Faydalı Bilgiler Güncel Konular
1

3D Secure Olarak Gerçekleşen Sahte İşlemler

Yazar:Fevzi SAYANYayın Tarihi:

3D  Secure  Olarak  Gerçekleşen     Sahte  ( Fraud  ) İşlemler

 

3-D Secure, internette alışveriş işlemlerinin güvenli bir şekilde yapılabilmesi için kart kuruluşları tarafından geliştirilmiş olan bir kimlik doğrulama sistemidir. Bu sistem fiziki Pos’ larda  Chip pin olarak adlandırılan şifre sisteminin benzeridir. Sistemin Visa kredi kartı kullanımı için hazırlanan uygulamasına “ Verified  by  Visa ”,  Master Card kredi kartı kullanımı için hazırlanan uygulamasına ise “ Secure Code ”  isimleri verilmektedir.

Kart sahibi kendi oluşturduğu şifresi veya cep telefonundaki mobil-imzasıyla işlemlerin kendisi tarafından yapıldığını doğrular. Şifre vasıtasıyla işlem anında kartın ve kart sahibinin aynı yerde olduğu belgelenir. Yöntemin amacı, kart sahibinin onayı alınarak, internet işlemlerinde sahtekarlığın önlenmesi, internet  işlemlerinin  güvenliğinin arttırılması, sanal  mağazaların ve kart sahiplerinin riskinin ortadan kaldırılmasıdır.

BDDK  Yönetmeliğinin  ‘ Teknik  Altyapıya  ilişkin  Hususlar ’  başlıklı  27 A  maddesinin  7. fıkrasına göre ;

 

Üye is yeri anlaşması  yapan kuruluşlar  ve  üye  iş yerlerinin, harcama ve alacak belgesi düzenleme imkânı olmayan, kart hamili tarafından başlatılan ve internet kullanılarak gerçekleştirilen işlemler için diğer önlemlerle birlikte  3D Secure  kart hamili doğrulama teknolojisini  içerecek  şekilde kart kullanım alt yapısı tesis etmeleri gerekmektedir.

3D Secure olarak gerçekleşen işlemler için, kart sahibi Fraud nedenli itirazda bulunamaz; bulunsa da itiraz, kart bankası tarafından reddedilir. Böylece işyeri Fraud nedeni ile Chargeback riski taşımaz.

3D Secure  sistemi, internet üzerinden yapılan alışverişlerde web sitesinde yer alan ödeme sayfasına girilmek suretiyle yapılan işlemler için geçerlidir. Hassas kart verisinin ( kart no, SKT,  güvenlik  kodu ) POS  cihazına işyeri tarafından tuşlanması ( Mail Order – Telefon Order )  ile gerçekleşen işlemler için geçerli bir yöntem değildir. Çünkü işlemin  3D  Secure  olarak  yapılabilmesi  için  bir  web  sitesinin ödeme  sayfası  üzerinden  gerçekleşmesi  gerekir.

Mail order  ve  telefon  order  yöntemi  ile  işlem  kabul  eden  işyerleri ;  genelde  Chargeback riskinden korunmak ve  kimlik  doğrulama  yapabilmek  için  kart  sahiplerinden  Mail  order form veya Tele  order  form  olarak  adlandırılan  bir  belge  talep etmekteler. Bu  belge  üzerinde  kart  sahibinin hassas  kart  verisini  paylaşmasını ve  kartından  çekilen  tutara  onay  verdiğini  belirterek imzalamasını  talep  ederler. Uluslararası Visa ve Mastercard kurallarına göre herhangi bir geçerliliği olmayan ve işyerlerini  kesinlikle  Chargeback  riskinden korumayan  bir  belgedir  aslında. İşyerleri de harcama itirazı  ile  karşılaştıklarında, bu belgeyi bankası ile paylaştığında, bu gerçek ile yüzleşmektedirler. Burada  tabi, hassas  kart  verisinin  bulunduğu  bu belgeler nerede ve ne kadar süre saklanıyor, güvenliği nasıl sağlanıyor ayrı bir konu.

Mail order ve telefon order yöntemi ile işlem kabul eden işyerleri, Chargeback riskinden korunmak ve kimlik doğrulama yapabilmek için son yıllarda yeni bir yöntem uygulamaktadırlar. Bu yönteme göre yine telefon ile hassas kart verilerini alıyorlar, ancak fiziki pos üzerinden değil, sanal pos üzerinden kart verilerini girerek işlemin 3D Secure yöntemi ile tamamlanmasını sağlıyorlar. Kart sahibine sms olarak giden  güvenlik  şifresini  telefonda  söylemesini  istiyorlar  ve şifreyi sanal pos ödeme sayfasından girerek işlemi tamamlıyorlar. Böylece telefon order yöntemi ile 3D Secure olarak işlemin tamamlanmasını sağlıyorlar. Bu yöntem ile kontör, tatil, sigorta, kasko, uçak bileti, otobüs bileti…. satıyorlar.

 

Bu yöntem işyerini Fraud nedeni ile oluşabilecek Chargeback riskinden koruyor ancak çağrı merkezi kanalıyla sosyal mühendislik yoluyla yapılan dolandırıcılık olaylarına da zemin hazırlıyor. Son yılların en popüler kart sahteciliği yöntemi, Çağrı Merkezleri aracılığıyla yapılan dış aramalar sonucu veya cazip mesajlarla Çağrı Merkezlerine yönlendirilerek tek kullanımlık işlem şifreleri ele geçirilmek suretiyle yapılan dolandırıcılık.

Bu dolandırıcılık türünde ;  kredi  dosya  masrafı / kredi  kartı  aidatını  geri  alın, Ödül / para kazandınız bizi  arayarak  ödülü  alın  veya  bankadan  arıyoruz diyerek hayali senaryolarla  kart  sahipleri  ikna edilerek  kart  verileri  ve cep telefonuna gelen 3D güvenlik şifresi  alınması ve kart sahibinden alınan bu verilerle  e-ticaret sitelerinden harcama  yapılarak  dolandırıcılık gerçekleşiyor.  Özünde kart hamilini  dolandırılarak  yapılan  Fraud  bir  işlem  olduğu  halde, şifre ile işlem tamamlandığı için, bu işlem ile ilgili kart  hamilinin Fraud nedeni ile bankasına harcama itirazı hakkı bulunmuyor. ( Burada kart hamilini  Fraud nedeni dışında bir nedenle  itiraza  yönlendirme ve sonuçları  konusu ayrı, daha önce yazmıştım  tekrar  detayına girmiyorum.)

 

Bu  şekilde  2  yıl  içinde 10 milyon TL’ ye yakın dolandırıcılık yapıldığı düşünülüyor. Burada iki tane mağdur olan taraf var. Dolandırılan kart sahipleri ve e-ticaret siteleri. Kart sahibinin neden mağdur olduğu ortada. E – ticaret siteleri bu gibi  dolandırıcılık  işlemlerinin  artması  sonucunda  konunun mağduru  değil de  sebebi  olarak gösteriliyor. Halbuki  bu  tür  dolandırıcılık  yapanlar ;  müşterilerin özlük  ve  iletişim  bilgilerini  başka bir kanal üzerinden ele geçiriyorlar, Mail order ve telefon order yöntemi  ile  işlem kabul eden işyerlerinin Fraud yapılmaya açık yukarıda detaylandırdığım satış yöntemini  kullanıyorlar  ve  e-ticaret  sektörünün  lekelenmesini  sağlıyorlar.

 

Burada  en önemli konulardan biri ; sadece hassas kart verisi ( kart  no,  SKT,  güvenlik  kodu )  ile internet  üzerinden  standart  ödeme  ile  alışveriş  yapılabilir. Neden  3D  Secure  şifresini  öğrenmek için  dolandırıcılar  bu  kadar çaba sarf ediyor ? Çünkü e-ticaret siteleri özellikle Fraud riski gördükleri belli bir tutarın üstünde olan ve nakite dönüştürülmesi kolay olan ürünler için işlemin sadece 3D Secure ile tamamlanmasına izin veriyor. Yani e-ticaret sitesi kendisi açısından kredi kartı sahtekarlığını engellemek için bir  aksiyon alıyor ve hatta bunu yaparken belli oranda ciro kaybını da göze alıyor. Bundan sonraki süreçte bir de, Fraud  nedeni  ile  Chargeback riski olmayan bu işlemler için ek bir kontrol noktası koyması ya da benzer önlemler alması e-ticaret sitesinin operasyonel maliyetini oldukça artırır.

 

Bu ve benzeri kredi kartı dolandırıcılığının önüne geçilmesi için öncelikle, müşterilerin özlük ve iletişim bilgilerinin ele geçirildiği kanalların engellemesi gerekir. Daha sonra hassas kart verisinin işyerleri tarafından  tutulmasının  ve  saklanmasının  önüne  geçilmesi gerekir. Bir sonraki adımda da hassas kart verisinin herhangi bir sisteme kart hamili haricinde bir kişi tarafından manuel girilmesinin tamamen önüne  geçilmeli. Bunlar yapılmadığı sürece, bu tip dolandırıcılıkların önüne geçilmesi pek mümkün değil. Günü kurtarmak için alınan önlemlerle çözülecek bir sorun değil.

Fraud  and  Charge Back  Uzmanı – İ.Kudret  ELÇİBOĞA  tarafından  kaleme  alınan “  3D  Secure  olarak   gerçekleşen  fraud    işlemler  ”  başlıklı  makalenin  tüm  hakları  yazarına  aittir.  Uzmangörüş.com   yazardan  aldığı  özel  izinle  bu  makaleyi  yayınlamaktadır.  Bu  makale  5846  sayılı  Fikir ve Sanat  Eserleri  Yasası  kapsamında  korunmaktadır.

Benzer Konular

Aşıdan sonra Altın ve Dolar fiyatları ne olur ?

Fevzi SAYANBir Cevap Yaz.

SÜRESİ DOLAN SÜRELİ İPOTEKLER TAPUDAN TERKİN EDİLEBİLECEK

Fevzi SAYANBir Cevap Yaz.

KONKORDATO AŞAMASINDA İLERİ TARİHLİ ÇEKLER

Fevzi SAYANBir Cevap Yaz.

Bir Cevap Yazın

Bu site, istenmeyenleri azaltmak için Akismet kullanıyor. Yorum verilerinizin nasıl işlendiği hakkında daha fazla bilgi edinin.