırıcılığa karşı yazılım tarafından korunuyor olsa da, müşteriye sözlü, yazılı, kötü amaçlı yazılım, sahte phishing sitelerinden gönderilen SMS kodlarının zayıflıklarından biri olduğunu ekledi.
