Siber suçlular banka kartlarından nasıl para çalıyorlar ve kendinizi bu tür hırsızlıklardan nasıl korursunuz

Çipli kartların neden her derde deva olmadığını ve ödeme yaparken ne tür önlemlerin alınması gerektiğini araştırıyoruz.

Ödeme hizmetleri son yıllarda hem daha kullanışlı hem de daha güvenli hale geldi ancak siber suçlular hala dünya çapında kartlardan para çalmayı başarıyorlar. Bu tür hırsızlıklar için kullanılan en yaygın yöntemler neler ve bunlara karşı nasıl korunursunuz?

Kart klonlama

Kartlar bilgileri sadece manyetik bir şeritte saklarken dolandırıcıların kartın tam bir kopyasını üretmesi ve bunu mağazalarda ödemeler için ve ATM’lerde para çekmek için kullanması oldukça kolaydı. İlk başta, veriler ATM’ye ya da mağazada bir terminale monte edilmiş özel bir kart kopyalama cihazı ile okunuyordu. Kartın PIN kodunun bulunması için bir kamera ya da terminal klavyesinin üzerinde özel bir iz sürücü ekleniyordu. Bir kart yığını ve bir PIN elde eden dolandırıcılar verileri boş bir karta yazdırıyor ve ATM ya da mağazalarda bunu kullanıyorlardı.

Bu teknoloji dünyanın bazı yerlerinde hala işe kullanılıyor fakat çipli kartlar geliştirildikten sonra bunun etkisi hayli azaldı. Çipli bir kartı kopyalamak kolay değil. Bu nedenle suçlular ödeme terminallerine yasal bir satın alma yapmakta olan kartın bazı verilerini kopyalayan kötü amaçlı kodlar bulaştırmaya başladılar. Bunun ardından, dolandırıcılar bu bilgileri kullanarak özenle oluşturulmuş ödeme talepleri gönderiyorlar. Özünde, sadece manyetik şeride önceden kaydedilmiş verileri gönderiyorlar fakat işlemi çip tarafından yapılıyormuş gibi gösteriyorlar. Bankaların çeşitli işlem parametrelerini yeterli detaylarıyla çapraz kontrol etmediği ve tüm çipli kartların bağlı kalmak zorunda olduğu EMV protokollerini yanlış uyguladığı durumlarda bu mümkündür.

Bu tür ihmalkarlıklar sergilemeyen bankalarda saldırganlar çok daha karmaşık bir hile kullanıyorlar. Kurban yasal bir ödeme yaptıktan sonra virüs bulaşmış ödeme terminali sokulan kartın başka bir sahte işlem üretmesini talep ediyor. Böylece kartın kendisi kopyalanmasa da karttan ekstra para çekilebiliyor.

Nasıl korunmak gerekir: Telefonunuzdaki daha korumalı temassız ödeme işlevinin kullanmayı deneyin. Kartınızı illaki bir terminalde kullanmanız gerekiyorsa şüpheli değişiklikler olup olmadığını görmek için PIN kodu panelini dikkatle kontrol edin. Ayrıca, kodu girerek paneli elinizle, cüzdanınızla ya da başka bir şeyle kapatın. Terminal birdenbire temassız ödemeyi kabul etmez, ekranda sıra dışı mesajlar belirir ya da PIN kodunun tekrar tekrar girilmesi gerekirse şüphelenmek ve ek koruyucu önlemler almak için nedenler var demektir. Örneğin, hesap bilgilerinizi derhal kontrol edebilir ya da kartla para harcama limitini düşük tutabilirsiniz.

“Kurşun geçirmez” cüzdanlar

Bugünlerde satın alabileceğiniz RFID korumalı cüzdanlar ve çantalar var. Bunlar fiziksel kartların örneğin toplu taşımada uzaktan okutulmasına engel oluyor. Bu tür korumaların yanlış bir tarafı yok. Gerçekten de işe yarıyor. Ancak, bu saldırı senaryosu aslında pratikte hiç kullanılmıyor. Bu tür bir hızlı taramada karttan sadece temel bilgileri okuyabilirsiniz ve bu bir ödeme yapmak için genellikle yeterli değildir. Aynı zamanda, son temassız ödeme ve konumları ve miktarlarını da öğrenebilirsiniz ama ne fayda!

İnternet üzerinden kart verisi hırsızlığı

Bu noktada, dolandırıcılar çevrimiçi ödeme yapabilmek için banka kartı bilgilerinin peşine düşerler. Bu bilgiler içinde genellikle kart numarası, son kullanma tarihi ve doğrulama kodu (CVV/CVC) bulunur. Ayrıca, ülkeye bağlı olarak, kart sahibinin adı, posta kodu ya da pasaport numarası da bulunabilir. Dolandırıcıların bu verileri almasını önlemenin en az üç etkili yolu vardır:

  1. Sahte bir çevrimiçi mağaza, gerçek bir çevrimiçi mağazanın kimlik avı amaçlayan bir kopyası ya da yardım amaçlı para toplama kisvesi altında kurbandan bilgileri alarak.
  2. Gerçek çevrimiçi mağazanın web sayfasına (web kopyalayıcılar) ya da kurbanın bilgisayar/akıllı telefonuna (bankacılık Truva atı) bulaştırıp bilgileri çekerek.
  3. Gerçek bir çevrimiçi mağazaya sızıp saklı müşteri ödeme kartı bilgilerini çalarak. Mağazaların tam kart bilgilerini normalde saklamaması gerekir ama bu kuralın ne yazık ki bazen ihlal edildiğini unutmayın.

Sonuç olarak, bu hırsızlık yöntemi ne kadar eski olsa da hala devam ediyor. Örneğin, analizimize göre, banka verileri hırsızlık saldırıları 2022 senesinde neredeyse iki misline çıktı.

Nasıl korunmak gerekir: Öncelikle, çevrimiçi ödemeler için bir sanal kart alın. Zor ya da pahalı değilse en az yılda bir eski kartı bloke ettirip yeni bir sanal kart isteyin. İkincisi, çevrimiçi ödeme kartınız için düşük bir limit belirleyin ya da içinde sadece çok az miktarda para tutun. Üçüncüsü, bankanın her zaman sizden çevrimiçi ödemeler için bir defalık bir kod istediğinden emin olun (3-D Secure ya da benzeri mekanizmalar kullanarak). Ve dördüncüsü, finansal bilgileri girdiğiniz sitelerin ödeme formları ve adreslerini dikkatle kontrol edin. Bu problem hakkında daha az endişelenmek için çevrimiçi ödemeleri güvenle koruyan siber güvenlik araçları kullanın.

Eski tarz kart ve telefon hırsızlığı

Bu, en fark edilebilir ve bariz hırsızlık yöntemi olsa da hala yaygındır. Sezgisi güçlü suçlular ek doğrulama kodları girmeyi gerektirmeyen bir çevrimiçi mağaza bularak çevrimiçi ödemeler için kart kullanabilirler. Daha basit ve aynı derecede etkili bir başka yol da PIN girmeyi gerektirmeyen bir temassız ödeme için çalıntı kart kullanmaktır. Bu şekilde yapılan ödemeler için genellikle bir limit vardır ve bazı ülkelerde bu tür üç ila beş ödemeden sonra kart bloke olur. Ancak, örneğin İngiltere’de bir kurbanın bu ilkel hırsızlık yöntemi yüzünden kaybı kolayca 500 sterline (5 × 100 £) kadar çıkabilir. Telefonlar her zaman hırsızlar için değerlidir. Telefonda Google Pay etkin durumdaysa izin verilen ödeme limiti dahilinde bloke olmuş bir hesaptan bile ödeme yaparak kurbana ekstra zararlar vermek mümkündür.

Güvenlik araştırmacıları, üç kez yanlış PIN girilmesi sebebiyle bloke olmuş bir kartla bile bazen temassız ödeme yapmanın mümkün olduğunu göstermişlerdir. Bir saldırgan bloke olmuş bir telefonla birtakım verileri alarak o alışverişin değiştirilmiş kayıtlarını bir kereliğine sahte ödemeler yapmak için kullanabilir. Neyse ki, her iki saldırı türü de etik araştırmacıları tarafından tespit edilmiştir. O nedenle, dolandırıcıları bu yöntemleri artık kullanmıyor olma umudu mevcuttur.

Nasıl korunmak gerekir: Kartlarda günlük kullanım için görece az miktarda harcama limiti ayarlamak en iyisidir. Bankanız izin veriyorsa temassız ödemeler için ayrı bir düşük limit belirleyebilirsiniz. Elbette, ihtiyaç halinde limiti çabucak yükseltebileceğinizden de emin olmalısınız. Alternatif olarak, düşük limitlere sahip bir sanal kart alabilir ve onu Google/Apple/Samsung Pay ile ilişkilendirebilirsiniz. Ödeme uygulaması ödemelerin sadece kilitsiz bir telefondan yapılabileceği şekilde ayarlanabiliyorsa bunu yapın.

Sonuç olarak, kurbanların dolandırıcılık sonucunda kısmen ya da tamamen tazminat aldığı pek çok ülkede yeni kuralların belirlendiğini görüyoruz. Bundan faydalanmak için her türlü kart ödemesinde dikkatli olmanızı, ödemelerden haberdar olmanın en hızlı yolunu seçmenizi (anlık bildirim ya da SMS) ve şüpheli işlem durumunda bankanızla derhal iletişime geçmenizi tavsiye ediyoruz.

İpuçları