İbrahim Kudret Elçiboğa
NWSESYS TECHNOLOGY FRAUD & ÖDEME SİSTEMLERİ MÜDÜRÜ
Gelişen teknolojiler her geçen gün büyük bir hızla hayatımıza girerek yaşamın her alanında insan hayatını kolaylaştırmaktadır. Bu teknolojik gelişmelerle beraber insanların harcamalarının artması paranın yerini alan kredi kartı kullanımınında çok büyük bir oranda artmasına sebep olmakta, bütün bunlarla beraber bu kadar çok artan kredi kartı kullanımıyla birlikte kredi kartı sahteciliği de doğru orantılı olarak artmaktadır.
Kredi kartı sahteciliğini iki tipe ayırabiliriz:
– Fiziksel ortamda gerçekleşen kart sahteciliği (offline fraud, card present fraud)
– Sanal ortamda gerçekleştirilen kart sahteciliği (online fraud, card not present fraud )
Genel olarak bakıldığında, chip & pin teknolojisine geçiş ile birlikte; fiziksel ortamda gerçekleşen kart sahteciliği azalırken, aynı ölçüde belki de daha fazla sanal ortamda gerçekleştirilen kart sahteciliğinde artış meydana gelmektedir.
Fiziksel ortamda gerçekleşen kart sahteciliğini (offline fraud, card present fraud) 4 ana başlığa ayırabiliriz.
1. Kayıp / Çalıntı Kart Yöntemi: İşyerlerinde yapılan alışverişlerde kayıp ya da çalıntı kartların kullanılması şeklinde yapılan dolandırıcılık türüdür. Bu yöntemde kullanılan kredi kartları gerçektir. Kartın sahibinden hırsızlık, yankesicilik veya gasp şeklinde elde edilerek usulsüzce kullanılmasıyla meydana gelen bir yöntemdir. Bu kapsamda ayrıca, kredi kartı başvurusu yapıldıktan sonra, kredi kartının kurye veya dağıtıcılar vasıtası ile kartı teslim edecekleri doğru kişiye ulaşamayarak kartın yanlış kişilere teslim edilmesi, kurye veya dağıtıcıların kartın sahibi olduğu kişiye başka bir ürün getirmiş gibi kişinin özel bilgilerini ele geçirerek, ele geçirdiği bu bilgiler ile sahte işlem gerçekleştirmeleridir.
Kart sahipleri, özellikle yurt içi ya da dışı yurt seyahatlerde kredi kartlarının kaybedilmesi ya da çalınması halinde çok büyük maddi ve manevi zarar ile karşılaşabilmektedirler. Kart hamilinin ağır ihmali veya kastı olmaksızın, kartın kayıp olması ve çalınması halinde kart hamili, yapacağı bildirimden önceki 24 saat içinde gerçekleşen hukuka aykırı kullanımdan doğan zarardan 150 TL ile sınırlı olmak üzere sorumludur. Kredi kartları, kayıp/çalıntı ya da sahtecilik hallerinde tüketicinin sorumluluğunu sınırlandırmaktadır. Şayet kart hamili bu 150 TL’lik sorumluluktan da kaçınmak istiyorsa, kartı çıkaran bankaya prim yatırarak kartın sigortalanmasını talep etmek zorundadır. Kartı çıkaran banka bu 150 TL tutarındaki sorumluluğu sigortalamakla yükümlüdür.
2. Kredi Kartını Usulsüz Kullanma / Kullandırma Yöntemi : Bu yöntemde sahtecilik işlemi kart sahibi tarafından yapıldığından diğer yöntemlere göre farklı bir sahtecilik çeşididir. Kart sahibi kendine ait kredi kartıyla alışveriş yaptıktan sonra bankayı arayıp kartını düşürdüğünü veya çaldırdığını beyan ederek işlemleri geçersiz kılmaya çalışmaktadır. Aynı şekilde kart sahibi kendi kartını başka kişilere kullandırabilmektedir. Bu şekilde kredi kartıyla kendi işlem yapmamış gibi gösterip bankaya işlemlerin sahte olduğunu iddia ederek mağduriyetinin giderilmesini talep eder.
Kredi kartının bir diğer usulsüz kullanım alanı “sahte kart” olarak kullanılmasıdır. Bu yöntemde gerçek kredi kartının varlığına ihtiyaç yoktur. Gerçek kredi kartı bilgileri bir şekilde elde edilerek sahte bir kartın üzerine kopyalanmakta ve daha sonra sahte kart ile işlem yapılmaktadır. Günümüzde kullanılan chip&pin uygulaması ile bu tip sahteciliğin önüne büyük ölçüde geçilmiştir.
Son zamanlarda fiktif olarak adlandırılan, hem kartın hem posun amaç dışı kullanıldığı, kart hamili ve işyerinin anlaşmalı olduğu, nakit temin etmeye yönelik, işyeri tarafından gerçek ürün ve hizmetin sağlanmadığı sahtekarlıklarda artış göstermektedir. Fiktif işlemlerde, işyeri anlaşmalı olduğu kişilerin kartlarını postan geçer. Ve aralarında sahte bir hizmet,ürün sözleşmesi yapılır, hizmetin/ürünün ileri tarihli verileceği beyan edilir. Daha sonra işyeri posunu kullandığı bankasından işlemlerin parasını alır ve ortadan kaybolur. Daha sonra anlaşmalı kart sahipleri hizmet/ürün alınamadı diye bankalarına harcama itirazında bulunur.
3. Sahte Başvuru Yöntemi : Bu sahtecilik yönteminde, kişinin başkasının kimliği üzerinden kendi fotoğrafı ve sahte belgeleri gibi bilgilerle kredi kartı başvurusu yapma işlemidir.
Burada verilen belgelerin elde edilmesi işlemi olayın bir başka sahtecilik boyutudur. Çünkü bu belgeler kişi tarafından bir amaç için yasal olarak başka bir kuruma verilirken diğer yandan belgelerin elde edilerek kötü amaçlar için kullanılması söz konusudur. Kart başvurusu sonucunda yanlış beyan edilen adrese veya kişiye gönderilen kredi kartları rahatlıkla şüphe çekmeden kullanılabilmektedir.
4. ATM Dolandırıcılığı Yöntemi: Bu yöntem de günümüzde oldukça yaygın kullanılan sahtecilik yöntemlerindendir. Bankanın ATM cihazının kart giriş haznesine bir cisim yerleştirildikten sonra gelen müşterinin kartının cihaza sıkışması sağlanmaktadır. Daha sonra dolandırıcı yardım etmek bahanesiyle kart hamilinin şifresini öğrenip müşterinin bankadan ayrılmasından sonra kartı ATM cihazından çıkarıp kullanması ile gerçekleşen sahtecilik yöntemidir. Bu sahtecilik yönteminin bir başka şeklinde ise dolandırıcı gelen müşterinin kartının ATM cihazına sıkışmasını sağlamaktadır. Cihazın görünmeyen bir tarafına yerleştirilen kamera sayesinde kart hamilinin bilgilerini öğrendikten sonra aynı sahtecilik işlemi gerçekleştirilmektedir. Bankalar bu yönteme karşı ATM cihazlarında önlemler almakta, kart giriş haznelerinde özel aparatlar kullanarak bu sahtecilik yöntemini önlemeye çalışmaktadırlar.
Sanal ortamda gerçekleştirilen kart sahteciliklerinde ise kart ve dolandırıcı fiziken işyerinde değildir. İşlem, hassas kart verisi (kart no., kartın son kullanma tarihi, güvenlik kodu ) POS cihazına işyeri tarafından tuşlanmak (MO-TO, Mail Order-Telefon Order Sahtecilikleri) ya da dolandırıcı tarafından web sitesinde yer alan ödeme sayfasına girilmek (Sanal POS sahtecilikleri) suretiyle gerçekleştirilmektedir.
Online alışverişi yapılan ürünlerin ödeme yöntemleri geleneksel ticarete göre farklılık göstermektedir. Satıcı ve müşterinin yüz yüze ilişkide bulunmamasından dolayı güvenlik faktörü önem kazanmaktadır. Kart sahipleri online alışverişin sunduğu kolaylığın yanında fiziksel ortamda elde ettikleri güvenliğe de sahip olmak istiyorlar. Online alışverişlerde işlemler analiz edildiğinde en büyük engelin gerçek kart sahibi ile gerçek işyerinin doğrulanması ihtiyacı olduğu görülüyor.
İnternet üzerinden yapılan alışverişlerde dolandırıcılık sayısının artması ile birlikte kart kuruluşları 3D Secure isimli bir sistemi geliştirmiş ve uygulamaya sunmuştur. 3-D Secure, internette alışveriş işlemlerinin güvenli bir şekilde yapılabilmesi için kart kuruluşları tarafından geliştirilmiş olan bir kimlik doğrulama sistemidir. Bu sistem fiziki poslardaki chip & pin teknolojisinin benzeridir. Sistemin Visa kredi kartı kullanımı için hazırlanan uygulamasına “Verified by Visa”, MasterCard kredi kartı kullanımı için hazırlanan uygulamasına ise “SecureCode” isimleri verilmektedir. Kart sahibi kendi oluşturduğu statik şifresi veya cep telefonuna gelen dinamik şifre ile işlemlerin kendisi tarafından yapıldığını doğrular. Şifre vasıtasıyla işlem anında kartın ve kart sahibinin aynı yerde olduğu belgelenir. Yöntemin amacı, kart sahibinin onayı alınarak, internet işlemlerinde sahtekarlığın önlenmesi, internet işlemlerinin güvenliğinin arttırılması, sanal mağazaların ve kart sahiplerinin riskinin ortadan kaldırılmasıdır.
İşyerleri, kart ve kart hamili verilerinin güvenliğini sağlamakla yükümlüdür. Türkiye’de özellikle kart verilerinin işyerlerinden çalınması, sızması, kopyalanması sanal ortamda gerçekleşen kart sahteciliklerinin en önemli sebebidir. Müşteri verilerinin güvenliğinin sağlanması, verilerin sızması ve veri çalınması riskinin azaltılması amacıyla uluslararası kartlı ödeme sistemleri kuruluşları tarafından, Kartlı Ödeme Sektörü Veri Güvenlik Standartları (PCI DSS) geliştirilmiştir. On iki koşuldan oluşan Veri Güvenlik Standartları, temelde bu bilgilerden hangilerinin saklanabileceği ve saklanırken nasıl korunacağına dair kuralları içermektedir. Ayrıca işyerleri kart verisini işleyen dış kaynaklı yazılımlarının da veri güvenliği standartlarına uygun olduğunu (PA DSS) belgelemek zorundadır.
Kartlı ödeme sektöründe, kart hamillerinin bilgisi dışında, üçüncü şahıslar tarafından gerçekleştirilen işlemler genel olarak “sahte işlem” olarak adlandırılmaktadır. İşyerlerinde gerçekleştirilen sahte işlem adet ve/veya işlem tutarının toplam ciro içinde belirli bir eşiğe ulaşması halinde kart kuruluşları tarafından işyeri bankası yazılı olarak uyarılmaktadır. Uyarılara rağmen, kart kuruluşları tarafından geliştirilen kart kabul kurallarına uygun davranılmaması ve işyeri tarafından sahte işlem kabul edilmeye devam edilmesi durumunda, anılan ceza programları kapsamında ilgili kart kuruluşlarınca artan parasal yaptırımların uygulanması ve/veya üye işyeri bankası tarafından tek taraflı fesih kararının alınması söz konusu olabilmektedir. Sahte işlem kabulü nedeniyle anlaşması feshedilen işyerleri önemli ölçüde prestij ve ciro kaybına uğramaktadır.
Söz konusu yaptırımlara tabi olmamak için, işyerlerinin kart kabul kurallarına uygun davranmaları, sahte, kayıp, çalıntı kart ile yapıldığından ya da kart hamili bilgisi ve onayı dışında gerçekleştirildiğinden şüphe ettikleri işlemlere izin vermemeleri gerekmektedir. Bu nedenle kredi kartı sahtecilik tespit sistemleri işyerleri için bu tür sahtekarlık tiplerini durdurabilmek için gerekli ve en iyi araç haline gelmiştir.