İbrahim Kudret Elçiboğa
Payten Kıdemli İş Analisti – Ödeme Sistemleri
Payten Kıdemli İş Analisti İbrahim Kudret Elçiboğa, Fintechtime okurları için kaleme aldı, “Dijital Cüzdan Dolandırıcılığı”.
Dijital cüzdan, sunduğu kullanım kolaylığı sayesinde popülerliğini giderek daha çok artırıyor. Dijital cüzdan sayesinde kart sahipleri kartlarının bilgilerini sisteme güvenli biçimde ekliyor, burada saklıyor, gerektiğinde güncelliyor ve iptal edebiliyor. Bir internet sitesinde ödeme yapacakları zaman ödeme sayfasına geldiklerinde tanımlı kartı seçip tek tık ile ödemeyi gerçekleştirebiliyorlar. Kullanıcıların girdiği kart bilgileri bulutta saklanıyor ve internet sitesinde alışveriş yapılacağı zaman herhangi bir bilgi girmeye gerek kalmadan kolayca sistemden çekilebiliniyor. Diğer bir ifade ile dijital cüzdan; kart bilgilerini bulutta kendi sistemlerinde saklayan ve genelde internet üzerinden alışverişlerde kart bilgisi girmeden ödeme yapılmasını sağlayan çözümlere verilen genel isimdir diyebiliriz.
Daha fazla seçenekler eklenen ödeme sistemleri dünyasında, dijital cüzdanların benimsenmesiyle birlikte değişiyor ve dolandırıcılar için yeni yollar sunuyor. Bu durum, COVID-19 salgını sırasında daha da kötüleşti, çünkü tüketiciler içeride ve işletmeler fiziksel kapılarını kapatırken aynı anda online kapıları açmak zorunda kaldılar. Siber suçlular, yöntemlerinin bir adım önde olmasını sağlamak için geleneksel kredi kartı sahtekarlığından uzaklaşıyor ve yeni ortaya çıkan ödeme yöntemlerine doğru ilerliyor. Veriler, pandeminin başlangıcında ödeme sahtekarlığının arttığını ve yüksek seviyelerde kalmaya devam ettiğini gösteriyor.
Bankalar, dijital cüzdanların popülaritesinden yararlanıyor çünkü tüketicilerin kartlarını daha kolay ve daha rahat kullanmasını sağlıyor. Dijital cüzdan teknolojisi ne kadar kullanışlı olsa da, hem tüketiciler hem de finans kurumları için bazı tehditler ve riskler taşır. Dijital cüzdan ile ilgili sorunlar tipik olarak iki yoldan ortaya çıkar. Birincisi, belirli bir banka veya kredi kartını dijital cüzdan ile ilişkilendirmek için kart kayıt işlemidir. Bu işlem, kartın sahibi olan müşterinin kullanım için kaydeden kişi olmasını sağlamak için güçlü kimlik doğrulama süreçleri izlenmediği sürece sahtekarlıkla dolu olabilir. İkincisi, kimlik avı saldırılarıdır.
Dijital cüzdan ekosistemindeki en zayıf nokta, kart kayıt sürecidir. Bir kişinin bir karta fiziksel erişimi varsa veya kart bilgilerine (belki bir veri ihlalinden kaynaklanan bir dökümden) sahipse, isimler eşleşmese bile muhtemelen bu kartı kendi mobil cüzdan uygulamasına kaydetmenin bir yolunu bulabilir. Daha önce çıkan haberlerden, Apple Pay’deki kimlik doğrulama kontrollerinin atlanabildiği ve Apple Kimliğindeki adla eşleşmeyen kartların kaydettirildiğini okumuştuk.
Her kurumun bir kartı kaydederken bir kullanıcının kimliğini kontrol etmek için kendi metodolojisi vardır. Bazıları kart sahibine kod gönderirken, diğerleri bir e-posta göndererek veya kullanıcıdan bilgi tabanlı kimlik doğrulama sorularını yanıtlamasını talep ederek kimlik kontrolünü yapabilir.
Kimlik avı yöntemi, bir saldırganın e-posta veya diğer iletişim kanallarında saygın bir internet sitesi veya kişi gibi davrandığı bir sahtekarlık biçimidir. Phishing yani oltalama saldısı olarak da adlandırılabilen saldırılarda, saldırgan oturum açma kimlik bilgilerinin alınması ya da mağdurlardan hesap bilgilerinin çalınması dahil olmak üzere çeşitli işlevleri gerçekleştirebilen kötü amaçlı bağlantılar veya ekler dağıtmak için e-postaları veya diğer iletişim yöntemlerini kullanır. Kimlik avı dolandırıcılığı, siber suçlular arasında popüler bir yöntemdir çünkü bir kişiyi e-posta yoluyla bir bağlantıya tıklatarak kandırmak, bilgisayarın savunmasını kırmaktan daha kolaydır.
Kimlik avı saldırıları, genellikle sosyal ağlar üzerinden gönderilen doğrudan iletiler ve SMS metinleri de dahil olmak üzere e-postalara veya diğer elektronik iletişim kanallarına uygulanan bazı tekniklere dayanır.
Genellikle, mağdurlar bilinen bir kişi veya kuruluş tarafından gönderilmiş gibi görünen bir mesaj alır. Saldırı, kimlik avı yazılımı içeren kötü amaçlı bir dosya eki aracılığıyla veya kötü amaçlı web sitelerine bağlanan bağlantılar aracılığıyla gerçekleştirilir. Her iki durumda da amaç, kullanıcının cihazına kötü amaçlı yazılım yüklemek veya kurbanı şifreler, hesap kimlikleri veya kredi kartı bilgileri gibi kişisel ve finansal bilgileri elde etmektir.
Dolandırıcılar becerikli, zeki ve ısrarcıdır ve yeni teknolojiler online olduğunda, onları kötüye kullanmanın bir yolunu bulmak için zaman ve çaba harcayacaklardır. Dijital cüzdanlar da farklı değil ve bu sistemlerin kullanımı artmaya devam ettikçe, bankaların ve ödeme kuruluşlarının dolandırıcıların bunlardan yararlanmak için geliştirdiği tekniklere yanıt vermenin yeni yollarını bulması gerekecek.