Payoneer Hesabım Hacklendi – Bu Şekilde Geri Aldım
Paypal’ın ülkemizde kapanmasından sonra popüleritesi bir tık daha artan Payoneer‘in bir kullanıcısı olarak geçen yılın sonunda başıma gelen bir olayı paylaşmak istiyorum. Payoneer hesabım hacklendi ve nasıl kurtardığımı sizinle paylaşacağım.
Okuduktan sonra eğer ki sizin de başınıza benzer bir olay gelirse, (ki umarım gelmez diyeceğim, ama bu yazıyı okuyorsanız muhtemelen gelmiş olmalı, şimdiden geçmiş olsun), hesabınızı nasıl kurtarabileceğiniz ve çalınan paranızı nasıl geri alabileceğiniz konusunda umarım yardımcı olacak nitelikte olur.
Payoneer nedir? Nasıl çalışır?
Payoneer bildiğiniz üzere bir para transfer platformu. Bank of America iştiraki bir kuruluş olan Payoneer’in çalışma mantığı ise, yurtdışında bir şekilde iş yapıyor ve oradan size para ödeyecek kişi ya da şirket Türkiye’ye parayı direk gönderemiyorsa ya da gönderse de transfer ücreti maliyetli olduğu için bu yolu tercih etmiyorsanız, sizin adınıza Amerika’da bir banka hesabı açıp ödemenizi oraya almanızı sağlayan bir sistem.
Daha sonra hizmet verdiği 200’den fazla ülkedeki vatandaş, bu Amerika hesaplarındaki paralarını kendi ülkelerine çekmekte.
Aslında sistem o kadar da karmaşık değil. Yani orada hesap burada hesap, para swift ile yola çıkıyor gibi bir durum söz konusu değil. Türkiye’de anlaşmaları oldukları Aktifbank aracılığıyla sizin hesabınıza kazancınızı gönderme talimati veriyorlar. Daha sonra onlar kendi aralarında helalleşiyorlar.
Sizin de aslında filan ülkede kazanıp Amerika hesabına yatmış olan paranız, swift ücreti gibi yüksek komisyon tutarı olan bir işlemden geçmeyip, Türkiyede bulunan bir bankadan (Aktifbank) >> Türkiye’de bulunan hesabınıza (örn: İş bankası) EFT çekilmiş oluyor.
Neyse bu kısa gibi görünen uzun tanımdan sonra konuya geri dönelim.
Payoneer hesabım nasıl hacklendi?
Aralık 2019 ortasında gece saat 2:00 gibi internette dolanırken, bilgisayarımın hacklendiğini anladım. Nasıl mı? Aslında işin özünde her adımda tamamen benim hatam olmasından dolayı tüm bu olaylar başıma geldi.
Nereden geldiği belli olmayan müthiş özgüvenimle o güne kadar bilgisayarıma antivirüs de kurmamış olmam, ve buna ilave de muhtemelen bir kaç gün öncesinde farkına varmadığım bir yere tıklamış olmam yüzünden, daha sonra araştırırken öğrendiğim kadarıyla, RAT diye virüs yemişim.
Tam fonksiyonunu bilmesem de, karşıdaki adam benim bilgisayarı, sanki benim yerimde oturuyor gibi kullanmış. Ya da ben öyle anladım.
Dediğim gibi, gece 02:00 civarında internette takılırken, birden fark ettim ki, webcam’ın mavi ışığı yanmaya başladı. Kafamı kaldırıp kameraya doğru baktım ve 2-3 saniye sonra ışık söndü. O an sevgili hırsızımız hacker ile aslında göz göze geldiğimin farkına vardım.
Daha sonra da sırayla bankalardan giriş SMS onay kodları, Bitcoin borsalarına giriş için onay mesajları ardı ardına geldi. Arkadaş uslanmıyor da, inatla ardı ardına giriş denemesi yapıp kod gönderiyordu. Acemi hacker mıydı ne…
Browser’lere şifrelerinizi kaydetmeyin.
Daha sonra anladım ki Chrome browser’a o güne kadar kaydettiğim bütün parolaları almış olmalıydı. Çünkü bütün sitelere aynı anda girebilmenin başka bir yolu yoktu ki. Evet haklıymışım, öğrendim. D sürücüsüne Log dosyası olarak tüm Chrome browser şifrelerini atmış.
Dur bir saniye… O şifrelerin içinde mail hesaplarım ve şifreleri de vardı. E bazı siteler girişte SMS göndermek yerine mail onay kodu gönderiyordu. O zaman esas oğlan gidip oradan kodları alıp girebilirdi. Bu yüzden hemen bütün şifreleri değiştirmem gerekiyordu.
Panikten kalbim boynumda atarken ve soğuk soğuk terlerken hemen bütün şifreleri değiştirdim. Sonra telefondan banka borsa vs girip hepsinde bir kayıp var mı diye de kontrol ettim. Biraz rahatlamıştım ki, sonradan hemen şarj etti. Şifreleri zaten virüs olan bu bilgisayarda değiştirmiştim. Zaten içinde virüs varken ne işe yarayacaktı ki yeni şifre?
Kısa bir süre kendime kızdıktan sonra hemen arkadaşın evine koşup şifreleri yine orada teker teker değiştirdim ve kayıp var mı diye yine kontrol ettim. Şükür yoktu, ve yeni şifrelerle şimdilik hacker arkadaşla aramızdaki bağı koparmıştım.
Naçizane tavsiyem, siz yapmayın. Şifrelerinizi Google Chrome ya da diğer browserlarda kaydedip tutmayın. En azından para ile ilgili olanları. Vicdansızlar hiç acımıyorlar. 😛
O gün panikle aklıma gelmeyen Payoneer hesabım, bir kaç gün sonra aklıma geldi ve ‘hesabımdaki parayı çekeyim de bari ne olur ne olmaz biz garanti işe bakalım’ diye düşündüm. Payoneer hesabıma girdim, ve ne olur ne olmaz’ın ‘ne olur’ kısmının çoktan olmuş olduğunu gördüm. Tabi ben, o şok senin bu şok benim dolaşıyorum.
Payoneer’de 2FA yok. Güvenlik bizim bankaların yanında sıfır
Hesaptaki tüm bakiye, saçma sapan bir mail adresine ‘service fee’ olarak bir kaç gün önce gönderilmiş, para karşı tarafa çoktan aktarılmıştı. O gün uyanık olsam ve hemen açsaydım paranın transferi daha yolda onay aşamasındayken durdurulabilecekken, çoktan ne varsa gitmişti.
Payoneer’in buradaki eksik yanıysa, hemen hemen ‘para’ ile ilgili diğer tüm paltformlar bu tarz para çekme, farklı IP adresinden girme gibi durumlarda onay mesajı ya da mail’i gönderirken, Payoneer tüm o parayı selamsız sabahsız direk karşı tarafa göndermişti.
Hemen panikle Payoneer destek sayfasını açtım ve ne yapabilirim diye araştırmaya başladım.
Şöyle diyordu; Payoneer hesabınızın hacklendiğinin farkına varmanız durumunda hemen vakit kaybetmeden New York ofisimizi arayın. Mail yoluyla ulaşmanız geç cevap alacağınız işerin uzamasına neden olur vs. Hemen bir yandan telefon numaralarına bakarken, bir yandan Vodafone yurt dışı arama ücretlerine bakıyorum… Telefon numaraları tel: +1-646-658-3695 bu arada.
Bu da ilginizi çekebilir: Ücretsiz kullanabileceğiniz 16 RDP sitesi
E aradıktan sonra başa gelecek olan belli. Belki 1 saat sürecek bir konuşma geçecek. Sonra işin astarı yüzünden pahalıya gelmesin. Neyse ki, Vodafone Red‘li tarifelerde yurt dışı aramalar sadece dakikalardan gidiyormuş, ücretsizmiş. Bu noktada Vodafone’nin da notunu hemen bonus puanla beraber artırdım, aferim çocuklara, iyi çalışıyorlar dedim.
Tahmin ettiğim gibi hatta daha uzun, yaklaşık 1.5 saat süren bir arama geçekleşti okyanus ötesine. Dakikalarca beni bekleten santral bekletme müzikleri, vs… sonra bir kadın çalışan telefonu açtı ve ben de durumu ona izah ettim. Bana, ‘sizi hemen güvenlik birimimize aktarıyorum, orada bana anlattıklarınızı tekrar anlatın onlar size yardımcı olacaktır’ dedi.
Yine bekleme, yine gereksiz müziklerden sonra bir adam telefona cevap verdi ve tekrar durumu anlatmamı istedi. Ona da yukarıda söylediğim gibi, Payoneer hesabım hacklendi dedim ve biraz çemkirdim. ‘En ucuz siteler bile SMS onay kodu gönderirken,
Payoneer gibi büyük ve sadece para ile ilgili çalışmaları olan bir şirket nasıl olur da bu kadar güvenliksiz olur, bir hacker nasıl kolaylıkla sitenize girebilir’ dedim. Adam bir utandı, bir üzüldü, önüne eğdi kafasını, sorma gitsin… Yok öyle olmadı. Bu tarz olayların sık sık denendiğini ve durum için üzgün olduklarını, gerekli işlemlerin yapılacağını söyledi…
Durumu anlattıktan sonra, Bir kaç güvenlik sorusu sordu, email adresimi değiştireceğini ve hesabımın geçici olarak bloklanması gerektiğini söyledi. Bu bloklanma süresince inceleneceğini, daha sonra bir karar verilip giden paranın istikbali ne olacağına dair kararlarını bana söyleyeceklerini söyledi. Tamam dedim ve telefonu kapattım ama, tabii ki hiç ama hiç umut yok – o an için.
Poyoneer hesabının kurtarılması 2 ayı bulur
Bir hafta kadar bekledim ve yine bir taciz atışı yapma niyetiyle müşteri hizmetlerinin canlı sohbet kısmından ulaştım. Gerçekten mi çok yoğunlar yoksa bir yıldırma politikası mı bilmiyorum ama genellikle bağlan dediğimde hep önümdeki kişi sayısının 50 – 60, bekleme süremin 1,5 saat falan gibi olduğunu gördüm. Neyse zaten bilgisayarın başında olduğumdan dert etmedim ve bekleyerek bağlandım.
Bu da ilginizi çekebilir: İçeriğinizi kopyalayan site Google arama’dan nasıl kaldırılır?
Yine aynı şekilde, böyle büyük bir şirketin nasıl acemice hesabımın hacklenmesine müsaade edebildiğini, neden SMS onayları ya da 2FA gibi güvenlik sistemleri olmadığı konusunu dillendirip sitem ettim. Zor kazanılmış paramı bir hırsız alıp gidiyor, siz de hiçbir şey yapmıyorsunuz, böyle hissediyorum falan gibi de ilave ettim.
Gereğinin yapılacağını, bizzat kendisinin ilgileneceğini falan söyledikten sonra, yine kapatıp hayatıma devam ettim. Yine aralıklarla, her hafta bu canlı chat kısmına bağlanıp aynı şeyleri farklı farklı insanlara söylemeye devam ettim.
Yaklaşık 2 ay geçtikten sonra, şubat ortaları gibi hesaba yatan başka bir para geçti mi diye bakmak için giriş yaptım ve ne göreyim, bingo! parayı geri yatırmışlar. Sevinerek, hemen tekrar canlı sohbete bağlandım ve teşekkür edip başarılarının devamını diledim.
Müşteri temsilcisi bana işleyişin hep bu şekilde olduğunu, 2 ay kadar sürebildiğini ama neticelendiğinde eğer her hangi bir kötü niyet yoksa ve kendi güvenlik zaafları yüzünden böyle bir durum gerçekleşmişse hesabın kurtarıldığını belirtti.
Yani işin özü, ben okyanus ötesi bir lokasyonda ikamet ederken Payoneer’e sorunu bildirdiğimde herhangi bir yaptırım gücümüz olmadığı için ilk başta hesabın kurtarılması anlamında hiç umudum yoktu. “Kusura bakmayın yapicek bişey yok” deseler kime şikayet edebilecektim ki? Ama düşündüğüm gibi olmadı ve Payoneer şirketi benim nazarımda güvenilir olduklarını ispat ettiler. Tekrar kendilerine teşekkür ediyorum.
Payoneer güvenilir mi?
Evet, istemeden de olsa en olmayacak şekilde test etmiş ve onaylamış oldum ki, Payoneer güvenilir bir platform.
‘Başına gelen bu olaydan sonra hala Payoneer güvenilir bir sistem mi diyorsun?’ derseniz şayet, şunu diyebilirim ki, bu tarz hackleme olayları kasasında para tutan her platform için yapılıyor, önemli olan servis kalitesi, yani müşteri hizmetleri kalitesi diye düşünüyorum. Başınıza böyle en kötüsü geldikten sonra arkanızda durup kaybınızı geri veren birileri için ne denilebilir ki?
Bu da ilginizi çekebilir: Udemy ücretsiz kurslar 2021 (sürekli güncel)
Şikayet edebileceğiniz onca mercii varken Türkiye’deki bankaların bile bu konularda vurdumduymaz davrandığı bir dönemde, şikayet edebilebileceğiniz bir kurumun olmadığı, bunu kendilerinin de bildiği halde, biraz geç de olsa yardımcı olmaları ve işleri yoluna koymaları ‘Payoneer güvenilir’ demek için yeterli sanıyorum.
Son olarak sizin de başınıza böyle bir durum gelirse, ki umarım gelmez, benim yaptığım hataları yapmayın ve naçizane tavsiyem bu adımları mutlaka uygulayın.
Payoneer ya da bir başka hesabınızın ele geçirilmemesi için:
- Mutlaka premium Kaspersky, Avast vs. gibi bir internet security paketi kullanın,
- Önemli hesap şifrelerinizi asla browser’a kaydetmeyin,
- Şifrelerinizin içinde mutlaka özel karakterler bulunsun @,!,%,^,=* vb. gibi
- Şifrelerinizi düzenli aralıklarla değiştirin ama tahmin edilebilir kalıplarda değil. Örn: eski şifreniz ŞifrE!%@125 gibi bir şeyse, yenisini ŞifrE!%@126 yapmayın.
- Düzenli aralıklarla email adresinizi Google, duckduckgo, pastebin gibi sitelerde aratın. bir şekilde sızmışsa görme ihtimaliniz var.
Payoneer hesabınız hacklenince kurtarmak için:
- Hiç vakit kaybetmeden sitelerindeki numaraya telefon edin. Mail ya da chat gibi iletişim araçlarıyla uğraşmayın,
- Güvenlik sorularınızı unutmuş olmayın, soracaklar,
- Hesabınız yetkililer tarafından bloklanacak ve beklemeye alınacaksınız. Siz beklemeyin ve olayın soğumasına izin vermeyin, ara ara arayın ya da benim yaptığım gibi mesaj yazın.
- Muhtemelen Payoneer’e bağlı diğer hesaplarınız da hacklenmiştir, hemen tüm şifrelerinizi farklı bir cihazda sıfırlayın.
Umarım yazımı faydalı bulmuşsunuzdur. Görüşmek üzere.
Payoneer’i Ysense anket ödemelerimi almak için kullanıyorum ve şimdiye kadar iki kez 49 dolar aldım. Sorun yaşamadım ama senin örneğinde görülebileceği gibi yaşamayacağım anlamına gelmiyor.