Kendilerini banka personeli veya diğer kurum/kuruluş personellerinden biri olarak tanıtarak bankacılık işlemlerine ilişkin bilgilerin ele geçirilmesi sonucu vatandaşların dolandırılması vakalarında son zamanlarda çok büyük bir artış var. Bu artışın nedeni yeni dolandırıcılık trendinin neredeyse gerçek bankacılık işlemi yaparken izlenen yol ile bire bir aynı olması.
Dolandırılan vatandaşların anlattığı senaryo şöyle; dolandırıcı vatandaşı kendi bankasının numarası ile aynı numaradan arıyor. Kendini banka personeli olarak tanıtan dolandırıcı direkt vatandaşın TC Kimlik numarasını , adresini , anne ve baba adını harfiyen tek tek söylüyor. Bu bilgileri vererek vatandaşı banka personeli olduğuna iyice inandırıyor. Daha sonra dolandırıcı bankanın güvenlik biriminden aradığını ve işlem teyidi almak istediğini belirtiyor. Vatandaşa kartından harcamalar yapıldığı ve bankadan yüksek miktarda online kredi taleplerinin yapıldığını belirten dolandırıcı , işlemlerin bilgisi dahilinde olup olmadığını soruyor. Doğal olarak da kart/hesap sahibi işlemlerin kendisine ait olmadığını belirtiyor. Bunun üzerine dolandırıcı, kart ve hesap bilgilerinin ele geçirilmiş olabileceğini, alışveriş yapılmasını engellemek için kart ve hesapların bloke edilmesi gerektiğini belirtiyor. Her işlemin iptali için ayrı şifre gönderileceği belirtiliyor. Dolandırıcı bu gelen şifreleri vatandaştan telefona tuşlamasını istiyor. Vatandaşta bankadan gelen gerçek şifreleri, telefona tuşluyor. (telefonun tuşlama sesinden hangi numaraya basıldığının dolandırıcı tarafından anlaşıldığı görülmekte.) Bu işlemlerin sonucunda dolandırıcı internet /mobil şube üzerinden kredi kartından nakit avans çekiyor veya anında hızlı krediyi alıyor. Ve dolandırıcı parayı kendi hesabına veya aracı hesaplara transfer ederek süreci tamamlanıyor.
Bu yukarıda bahsettiğim dolandırıcılık senaryosunu daha önce televizyon, gazete veya internette de görmüş olabilirsiniz. Yazının bundan sonrasında, cümle cümle bu dolandırıcılık trendi ile ilgili kendi görüş ve tespitlerimi paylaşacağım.
Dolandırıcılar vatandaşı kendi bankası ile aynı numaradan arıyor : Burada dikkat edilmesi gereken nokta, banka telefonu ile tek fark numaranın başında (+1) gibi bir kod bulunuyor. Bu bilindiği ve fark edildiği takdirde baştan bu dolandırıcılık girişimi engellenebilinir.
Kendini banka personeli olarak tanıtan dolandırıcı direkt vatandaşın TC Kimlik numarasını , adresini , anne ve baba adını harfiyen tek tek söylüyor. Bu bilgileri vererek vatandaşı banka personeli olduğuna iyice inandırıyor : Öncelikle bu dolandırıcılık , 50 milyon kişinin kimlik bilgilerinin internette paylaşılması, söz konusu bilgilerin başka kişilerce elde edilmesi sonucu ortaya çıkan risklerin bankacılık sektörüne yansımasıdır. Özellikle de alternatif dağıtım kanalları (internet bankacılığı ve mobil bankacılık) üzerine yansımasıdır. Bu kimlik bilgileri sızdığında, bankacılık çevreleri iki faktörlü doğrulamaya (müşterinin bildiği parola, sms ile gönderilen şifre) dikkat çekerek, bu sızan bilgiler ile işlem yapılamayacağını belirtmişlerdi. Ancak bu güvenlik duvarlarının sosyal mühendislik yöntemleri ile dolandırıcılar tarafından aşılacağı ve bir çok vatandaşın mağdur edileceği çok belliydi.
Daha sonra dolandırıcı bankanın güvenlik biriminden aradığını ve işlem teyidi almak istediğini belirtiyor. Vatandaşa kartından harcamalar yapıldığı ve bankadan yüksek miktarda online kredi taleplerinin yapıldığını belirten dolandırıcı , işlemin bilgisi dahilinde olup olmadığını soruyor. Doğal olarak da kart/hesap sahibi işlemlerin kendisine ait olmadığını belirtiyor. Bunun üzerine dolandırıcı, kart ve hesap bilgilerinin ele geçirilmiş olabileceğini, alışveriş yapılmasını engellemek için kart ve hesapların bloke edilmesi gerektiğini belirtiyor. Her işlemin iptali için ayrı şifre gönderileceği belirtiliyor : Bankaların güvenlik birimleri 7/24 banka üzerinden gerçekleşen her türlü finansal işlemi belli kriterler ve filtreler ile izleyerek takip eder, riskli olarak tespit edilen işlemler için müşterilerini arayarak işlem teyidi talep ederler. Bu teyidi almadan önce işlemin riskine göre bazı güvenlik soruları sorarak gerçek kart veya hesap sahibi ile görüşüldüğünden emin olurlar. Ve işlem detayını vererek, işlemin müşteri tarafından yapılıp yapılmadığını sorarlar. Eğer müşteri işlemi teyit etmezse, işlem kart ile yapıldı ise kartı kapatırlar, internet /mobil şube kanalı ile hesap bilgileri üzerinden izinsiz bir işlem tespit edildi ise şifreleri ve hesapları bloke ederler. Bu bloke işlemini de yaparlarken, herhangi bir şekilde müşterilerinden herhangi bir şifre talep etmezler ya da şifrenin telefona tuşlanmasını istemezler. Bu dolandırıcılığın yarattığı en büyük tehlikelerden biri de, banka müşterileri üzerinde oluşan güvensizlik nedeniyle artık banka güvenlik birimleri tarafından yapılan gerçek işlem teyidi aramaları da sonuçsuz kalıyor. Bu nedenle banka tarafından müşteriden alınacak geri bildirim ile tespit edilebilecek sahte işlemler veya kart dolandırıcılığı işlemleri tespit edilememektedir. Bankaların güvenlik birimleri için önemli bir kontrol noktası olan işlem teyidi süreci tıkanmaktadır.
Dolandırıcı bu gelen şifreleri telefona tuşlamasını istiyor. Vatandaşta bankadan gelen gerçek şifreleri, telefona tuşluyor. (telefonun tuşlama sesinden hangi numaraya basıldığının dolandırıcı tarafından anlaşıldığı iddia edilmekte) Bu işlemlerin sonucunda dolandırıcı internet /mobil şube üzerinden kredi kartından nakit avans çekiyor veya anında hızlı krediyi alıyor. Ve dolandırıcı parayı kendi hesabına veya aracı hesaplara transfer ederek süreci tamamlanıyor : Bu dolandırıcılık tipinde amaç, vatandaşın internet/mobil şubesine giriş yapabilmek için gerekli parola ve şifreleri ele geçirmek. Bunun için TCKN bilgisi zaten ellerinde, bu nedenle müşterinin bildiği parolayı resetlemeye çalışıyorlar. Bu adımda dolandırıcı banka tarafından sms ile gönderilen internet/mobil şube parolasını tekrar oluşturmak için gerekli bilgi doğrulama koduna ihtiyaç duyuyor. Vatandaşa banka tarafından gönderilen bu kod ve şifreleri, dolandırıcı mağdura telefona tuşlamasını istiyor. Bu yolla internet/mobil şube parolasını resetleyerek ele geçiyorlar. İnternet/mobil şubeye giriş yaptıktan sonra dolandırıcıların hedefi kredi kartından nakit avans çekmek, anında hızlı kredi olarak adlandırılan parayı çekmek ve bunu kendi hesapları veya aracı hesaplara transfer etmek. Bu işlemlerin her bir adımında banka cep telefonuna şifre gönderiyor. Mağdurların telefona art arda gelen şifreler olarak belirttikleri bunlar. Mağduru, kartlarından ve hesaplarından birçok işlem yapıldığına inandıran dolandırıcılar, sözde yapılan her işlemin iptali için ayrı şifre gönderileceğini belirterek kandırıyorlar. Ayrıca burada yapılması gereken inceleme, operatör üzerinden bankanın bire bir sahip olduğu telefon numarası ile nasıl arama yapıldığının tespit edilmesidir. Operatör tarafında büyük bir açık olduğu gözüküyor. İlgili kurum ve yetkililer bu konuda gerekli incelemeyi yapıyorlardır.
Oldukça organize bir yapı tarafından bu dolandırıcılığın yapıldığı ve bankacılık işlemlerinin bütün detaylarına çok hakim oldukları aşikar. Bu dolandırıcılık vatandaşın bankacılık işlemlerine ilişkin üçüncü şahıslarla paylaşmaması gereken bilgileri koruyamaması olarak kabul edilirse, bütün sorumluluk mağdur vatandaşa yüklenirse, bu ve benzeri vakaların sonu gelmez.
Yazımı, 50 milyon kişinin kimlik bilgilerinin internette paylaşılması, söz konusu bilgilerin başka kişilerce elde edilmesi sonucu bankacılık sektöründe ortaya çıkabilecek risklerin tartışıldığı günlerde, 11/04/2016 tarihinde BDDK tarafından yapılan basın açıklamasının son cümlesi ile bitirmek istiyorum.
“Kurumumuz Bankacılık sektöründeki olası sahtekarlık ve dolandırıcılık eylemleri ile mücadele konusunda ilgili kamu kurumları ve bankalarla sürekli iletişim halinde olup tehditlere karşı ilgili taraflarla işbirliği içerisinde gerekli tedbirlerin alınması sağlanmaktadır.”