Sanal ortamda mal ve hizmet satın almak basit ve güvenli olduğunda, herkes kazanır; şirket sahipleri, bankalar ve tüketiciler. Ancak bu işlemleri hem basit hem de güvenli hale getirmek giderek zorlaşıyor. Ne yazık ki, bu hız ve basitliğe olan ihtiyaç, genellikle güvenlik açıklarına sebep oluyor. Sanal ortamda kart dolandırıcılığı çalıntı bilgi ile başlar. Siber hırsızlar, gerçek kart detaylarını ele geçirmek için çeşitli hileler kullanırlar.
Şirketler, müşterilerinin alışveriş deneyimini güvenceye almak için çalışırken, dolandırıcılar hileli alımlar yapmak için yeni ve daha kolay yollar üzerinde çalışıyorlar.
Sanal ortamda gerçekleşen başlıca kart dolandırıcılığı trendleri aşağıdaki gibidir;
- Sosyal Mühendislik Yöntemi ile Dolandırıcılık (Social Engineering Fraud)
- Hesap Ele Geçirme Dolandırıcılığı (Account Takeover Fraud)
- Kart Geçerliliği Kontrol Dolandırıcılığı (Card Testing Fraud)
- Kartı Usulsüz Kullanma / Kullandırma Yöntemi ile Dolandırıcılık (Friendly Fraud)
Sosyal Mühendislik Yöntemi ile Dolandırıcılık(Social Engineering Fraud) :
Son yılların en popüler sosyal mühendislik yöntemi, Sahte Çağrı Merkezleri aracılığıyla yapılan dış aramalar sonucu veya cazip mesajlarla Sahte Çağrı Merkezlerine yönlendirilme suretiyle dolandırmaktır. Polis ya da kamu görevlisi olarak arama, ödül kazandın diye mesaj atarak yönlendirme, kredi kartı aidatı ve banka hesap işletim ücretini geri almak vadiyle kandırılma, **** takip numaralı kargonuz geldi ama adres yetersizliğinden teslim edilmedi diye mesaj atarak yönlendirme gibi veya birçok benzer yöntemler ile yapılan dolandırıcılığa günümüzde çok sık rastlıyoruz.
İlk yıllarda kontör/TL transferi şeklinde görülen bu tarz dolandırıcılık yöntemleri, daha sonra, gelişen teknoloji ve yeni ikna yöntemleri ile birlikte, bankaların ürün yelpazesindeki gelişmeler ve hizmet kalitesinin artmasına paralel olarak (kartsız para transferi, cepten cebe para transferi, hızlı kredi tahsisi, internet ve mobil bankacılığı kullanımının artması vb.) para transferine, şubeden ve ATM’den nakit çektirilerek dolandırıcıya teslim etme yöntemlerine dönüşmüştür.
Burada amaç kart bilgilerini veya internet/mobil bankacılık kişiye özel şifre ve paralolarını ele geçirmektir. Gelen aramaya inanan kişiler telefondaki dolandırıcıya tüm kart bilgilerini (16 haneli kart numarası, kartın son kullanma tarihi ve CVV kodu) veya internet/mobil bankacılık ile ilgili kişiye özel bilgilerini sözlü olarak verir. Dolandırıcı tarafından ele geçirilen bu bilgiler ile kartdan harcama yapılmak veya internet/mobil bankacılık üzerinden para transferi yapılmak suretiyle mağdurlar dolandırılır.
2018 yılında da sosyal mühendislik konusu yine gündemdeki en önemli konulardan biri olacak. Kişisel, maddi veya kart bilgileri tanınmayan rastgele kişilerle paylaşılmamalı, özellikle kişisel bilgilerin gizliliği konusunda duyarlı davranılmalı, yardım amacıyla yaklaşan kişilere karşı dikkatli olunmalıdır.
Hesap Ele Geçirme Dolandırıcılığı (Account Takeover Fraud) :
Hesap Ele Geçirme dolandırıcılığının öngörülemezliği ve bu saldırıların hızlı bir şekilde büyümesi, onu çok endişe verici bir trend haline getiriyor. Çalınan kart hamili bilgilerini kullanarak dolandırıcılık yapan suçlular, genellikle bilgileri kendileri çalmazlar. Daha ziyade, bir kimlik hırsızı bu bilgiyi çalar, daha sonra diğer kart sahiplerinin bilgileriyle toplar ve satar. Kart sahipleri, kredi kartı dolandırıcılığını nispeten hızlı bir şekilde fark etme eğilimindedir ve bir kart iptal ettikten sonra, bilgiler dolandırıcıya değersizdir.
ABD’de EMV geçişi çok ilerledikçe ve dünyanın geri kalan kısmının tamamında zaten tamamlandığında, klasik kimlik hırsızlığı teknikleri tamamen etkisizleşecek. Dolandırıcılar, yalnızca kart sahibi bilgilerinin çalınmasına odaklanmak yerine geri dönüşü en üst düzeye çıkarmak için birden fazla farklı tekniğe yöneldiler. Kimlik hırsızlığı gibi diğer tekniklerden farklı olarak, bir dolandırıcı, hesap ele geçirme işleminde, bir kişisel hesaba erişmek için çalınan bir kişisel bilgi parçasını kullanır.
Bu bilgi parçasının, TCKN veya PIN kodu gibi geleneksel anlamda çok hassas bilgiler olması gerekmez. Dolandırıcılar, bir e-posta adresinden kullanıcı adına kadar herhangi bir bilgiyi kullanarak hesap ele geçirme işlemini gerçekleştirebilir; bu bilgi doğrulama işleminin bir parçası olarak kullanılan herhangi bir tanımlayıcı olabilir. Dolandırıcı, bu saldırı yöntemini, farklı seviyelerde sofistike olan çeşitli şekillerde gerçekleştirebilir. Örneğin, bir üniversite öğrencisi oda arkadaşının e-posta adresini biliyor veya şifreyi tahmin ediyorsa, bir siteye girip alışveriş yapabilir.
Tecrübeli dolandırıcılar, çoğu zaman kötü niyetli yazılım bulaşmış bir bilgisayar ağında, sahiplerinin bilgisi olmaksızın, hızlı saldırılar gerçekleştirmek için bir botnet kullanırlar. Botlar kısmi bilgi ekleyebilir ya da dolandırıcı adına kendi hesaplarını ele geçirmek için yaygın olarak kullanılan şifreleri ve kullanıcı adlarını kullanabilirler.
Diğer durumlarda dolandırıcılar, bir tuş kaydedici kullanabilirler . Tuş kaydediciler, bilgisayarda, klavye vuruşlarını anlık olarak kopyalayabilen ve bunları kaydederek e-posta yoluyla korsanın eline geçmesini sağlayan programlardır. Bu yöntemle kart sahibinin bilgilerini yakaladığında dolandırıcı, bilgileri hesaplara erişmek için kullanabilir.
Hesap bilgileri olsa da, dolandırıcı, kullanıcının profilini ihtiyaçlarına göre kolayca değiştirebilir. Hesap sahibine gönderilen tüm iletileri yeniden yönlendirebilir, böylece şüpheleri önleyerek suçun daha uzun süre devam etmesini sağlayabilirler.
Bir dolandırıcı, bir kullanıcının hesaplarını ele geçirdikten sonra, tüketiciler bir dizi hesap için aynı giriş kimlik bilgilerini tekrar kullanma eğiliminde olduğu için diğer tüm önemli hesaplarını savunmasız bırakır. Bir banka hesabı, kredi kartı hesabı ve PayPal hesabı için aynı şifreyi kullanmak, hepsini de savunmasız bırakacaktır.
Hem tüketicilerin hem de tüccarların hesap ele geçirme dolandırıcılığından kurtulma riski en aza indirmek için benimseyebilecekleri çeşitli davranış ve politikalar vardır. Tüketiciler kimliğini çalmak isteyen herkesten korumalıdır; şirketler ise kendi sitelerinden işlem yapan kişileri doğrulamalıdır.
Kart Geçerliliği Kontrol Dolandırıcılığı (Card Testing Fraud) :
Fraud önleme açısından takip edilmesi gereken birçok veri vardır. Takip edilmesi gereken verilerden en başlıcalarından biri de pos mesaj hatalarıdır. Bu nedenle kart dolandırıcıları sahte işlem yapmadan önce başka bir sitede kartın geçerliliğini yani açık olup olmadığını test ederler.
Bu trendde dolandırıcısının temel amacı, ürün veya hizmet satın almak değil, çalınan kredi kartı ayrıntılarının geçerli olup olmadığını doğrulamaktır. Adından da anlaşıldığı üzere bu dolandırıcılık trendinde, dark web’de satılan yasadışı listeler yoluyla elde edilen kart bilgileri , sanal ortamda test edilmektedir.
Bu tür testler manuel olarak yapılabilir, ancak dolandırıcılar çoğu zaman birkaç kartı aynı anda test etmelerine izin veren otomatik botlar ve komut dosyaları kullanırlar. İşlem onaylandıktan sonra dolandırıcılar, ayrıntıların hala geçerli olduğundan emin olabilir ve diğer web sitelerinde işlem yaparlar.
Bu dolandırıcılığa maruz kalan şirketler için mali kayıp daha belirgin, ancak kart testi dolandırıcılığının başlıca sonuçları yüksek chargeback oranı, finansal kayıp, yanlış dönüşüm oranı ve marka itibarının zedelenmesidir.
Bazen, kart geçerliliği dolandırıcılığını tespit etmek zor olabilir. Bununla birlikte, bazı genel işlem özellikleri vardır:
- Küçük tutarlı işlemler
- Kısa sürede birden fazla kart ile işlemler
- Birden fazla kredi kartı markası ile işlemler
- Birden çok işlem hatası bildirimi
- Her zamankinden daha yüksek trafik
Kart geçerliliği kontrol dolandırıcılığını önlemenin yolu, kartı bilgilerini kredi kartı formunda kopyalamasına ve yapışmasına engel olmak, dolandırıcıların çalınan kart ayrıntılarını özellikle de otomatik test işlemleri sırasında test etmesini zorlaştırmaktadır.
Kartını Usulsüz Kullanma / Kullandırma Yöntemi (Friendly Fraud) :
Özellikle e-ticaret siteleri için kritik uzun vadeli zarar verebilecek yüksek maliyetli bir tehdittir. E-ticaret siteleri bu dolandırıcılığı azaltmak için stratejik adımlar atmadıkça, gelirlerini, marka değerlerini ve kartları kabul etme kabiliyetini kaybetme riskini de alırlar.
Genel olarak tehdit olarak hafife alınmış olan bu dolandırıcılık türü, sıklıkla “chargeback fraud “ olarak da adlandırılır. Çünkü chargeback yani harcama itirazı başvurusu yapmak üzere alışveriş yapılmaktadır.
Bu yöntemde sahtecilik işlemi gerçek kart sahibi tarafından yapıldığından diğer yöntemlere göre farklı bir sahtecilik çeşididir. Kart sahibi kendine ait kart ile bilgisi ve onayı ile alışveriş yapıldıktan sonra işlemin fraud olduğunu ileri sürerek bankasına itiraz etmesi ve harcama itirazı süreci ile tutarı tahsil etmesi durumudur. Aynı şekilde kart sahibi kendi kartını başka kişilere kullandırabilmektedir. Bu şekilde kredi kartıyla kendi işlem yapmamış gibi gösterip bankaya işlemlerin sahte olduğunu iddia ederek mağduriyetinin giderilmesini talep eder. Özellikle iptal ve iade hakkı bulunmayan ürün/hizmet tutarının tahsili için de başvurulan bir dolandırıcılık şeklidir.