web statistics

Temassız Kartlar, ATM’ler ve Güvenlik Açıkları


Dünya üzerinde kartla yapılan alışverişler adetsel ve tutar olarak teknolojik gelişmelere paralel bir sürekli artış gösteriyor. Teknolojik gelişmelerin ve güvenlik önlemlerinin en yakından takip edildiği alanlardan biri olan kartlı ödeme sistemlerinde artmakta olan işlem hacmi, kötü niyetli kişilerin de bu alanı özellikle hedef seçmesine sebep oluyor. Gelişmiş ülkelerin bir çoğunda kart sahiplerinin mağduriyetlerinin giderilmesi için beyanı yeterli olup sigorta anında devreye girerken, ülkemizde tüketicilerin böyle bir mağduriyetin ortaya çıkması durumunda beyanın yanısıra mağduriyetlerini belgeleyecek deliller sunması gerekmesi, bankacılık ve tüketici finansmanı ürünlerinde tüketici hakları konusunda katedilmesi gereken çok mesafe olduğunun en büyük göstergesi.

Türkiye’nin liderliğe oynadığı temassız kart işlemleri (İngiltere’nin ardından ikinci) iki büyük ödeme sistemi tarafından özellikle öne çıkartılıyor. Medyada bu konuda gerek Visa, gerekse Mastercard tarafından yapılan açıklamalar, reklamlar veya tanıtımlara denk gelmiş olmamanıza imkan yok. Bilmeyenler için kısaca tekrar edelim. Dünyanın en büyük ödeme sistemlerinden Mastercard tarafından geliştirilen PayPass sisteminin ülkemizdeki en büyük temsilcisi Garanti Bankası ve onun çıkardığı Bonus Trink markası. Diğer büyük ödeme sistemi Visa ise temassız kart alanında pazarı kaptırmamak amacıyla PayWave adını verdiği sistemle karşımıza çıkıyor. PayWave sistemine üye olan Türk bankaları ise sırasıyla İş Bankası, Denizbank, Bank Asya, Garanti Bankası (Temassız Money Card), Ziraat Bankası ve Yapı Kredi Bankası. Türkiye’de Paypass ve PayWave uyumlu toplam iki milyona yakın temassız kart bulunduğu belirtiliyor.

Sistem belirli bir tutarın altındaki işlemleri, Paypass / PayWave uyumlu kartı özel olarak geliştirilmiş POS arayüzüne göstermek süretiyle şifre girmeden gerçekleştirerek, kart sahiplerine vakit kazandırdığını iddia ediyor. Bizim düşüncemize göre, ülkemizde temassız işlemlerin bankalar tarafından bu kadar çok yaygınlaşmasının en büyük sebebi, Mastercard ve Visa gibi iki büyük ödeme sisteminin temassız kart teknolojilerinin ülkemizde yaygınlaşmasını özellikle desteklemelerinden kaynaklanıyor.

Kredi kartı işlem ve ciroları açısından Türkiye gibi potansiyele sahip ülkelere baktığımızda, bunların çoğunun Doğu Avrupa ülkeleri olduğunu görüyoruz. Bu ülkelerin neredeyse tamamı ya Avrupa Birliği‘ne girmiş durumda yada girmek için net bir takvime sahip. Bu nedenle bu ülkeler kuvvetli Avrupa Birliği regülasyonlarına tabiler.

Türkiye için ise Avrupa Birliği’ne üyeliğinin nasıl bir üyelik olacağı tartışıldığı için, bu tip ağır regülasyon söz konusu değil. Mastercard ve Visa gibi ödeme sistemleri bu nedenle temassız kart teknolojilerine yatırım yapan Türk bankalarını destekliyor, hatta teşvik ediyor. Yukarıda bahsettiğimiz potansiyele sahip ülkelerde böyle bir teknoloji implementasyon sürecine cesaret edemiyorlar, çünkü bu kadar büyük çapta uygulamada olabilecek aksaklıklar nedeniyle tüketicilerin mağduriyeti veya karşılaşacakları zararları yansıtmadan tazmin etmek veya sineye çekmek zorunda kalmaları mümkün. Türkiye’de böyle bir risk neredeyse yok gibi. Öncelikle bankaların istemediği bir yasal düzenleme kolay kolay geçemiyor.(örneğin kredi kartı üyelik aidatını kamuoyunun tüm baskısına rağmen kaldırmak mümkün olmadı). Bunun üzerine bir de ülkemizde tazminat talepli adli vakalarda dikkate alınan “sebepsiz zenginleşme” kavramı nedeniyle tazminat söz konusu olsa bile, bankaların ve bu ödeme sistemlerinin Türkiye’de uğrayabilecekleri tazminat kayıpları çok sınırlı olacaktır.

Bir başka neden ise geçmiş yıllarda Türkiye’nin kredi kartı işlemlerine taksitli işlemi dahil edebilen ilk ülke olması ve bunu başarılı bir şekilde günümüzde kadar sürdürebilmesi. Bu başarı da kredi kartlarında yeni teknoloji implementasyonlarında önemli bir referans oluşturuyor.

Bu nedenlerden dolayı Visa ve Mastercard’ın, devam eden temassız kart teknolojileri ile iglili çalışmaları için Türkiye’yi adeta pilot bölge olarak desteklediklerine ve test ettiklerine inanıyoruz. Büyük ilaç şirketlerinin Afrika kıtasını denek olarak kullandığı gibi Visa ve Mastercard da ülkemizi deneme tahtası olarak pekala kullanıyor olabilir.

Geçtiğimiz yıllarda temassız kart teknolojisinin tüketiciyle ilk tanıştırıldığı dönemde sizinle paylaşmış olduğumuz temassız kartlar ile ilgili potansiyel güvenlik sorununa dair makaleye buradan ulaşabilirsiniz. Bu makalede yer alan bir videoda da görebileceğiniz gibi, temassız özelliği bulunan kredi kartlarının bilgilerinin kart sahibi farketmeden elde etmek hiç de zor değil. Söz konusu makalede de kısaca bahsettiğimiz gibi, temassız kartların ülkemizdeki çalışma prensibi güvenlik nedenleri ile geçiş yapılan chip & pin uygulaması ile bir çelişki içerisinde.

Bir yandan fiziksel kart kullanımında güvenlik için şifre kullanımını zorunlu kılan zihniyet, temassız kartlarda belli tutarlara kadar gerçekleşen işlemlerde sorgulama yapmıyor. Üstelik kart sahibinin haberi olmadan temassız olarak gerçekleşen işlemler hakkında herhangi bir güvence sağlanmıyor. Kötü niyetli kişiler bir kredi kartınızın tüm bilgilerini kopyalayıp, şifrenize bile ihtiyaç duymadan temassız bir karta yükleyerek provizyon almadan günlük harcamaları için sizin kartınızı kullanabilirler.

Temassız kart teknolojisinde kart sahteciliğini önlemek için özel bir güvenlik sistemi bulunuyor. Temassız kart çoklu olarak birbirini takip eden temassız işlemler için kullanıldığı zaman, kart sahibinden bu kartı POS cihazından geçirmesi ve işlem tutarı ne olursa olsun PIN kodunu girmesi isteniliyor. Bu önlemin kullanıcının doğru kişi olmasını sağlarken, kartın kaybolması veya çalınması durumunda oluşacak muhtemel sahtecilik olaylarını da önlediği iddia ediliyor ancak söz konusu durum bir kartın aynı gün içinde aynı üye işyerinden çoklu işlem gerçekleştirmesi durumunda devreye giriyor.

Eğer kredi kartı işlemlerinizi ekstreden ekstreye takip eden bir tüketici iseniz ve temassız kartınıza ait bilgiler kötü niyetli kişilerin eline geçerse, sizden habersiz gerçekleştirdikleri işlemleri siz veya bankanız farkedene kadar iş işten geçmiş olacaktır.

Kart kopyalamaktan bahsetmişken; kartlı ödeme sistemlerini hedefleyen kötü niyetli kişiler tüketicilerin kart bilgilerini kopyalamak için restoran, bar gibi yerlerin yanısıra ATM’leri de tercih ediyorlar. Restoran ve barlarda operasyonun başarısı için, kart kopyalanmak istenen kurum içinden belli bir eli çabukluğa sahip ve işbirliği yapacak birini bulmak gerekirken, ATM’lerde gelişen teknoloji sayesinde geliştirilen cihazlar sayesinde tüketicileri yanlız olarak yakalayıp bu bilgileri bir çırpıda alabiliyorlar.

ATM’lerin kullanılarak gerçekleştirildiği en son teknoloji kart kopyalama tekniğine dikkatinizi çekmek istiyoruz. Gerçekten de birçok tüketici tarafından rutin bir işlem olarak algılanan para çekme işlemi sırasında pek çok şeye dikkat etmiyoruz. Dikkat etmeye çalışsak bile uygulamak mümkün değil. Türkiye’de bankalar tarafından yapılan ATM alımlarında bir standart olmadığı için aynı bankanın iki ATM’sinde bulunan görsellik tamamen farklı olabiliyor. Bu da kötü niyetli kişilerin bu açığı çok başarılı olarak kullanmalarına imkan veriyor.

kredi karti kopyalama

Yukarıda da görebileceğiniz gibi gelişen teknoloji ATM’ler üzerine yerleştirilebilecek kötü niyetli cihazların tespitini neredeyse imkansız hale getirmiş. ABD’nin California eyaletinde bulunan bir Citibank ATM’sinden çıkartılan ve kredi kartı bilgilerini kopyalamak için ATM’nin üzerindeki kart girişinin üzerine yerleştirilen bu cihazı farketmek oldukça güç.

Globalleşen bir dünyanın dezavantajlarından biri olarak benzer cihazların ülkemiz sınırlarında kullanılmasının da çok uzun zaman alacağını düşünmüyoruz. Bu nedenle tüketicilerin sadece kredi kartı kullanırken değil, ATM kullanırken de nelere dikkat etmesi gerektiğini öğrenmesi gerekecek…