Kart dolandırıcılığını önlemeye yönelik chip&pin ve 3D Secure gibi uygulamalar geliştirilmesine rağmen, kart dolandırıcılığı her geçen yıl artarak devam etmekte ve tamamen engellenmesi mümkün olmamaktadır. Kart dolandırıcılıklarında mali sorumluluk dolandırıcılık türüne daha doğrusu kart kullanım şekline göre değişiklik göstermektedir. Bazı durumlarda kart sahibine, bazı durumlarda kartın kullanıldığı işyerine, bazı durumlarda ise kartı çıkaran bankaya mali sorumluluk kalmaktadır. Kart dolandırıcılığının son zamanlarda ülkemizde ulaştığı boyutu, yazılı ve görsel medyada bu konuda yapılan haberlerin artışı ile anlamak mümkün. Bu nedenle kart dolandırıcılığına maruz kalan mağdurların, kart dolandırıcılık türlerine göre nasıl aksiyon alması gerektiği ve mali sorumluluğun hangi durumda kime ait olduğu ile ilgili bildiklerimi kaleme almak istedim.
ATM Dolandırıcılığı : ATM üzerinden yapılan dolandırıcılık temelde 2’ye ayrılır.
- Kart ve Para Sıkıştırma : Genel olarak işlem süresi tamamlanıncaya kadar kart ATM’de kart okuyucu bölümünde bulunmaktadır. Dolandırıcılar, ATM’lerin kart okuyucu bölümüne kağıt veya benzeri maddeler yerleştirerek kartı sıkıştırıp, dışarıya çıkışını engelleyebilir ya da ATM’lerin para çekme haznesinin önüne yerleştirdikleri para verme haznesinin ön kapağına benzeyen ancak arka kısmında güçlü bir yapışkan bant bulunan metal aparat ile müşterilerin çekmek istedikleri tutarı ele geçirebilirler. Kart sahibinin girdiği şifreyi, gözlemek (omuzdan, uzaktan- ülkemizde suç üstü yapılan bir olayda teleskop dahi ele geçirilmiştir.); ATM’in klavyesini görecek şekilde konumlandırılan mini gizli kamera ile kaydetmek veya ATM klavyesi üzerine konulan ilave şeffaf bir klavye vasıtasıyla kaydetmek gibi yöntemlerle ele geçirilmektedir.
- Kart Kopyalama : Teknolojinin ve kart endüstrisinin halen bulunduğu seviyede, başkalarına ait kart bilgilerinin ATM’e yerleştirilen özel düzenek ile kopyalanarak ele geçirilmesi, başka bir kartın manyetik bandına yazdırılması mümkündür ki bu işleme kopyalama (skimming) adı verilmektedir. Dolandırıcılar, geçerliliğini yitirmiş kartların manyetik bilgilerini silerek bunun yerine geçerli bir kart verisini yüklerler veya “white plastic” (beyaz plastik kart) diye tabir edilen kartların manyetiklerine de bu bilgiler aktarılabilmektedir.
ATM üzerinden yapılan dolandırıcılığa maruz kalan kart sahipleri, kartlarının sahip olduğu bankaya ulaşmalıdır ve itiraz dilekçesi iletmelidirler. Bu dolandırıcılık nedeniyle oluşan zararlarının mali sorumluluğu bankaya aittir .
Sosyal Mühendislik Yöntemi ile Dolandırıcılık : Sosyal mühendislik yöntemleriyle dolandırıcılık, insanı kandırmaya ve yanıltmaya yönelik, kart bilgilerinin ele geçirilerek haksız çıkar elde edilmesi sürecidir. Ülkemizde en yaygın olarak sahte çağrı merkezleri aracılığıyla yapılan dış aramalar sonucu veya cazip mesajlarla sahte çağrı merkezlerine yönlendirilerek, tek kullanımlık 3D Secure şifreleri ele geçirilmek suretiyle yapılmaktadır. İşlemler 3D Secure olarak tamamlandığı için dolandırılan kart hamillerinin fraud(işlem bana ait değil) nedeni ile itiraz etme hakkı bulunmuyor. Bu yöntemle 2 yıl içinde 10 milyon TL’ye yakın dolandırıcılık yapıldığı düşünülüyor.
Bu dolandırıcılığa maruz kalan kart sahipleri, genelde telefonu kapattıktan sonra şüpheye düşmekte ve bankalarının çağrı merkezi ile irtibata geçmektedir. Ya da bankadan cep telefonlarına gelen bilgilendirme mesajı ile kartlarının kullanıldığı işyeri ve tutar bilgisini öğrenerek dolandırıldıklarını anlamaktadır. Bankaların çağrı merkezleri bu durumda kendileri ile irtibata geçen kart dolandırıcılığı mağdurlarına, bu işleme itirazınız varsa harcama itirazı dilekçesi gönderin şeklinde yönlendirmektedir. Zaten işlem 3D Secure olarak tamamlandığı için ve kişiye özel şifrenin kart sahibi tarafından paylaşılması nedeniyle işlemin mali sorumluluğu kart sahibine kalmaktadır. Bankaya itiraz dilekçesi yine de mutlaka iletilmelidir, çünkü bankalar bu işlemler için dolandırıcılık bildirimlerini BKM’ye raporluyorlar. (Fazla iddialı oldu, raporlamaları gerekir diyelim.)
Bu durumda bu kart dolandırıcılığına maruz kalan mağdurlara tavsiyem, en hızlı şekilde kartlarının kullanıldığı işyerleri ile irtibata geçmeleridir. İşlemin bu şekilde sahtecilikle yapıldığını kartın kullanıldığı işyerine bildirdiğiniz takdirde, eğer ürün veya hizmet sahtekarlara teslim edilmediği durumlarda, işyerleri siparişi iptal ederek, tutarın karta iade edilmesini sağlarlar.
Sahte Kart Yöntemi ile Dolandırıcılık: Sahte kartlar, gerçek ve geçerli kartın bilgileri ile oluşturulan kopya kartlardır. Sahte kart oluşturmak için gerçek bir kartın bilgisi ele geçirilmelidir.
1980 öncesi dönemde kredi kartının üzerinde bulunan kabartma (emboss) bilgiler imprinter cihazı ile kredi kartı slibi üzerine aktarılarak yapılan işlemlerin büyük boyutlu dolandırıcılıklara ortam hazırlaması nedeniyle, kredi kartı plastiğinin arka yüzünde bulunan “Manyetik Bant” (Magnetic Stripe) bilgi iletişimi, sahtekarlık ve dolandırıcılığa karşı bir tedbir olarak kullanılmaya başlamıştır. Manyetik banda, kart sahibi ile ilgili bilgiler, kart numarası, isim soyad, kartın geçerlilik tarihi, güvenlik kodu gibi bilgiler Uluslararası standartta (ISO-Internatıonal Standards Organisation) tanımlanmış şekilde ( Track1 ve Track2 olarak ) emboser/encoder olarak adlandırılan özel cihazlarla kodlanır.
Manyetik bandın yapısında bulunan kopyalanabilme zaafiyetinin kısa sürede sektörü yaygın dolandırıcılık eylemlerine maruz bırakması ile birlikte kredi kartlarının üzerine küçük bir bilgisayar (Chip-çip) konulması ve işlemlerin çip ile birlikte kredi kartı sahibine verilen şifrenin (PIN – Personel Identification Number) birlikte yapılabilmesi şeklinde bir uygulamaya geçilmiştir. Geçiş sürecinde, kredi kartlarının arka yüzünde bulunan manyetik bant daha uzun yıllar çiple birlikte kullanılmaya devam edecektir, geçiş sürecindeki istisnaların yanı sıra, manyetik bant ihtiyaç halinde yedek olarak (fall-back) kullanılmaktadır. (çip’in bozuk olması / POS’un çipi okuyamaması / kart sahibinin şifresini bilmemesi,unutması v.s.)
Pos da işlem yapan garsonun, kartı bir Pos’dan, bir de cebinde taşıdığı mini kart okuyucudan (card reader) geçirmesi; veya pos’a ilave bir mini kart okuyucu takılması veya ATM üzerinden kart giriş yuvasına takılan bir aparat ile kart manyetiğinin bilgileri çalınmaktadır. Dolandırıcılık şebekeleri bu yöntemlerle kartlardan elde ettikleri manyetik alan bilgilerini boş kartlara yazarak kopya kartlar oluşturmaktalar. Dolandırıcılar, geçerliliğini yitirmiş kartların manyetik bilgilerini silerek bunun yerine geçerli bir kart verisini yüklerler veya “white plastic” (beyaz plastik kart) diye tabir edilen kartların manyetiklerine de bu bilgiler aktarılabilmektedir.
Bu dolandırıcılık nedeniyle oluşan kart sahibi zararlarının mali sorumluluğu bankaya aittir.
Kayıp / Çalıntı Kart ile Dolandırıcılık : İşyerlerinde yapılan alışverişlerde kayıp ya da çalıntı kartların kullanılması şeklinde yapılan dolandırıcılık türüdür. Bu yöntemde kullanılan kartlar gerçektir. Kartın sahibinden hırsızlık, yankesicilik veya gasp şeklinde elde edilerek usulsüzce kullanılmasıyla meydana gelen bir yöntemdir.Kart sahipleri, özellikle yurt içi ya da dışı yurt seyahatlerde kredi kartlarının kaybedilmesi ya da çalınması halinde çok büyük maddi ve manevi zarar ile karşılaşabilmektedirler.
Kart hamilinin ağır ihmali veya kastı olmaksızın, kartın kayıp olması ve çalınması halinde kart hamili, yapacağı bildirimden önceki 24 saat içinde gerçekleşen hukuka aykırı kullanımdan doğan zarardan 150 TL ile sınırlı olmak üzere sorumludur. Şayet kart hamili bu 150 TL’lik sorumluluktan da kaçınmak istiyorsa, kartı çıkaran bankaya prim yatırarak kartın sigortalanmasını talep etmek zorundadır. Kartı çıkaran banka bu 150 TL tutarındaki sorumluluğu sigortalamakla yükümlüdür.
Sahte Başvuru Yöntemi ile Dolandırıcılık : Bu dolandırıcılık yönteminde, dolandırıcılar başkasının kimliği üzerinden kendi fotoğrafı ve sahte belgeleri ile kart başvurusu yapmaktadır. Burada bilgi ve belgelerin elde edilmesi olayın bir başka sahtecilik boyutudur. Bu bilgi ve belgelerin ele geçirilme yöntemleri başlıca hırsızlık, phishing internet siteleri, dolandırıcılık amaçlı telefon aramaları, virüslü e-postalar, çeşitli nedenlerle toplanan kimlik fotokopileridir. Kart başvurusu sonucunda yanlış beyan edilen adrese veya kişiye gönderilen kartları rahatlıkla şüphe çekmeden kullanılabilmektedir.
Bu durumda bu kart dolandırıcılığına maruz kalan mağdurlar banka ile irtibata geçerek, konuyu açıklayan bir itiraz dilekçesi ile başvuru yapmalıdırlar. Bu dolandırıcılık nedeniyle oluşan zararlarının mali sorumluluğu bankaya aittir ve banka tarafından zararları karşılanmak zorundadır.
Sanal Ortamda Gerçekleşen Kart Dolandırıcılığı : 2015 yılında kart dolandırıcılığı olarak gerçekleşen her 100 işlemden 85’i sanal ortamda gerçekleşti. Bu dolandırıcılık türünde, kart ve dolandırıcı fiziken işyerinde değildir. İşlem, hassas kart verisi (kart no., SKT, güvenlik kodu ve şifre) POS cihazına işyeri tarafından tuşlanmak (MO-TO, Mail Order-Telefon Order Sahtecilikleri) ya da dolandırıcı tarafından web sitesinde yer alan ödeme sayfasına girilmek (Sanal POS sahtecilikleri) suretiyle gerçekleştirilmektedir. Türkiye’de özellikle kart verilerinin işyerlerinden çalınması, sızması, kopyalanması sanal ortamda gerçekleşen kart sahteciliklerinin en önemli sebebidir.
MO/TO ve elektronik ticaret işlemlerinde ortada fiziki olarak bir kart bulunmadığından, satıcının elinde işlem sırasında fiziki olarak bir kart bulunmadığı için bazı kontrollerin yapılması mümkün olmamaktadır. Bu nedenle dolandırıcılığa daha fazla açık olan mesafeli işlemlerde, siparişi verilen mal veya hizmetin gerçek kart sahibine teslim edilmesinden üye işyerleri sorumlu tutulmakta, gerçek kart sahibine teslim sorumluluğu, sözleşmelerle işyerlerine devredilmektedir.
Sonuç olarak bu tip işlemlerde kullanılan “Kart Numarası” , “Kartın Vadesi” ve “Güvenlik Kodu”’nun çeşitli şekillerde öğrenilmesi veya ele geçirilmesi ile bu bilgilerle mal ve hizmet satın alınabilmesi dolandırıcılığa ve suistimale açık bir kullanım şekli olarak ortaya çıkmaktadır.
Dolasıyla Uluslararası Visa ve Mastercard kredi kartı kurallarına göre, kart sahiplerinin itirazı halinde, ispat ve belgelendirme yükü ile mali sorumluluk işyerlerine devredilmektedir. (3D Secure yöntemi ile tamamlanan elektronik ticaret işlemlerinde mali sorumluluk kart sahibine aittir.)