Cuma , Eylül 22 2017
tren
Anasayfa / FRAUD / KART KOPYALAMA VAKALARI (SAHTE KART NEDİR ?)

KART KOPYALAMA VAKALARI (SAHTE KART NEDİR ?)

sahte-kredi-karti-cetesi-yakalandiSon zamanlarda artmaya başlayan kart kopyalama vakaları veya haberleri diyebiliriz, bu konuda görüşlerimi daha detaylı paylaşma ihtiyacı hissettirdi. Önce yazılı ve görsel medyada çıkan, benim görüşümün bir bölümünün de yer aldığı haber gündeme geldi. Habere buradan ulaşabilirsiniz. Daha sonra Boğaziçi Üniversitesi öğrencilerinin tespit ettiği kart kopyalama vakası ile ilgili haber ortaya çıktı. Habere buradan ulaşabilirsiniz.

Her iki haberin ortak noktası da fiziksel olarak kartın kopyalanması, yani sahte kartlardı. Sahte kartlar, gerçek ve geçerli kartın bilgileri ile oluşturulan kopya kartlardır. Sahte kart oluşturmak için gerçek bir kartın bilgisi ele geçirilmelidir. Bu gerçek kart verisi de kartın manyetiğinden çalınmaktadır.

Gerçek bir kartın bilgisinin nasıl ele geçirildiğini anlayabilmek için , öncelikle kartlarda yer alan manyetik bandın yapısı , işlevi ve kopyalanabilme zaafiyetini bilmek gerekir. 

1980 öncesi dönemde kredi kartının üzerinde bulunan kabartma (emboss) bilgiler imprinter cihazı ile kredi kartı slibi üzerine aktarılarak yapılan işlemlerin büyük boyutlu dolandırıcılıklara ortam hazırlaması nedeniyle, kredi kartı plastiğinin arka yüzünde bulunan “Manyetik Bant” (Magnetic Stripe) bilgi iletişimi, sahtekarlık ve dolandırıcılığa karşı bir tedbir olarak kullanılmaya başlamıştır. Manyetik banda, kart sahibi ile ilgili bilgiler, kart numarası, isim soyad, kartın geçerlilik tarihi, güvenlik kodu gibi bilgiler Uluslararası standartta (ISO-Internatıonal Standards Organisation) tanımlanmış şekilde ( Track1 ve Track2 olarak ) emboser/encoder olarak adlandırılan özel cihazlarla kodlanır.

Manyetik bandın yapısında bulunan kopyalanabilme zaafiyetinin kısa sürede sektörü yaygın dolandırıcılık eylemlerine maruz bırakması ile birlikte kredi kartlarının üzerine küçük bir bilgisayar (Chip-çip) konulması ve işlemlerin çip ile birlikte kredi kartı sahibine verilen şifrenin (PIN – Personel Identification Number) birlikte yapılabilmesi şeklinde bir uygulamaya geçilmiştir.

Burada akla hemen şu soru gelecektir, manyetik bandın sahip olduğu kopyalanabilme zaafiyeti nedeniyle çip teknolojisine geçildi ise hala neden kartların arkasında manyetik bant bulunmaya devam ediyor ?

Mastercard ve Visa tarafından uzun yıllar devam eden çalışmalar sonrasında uygulamaya konan chip & pin teknolojisi, dünyanın her noktasında aynı anda uygulamaya konamadı. Çünkü gerek kartların üzerine çip konulması, gerekse Atm ve Pos’ların kartlardaki çipi okuyacak hale gelmesi çok önemli tutarda yatırım gerektirmekteydi. Bu nedenle geçiş süresi uzun zaman aldı, başta Amerika bölgesi uzun yıllar çipe geçmemek için direndi. En sonunda, özellikle Mastercard ve Visa’nın “liability shift” olarak adlandırılan çipi zorunlu uygulama haline getiren (chip’i olmayan bankanın dolandırıcılık riskini üstlenmesi) kuralı ile bu süreç büyük ölçüde aşıldı. Amerika’da Ekim 2015 tarihi itibariyle  çipe geçti ve böylece uygulamaya geçen en son bölge oldu. Kartlarının arka yüzünde bulunan manyetik bant, yukarıda bahsettiğim geçiş sürecindeki istisnaların yanı sıra, ihtiyaç halinde (çip’in bozuk olması / POS’un çipi okuyamaması / kart sahibinin şifresini bilmemesi,unutması v.s.) yedek olarak (fallback) kullanılmaktadır.  Bu nedenlerle kartların arka yüzünde bulunan Manyetik bant daha uzun yıllar çiple birlikte kullanılmaya devam edecektir.

Peki, kartlar nasıl ve hangi yöntemlerle kopyalanıyor ?

Yukarıda anlattığım gibi, kart kopyalamak için kart manyetiğinde yer alan gerçek kart verisinin çalınması gerekiyor. Bunun içinde kart kopyalama aparatı/cihazı (skimmer) kullanılıyor.

ATM üzerinde yapılan kart kopyalamalar, kart giriş yuvasına bu aparat takılarak gerçekleşiyor. Bu aparat sadece kart manyetiğinde yer alan bilgileri çaldığı için, müşterinin girmekte olduğu şifrenin çalınması için ise,  sahte klavye (PINPAD) ya da klavyeye odaklanmış ATM üzerine gizlenmiş bir kamera kullanılıyor.

POS kaynaklı kart kopyalamalarda ise, genellikle lokanta,dinlenme yerleri, alışveriş mağazalarında çalışan dolandırıcılık şebekesi üyeleri ödemek yapmak için verilen kartları ya ayrı bir kart kopyalama cihazından geçirerek ya da pos’a ilave takılan bir aparat ile kart manyetiğinde yer alan bilgiler çalınmaktadır.

Atm ve Pos üzerinden kopyalama aparatı/cihazı ile kartın manyetiğinden çalınan gerçek kart verileri, geçerliliğini yitirmiş kartların manyetik bilgileri silindikten sonra yüklenerek sahte(kopya) karta dönüştürülür. Veya  sıfırdan “white plastic” (beyaz plastik kart) diye tabir edilen kartların manyetiklerine de bu bilgiler aktarılarak/yazdırılarak sahte(kopya) kart üretilir.

Kartı kopyalanan kart sahibi nasıl aksiyon almalı ve işlemin mali sorumluluğu kime ait ?

Kartının kopyalandığını düşünen ya da şüphelenen kart sahibi, mutlaka bankasına yazılı olarak başvurmalı ve itirazını iletmelidir. Bankanın ilgili birimi tarafından yapılan inceleme sonucunda kartın kopyalandığı tespiti doğrulandığı takdirde, kart sahibinin oluşan tüm zararı banka tarafından karşılanacaktır.

Çünkü bu dolandırıcılık nedeniyle oluşan kart sahibi zararlarının mali sorumluluğu bankaya aittir.

Benim görüşüme de yer verilen haberde, yanlış aktarılan bir bilgi var. 24 saatte bildirim yapılması gerektiği ve 150 tl kart sahibi sorumluluğu bilgisi kart kopyalama dolandırıcılıkları için geçerli değil. Sahte kart ile yapılan dolandırıcılıklarda, herhangi bir bildirim süresi ya da kart sahibi sorumluluğu yok.

Kayıp ya da çalıntı kartların kullanılması ile yapılan dolandırıcılık için geçerli, haberde yer alan bilgi. Bu yöntemde kullanılan kartlar gerçektir. Kartın sahibinden hırsızlık, yankesicilik veya gasp şeklinde elde edilerek usulsüzce kullanılmasıyla meydana gelen bir yöntemdir. Kart hamilinin ağır ihmali veya kastı olmaksızın, kartın kayıp olması ve çalınması  halinde kart hamili, yapacağı bildirimden önceki 24 saat içinde gerçekleşen hukuka aykırı kullanımdan doğan zarardan 150 TL ile sınırlı olmak üzere sorumludur. Şayet kart hamili bu 150 TL’lik sorumluluktan da kaçınmak istiyorsa, kartı çıkaran bankaya prim yatırarak kartın sigortalanmasını talep etmek zorundadır. Kartı çıkaran banka bu 150 TL tutarındaki sorumluluğu sigortalamakla yükümlüdür.

Genel olarak toparlarsak, hem dünyada hem ülkemizde chip&pin geçişi ile birlikte kart dolandırıcılığında bir trend kayması oldu ve kartın fiziksel olarak ibraz edildiği durumlarda gerçekleşen kart sahtekarlıklarında önemli ölçüde azalma oldu. Şu an popüler ve yaygın olan sanal ortamda gerçekleşen kart dolandırıcılığıdır. Ancak kartların arka yüzünde bulunan manyetik bant çiple birlikte kullanılmaya devam ettiği sürece, kart kopyalama(sahte kart) ve kayıp/çalıntı kart dolandırıcılığı belli bir oranda devam edecektir.

Hakkında ibrahim kudret elçiboğa

With over 12 years of experience in banking, chargeback management and fraud detection and prevention. I have a long track record of successfully investigating chargeback trends, implementing effective anti fraud programs and developing new models to answer fraud departments need. I joined Atlasglobal in 2014 and currently serve as Fraud and Chargeback Manager.

Check Also

Kişisel Verilerin Korunması Kanunu

Kişisel verilerin Korunması Kanunu 24 Mart 2016 tarihinde Türkiye Büyük Millet Meclisi Genel Kurulu’nda kabul …