Fiziksel ortamda gerçekleştirilen kart sahteciliği (Card present fraud) risklerini azaltan Chip & Pin uygulamasına geçiş ile birlikte, ödeme sektöründe yaşanan dolandırıcılık olaylarında farklı yöntemler ortaya çıkmıştır. Kayıp/çalıntı,sahte kart gibi dolandırıcılıkların azaldığı, hassas kart verisinin (kart numarası, son kullanma tarihi, kartın arkasındaki üç haneli güvenlik kodu) dolandırıcılık amacıyla kullanıldığı pos cihazı üzerinden tuşlanarak (MO-TO, Mail Order-Telefon Order Sahtecilikleri) ya da dolandırıcı tarafından web sitesinde yer alan ödeme sayfasına girilmek (Sanal POS sahtecilikleri) suretiyle yapılan işlemlerin arttığı görülmektedir.
Son yılların en popüler kart sahteciliği yöntemi, Çağrı Merkezleri aracılığıyla yapılan dış aramalar sonucu veya cazip mesajlarla Çağrı Merkezlerine yönlendirilerek tek kullanımlık işlem şifreleri ele geçirilmek suretiyle dolandırmaktır. Bu yöntem çağrı merkezi kanalıyla sosyal mühendislik yoluyla yapılan dolandırıcılık olarak da ifade ediliyor. Sosyal Mühendislik ; insanların zaafiyetlerinden faydalanark çeşitli ikna ve kandırma yöntemleriyle istenilen bilgileri elde etmeye çalışmaktır. İnsanların karar verme süreçlerini değiştirmeye yönelik teknikler içerir.
Polis ya da kamu görevlisi olarak arama, ödül kazandın diye mesaj atarak Çağrı Merkezine yönlendirme, Kredi kartı aidatı ve banka hesap işletim ücretini geri almak vadiyle kandırılma, **** takip numaralı kargonuz geldi ama adres yetersizliğinden teslim edilmedi diye mesaj atarak Çağrı Merkezine yönlendirme gibi ve birçok benzer sosyal mühendislik yöntemleri ile yapılan dolandırıcılığa günümüzde çok sık rastlıyoruz. Bu yöntemlerle mağdur edilen kişilerle konuştuğumuzda hemen hepsi aynı ifadeyi kullanıyor, “basiretim bağlandı”. Normal şartlarda asla vermeyeceği kart bilgisi ve tek kullanımlık işlem şifresinin bilgisi, bir şekilde karşı taraftaki dolandırıcı tarafından basireti bağlanarak alınıyor.
Bu konu ile ilgili daha önce yazılmış birçok yazıyı okudum. Hemen hepsinin ana teması yukarıda bahsettiğim örnek olayları sayarak, bu şekilde bir olayla karşılaştığınızda kart bilgilerinizi paylaşmayın veya inanılmaz tekliflere sakın inanmayındı. Mağdur kişilere baktığımız zaman toplumun her kesimine ait kişiler olduğunu görebiliyoruz. Burada uygulanan sosyal mühendislik yöntemleri değişerek veya gelişerek insanların karşısına çıkarak basireti bağlayabilir. Burada daha temel bir sorun var ve çözümü çok kolay değil.
Günlük hayatımızda çağrı merkezi kanalı ile kart bilgilerimizi paylaşarak gerçek işlemler yapabiliyoruz. Uçak bileti, otobüs bileti, araç sigortası, sağlık sigortası……. gibi birçok ürün ya da hizmet satın alabiliyoruz. Telefon order dediğimiz yöntemle; telefonda hassas kart verilerini paylaşıyoruz ve telefonun ucundaki agent tarafından bu bilgiler manuel olarak sisteme girilerek işlem tamamlanıyor. Kısacası Çağrı Merkezi üzerinden yapılan işlemler için hassas kart verisinin paylaşılması ve sonucunda bir hizmet ya da ürün alınması hayatımızın olağan akışı içinde var. Burada sahtekarların yaptığı tek şey, kart verisini almak için sadece ikna etmek. İkna edebilmenin basit yolları: taklit etme, kendini sevdirme, riayet etme, sorumluluk yayma ve sade bir arkadaş olarak görünebilmektir. Her şeye rağmen bu metotların kullanımının ana konusu insanların gizlice bilgilerini öğrenebilmek için inandırıcı olmaktır.
“Hassas kart verisi herhangi bir sisteme kart hamili haricinde bir kişi tarafından manuel girilemez.” BDDK tarafından hazırlanan taslakta yer alan madde yürürlüğe girse, Çağrı Merkezi arandığında ya da çağrı merkezi tarafından aranıldığında kart bilgileri sadece IVR üzerinden tuşlanarak işlem tamamlanabiliyor olsa; özetle telefonda kart bilgilerinin verilerek işlem yapılması hayatımızın olağan akışı dışına çıkarılsa; insanların basiretinin bağlanması belli bir ölçüde engellenmiş olur. Bu yöntemlerin inandırıcılığı ortadan kalkmış olur.