İbrahim Kudret Elçiboğa
NWSESYS TECHNOLOGY FRAUD & ÖDEME SİSTEMLERİ MÜDÜRÜ
Kart dolandırıcılığını önlemeye yönelik chip&pin ve 3D Secure gibi uygulamalar geliştirilmesine rağmen, dolandırıcılık miktarı her geçen yıl artarak devam ediyor. İşin kötü yanıysa tamamen engellenebilmesinin mümkün olmaması.
Kart dolandırıcılıklarında mali sorumluluk dolandırıcılık türüne daha doğrusu kart kullanım şekline göre değişiklik gösterir. Bazı durumlarda kart sahibine, bazı durumlarda kartın kullanıldığı işyerine, bazı durumlarda ise kartı çıkaran bankaya mali sorumluluk kalır.
Kartlı Ödeme Sistemleri dolandırıcılık türleri, risk ve mali sorumluluklarını şu alt maddelerde inceleyebiliriz:
ATM DOLANDIRICILIĞI:
1. Kart ve Para Sıkıştırma: Genel olarak işlem süresi tamamlanıncaya kadar kart ATM’de kart okuyucu bölümünde bulunmaktadır. Dolandırıcılar, ATM’lerin kart okuyucu bölümüne kağıt veya benzeri maddeler yerleştirerek kartı sıkıştırıp, dışarıya çıkışını engelleyebilir ya da ATM’lerin para çekme haznesinin önüne yerleştirdikleri para verme haznesinin ön kapağına benzeyen ancak arka kısmında güçlü bir yapışkan bant bulunan metal aparat ile müşterilerin çekmek istedikleri tutarı ele geçirebilirler. Kart sahibinin girdiği şifreyi, gözlemek (omuzdan, uzaktan – hatta ülkemizde suç üstü yapılan bir olayda teleskop dahi ele geçirilmiştir); ATM’in klavyesini görecek şekilde konumlandırılan mini gizli kamera ile kaydetmek veya ATM klavyesi üzerine konulan ilave şeffaf bir klavye vasıtasıyla kaydetmek gibi yöntemlerle ele geçirilmektedir.
2. Kart Kopyalama: Teknolojinin ve kart endüstrisinin halen bulunduğu seviyede, başkalarına ait kart bilgilerinin ATM’ye yerleştirilen özel düzenek ile kopyalanarak ele geçirilmesi, başka bir kartın manyetik bandına yazdırılması mümkündür ki bu işleme kopyalama (skimming) adı verilmektedir. Dolandırıcılar, geçerliliğini yitirmiş kartların manyetik bilgilerini silerek bunun yerine geçerli bir kart verisini yüklerler veya “white plastic” (beyaz plastik kart) diye tabir edilen kartların manyetiklerine de bu bilgiler aktarılabilmektedir.
ATM üzerinden yapılan dolandırıcılığa maruz kalan kart sahipleri, kartlarının sahip olduğu bankaya ulaşmalıdır ve itiraz dilekçesi iletmelidirler. Bu dolandırıcılık nedeniyle oluşan zararlarının mali sorumluluğu bankaya aittir.
SOSYAL MÜHENDİSLİKLE DOLANDIRICILIK:
Sosyal mühendislik yöntemleriyle dolandırıcılık, insanı kandırmaya ve yanıltmaya yönelik, kart bilgilerinin ele geçirilerek haksız çıkar elde edilmesi sürecidir. Ülkemizde en yaygın olarak sahte çağrı merkezleri aracılığıyla yapılan dış aramalar sonucu veya cazip mesajlarla sahte çağrı merkezlerine yönlendirilerek, tek kullanımlık 3D Secure şifreleri ele geçirilmek suretiyle yapılmaktadır. İşlemler 3D Secure olarak tamamlandığı için dolandırılan kart hamillerinin fraud (işlem bana ait değil) nedeni ile itiraz etme hakkı bulunmuyor. Bu yöntemle 2 yıl içinde 10 milyon TL’ye yakın dolandırıcılık yapıldığı düşünülüyor.
Bu dolandırıcılığa maruz kalan kart sahipleri, genelde telefonu kapattıktan sonra şüpheye düşmekte ve bankalarının çağrı merkezi ile irtibata geçmektedir. Ya da bankadan cep telefonlarına gelen bilgilendirme mesajı ile kartlarının kullanıldığı işyeri ve tutar bilgisini öğrenerek dolandırıldıklarını anlamaktadırlar. Bankaların çağrı merkezleri bu durumda kendileri ile irtibata geçen kart dolandırıcılığı mağdurlarını, işleme itiraz için harcama itirazı dilekçesi gönderilmesi konusunda yönlendirmektedirler. Zaten işlem 3D Secure olarak tamamlandığı için ve kişiye özel şifrenin kart sahibi tarafından paylaşılması nedeniyle işlemin mali sorumluluğu kart sahibine kalmaktadır.
Bu kart dolandırıcılığına maruz kalan mağdurların, en hızlı şekilde kartlarının kullanıldığı işyerleri ile irtibata geçmeleri gerekir. İşlemin sahtecilikle yapıldığını kartın kullanıldığı işyerine bildirildiği takdirde, eğer ürün veya hizmetin henüz verilmediği durumlarda, işyerleri siparişi iptal ederek, tutarın karta iade edilmesini sağlayabilir.
SAHTE KART YÖNTEMİYLE DOLANDIRICILIK:
Sahte kartlar, gerçek ve geçerli kartın bilgileri ile oluşturulan kopya kartlardır. Sahte kart oluşturmak için gerçek bir kartın bilgisi ele geçirilmelidir.
1980 öncesi dönemde kredi kartının üzerinde bulunan kabartma (emboss) bilgiler imprinter cihazı ile kredi kartı slibi üzerine aktarılarak yapılan işlemlerin büyük boyutlu dolandırıcılıklara ortam hazırlaması nedeniyle, kredi kartı plastiğinin arka yüzünde bulunan “Manyetik Bant” (Magnetic Stripe) bilgi iletişimi, sahtekarlık ve dolandırıcılığa karşı bir tedbir olarak kullanılmaya başlamıştır. Manyetik banda, kart sahibi ile ilgili bilgiler, kart numarası, isim soyad, kartın geçerlilik tarihi, güvenlik kodu gibi bilgiler Uluslararası standartta (ISO-Internatıonal Standards Organisation) tanımlanmış şekilde ( Track1 ve Track2 olarak ) emboser/encoder olarak adlandırılan özel cihazlarla kodlanır.
Manyetik bandın yapısında bulunan kopyalanabilme zafiyetinin kısa sürede sektörü yaygın dolandırıcılık eylemlerine maruz bırakması ile birlikte kredi kartlarının üzerine küçük bir bilgisayar (Chip-çip) konulması ve işlemlerin çip ile birlikte kredi kartı sahibine verilen şifrenin (PIN – Personel Identification Number) birlikte yapılabilmesi şeklinde bir uygulamaya geçilmiştir. Geçiş sürecinde, kredi kartlarının arka yüzünde bulunan manyetik bant daha uzun yıllar çiple birlikte kullanılmaya devam edecektir, geçiş sürecindeki istisnaların yanı sıra, manyetik bant ihtiyaç halinde yedek olarak (fall-back) kullanılmaktadır. (çipin bozuk olması / POS’un çipi okuyamaması / kart sahibinin şifresini bilmemesi, unutması vs.)
POS üzerinde işlem yapan garsonun, kartı bir POS’tan, bir de cebinde taşıdığı mini kart okuyucudan (card reader) geçirmesi; veya POS’a ilave bir mini kart okuyucu takılması veya ATM üzerinden kart giriş yuvasına takılan bir aparat ile kart manyetiğinin bilgileri çalınmaktadır. Dolandırıcılık şebekeleri bu yöntemlerle kartlardan elde ettikleri manyetik alan bilgilerini boş kartlara yazarak kopya kartlar oluşturmaktalar. Dolandırıcılar, geçerliliğini yitirmiş kartların manyetik bilgilerini silerek bunun yerine geçerli bir kart verisini yüklerler veya “white plastic” (beyaz plastik kart) diye tabir edilen kartların manyetiklerine de bu bilgiler aktarılabilmektedir.
Bu dolandırıcılık nedeniyle oluşan kart sahibi zararlarının mali sorumluluğu bankaya aittir.
KAYIP/ÇALINTI KARTLA DOLANDIRICILIK:
İşyerlerinde yapılan alışverişlerde kayıp ya da çalıntı kartların kullanılması şeklinde yapılan dolandırıcılık türüdür. Bu yöntemde kullanılan kartlar gerçektir. Kartın sahibinden hırsızlık, yankesicilik veya gasp şeklinde elde edilerek usulsüzce kullanılmasıyla meydana gelen bir yöntemdir. Kart sahipleri, özellikle yurt içi ya da dışı yurt seyahatlerde kredi kartlarının kaybedilmesi ya da çalınması halinde çok büyük maddi ve manevi zarar ile karşılaşabilmektedirler.
Kart hamilinin ağır ihmali veya kastı olmaksızın, kartın kayıp olması ve çalınması halinde kart hamili, yapacağı bildirimden önceki 24 saat içinde gerçekleşen hukuka aykırı kullanımdan doğan zarardan 150 TL ile sınırlı olmak üzere sorumludur. Şayet kart hamili bu 150 TL’lik sorumluluktan da kaçınmak istiyorsa, kartı çıkaran bankaya prim yatırarak kartın sigortalanmasını talep etmek zorundadır. Kartı çıkaran banka bu 150 TL tutarındaki sorumluluğu sigortalamakla yükümlüdür.
SAHTE BAŞVURU YÖNTEMİYLE DOLANDIRICILIK:
Bu dolandırıcılık yönteminde, dolandırıcılar başkasının kimliği üzerinden kendi fotoğrafı ve sahte belgeleri ile kart başvurusu yapmaktadır. Burada bilgi ve belgelerin elde edilmesi olayın bir başka sahtecilik boyutudur. Bu bilgi ve belgelerin ele geçirilme yöntemleri başlıca hırsızlık, phishing internet siteleri, dolandırıcılık amaçlı telefon aramaları, virüslü e-postalar, çeşitli nedenlerle toplanan kimlik fotokopileridir. Kart başvurusu sonucunda yanlış beyan edilen adrese veya kişiye gönderilen kartları rahatlıkla şüphe çekmeden kullanılabilmektedir.
Bu durumda bu kart dolandırıcılığına maruz kalan mağdurlar banka ile irtibata geçerek, konuyu açıklayan bir itiraz dilekçesi ile başvuru yapmalıdırlar. Bu dolandırıcılık nedeniyle oluşan zararlarının mali sorumluluğu bankaya aittir ve banka tarafından zararları karşılanmak zorundadır.
SANAL ORTAMDA GERÇEKLEŞEN KART DOLANDIRICILIĞI:
2015 yılında kart dolandırıcılığı olarak gerçekleşen her 100 işlemden 85’i sanal ortamda gerçekleşti. Bu dolandırıcılık türünde, kart ve dolandırıcı fiziken işyerinde değildir. İşlem, hassas kart verisi (kart no., SKT, güvenlik kodu ve şifre) POS cihazına işyeri tarafından tuşlanmak (MO-TO, mail order-telefon order ) ya da dolandırıcı tarafından web sitesinde yer alan ödeme sayfasına girilmek (e-commerce) suretiyle gerçekleştirilmektedir. Türkiye’de özellikle kart verilerinin işyerlerinden çalınması, sızması, kopyalanması sanal ortamda gerçekleşen kart sahteciliklerinin en önemli sebebidir.
MO/TO ve elektronik ticaret işlemlerinde ortada fiziki olarak bir kart bulunmadığından, bazı kontrollerin yapılması mümkün olamamaktadır. Bu işlemlerde kullanılan “Kart Numarası” , “Kartın Vadesi” ve “Güvenlik Kodu”’nun çeşitli şekillerde öğrenilmesi veya ele geçirilmesi ile bu bilgilerle mal ve hizmet satın alınabilmesi dolandırıcılığa ve suistimale açık bir kullanım şekli olarak ortaya çıkmaktadır. Bu nedenle sanal ortamda gerçekleşen işlemlerde, siparişi verilen mal veya hizmetin gerçek kart sahibine teslim edilmesinden üye işyerleri sorumlu tutulmakta, gerçek kart sahibine teslim sorumluluğu, sözleşmelerle işyerlerine devredilmektedir. Hem Kartlı Ödeme Sistemleri kurallarına göre hem de 5464 sayılı Banka Kartları ve Kredi Kartları Kanununa göre sanal ortamda gerçekleşen işlemlerden dolayı doğacak anlaşmazlıklarda ispat yükümlülüğü işyerine aittir.
Yukarıda detayları belirtildiği üzere, Kartlı Ödeme Sistemleri Kurallarına göre, kart sahiplerinin itirazı halinde, ispat ve belgelendirme yükü ile mali sorumluluk işyerlerine devredilmektedir. (3D Secure yöntemi ile tamamlanan elektronik ticaret işlemlerinde mali sorumluluk kart sahibine aittir.)
