kudret_elciboga
İbrahim Kudret Elçiboğa
ATLASGLOBAL
FRAUD VE CHARGEBACK MÜDÜRÜ

Kredi kartlar hangi yöntemlerle kopyalanıyor? Kartı kopyalanan kişi ne yapmalı? Sorumluluk kime ait? Cevapları yazımızda…

Sahte kartlar, gerçek ve geçerli kartın bilgileri ile oluşturulan kopya kartlardır. Sahte kart oluşturmak için gerçek bir kartın bilgisi ele geçirilmelidir. Bu gerçek kart verisi de kartın manyetiğinden çalınmaktadır.

Gerçek bir kartın bilgisinin nasıl ele geçirildiğini anlayabilmek için, öncelikle kartlarda yer alan manyetik bandın yapısı, işlevi ve kopyalanabilme zaafiyetini bilmek gerekir.

1980 öncesi dönemde kredi kartının üzerinde bulunan kabartma (emboss) bilgiler “imprinter” cihazı ile kredi kartı slibi üzerine aktarılıyordu. Yapılan işlemlerin büyük boyutlu dolandırıcılıklara ortam hazırlaması nedeniyle, kredi kartı plastiğinin arka yüzünde bulunan “Manyetik Bant” (Magnetic Stripe) bilgi iletişimi, sahtekarlık ve dolandırıcılığa karşı bir tedbir olarak kullanılmaya başlandı.

Manyetik banda, kart sahibi ile ilgili bilgiler, kart numarası, isim soyad, kartın geçerlilik tarihi, güvenlik kodu gibi bilgiler Uluslararası standartta (ISO-Internatıonal Standards Organisation) tanımlanmış şekilde (Track1 ve Track2 olarak) “emboser” veya “encoder” olarak adlandırılan özel cihazlarla kodlanır.

Manyetik bant yeterli gelmedi

Manyetik bandın yapısında bulunan kopyalanabilme zaafiyetinin kısa sürede sektörü yaygın dolandırıcılık eylemlerine maruz bırakması ile birlikte kredi kartlarının üzerine küçük bir bilgisayar (Chip-çip) konulması ve işlemlerin çip ile birlikte kredi kartı sahibine verilen şifrenin (PIN – Personel Identification Number) birlikte yapılabilmesi şeklinde bir uygulamaya geçilmiştir.

Teknolojinin ve kredi kartı endüstrisinin halen bulunduğu seviyede, başkalarına ait gerçek kart bilgilerinin, çeşitli kaynaklardan elde edilerek, başka bir kartın manyetik bandına yazdırılması mümkündür ki bu işleme kopyalama (skimming) adı verilmektedir.

Burada akla hemen şu soru gelecektir: Manyetik bandın sahip olduğu kopyalanabilme zaafiyeti nedeniyle çip teknolojisine geçildi ise hala neden kartların arkasında manyetik bant bulunmaya devam ediyor?

Manyetik banttan kurtulamıyoruz

Mastercard ve Visa tarafından uzun yıllar devam eden çalışmalar sonrasında uygulamaya konan chip&pin teknolojisi, dünyanın her noktasında aynı anda uygulamaya konamadı. Çünkü gerek kartların üzerine çip konulması, gerekse ATM ve POS’ların kartlardaki çipi okuyacak hale gelmesi çok önemli tutarda yatırım gerektirmekteydi.

Örneğin, ülkemizde 2005 yılının ocak ayında başlayan kredi kartlarında chip & pin uygulmasına geçiş süresi 01.07.2007 tarihinde “zorunlu” uygulama haline gelmiş, aynı yıl 3D Secure uygulamaları da küçük çaplı olarak devreye girmeye başlamıştır. Bu zorunluluk Türk bankalarına ait kartlar için söz konusuydu. Henüz kartına çip konmamış olan yabancı ülke bankalarına ait kartlar manyetik bant üzerinden işlem yapmaya devam etmişti.

Bu nedenle geçiş süresi uzun zaman aldı, başta Amerika bölgesi uzun yıllar çipe geçmemek için direndi. En sonunda, özellikle Mastercard ve Visa’nın “liability shift” olarak adlandırılan çipi zorunlu uygulama haline getiren (çipi olmayan bankanın dolandırıcılık riskini üstlenmesi) kuralı ile bu süreç büyük ölçüde aşıldı. Amerika da Ekim 2015 tarihi itibarıyla çipe geçti ve böylece uygulamaya geçen en son bölge oldu. Kartların arka yüzünde bulunan manyetik bant, yukarıda bahsettiğim geçiş sürecindeki istisnaların yanı sıra, ihtiyaç halinde (çipin bozuk olması, POS’un çipi okuyamaması, kart sahibinin şifresini bilmemesi, unutması vs.) yedek olarak (fallback) kullanılmaktadır. Bu nedenlerle kartların arka yüzünde bulunan manyetik bant daha uzun yıllar çiple birlikte kullanılmaya devam edecektir.

Kredi kartlar hangi yöntemlerle kopyalanıyor?

Yukarıda anlattığım gibi, kart kopyalamak için kart manyetiğinde yer alan gerçek kart verisinin çalınması gerekiyor. Bunun için de kart kopyalama aparatı veya cihazı (skimmer) kullanılıyor.

ATM üzerinde yapılan kart kopyalamalar, kart giriş yuvasına bu aparat takılarak gerçekleşiyor. Bu aparat sadece kart manyetiğinde yer alan bilgileri çaldığı için, müşterinin girmekte olduğu şifrenin çalınması için ise, sahte klavye (PINPAD) ya da klavyeye odaklanmış ATM üzerine gizlenmiş bir kamera kullanılıyor.

POS kaynaklı kart kopyalamalarda ise, genellikle lokanta, dinlenme tesisleri, alışveriş mağazalarında çalışan dolandırıcılık şebekesi üyeleri ödemek yapmak için verilen kartları ya ayrı bir kart kopyalama cihazından geçirerek ya da POS’a ilave takılan bir aparat ile kart manyetiğinde yer alan bilgiler çalınmaktadır.

ATM ve POS üzerinden kopyalama aparatı veya cihazı ile kartın manyetiğinden çalınan gerçek kart verileri, geçerliliğini yitirmiş kartların manyetik bilgileri silindikten sonra yüklenerek sahte (kopya) karta dönüştürülüyor. Bunun dışında sıfırdan “white plastic” (beyaz plastik kart) diye tabir edilen kartların manyetiklerine bu bilgiler aktarılarak veya yazdırılarak sahte (kopya) kart üretiliyor.

Kartı kopyalanan kişi ne yapmalı? Sorumluluk kime ait?

Kartının kopyalandığını düşünen ya da şüphelenen kart sahibi, mutlaka bankasına yazılı olarak başvurmalı ve itirazını iletmelidir. Bankanın ilgili birimi tarafından yapılan inceleme sonucunda kartın kopyalandığı tespiti doğrulandığı takdirde, kart sahibinin oluşan tüm zararı banka tarafından karşılanacaktır.

Çünkü bu dolandırıcılık nedeniyle oluşan kart sahibi zararlarının mali sorumluluğu bankaya aittir.

Genel olarak toparlarsak, hem dünyada hem ülkemizde chip&pin geçişi ile birlikte kart dolandırıcılığında bir trend kayması oldu ve kartın fiziksel olarak ibraz edildiği durumlarda gerçekleşen kart sahtekarlıklarında önemli ölçüde azalma oldu. Şu an popüler ve yaygın olan sanal ortamda gerçekleşen kart dolandırıcılığıdır. Ancak kartların arka yüzünde bulunan manyetik bant çiple birlikte kullanılmaya devam ettiği sürece, kart kopyalama (sahte kart) ve kayıp veya çalıntı kart dolandırıcılığı belli bir oranda devam edecektir.

Sosyal Mühendislik Yöntemleriyle Dolandırıcılık