Pazar , Kasım 18 2018
entr
Anasayfa / FRAUD / Kart Kopyalama Vakaları (Sahte Kart Nedir ?)

Kart Kopyalama Vakaları (Sahte Kart Nedir ?)

sahte-kredi-karti-cetesi-yakalandiSon zamanlarda artmaya başlayan kart kopyalama vakaları veya haberleri diyebiliriz, bu konuda görüşlerimi daha detaylı paylaşma ihtiyacı hissettirdi. Önce yazılı ve görsel medyada çıkan, benim görüşümün bir bölümünün de yer aldığı haber gündeme geldi. Habere buradan ulaşabilirsiniz. Daha sonra Boğaziçi Üniversitesi öğrencilerinin tespit ettiği kart kopyalama vakası ile ilgili haber ortaya çıktı. Habere buradan ulaşabilirsiniz.

Her iki haberin ortak noktası da fiziksel olarak kartın kopyalanması, yani sahte kartlardı. Sahte kartlar, gerçek ve geçerli kartın bilgileri ile oluşturulan kopya kartlardır. Sahte kart oluşturmak için gerçek bir kartın bilgisi ele geçirilmelidir. Bu gerçek kart verisi de kartın manyetiğinden çalınmaktadır.

Gerçek bir kartın bilgisinin nasıl ele geçirildiğini anlayabilmek için , öncelikle kartlarda yer alan manyetik bandın yapısı , işlevi ve kopyalanabilme zaafiyetini bilmek gerekir. 

1980 öncesi dönemde kredi kartının üzerinde bulunan kabartma (emboss) bilgiler imprinter cihazı ile kredi kartı slibi üzerine aktarılarak yapılan işlemlerin büyük boyutlu dolandırıcılıklara ortam hazırlaması nedeniyle, kredi kartı plastiğinin arka yüzünde bulunan “Manyetik Bant” (Magnetic Stripe) bilgi iletişimi, sahtekarlık ve dolandırıcılığa karşı bir tedbir olarak kullanılmaya başlamıştır. Manyetik banda, kart sahibi ile ilgili bilgiler, kart numarası, isim soyad, kartın geçerlilik tarihi, güvenlik kodu gibi bilgiler Uluslararası standartta (ISO-Internatıonal Standards Organisation) tanımlanmış şekilde ( Track1 ve Track2 olarak ) emboser/encoder olarak adlandırılan özel cihazlarla kodlanır.

Manyetik bandın yapısında bulunan kopyalanabilme zaafiyetinin kısa sürede sektörü yaygın dolandırıcılık eylemlerine maruz bırakması ile birlikte kredi kartlarının üzerine küçük bir bilgisayar (Chip-çip) konulması ve işlemlerin çip ile birlikte kredi kartı sahibine verilen şifrenin (PIN – Personel Identification Number) birlikte yapılabilmesi şeklinde bir uygulamaya geçilmiştir.

Burada akla hemen şu soru gelecektir, manyetik bandın sahip olduğu kopyalanabilme zaafiyeti nedeniyle çip teknolojisine geçildi ise hala neden kartların arkasında manyetik bant bulunmaya devam ediyor ?

Mastercard ve Visa tarafından uzun yıllar devam eden çalışmalar sonrasında uygulamaya konan chip & pin teknolojisi, dünyanın her noktasında aynı anda uygulamaya konamadı. Çünkü gerek kartların üzerine çip konulması, gerekse Atm ve Pos’ların kartlardaki çipi okuyacak hale gelmesi çok önemli tutarda yatırım gerektirmekteydi. Bu nedenle geçiş süresi uzun zaman aldı, başta Amerika bölgesi uzun yıllar çipe geçmemek için direndi. En sonunda, özellikle Mastercard ve Visa’nın “liability shift” olarak adlandırılan çipi zorunlu uygulama haline getiren (chip’i olmayan bankanın dolandırıcılık riskini üstlenmesi) kuralı ile bu süreç büyük ölçüde aşıldı. Amerika’da Ekim 2015 tarihi itibariyle  çipe geçti ve böylece uygulamaya geçen en son bölge oldu. Kartlarının arka yüzünde bulunan manyetik bant, yukarıda bahsettiğim geçiş sürecindeki istisnaların yanı sıra, ihtiyaç halinde (çip’in bozuk olması / POS’un çipi okuyamaması / kart sahibinin şifresini bilmemesi,unutması v.s.) yedek olarak (fallback) kullanılmaktadır.  Bu nedenlerle kartların arka yüzünde bulunan Manyetik bant daha uzun yıllar çiple birlikte kullanılmaya devam edecektir.

Peki, kartlar nasıl ve hangi yöntemlerle kopyalanıyor ?

Yukarıda anlattığım gibi, kart kopyalamak için kart manyetiğinde yer alan gerçek kart verisinin çalınması gerekiyor. Bunun içinde kart kopyalama aparatı/cihazı (skimmer) kullanılıyor.

ATM üzerinde yapılan kart kopyalamalar, kart giriş yuvasına bu aparat takılarak gerçekleşiyor. Bu aparat sadece kart manyetiğinde yer alan bilgileri çaldığı için, müşterinin girmekte olduğu şifrenin çalınması için ise,  sahte klavye (PINPAD) ya da klavyeye odaklanmış ATM üzerine gizlenmiş bir kamera kullanılıyor.

POS kaynaklı kart kopyalamalarda ise, genellikle lokanta,dinlenme yerleri, alışveriş mağazalarında çalışan dolandırıcılık şebekesi üyeleri ödemek yapmak için verilen kartları ya ayrı bir kart kopyalama cihazından geçirerek ya da pos’a ilave takılan bir aparat ile kart manyetiğinde yer alan bilgiler çalınmaktadır.

Atm ve Pos üzerinden kopyalama aparatı/cihazı ile kartın manyetiğinden çalınan gerçek kart verileri, geçerliliğini yitirmiş kartların manyetik bilgileri silindikten sonra yüklenerek sahte(kopya) karta dönüştürülür. Veya  sıfırdan “white plastic” (beyaz plastik kart) diye tabir edilen kartların manyetiklerine de bu bilgiler aktarılarak/yazdırılarak sahte(kopya) kart üretilir.

Kartı kopyalanan kart sahibi nasıl aksiyon almalı ve işlemin mali sorumluluğu kime ait ?

Kartının kopyalandığını düşünen ya da şüphelenen kart sahibi, mutlaka bankasına yazılı olarak başvurmalı ve itirazını iletmelidir. Bankanın ilgili birimi tarafından yapılan inceleme sonucunda kartın kopyalandığı tespiti doğrulandığı takdirde, kart sahibinin oluşan tüm zararı banka tarafından karşılanacaktır.

Çünkü bu dolandırıcılık nedeniyle oluşan kart sahibi zararlarının mali sorumluluğu bankaya aittir.

Benim görüşüme de yer verilen haberde, yanlış aktarılan bir bilgi var. 24 saatte bildirim yapılması gerektiği ve 150 tl kart sahibi sorumluluğu bilgisi kart kopyalama dolandırıcılıkları için geçerli değil. Sahte kart ile yapılan dolandırıcılıklarda, herhangi bir bildirim süresi ya da kart sahibi sorumluluğu yok.

Kayıp ya da çalıntı kartların kullanılması ile yapılan dolandırıcılık için geçerli, haberde yer alan bilgi. Bu yöntemde kullanılan kartlar gerçektir. Kartın sahibinden hırsızlık, yankesicilik veya gasp şeklinde elde edilerek usulsüzce kullanılmasıyla meydana gelen bir yöntemdir. Kart hamilinin ağır ihmali veya kastı olmaksızın, kartın kayıp olması ve çalınması  halinde kart hamili, yapacağı bildirimden önceki 24 saat içinde gerçekleşen hukuka aykırı kullanımdan doğan zarardan 150 TL ile sınırlı olmak üzere sorumludur. Şayet kart hamili bu 150 TL’lik sorumluluktan da kaçınmak istiyorsa, kartı çıkaran bankaya prim yatırarak kartın sigortalanmasını talep etmek zorundadır. Kartı çıkaran banka bu 150 TL tutarındaki sorumluluğu sigortalamakla yükümlüdür.

Genel olarak toparlarsak, hem dünyada hem ülkemizde chip&pin geçişi ile birlikte kart dolandırıcılığında bir trend kayması oldu ve kartın fiziksel olarak ibraz edildiği durumlarda gerçekleşen kart sahtekarlıklarında önemli ölçüde azalma oldu. Şu an popüler ve yaygın olan sanal ortamda gerçekleşen kart dolandırıcılığıdır. Ancak kartların arka yüzünde bulunan manyetik bant çiple birlikte kullanılmaya devam ettiği sürece, kart kopyalama(sahte kart) ve kayıp/çalıntı kart dolandırıcılığı belli bir oranda devam edecektir.

Hakkında ibrahim kudret elçiboğa

1980 yılında İstanbul’da doğan İbrahim Kudret ELÇİBOĞA, İstanbul Üniversitesi Fen Fakültesi Fizik Bölümünden mezun oldu. Yine aynı üniversitede; İktisadi ve İdari Bilimler Enstitüsü’nde İşletme üzerine tezsiz yüksek lisans yaptı. Asteğmen olarak askerlik görevini tamamladıktan sonra, 1,5 yıl süreyle Akbank Çağrı Merkezi’nde Müşteri Temsilcisi olarak çalıştı. Daha sonra HSBC’de Chargeback uzmanı olarak 2 yıl görev aldı. 2008-2014 yılları arasında TEB bankasında Chargeback Yöneticisi olarak görev aldıktan sonra, 2014 yılında Atlasglobal Havayolları’nda Ödeme Sistemleri ve Fraud & Chargeback Müdürü olarak olarak göreve başladı. Hala aynı firmada görevini sürdüren İbrahim Kudret ELÇİBOĞA, fraud,chargeback,risk yönetimi,ödeme sistemleri ve e-ticaret hakkında görüşlerini ve makalelerini fraudandchargeback.com adlı kişisel sitesi üzerinden paylaşmaktadır. Ayrıca Fintechtime dergisi için uzmanlık alanları ile ilgili köşesinde makaleler yazmayı sürdürmektedir. Bunun yanında konusu ile ilgili çeşitli dergi ve internet sitelerinde yayınlanmış birçok makaleleri bulunmaktadır.

Check Also

Türkiye’de Kart Dolandırıcılık Trendlerinin Değişimi ve BDDK Kararı

Ülkemizde kart dolandırıcılığının günümüzde geldiği boyutun genel olarak sorumlusu kart hamilleri olduğu çünkü  kart hamilleri …

google-site-verification: google7ccb9e19d250d7da.html