8 Haziran 2017 Perşembe

ÖDEME SİSTEMLERİNE YÖNELİK DOLANDIRICILIK VE SAHTEKÂRLIK EYLEMLERİ

“Suça bulaşmış bir internet dünyasında yaşıyoruz, karteller para için kötü amaçlı yazılımlar geliştiriyorlar. Halen bu suçluların yeraltı dünyasından geldiği ve arkadan dahasının da geleceği anlaşılamıyor.”
Eugene Kaspersky

Yaklaşık üç yıl kadar önce, Facebook arkadaşlarımdan birinin yönlendirdiği mesajla başlayan bir süreç sonunda cep telefonu faturamdan beklemediğim bir tutarın çekilmiş olduğunu gördüm. Gerekli itirazı da yapmama rağmen bir sonuç alamadım. Neticede, ne kadar bilinçli bir tüketici olursanız olun, bazen basiretiniz bağlanıyor ve kanıveriyorsunuz işte. Çevremden de takip ettiğim kadarıyla halen benzer dolandırıcılık vakaları inandırıcılıklarını da katlayarak devam ediyor.


Dolandırıcılar gelişen teknoloji ve güvenlik altyapıları ile aynı platformda mücadele etmelerinin yanında tüketicilerin zayıf noktalarını analiz ederek, farklı yöntemler geliştiriyorlar. Örneğin sigorta pazarlamak için arayan bir çağrı merkezi temsilcisi tüketiciyi yalandan yapılmış bir sigorta poliçesinin satışını iptal etmek için cep telefonuna gönderilen 3D Secure şifresini vermeye ikna edebiliyor. Aslında bu esnada dolandırıcılığa maruz kalan tüketicinin kartı ile internet üzerinden işlem yapılıyor. Tüketici can havliyle doğru hamle yaptığını düşünerek 3D Secure şifresini kendi elleriyle dolandırıcıya teslim etmiş oluyor…

Zamanımızın dolandırıcılık ve sahtekârlık yöntemleri her zaman bu kadar naif olmuyor tabii, “man in the middle” gibi yüksek teknoloji gerektiren pek çok yöntemin kullanıldığını da görüyoruz. Peki, bunlar nelerdir ve önleyici tedbirleri nasıl alabiliriz, gelin biraz da bu detayları inceleyelim. 

Gelişen Dolandırıcılık Teknikleri

Günümüzde tüketicilerin hayatını kolaylaştırmak ve işlem hızlarını arttırmak için temassız ödemeler, kartsız para çekme, görünmeyen ödemeler, e-ticaret ya da mobil ödemeler gibi farklı ve üst düzey teknoloji içeren ödeme sistemleri kullanılıyor.

Bu arada dolandırıcılar da boş durmuyor. Ödeme akışlarındaki güvenlik unsurları ve adımları ne kadar çok azaltılırsa, işlemler de eskiye nazaran daha az veriyle gerçekleştiriliyor ve olası dolandırıcılıkları engellemek aynı oranda zorlaşıyor.

Dolandırıcılar ödeme bilgilerini ele geçirmek için zincirdeki en zayıf halkayı bulmakta çok başarılılar, çünkü zaten onların işi bu. Zayıf noktaları keşfettikten sonra da, geniş ve etkili ataklarla değerli ve yüksek kaliteli veriye doğrudan erişebiliyorlar.

Bu karanlık dünya ile başa çıkabilmek için büyük, küçük tüm atakları hızlı biçimde tanımlayabilen ve otomatik olarak önleyebilen akıllı, kendi kendine öğrenen sistemlere ihtiyaç olduğu bence çok açık.

kurumsal Tespit yöntemleri

Finansal dolandırıcılık; bankacılık,  ödeme sistemleri ve e-ticaret alanlarında görülüyor.
Bu alanlarda gelişen atakları önleyebilmek için ise kurumların yapmaları gereken çalışmaları şöyle sıralayabiliriz;
- Yürütülen işlerin ve iş süreçlerin detaylı analizini yapmak
- Mevcut ve olası dolandırıcılık senaryolarını tanımlamak
- Bu senaryolara ilişkin işaret ve bulguları listelemek
- Bu işaret ve bulguları tespit edebilecek yetenekteki teknolojileri bulmak ve kullanmak
- Çıkan sonuçları analiz etmek, iş süreçlerini buna göre düzenlemek
- Bu adımları düzenli gözden geçirerek, organizasyon ve sistem yapılarını uyarlamak
- Kuruma özel güvenlik ve iç kontrol prosedürlerini yazılı hale getirerek, uygulanmasını sağlamak

Kurumsal yapılarda dolandırıcılık ve sahtekarlıkla mücadele edebilmek için yukarıda belirttiğimiz yönetişim adımlarının uygulanmasının yanında,  gerekli teknolojik altyapıların kurulması da önem taşıyor. Günümüzde büyük veri analitiği, bulut bilişim servisleri, e-ticaret ve mobil servislerin artmasıyla birlikte, gelişkin tespit ve önleyici sistemlerin kullanımı da artık bir gereklilik.

Dolandırıcılık ve Sahtecilik Trendleri

Biraz da dünyadaki ve ülkemizdeki dolandırıcılık, sahtecilik trendlerine göz atalım.

E-Ticaret
Dünya çapında düzenli şekilde artan e-ticaret işlem hacimleri, haliyle dolandırıcıları da cezbediyor. Hatta o kadar ki; globalleşen e-ticaret, dolandırıcılık çetelerini de global oyuncu haline getiriyor. Gerek bankalar ve gerekse ödeme sağlayıcılar kötü niyetli girişimlere karşı şimdilerde daha teçhizatlı ve korunaklı.

Ülkemizde 6493 sayılı “Ödeme ve Menkul Kıymet Mutabakat Sistemleri, Ödeme Hizmetleri ve Elektronik Para Kuruluşları Hakkında Kanun” ve bu kanunla ilişkili mevzuata bağlı olarak ödeme sağlayıcıları ve pazaryerleri de yükümlülükleri kapsamında gerekli altyapıları kurdular.

Ancak bu siteler üzerinden alınan hassas müşteri bilgilerinin güvenliğinin nasıl sağlandığına, statik bir güvenlik yapısıyla mı yoksa gerçek zamanlı bir kontrol sistemiyle mi risklerin yönetildiğine bakılması gerekiyor. Çünkü zaten zamane suçluları hangi şirketin hangi altyapıyı ve ürünü kullandığını ve bunun ne kadar caydırıcı olup olmadığını da önceden tespit edebiliyor. Kısacası bu tür ataklara karşı caydırıcı olabilecek sistemler kurmak da şart bana göre.

Kimlik ve Hesap Hırsızlığı
Siber suçlarda sıkça görülenlerden biri de gerçek kimlik hırsızlığı. Böylece dolandırıcılar sıfırdan yeni kimlik yaratmaya gerek kalmadan kişisel bilgileri ele geçirerek gerçek kişiler üzerinden suç işleyebiliyorlar. Bu tür durumlarda, kişinin şahsi e-posta hesabını da kırarak online işlemler için bu adresi kullanıyorlar. Internet alışveriş dolandırıcılıklarında ise farklı kişilere ait adresler vererek ödemelerin o kişiler tarafından yapılmasını sağlamaya çalışıyorlar.

Mobile Dikkat
Akıllı telefon ve tabletler masa üstünün yerini aldı. Dolayısıyla tüketiciler de işlemlerinin çoğunu bu ortamlardan gerçekleştiriyorlar. Ancak akıllı telefon ekranında sayfanın tamamının görüntülenememesinden ya da kötü amaçlı yazılımlar ve virüslerden ötürü dolandırıcılar tarafından kurulmuş olan sahte siteler yoluyla dolandırıcıların tuzağına düşmek mümkün.

Uzmanlara göre 2014 yılında 400 bin olan cep telefonu virüs çeşidi 2017 sonuna kadar 1.2 milyon adede çıkacak. Bu da demek oluyor ki, mobil ortamlarda artık çok daha dikkatli olmalıyız.

Tüketicilere tavsiyem, cep telefonlarından ya da tabletlerinden doğru düzgün görüntüleyemedikleri sitelere kişisel bilgilerini, şifrelerini ya da ödeme bilgilerini bırakmamaları yönünde. Ayrıca bilmedikleri sitelere girdiklerinde mobil cihazlarına virüs bulaşabileceğini de göz önünde bulundurmalılar.
 

Kötü Amaçlı Yazılımlar Şimdi Daha Akıllı
Mobil ortamların yanında kurumsal dünyada yaygın kullanılan masa üstü bilgisayarlar için geliştirilen virüs yazılımları da giderek kendini geliştiriyor. Hatta öyle ki, kapalı devre bayi alışverişlerinde bile dikkatli olunması gerekiyor. Kurumların kendi bilişim ağları üzerindeki tüm bilgisayarların virüs koruması altında olduğundan emin olmaları, e-posta ekleri, USB port, disk okuyucu, internet siteleri üzerinden bulaşabilecek tüm kötü amaçlı yazılımları kontrol altında tutmaları gerektiğine inanıyorum. Halen bu korumaları aktif hale getirmeyen kurumlar kaldı ise, en kısa zamanda bu çalışmalarını tamamlamalarını öneriyorum.

Müşteri Deneyimi
Bazen müşteri deneyimine öncelik verip güvenlikten vazgeçtiğiniz oluyordur. Bu tür düzenlemeleri yaparken iki kere düşünmenizi tavsiye ederim. Zira güvenlikten taviz verdiğinizde ortaya çıkabilecek finansal kayıpları da “müşteri deneyimi önemli” diyerek giderlerden karşılamak durumunda kalabilirsiniz günün birinde.