
English: 
So i'm going to talk about one of my areas of research which is and banking fraud and the technology, that's used to prevent it
But, also
Understanding how it actually happens because unless you understand that it's not going to be possible to come up with techniques that will actually
Prevent it effectively probably start, by looking at how
You the most common are more sophisticated frauds happen, and that will help us understand about, why
The, banks designed the defenses the way that they, do and then, we can, maybe look a bit more about how
The defenses actually work in a bit more detail
The a problematic situation for bank customers is something called the the man-in-the-browser attack so it's not very good name
it comes from
Terminology in banking or computer security more broadly called man-in-the-middle and this is where the adversary is?
somewhere between the person

Turkish: 
Bu yüzden, araştırma alanlarımdan biri olan ve banka dolandırıcılığı ve teknolojiyi engelleyen teknolojilerden bahsedeceğim.
Ayrıca
Bunun gerçekte nasıl gerçekleştiğini anlamak, çünkü gerçekte olacak tekniklerle ortaya çıkmanın mümkün olmadığını anlamazsanız,
Muhtemelen etkili bir şekilde nasıl önlendiğini görün
Sizler arasında en yaygın olanı, daha karmaşık sahtekarlıklardır ve bu, nedenini anlamamıza yardımcı olacaktır.
Bankalar, savunmaları bizim yaptığımız gibi tasarladılar, ve sonra, belki biraz daha yakından bakabiliriz.
Savunmalar aslında biraz daha ayrıntılı çalışıyor
Banka müşterileri için sorunlu bir durum, tarayıcıdaki adam saldırısı adı verilen bir şeydir, bu yüzden çok iyi bir isim değil.
dan gelir
Bankacılık veya bilgisayar güvenliğindeki terminoloji, daha geniş bir biçimde ortadaki adam olarak adlandırılır ve rakip nerededir?
kişi arasında bir yerde

Turkish: 
İşlemi kim meşru bir şekilde yapıyor, sonra işlemi alan kişi bu yüzden bu durumda banka
Ancak, ortadaki adam yerine tarayıcıdaki adam olarak adlandırılan nedenler, rakiplerin ağdaki bir yerde olduğu gibi değil.
Muhalif, aslında kurbanların bilgisayarına yazılım koydu
vasitasiyla
kötü amaçlı yazılım veya
Ve sonra bu kötü amaçlı yazılım, bunun böyle olduğunu düşünürsek, kişinin gördüklerini engelliyor mu?
Mağdurlar, web tarayıcısı, hesap numarasını girersin
Parayı sana yatırmazsın ve sonra bir kereye mahsus şifre girersin
eskiden nasıl çalıştığı hakkında, bankaların, insanların girdiği birçok şifreyi içeren bir sayfa gönderecekleri nasıldı?
Hayır, bu insanların cep telefonları var ama bir şeyi yazıyorlar, şifre biraz güvende görünüyor ama sorun
Tarayıcıda bir erkek varsa
Dahil bu aslında gerçek bankacılık sitesi değil bu sadece bir gözetleme ekranı

English: 
Who is legitimately doing the transaction, and then the person who's receiving the transaction so in this case the bank
But the reasons called man-in-the-browser rather than man-in-the-middle is it's not like the adversary's just out on the network somewhere
The adversary has actually put software onto the victims computer
through
malware or however
And then that malware is interfering with what the person sees if we think about this is the?
Victims, web browser, you'd put in the account number you
Won't send money to you put in the amount and then you'd put in a one-time password
how, about used to work, is that banks would send a sheet of paper with lots of passwords that people taped in
No, these people have got mobile phones but, they type in a one thing, password this looks kind of secure but the problem
Is that if there is a man in the browser
Involved this is not actually the real banking website this is just a peek screen

English: 
That is set up?
By the malware what's really happening
Is that the criminal is booting in the criminals account number and
A much larger about and this is a detail that is being?
Sent to the bank the bank will only accept the transaction if the one-time password is correct
That's fine because the customer is going to put in the one-time
Password here the malware will receive it and then the one tank password in there and then the bank will get the transaction
But the bank will see the criminals transaction
not the one that the customer actually intended so the customer is logged on to online banking and
The, details that the tape in are or something like ping, they'll just email, where
Gas bill but actually there could be transferring 100,000 to the criminals account, and
because the
Transaction is actually coming from
The, victims, own computer and is coming from their own web browser i hope yet a hike

Turkish: 
Ayarlandı mı?
Kötü amaçlı yazılım tarafından gerçekten neler oluyor
Suçlu suçlu hesap numarasında önyükleme yapıyor mu ve
Hakkında çok daha büyük ve bu olan bir detay?
Bankaya gönderilen banka, yalnızca bir kerelik parola doğru olduğunda işlemi kabul eder
Sorun değil çünkü müşteri bir kereye mahsustur
Şifre burada kötü amaçlı yazılım alacak ve oradaki bir tank şifresini alacak ve daha sonra banka işlemi alacak.
Ancak banka suçluları işlem görecek
Müşterinin gerçekte amaçladığı kişi değil, müşterinin çevrimiçi bankacılıkta oturum açması ve
Teybin içinde olduğu veya ping gibi bir şey olduğu gibi, e-postayla gönderilecek,
Gaz faturası ancak aslında 100.000'i suçluların hesabına transfer ediyor olabilir ve
Çünkü
İşlem aslında geliyor
Kurbanlar, kendi bilgisayarları ve kendi web tarayıcılarından geliyorlar, umarım bir zam

Turkish: 
Tam anlamıyla meşru olan bankanın bakış açısından web tarayıcısı
bu yüzden birçok ülkede bankacılık endüstrisi için bu büyük bir problemdi.
Avrupa’nın çoğu
Sadece bir defalık şifreye sahip olmakla kalmadı
İşlemle bağlantılı parola bu yüzden sadece sanmıyorum
Düşünüyorum ki, kimsenin bir düşünme işlemi olduğunu düşünenler, benim yaptığım deneyimlerden harekete kimlik doğrulaması denir.
Evde uzun zamandır bu küçük cihazların olduğunu biliyorum, her ne kadar olsa, birkaç, birlikte, evet getirdin?
Yer hala bu düz tek seferlik kullanıyor
Dünyada genel olarak şifre ve sistem
Yine de, Amerika bankacılık ve bankacılık güvenliği için çoğu koşulda oldukça karmaşıktır.
Amerika'da aslında para durdurmak için çevrimiçi bankacılık yapmak oldukça alışılmadık bir durum
Avrupa’nın çoğunda gitmiş olmalarına rağmen hala çekler kullanılıyor ve İngiltere’de bankalar kurtulmaya çalışıyor?
onlar çok

English: 
Web browser from the bank's perspective that's perfectly legitimate
so this was a big problem for the banking industry in lots of countries so the banks in
Most of europe have now moved over to
Not only having a one-time, password but, making that one-time
Password linked to the transaction so it's not just i think
Ii think, who someone is it's a think eating transaction it's called transaction authentication, from my experience we've been using
These little devices at home for a long time i know, you've brought a, few, along, yeah although, any?
Place is still using this straight one-time
Password and system in the world so in general
Even though, america is quite sophisticated most circumstances for banking and banking security they're quite behind so
In america is actually quite unusual to do online banking for moving money around stop
Checks are still being used even though in most of europe they're gone and in the uk the banks are trying to get rid of?
them so

Turkish: 
Genel olarak, özellikle karmaşık bir bankacılık güvenliğine sahip değilsiniz.
Ancak bazı açılardan, müşteri için aslında daha iyi
Çünkü bizdeki bankacılık yasaları çok fazla tüketici odaklı ve temelde bir şeyler ters giderse
Banka bile paranızı geri verecek
Eğer banka ihmalde bulunduğuna inanıyorsa, kimsenin yapmasını makul bir şekilde beklemeyeceği bir şey yaptınız
Yine de yasal olarak paranızın çoğunu geri vermek zorundadır ve pratikte gerçekte paranızın tümünü geri verirler.
Avrupa ve İngiltere
daha iyi bankacılık teknolojisine sahip
Ancak sık sık yanlış gittiğinde, müşteri aslında maliyeti öder
Yaptığım diğer şeylerden biri de düzenleyicilerle konuşmak.
Onlara bankacılık teknolojisine bakarken söyleme
Ve bu bankacılık teknolojisi, dolandırıcılık maliyetini müşteriye kaydırmak için kullanıldığında,
için
bakalım
Güvenlik teknolojisi aslında düzgün çalışıyor

English: 
The in general don't really have any particularly sophisticated banking security
But in some ways, that's actually better for the customer
Because the banking laws in the us are very much consumer focused so essentially if anything goes wrong
The, bank will give your money back even
If the bank believes that you've acted negligently, you've done something that, no one could reasonably expect it to do they're
Still legally obliged to give most of your money money back and in practice they're actually give all of your money back
The europe and the uk
does have better banking technology
But when it goes wrong often the customer actually pays the cost so
one of the other things i've been doing is talking to regulators and
Telling them that when they're looking at banking technology
And when that banking technology is being used to shift the cost of fraud to the customer they should look
to
see if the
Security technology is actually working properly

English: 
And whether it's reasonable to meet customers lie or for fraud when they, don't really have any choice about how
the
system works or how it's designed certainly in europe the more simplistic systems are either gone or they're going to be
Eliminated because there's a new european law?
Called the payment services directive - which actually mandates the more secure transaction authentication
However it like most laws doesn't actually see the technical details about, how
Things are going to work, and that's probably
Good, because politicians are not very good in developing technology it just says what
What criteria the system should meet and so there's a. Huge diversity
Across all of europe, and even within countries has to have these technologies work and in terms of cryptography
They're all basically okay, they, may not use the most modern of cryptography so for example

Turkish: 
Müşterilerle yalan söylemenin ya da sahtekarlık yapmanın makul olup olmadığı, gerçekten nasıl bir seçeneğe sahip olmadıkları
sistem çalışır veya kesinlikle Avrupa'da nasıl tasarlanırsa daha basit sistemler ya gider ya da olacaklar
Ortadan kaldırıldı çünkü yeni bir Avrupa kanunu var?
Ödeme hizmetleri yönergesi denir - bu aslında daha güvenli işlem kimlik doğrulamasını zorunlu kılar
Bununla birlikte, çoğu kanun gibi aslında teknik detayları görmüyor.
İşler işe yarayacak ve bu muhtemelen
İyi, çünkü politikacılar teknolojiyi geliştirmede çok iyi değil, sadece ne diyor
Sistemin hangi kriterleri karşılaması gerektiği ve böylece bir var. Büyük çeşitlilik
Tüm Avrupa genelinde ve hatta ülkeler içinde bile bu teknolojilerin çalışması ve kriptografi açısından kullanılması zorunludur.
Hepsi temelde tamam, örneğin, en modern şifreleme yöntemini kullanmayabilirler.

Turkish: 
Bankacılık sistemleri genellikle daha modern aes şifrelemesinden ziyade veri şifreleme standardını kullanıyor
Bloke et, şifrele ama bu çoğu amaç için esasen önemsiz.
Yaptıkları yer çok değişkenlik gösterir ve çalışma şekilleridir.
İnsanların onlarla etkileşime girmesi ve bu onların güvenliği açısından gerçekten çok büyük bir fark yaratmasına neden oluyor, çünkü eğer biri nasıl karıştıysa,
Çalışırlar
O zaman kolayca yanlış bir şeyler yapmak için kandırılabilirler ve
suçluların aslında bunu yaptığını gördük, bu yüzden suçluların geleneksel bir numarası
Teknolojiyi farz edersek, gördükleri gibi çalışırlar, web tarayıcınızdan ele geçirirler ve size söylerler
Bazı hikayeler ve hikayeler normalde gerçekleşen çizgilerden geçer.
Hesabınızda ve hesabınızda bir miktar hata oluştu
Bu parayı geri gönderene kadar kilitlenecek
Meşru emri ve çevrimiçi bankacılığınıza giriş yapın ve ifadenize bakın.
Bu, sahte, işlem orada olacak, bakiyeniz normalde olacağından çok daha büyük olacak ve

English: 
Banking systems often use there's the data encryption standard rather than the more modern aes encryption
Block, cipher but that's essentially irrelevant for most purposes
Where they do vary a lot is in the way that they work and the way
That people interact with them and that actually causes a, huge difference in terms of their security because if someone is confused about how
They work
Then they could be quite easily tricked into doing something wrong and
we've seen that criminals actually are doing that so one traditional trick by criminals is
Assuming the technology, works what they will see is they'll take, over your, web browser and they know, tell you
Some story and story normally goes along the lines off there's been
Some error money has appeared in your account and your account
Is going to be locked until you send this money back to
The legitimate order and if you log on to your online banking and look at your statement then
This, fake, transaction will be there your balance will be far larger than it normally will be and

English: 
There will be instructions about transferring, this money back to the right person but actually
That's all fake, the money has not appeared in your account
And the so-called legitimate owner of the money is actually the criminals accountant so you use one of these devices to
Authorize a transaction to move this money but actually, you're sending
Your, own money to the criminals and it could be a long time before you notice that this has been going on
And that sort of?
Scam works because people were too distracted
By trying to make the technology work in any way whatsoever that they?
Don't actually have the time to think about whether they really should be using this
Technology, to do that transaction so essentially the more obvious and the easier you, make the technology the less likely
Is that criminals are going to be able to get people to act and in secure ways it seems to me that's kind of a

Turkish: 
Bu parayı doğru kişiye geri göndermekle ilgili talimatlar olacak ama gerçekte
Hepsi sahte, para hesabınızda görünmedi
Ve paranın sözde meşru sahibi aslında suçlu muhasebeci, yani bu cihazlardan birini kullanıyorsanız
Bu parayı taşımak için bir işlem yetkilendirin, ancak aslında gönderdiğiniz
Suçlulara, kendi paranız ve bunun devam ettiğini fark etmeden çok uzun zaman alabilir
Ve bu tür?
Aldatmaca işe yarıyor, çünkü insanlar çok dikkatin dağıldı
Teknolojiyi, her ne şekilde olursa olsun çalışacak hale getirmeye çalışarak?
Aslında bunu gerçekten kullanmaları gerekip gerekmediğini düşünecek vaktiniz yok
Teknoloji, bu işlemi yapmak için ne kadar belirgin ve kolay olursanız, teknolojiyi o kadar az olası kılarsınız.
Suçlular insanların harekete geçmelerini sağlayacak ve güvenli bir şekilde bana öyle geliyor ki?

English: 
Phishing attack mixed with mal water so what's going, on with the devices themselves, why, have they, had to resort to that yeah so there's
three broad categories
so
there's the
Devices that you put your card into it like this one these are very common in the uk this isn't a
Uk, device this is from the netherlands it's got a
Keypads it's got a few buttons and it got like hard
That goes into it really the
Device is not doing very much in this case all the work is actually being done by the card and that's, why
People can actually, use someone else's device
In the uk even a device from a different bank and it will still work provided. They're, using their card
But because it's using a card it's got some limitations so the first one is going to be actually quite big and chunky
because it's got to be large enough to have batteries that parish the card and
It's got to be large enough to physically have the card inside it and that's one reason they're
Unpopular so the alternative is device like this so this is still got a

Turkish: 
Sızma saldırısı mal suyla karıştığında neler oluyor, cihazların kendileri ile neler oluyor, niçin, onlar buna sahip olmak zorundaydılar, evet.
üç geniş kategori
yani
işte
Kartınızı buna taktığınız cihazlar, bunlar İngiltere'de çok yaygındır.
İngiltere, cihaz burası Hollanda’dan.
Tuş takımları birkaç tuşa sahip ve zorlaşıyor
Bu gerçekten gider
Cihaz bu durumda pek bir şey yapmıyor, tüm işler aslında kart tarafından yapılıyor ve bu yüzden
İnsanlar aslında başka birinin cihazını kullanabilir
İngiltere'de bile farklı bir bankadan bir cihaz var ve hala sağlanmış olacak. Onlar kartlarını kullanıyorlar
Ama kart kullandığı için bazı kısıtlamaları var, bu yüzden ilki oldukça büyük ve tıknaz olacak.
çünkü kartı kesecek piller olacak kadar büyük olmalı ve
Kartın içine fiziksel olarak sahip olacak kadar büyük olmalı ve bu onların bir nedeni.
Sevilmeyen yani alternatif bir cihaz bu yüzden hala bir

Turkish: 
Tuş takımı, çok daha küçük çok daha ince piller daha küçük ve olabilir
Bunu yapın çünkü en azından kart yok. Bunun gibi bazı müşterilere koyun
ama olumsuz
Bu cihaz size bağlı değil mi yani, hesabınıza bağlı olan bu yüzden
Başka birinin cihazını ödünç alabilirsin
sahip olabileceğin gibi değil
Bir cihaz ev ve ne zaman iş vazo izin
Bunun gibi kart okuyucu cihazlarla yapabilirsiniz, ancak bu cihazların ikisinin de bir yolu olmalı.
bağlantı
işlem ayrıntılarına ve bu işlemin yoluna girdiği parolayı yazdığınız parola
Bir şey, parayı gönderdiğiniz hesap numarası veya hesabın son dört hanesi gibi. Parayı sen yolluyorsun
Ve bu biraz rahatsız edici demek istiyorum, özellikle de çok fazla yapmak zorundaysanız, bu yüzden, neden?
Başka bir cihaz var, bunun arkasında kamera 2d barkodu taramak için kullandığınız kamerada

English: 
Keypad, it's much smaller much thinner smaller batteries and it can
Do that because there's no card at least. Be put into it some customers like this
but the downside
Is that this device is no linked to you so this is the one that's linked to your account so it's not like
You can, borrow more someone else's device
it's not like you can have
One device home and when the vase of work let
You can, with the card reader devices like, these but with, both of these devices there's got to be some way for
linking the
password that it generates to the transaction details and the way that this works is you type in
Something, like either the account number you're sending the money to or the last four digits of the account. You're sending the money to
And that's a bit i mean inconvenient particularly if you have to do it a lot so that's, why
There's other, devices this has a little camera on the back you use that camera to scan a 2d barcode

English: 
That the bank shows. You, and that's much much easier for customers to use and
It means that you're
Not just authorizing the last four digits of the account, number the bank can actually send a lot, more details about the transaction so
Firstly, that reduces the amount of effort the customer needs to go to because they just scanned something rather and type something and also it
Gives them, more details which hopefully gives them a, better chance at trying to spot whether there's one of these scams at work
Then we've got yet another one this one also has a pin with all these devices you, want to check firstly
whether the transaction has been authorized but, also whether the right customer is doing the transaction, and
the traditional way to, do that is
Two factors so something the customer has and something they know
so for the card reader devices like this one it's do they actually have the card and
Do they know the pin it's a four digit pin this is got a four digit pin as

Turkish: 
Bankanın gösterdiği. Siz ve bu müşterilerin kullanması çok daha kolay ve
Demek oluyorsun
Sadece hesabın son dört hanesine yetki vermekle kalmayıp, bankanın gerçekte çok fazla şey gönderebileceğini, işlemle ilgili daha fazla ayrıntı gönderebileceğini söyleyin.
Birincisi, bu, müşterinin gitmesi gereken çabayı azaltır, çünkü daha çok bir şey taradılar ve bir şeyler yazdılar.
Onlara, işte bu dolandırıcılıklardan birinin olup olmadığını tespit etmeyi denemede onlara daha iyi bir şans verecek umuduyla daha fazla ayrıntı verir.
O zaman bir tane daha bulduk, bu cihazda ayrıca tüm bu cihazlara bir pim takıldı, ilk önce kontrol etmek istediğiniz
işlemin yapılıp yapılmadığı, ancak doğru müşterinin işlemi yapıp yapmadığı ve
geleneksel yol, bunu yapmak
Müşterinin sahip olduğu ve bildiği bir şey için iki faktör
Yani bunun gibi kart okuyucu cihazları için aslında kartı var ve
PIN'in dört basamaklı bir pim olduğunu biliyorlar mı?

Turkish: 
Peki, bu bir değil bir banka olabilir ama bankaların kullandıkları şekilde,
Müşterinin web sitesine bir şifre girmesi ancak şifrenin dört basamaklı bir pinten çok daha uzun olması gerekir
Çünkü sen yazarken?
Bir web sitesine şifreli bir suçlu, bu cihazların tümü ile birlikte çok ve çok sayıda şifre deneyebilir
İçine bir iğne soktuğunuz yer aslında cihazın kendisi
Pimlerin fazla girilmediğini kontrol eder, bu yüzden kart okuyucu kartının durumunda
Üzerinde sayacınız ve daha sonra üçe yaklaştığında kart kilitlenir ve benzer şekilde
Bu iki cihaz bir kerede tükenmez kalem girilmişse ve bu cihazlar
Onlar kilitlenirler, sen de tekrar kilidini açmak için bankayla konuşmalısın.
Botnet konusu, ilk veya en azından ilklerden biriydi.
Etki alanını bulmak için etki alanı oluşturma algoritmalarının tanıtılması, burada dinamik bir komut kontrol sunucusu bulabilecekleri yer

English: 
Well this you can have a pin this one doesn't but the way that the banks use that is that they, ask
The customer to enter a password into the website but the password has got to be much longer than a four digit pin
Because when you're typing a?
Password into a website a criminal can tried lots and lots and lots of passwords but with all of these devices
Where you type a pin into it the device itself actually
Checks, that the pin has not been entered too many times so in the case of the card reader card has got a
Your counter on it and then once that goes about three the card locks out and it's similar with
These two devices once the pen has been entered too many times and these devices
They, lock and you got to talk to the bank to unlock them, again
The topic botnet, was the first one or one of the first at least
Introducing the domain generation algorithms in order to find the domain, where they would have found a command control server in a dynamic

Turkish: 
Uzakta, enfeksiyon sırasında, ancak araştırmacılar tarafından 2009'da neler yapıldı?

English: 
Away, during the infection but, what has been done by researchers in 2009
