Perşembe , Temmuz 27 2017
tren
Anasayfa / FRAUD / Kredi Kartı Bilgisi Elde Etmede Kullanılan Sahtecilik Yöntemleri

Kredi Kartı Bilgisi Elde Etmede Kullanılan Sahtecilik Yöntemleri

kanunBilişim teknolojisindeki gelişmeler ve iletişim kanallarındaki hızlı iyileşmelerle birlikte, sahtekarlıklar büyük maddi kayıplara yol açarak tüm dünya çapında yayılmaya devam etmektedir. Kredi Kartı sahtekarlıklarını önlemeye yönelik CHIP&PIN gibi uygulamalar geliştirilmesine rağmen, bu mekanizmalar sanal pos terminalleri ya da mail order üzerinden gerçekleştirilen sahte kredi kartı kullanımları gibi en yaygın sahtekarlık tiplerini engelleyememektedir.

Kredi kartı sahteciliği; Offline sahtecilik (fraud) ve Online sahtecilik (fraud) olarak ikiye ayrılmaktadır. Offline sahtecilik (fraud) genellikle kartın fiziksel olarak çalınarak kullanılmasıyla gerçekleştirilir. Online sahtecilik (fraud) ise web, telefon üzerinden alışverişlerde ve kartın fiziksel olarak işyerinde bulunmadığı durumlarda gerçekleşmektedir. Bu tür sahtecilikte ürün satın almak için herhangi bir imza yada damgaya gerek olmaksızın sadece kartın bilgileri gerekmektedir.

Kartsahibinin onayı ve bilgisi olmadan kredi kartı bilgilerinin elde edilmesinde sahtekarlar tarafından en çok kullanılan yöntemler aşağıdaki gibidir:

Sahte E-Posta Yöntemi: En çok kullanılan kredi kartı bilgisi elde etme yöntemidir. Dolandırıcının gönderdiği e-postada bulunan linkin tıklanması halinde kullanıcı sahte siteye yönlendirilmekte ve kullanıcıya ait bilgiler ele geçirilmektedir. Son zamanlarda çesitli banka ve finans kurumları tarafından gönderilmiş gibi görünen, acil ve çok önemli konular içeriyormuş gibi duran sahte e-postalar internette yayılmaktadır. Bu e-postalarda verilen linkler aracılığı ile müşterilerden, kart bilgileri,kart şifreleri, internet şubesi şifreleri ve kişisel bilgiler istenmektedir. Bu şekilde kredi kartı ile ilgili bütün gizli bilgiler üçüncü kişiler tarafından ele geçirilmektedir. Bu yöntemle elde edilen bilgiler ise sadece kredi kartı sahteciliğinde değil aynı zamanda internet bankacılığı dolandırıcılığında da kullanılmaktadır.

Finans kurumları bu yönteme karşılık her fırsatta müşterilerini uyarmakta ve özellikle müşterilerin bu gibi mailleri dikkate almamaları gerekmektedir. Çünkü hiçbir finans kurumu müşterilerinin bilgilerini mail yoluyla güncellemelerini talep etmemektedir.

Kart Bilgilerini Kopyalama Yöntemi: Manyetik kopyalama cihazları vasıtasıyla alışveriş yada ATM makinelerinin kullanımı sırasında kartın içindeki tüm verilerin kopyalanmak suretiyle sahte kredi kartı üreticilerinin eline geçmesi yöntemidir. Alışveriş esnasında kopyalama yönteminde; suçlular ellerindeki manyetik kart kopyalama cihazları vasıtası ile kredi kartlarını kopyalamaktadırlar. Bu işlem için kart sahiplerinin alış veriş yaptıkları yerlerde kredi kartları pos cihazlarından geçirilmeden önce veya sonra kopyalama cihazlarından geçirilmekte ve kartın manyetik şeridinde bulunan bilgiler bu cihazlar vasıtası ile kaydedilmektedir.

Diğer yöntemde ise ; ATM makinelerinin kart giriş yerlerine yerleştirilen papağan olarak adlandırılan kopyalama cihazları ile kopyalanan kartlar, dolandırıcılar tarafından manyetik kart yazma cihazıyla boş kartlara kartın ikizini çıkartmaktadırlar. Bazı durumlarda ise kopyalanan kartın şifresini öğrenebilmek için ATM cihazlarının üst köşelerine micro kameralar yerleştirmek suretiyle ATM cihazının tuş takımını izleyerek şifreleri de alabilmektedirler.

Uzak Bilgisayardan Hackleme Yöntemi : Bu yöntem genellikle uzaktaki bir sisteme saldırarak meydana gelen bir kredi kartı bilgisi elde etme yöntemidir. Günümüzde bilgisayarlara saldırma olayı kredi kartı bilgisi elde etmenin dışında da çok popüler bir hal almıştır. Kurumların sakladıkları kredi kartı bilgilerinin, kötü niyetli üçüncü kişilerin eline geçmesiyle ortaya çıkan sakıncalı bir yöntemdir.

Bu gibi kart bilgisi elde etme yöntemlerinin önüne geçebilmek için kartı çıkaran kuruluşların sistemin güvenliğini sağlamaları gerekmektedir. Bu yöntem kapsamında bilgisayara karşı yapılan saldırılar önemli bir konu olarak karşımıza çıkmaktadır. Saldırıların önlenmesi aşamasında karşımıza yapay sinir ağları, model tabanlı nedenleme, veri madenciliği, durum geçiş analizleri ve genetik algoritma teknikleri çıkmaktadır.

Veri Transferi Yöntemi : Bu yöntemde kart bilgisi elde etme işlemi sistemin başında olan kişilerin kötü niyeti sonucunda meydana gelen güvenlik zaafından kaynaklanır. Kart bilgilerinine sahip kurumlarda çalışan kişilerin, kendisine emanet edilen sistemi kötüye kullanarak kredi kart verilerini kopyalama yöntemidir.

Hassas kart verisinin herhangi bir sisteme karthamili haricinde bir kişi tarafından manuel girilmesi özellikle kredi kartı sahteciliğine davetiye çıkarmaktadır. Çağrı Merkezleri ve Acentalar (sigorta,tatil,seyahat….) tarafından karthamillerinden sözel veya yazılı olarak temin edilen hassas kart verisinin, sisteme girişini yapan personel tarafından kötü niyetle kullanılmak üzere çalınması çok sık karşılanan bir durumdur.

Yukarıda bahsedilen kredi kartı bilgisinin sahtekarlar tarafından elde edilme yöntemlerini engellemek için BDDK tarafından bir taslak hazırlanmış durumda. Hazırlanan tebliğ taslağına göre;  hassas kart verisi ( kart numarasının ilk 6 ve son 4 hanesi haricinde kalan kısım) CNP(web, telefon üzerinden alışveriş yapılan kartın sahibinin gerek olmadığı durum)  ödeme kabul eden üyeişyerleri tarafından tutulamayacak. Sadece kart kuruluşları ve bu kuruluşlara hizmet veren dış hizmet sağlayacılar haricinde hiçbir gerçek veya tüzel kişi tarafından bu veri tutulamayacak. Yani PCI DSS sertifikası olsa bile CNP ödeme kabul eden üyeişyerleri de bu taslak yasalaştığında hassas kart verisi tutamayacak.

Ayrıca bu taslakta  ; ” Telefon üzerinden gerçekleşecek işlemlerde hassas kart verisinin gerekmesi halinde, bu veri bir otomatik yanıt sistemine kart hamili tarafından tuşlanır ve güvenli şifreleme ile şifrelenmesinin ardından veri sistemsel olarak doğrudan üye işyeri anlaşması yapılan kuruluşa aktarılır. Ek olarak ” Hassas kart verisi herhangi bir sisteme kart hamili haricinde bir kişi tarafından manuel girilemez.” olarak ekleme yapılmış.

Bu taslağın 2016 yılında yasalaşması bekleniyor ama  bu taslağın bazı maddelerinde değişiklikler yapılması muhtemeldir.

Hakkında ibrahim kudret elçiboğa

With over 12 years of experience in banking, chargeback management and fraud detection and prevention. I have a long track record of successfully investigating chargeback trends, implementing effective anti fraud programs and developing new models to answer fraud departments need. I joined Atlasglobal in 2014 and currently serve as Fraud and Chargeback Manager.

Check Also

Pos Tefeciliği ve Fiktif İşlemler

Kazanç elde etmek amacıyla başkasına ödünç para vermeye tefecilik deniyor.  Pos tefeciliği tanımını yapmak gerekirse, …