Perşembe , Ekim 24 2019
entr
Anasayfa / FRAUD / Çağrı Merkezi Kullanılarak Yapılan Kart Sahtekarlıkları, Sosyal Mühendislik

Çağrı Merkezi Kullanılarak Yapılan Kart Sahtekarlıkları, Sosyal Mühendislik

çağrı merkezi

Fiziksel ortamda gerçekleştirilen kart sahteciliği (Card present fraud) risklerini azaltan Chip & Pin uygulamasına geçiş ile birlikte, ödeme sektöründe yaşanan dolandırıcılık olaylarında farklı yöntemler ortaya çıkmıştır. Kayıp/çalıntı,sahte kart gibi dolandırıcılıkların azaldığı, hassas kart verisinin (kart numarası, son kullanma tarihi, kartın arkasındaki üç haneli güvenlik kodu) dolandırıcılık amacıyla kullanıldığı pos cihazı üzerinden tuşlanarak (MO-TO, Mail Order-Telefon Order Sahtecilikleri) ya da dolandırıcı tarafından web sitesinde yer alan ödeme sayfasına girilmek (Sanal POS sahtecilikleri) suretiyle yapılan  işlemlerin arttığı görülmektedir.

Son yılların en popüler kart sahteciliği yöntemi,  Çağrı Merkezleri aracılığıyla yapılan dış aramalar sonucu  veya cazip mesajlarla Çağrı Merkezlerine yönlendirilerek  tek kullanımlık işlem şifreleri ele geçirilmek suretiyle dolandırmaktır.  Bu yöntem çağrı merkezi kanalıyla  sosyal mühendislik yoluyla yapılan dolandırıcılık olarak da ifade ediliyor. Sosyal Mühendislik ; insanların zaafiyetlerinden faydalanark çeşitli ikna ve kandırma yöntemleriyle istenilen bilgileri elde etmeye çalışmaktır. İnsanların karar verme süreçlerini değiştirmeye yönelik teknikler içerir.

Polis ya da kamu görevlisi olarak arama, ödül kazandın diye mesaj atarak Çağrı Merkezine yönlendirme, Kredi kartı aidatı ve banka hesap işletim ücretini geri almak vadiyle kandırılma, **** takip numaralı kargonuz geldi ama adres yetersizliğinden teslim edilmedi diye mesaj atarak Çağrı Merkezine yönlendirme gibi ve birçok benzer sosyal mühendislik yöntemleri ile yapılan dolandırıcılığa günümüzde çok sık rastlıyoruz. Bu yöntemlerle mağdur edilen kişilerle konuştuğumuzda hemen hepsi aynı ifadeyi kullanıyor, “basiretim bağlandı”.  Normal şartlarda asla vermeyeceği kart bilgisi ve tek kullanımlık işlem şifresinin bilgisi, bir şekilde karşı taraftaki dolandırıcı tarafından basireti bağlanarak alınıyor.

Bu konu ile ilgili daha önce yazılmış birçok yazıyı okudum. Hemen hepsinin ana teması yukarıda bahsettiğim örnek olayları sayarak, bu şekilde bir olayla karşılaştığınızda kart bilgilerinizi paylaşmayın veya inanılmaz tekliflere sakın inanmayındı. Mağdur kişilere baktığımız zaman toplumun her kesimine ait kişiler olduğunu görebiliyoruz. Burada uygulanan sosyal mühendislik yöntemleri değişerek veya gelişerek insanların karşısına çıkarak basireti bağlayabilir. Burada daha temel bir sorun var ve çözümü çok kolay değil.

Günlük hayatımızda çağrı merkezi kanalı ile kart bilgilerimizi paylaşarak gerçek işlemler  yapabiliyoruz. Uçak bileti, otobüs bileti, araç sigortası, sağlık sigortası……. gibi birçok ürün ya da hizmet satın alabiliyoruz. Telefon order dediğimiz yöntemle; telefonda hassas kart verilerini paylaşıyoruz ve telefonun ucundaki agent tarafından bu bilgiler manuel olarak sisteme girilerek işlem tamamlanıyor. Kısacası Çağrı Merkezi üzerinden yapılan işlemler için hassas kart verisinin paylaşılması ve sonucunda bir hizmet ya da ürün alınması hayatımızın olağan akışı içinde var. Burada sahtekarların yaptığı tek şey, kart verisini almak için sadece ikna etmek. İkna edebilmenin basit yolları: taklit etme, kendini sevdirme, riayet etme, sorumluluk yayma ve sade bir arkadaş olarak görünebilmektir. Her şeye rağmen bu metotların kullanımının ana konusu insanların gizlice bilgilerini öğrenebilmek için inandırıcı olmaktır.

“Hassas kart verisi herhangi bir sisteme kart hamili haricinde bir kişi tarafından manuel girilemez.” BDDK tarafından hazırlanan taslakta yer alan madde yürürlüğe girse, Çağrı Merkezi arandığında ya da çağrı merkezi tarafından aranıldığında kart bilgileri sadece IVR üzerinden tuşlanarak işlem tamamlanabiliyor olsa; özetle telefonda kart bilgilerinin verilerek işlem yapılması hayatımızın olağan akışı dışına çıkarılsa; insanların basiretinin bağlanması belli bir ölçüde engellenmiş olur.  Bu yöntemlerin inandırıcılığı ortadan kalkmış olur.

Hakkında ibrahim kudret elçiboğa

1980 yılında İstanbul’da doğan İbrahim Kudret ELÇİBOĞA, İstanbul Üniversitesi Fen Fakültesi Fizik Bölümünden mezun oldu. Yine aynı üniversitede; İktisadi ve İdari Bilimler Enstitüsü’nde İşletme üzerine tezsiz yüksek lisans yaptı. Asteğmen olarak askerlik görevini tamamladıktan sonra, 1,5 yıl süreyle Akbank Çağrı Merkezi’nde Müşteri Temsilcisi olarak çalıştı. Daha sonra HSBC’de Chargeback uzmanı olarak 2 yıl görev aldı. 2008-2014 yılları arasında TEB bankasında Chargeback Yöneticisi olarak görev aldıktan sonra, 2014 yılında Atlasglobal Havayolları’nda Ödeme Sistemleri ve Fraud & Chargeback Müdürü olarak olarak göreve başladı. Hala aynı firmada görevini sürdüren İbrahim Kudret ELÇİBOĞA, fraud,chargeback,risk yönetimi,ödeme sistemleri ve e-ticaret hakkında görüşlerini ve makalelerini fraudandchargeback.com adlı kişisel sitesi üzerinden paylaşmaktadır. Ayrıca Fintechtime dergisi için uzmanlık alanları ile ilgili köşesinde makaleler yazmayı sürdürmektedir. Bunun yanında konusu ile ilgili çeşitli dergi ve internet sitelerinde yayınlanmış birçok makaleleri bulunmaktadır.

Check Also

Bilgi Güvenliğinde Ortak Akıl, Bilgiguvende.com

Bilişim teknolojileri hayatımızın her alanına girerek kolaylıkları da beraberinde getirdi. Teknoloji; hız, zaman, maliyet, konfor …

google-site-verification: google7ccb9e19d250d7da.html