Kredi Kartlarıyla ATM Nakit Avans İşlemlerin Güvenliği

Genel Giriş

Bu doküman ATM'den kredi kartı ile Nakit Avans çekme ile ilgili genel güvenlik bilgileri içermektedir. Yazıdaki bilgiler kişisel deneyimlerimden derlenmiştir, dolayısıyla eksikler olabilir. Bu yazıdan bu tür işlemlerle ilgili detayları, sorumluluklarınızı, bankanın sorumluluklarını, alınabilecek önlemleri ve dolandırılınca yapılabilecekleri bulabilirsiniz.

Kredi Kartı İşlemleri

Kredi kartı işlemleri genel olarak birkaç tiptir:

  1. Şube Nakit Avans
  2. Nakit Çekme 'Cash Advance' (ATM)
  3. Alışveriş 'Purchase' (POS)
  4. Kredi kartı numarası işyerine verilerek yapılan işlemler 'Mail Order / Telephone Order'

Bu sıralama güvenlik sırasına göre yapılmıştır. En yaygın olanları 2 ve 3 olmakla beraber Elektronik Ticaret 'E-commerce' işlemlerini 4 numaralı kategoriye sokabiliriz.

Fiziksel Kart (Manyetik Bant) ve Şifre

Konuyu dağıtmadan bu yazının içine düştüğü 2 numaralı duruma göz atalım: Sadece ATM ile yapılan nakit avans işlemlerinde Şifre/PIN (Personal Identification Number) ZORUNLUDUR, diğer işlemlerde ise kesinlikle KULLANILMAZ. Şifre kontrolü olmadan para çekilmesi mümkün değildir. Doğal olarak buda sizin nakit avans işlemlerinize yaptığınız itiraza karşı bankanin savunması olacaktır. Kaldı ki ATM Nakit Avans işlemlerinde Chargeback söz konusu değildir.

Teknik açıdan bakarsak, kartın manyetik şeridinde kartın numarasi, son kullanma tarihi, PVV (Pin Verification Value) ve CVV (Card Verification Value) bulunur. Bu bilgi ATM tarafından okunur ve şifrenizin başka şifrelerle gizlenmiş hali bankanıza yollanır. Bankanız önce bu manyetik şeridi kontrol eder, daha sonrada PVV ve bir şifre ile yapılan işlemden çıkan sonucu sizin şifrenizle karşılaştırır. Böylece kart kopyalansa da para çekmek şifresiz mümkün olmayacaktır.

ATM kartlarındaki manyetik şerit bilgileri TRACK1, TRACK2 ve TRACK3 tür. Bunlar içinde yaygın olarak kullanılanı TRACK2 dir. TRACK2 de standart bilgiler vardır, bu standartları kartın tipi belirler. Mesela tüm VISA kartların TRACK2 bilgisi aynı formattadır. Bu bilgi her ne kadar güvenlik amacıyla halka açık değilsede bulunması çok zor değildir. Manyetik şeritli kart prensipte herhangi bir bankada "kart basım" bölümünde basılabilir. Fakat bu işi yapacak cihazlar tedarik edilip kart kopyalama da yapılabilir. Çalışma prensibi kaset mantığıdır. ATM ve POS bu bağlamda aynı işi yapar. Kopyalama yöntemiyle dolandırıcılık uzun zamandır vardir.

Bu tür bir dolandırıcılığı farketmenin çesitli yöntemleri vardır, mesela TRACK2 ile gelen iki yakın süreli işlemin mümkün olmadığı teorik olarak farkedilebilir. Diyelim İstanbul'dan TRACK2 gelen bir işlem var, daha sonra İspanya'dan da TRACK2 olan bir işlem gelirse banka büyük bir performans maliyeti karşılığı bunu farkedebilir ve kartı yut mesajı gönderebilir.

Sonuç #1 : Kart + Şifre olmadan ATM den Nakit Avans çekilemez.

Dolandırcılık ihtimalleri :

  1. Kart sahibi dolandırıcıdır, inkar ediyor olabilir, kartı kopyalamış olabilir. (Bankaların ilk verdiği ihtimal)
  2. Dolandırıcı kart sahibinin (şifreyi bilecek kadar) yakınıdır.
  3. Bankadaki çalışanlar dolandıcıdır, kartın kopyasını basmıştır, fakat şifrenizi değiştirirseniz bu madde geçersiz olur.
  4. Dolandırıcılar ATM makinesinin (veya POS - POS cihazları da manyetik şeridi okuyabilir) tam kontrolünü ele geçirmişlerdir veya bankanın ağına sızmışlardır, kartın manyetik şeridini hatta şifresinide kaydediyor (ATM lerde şifreleme vardır ama işini bilen birisi tarafından kolayca aşılabilir), daha sonra kartı basıp kullanıyordur.

Bu ihtimaller dolandıcılığın profosyonellik sırasına gore sıralanmıştır.

Dolandırılmamak için yapılabilecekler:

  1. Asla ve asla şifrenizi ATM harici biryere girmemelisiniz.
    • Internet'te elektronik ticaret (e-commerce) yapareken asla şifre kontrolü yoktur, ancak kartın arkasındaki numara (CVV2) istenebilir.
    • POS makinalarında şifre kontrolü mevcuttur fakat sadece POS makinesine baglı olan cihazdan (pinpad) kartın sahibi tarafından girilmelidir.
    • Telefonda veya mektupla (MO/TO) yapılan alışverişlerinizde kesinlikle şifrenizi söylememelisiniz çünkü bu tür durumlarda zaten şifre kontrol edilmez. (yani karşıdakı dolandırıcıdır)
  2. Bazı durumlarda CVV2 sorulabilir bu numara kartın arkasında vardır yanlışlıkla sakın CVV2 yerine şifrenizi vermeyiniz.
  3. 0000, 1111, 1234, 1978 gibi kolay şifreler kullanmayınız.
  4. Kartınızı bankadan nakit avans işlemlerine kapattırın. (en kesin yöntem budur)

Sonuç #2 : Kartın kopyası basılabildiğine göre şifrenize mukayet olmalısınız.

Dolandırıldım şimdi ne yapacağım ?

  1. Bankadan soruşturma, açıklama isteyeceksiniz
    • Hatali şifre denemeleri dahil olmak üzere her işlem kaydedilir. Bu işlemlerin ne zaman nereden yapıldığı vs. bellidir.
    • ATM'lerin çoğunda kamera vardır. Zaman bilindikten sonra kimin çektiği bulunabilir.
    • Unutmayın böyle bir durumda banka asla sizi göz ardı edemez, haklıysanız baskı yapın.
  2. Kartın aynı anda başka bir yerde olduğunu ispatlamalısınız. Mesela o kartla o tarihlerde yapılmış uzaklarda bir alışveriş örnek olabilir.
  3. Büyük bir ihtimalle parayı tıpış tıpış ödeyeceksiniz.

Sonuç #3 : Herseye rağmen size bankanızın dolandırıcılık (fraud) servisi yardımcı olabilir.

Sonuç #4 : Kredi kartı işi riskli bir iştir ve bu riski banka göze almıştır, bu tür bir işte dolandırıcılık olabilir, bu bankanın ve sizin ortak riskinizdir. Burda sorumluluk geçme 'liability shift' noktası vardır, bu her tür işlem için sorumluluğun kimde olduğu heryerde açık açık yazar.

ATM için konuşursak şifre biliniyorsa sorumluluk aynen müşteride demektir, bu yüzden buyuk bir ihtimalle kredi kartınızdan nakit avans çekildiyse bu parayi odemek zorunda kalırsınız.

Güvenlik sürekli arttırılmaya calışılıyor, nisan ayında BKM tarafından Turkiyedeki bankalarda MO/TO ve E-Commerce işlemler için CVV2 mecbur kılındı. Bu güvenlik dertleri ancak ve ancak kredi kartlarının SMARTCARD haline dönüşmesiyle çözülebilir. VISA mesaj formatını genişletti ve chipcard desteğini yakında yürürlüğe sokacak. Internet üzerinde SET (Secure Electronic Transaction) standardı bu gayeye hizmet vermek üzere hazırlandı ve yavaş yavaş oturuyor.

Bu noktada bir pazarlık var. Dünya üzerindeki tüm kartları smartcard haline dönüştürmenin maliyeti bu tür dolandırıcılıkların sigorta bedelinden cok cok daha fazla, bu yüzden dolandırıcılık (fraud) kabul ediliyor. Kimse zannetmesinki teknoloji bu tür dolandırıcılıkların önüne geçemez, ikisininde önüne geçen bir tek şey var : MALİYET

Bu konuda vereceğim kısa bilgiler bu kadar, bu yazıdaki maddelere bir çok yeni madde eklenebilir, eğer biraz yardımcı olabildiysem ne mutlu bana.

Levent Karakas <levent at mektup dot at>

 

Son güncelleme : 12.07.2001