Bayram yoğunluğunda siber tuzak Kalabalıkta bir temas yeterli olabilir: Uzmanlardan hayalet POS uyarısı

Bayram tatili, hem sevdiklerimizle hasret gidermek hem de yeni yerler keşfetmek için harika bir fırsat. Aile ziyaretleri, küçük tatil kaçamakları ya da uzun zamandır görmeyi hayal ettiğimiz tarihi bir mekân… Ancak tüm bu güzelliklerin gölgesinde, özellikle kalabalık alanlarda gözden kaçırmamamız gereken kritik bir tehlike var. Hayır, bu kez bulaşıcı hastalıklardan bahsetmiyoruz; meselemiz çok daha teknik: "Ghost tapping", yani hayalet POS dolandırıcılığı…

Bu yöntemi ilk duyduğumda, itiraf edeyim bana bir şehir efsanesi gibi gelmişti. Toplu taşımada balık istifi yolculuk ederken, bayram stantlarında cicilere bakarken, şehrin en ünlü restoranın önünde sıra beklerken ya da Selimiye Camii'nin o büyüleyici kalabalığına karışmışken, birinin çantama yaklaşıp temassız kartımdan sinsice para çekmesi fikri pek gerçekçi gelmemişti. Fakat ne yazık ki bu tehdit tamamen gerçek... Çünkü siber suçluların yöntemleri, bilişim teknolojileriyle yarışır hızda gelişiyor. Peki, cebimizdeki bu görünmez tehlikeye karşı nasıl korunacağız? Sorunun yanıtını, Marmara Üniversitesi öğretim üyesi ve bilişim teknolojileri uzmanı Prof. Dr. Ali Murat Kırık ile siber güvenlik uzmanı Osman Demircan’dan aldık…

Prof. Dr. Ali Murat Kırık, hayalet POS dolandırıcılığını, temassız ödeme sistemleri ve kart bilgilerinin kötüye kullanılmasıyla ilişkilendirilen bir dolandırıcılık türü olarak tanımlıyor. Bu yöntemin özellikle NFC (yakın alan iletişimi) teknolojisinin yaygınlaşmasıyla daha fazla gündeme geldiğini vurgulayan Kırık, “Temel olarak risk, kullanıcı farkında olmadan kartı, telefonunu veya ödeme bilgilerini kullanarak işlem yapılması ya da bu bilgilerin dolaylı yöntemlerle ele geçirilmesi” demekte.

'TEMASSIZ LİMİTİNİ DÜŞÜRÜP, ANLIK BİLDİRİMLERİ AÇIN'

Ali Murat Kırık, hayalet POS dolandırıcılığının temassız ödeme tarafında fiziksel yakınlığa dayalı senaryoların gündeme geldiğini belirterek, şunları söyledi:

“Özellikle kalabalık ortamlarda, toplu taşıma araçlarında, konserlerde veya alışveriş alanlarında dolandırıcının elindeki POS benzeri bir cihazı çok kısa mesafede kart veya telefona yaklaştırarak işlem denemesi yaptığı iddia ediliyor. Bu tür işlemler her zaman başarılı olmaz çünkü bankaların limit sistemleri, işlem doğrulama mekanizmaları, cihaz eşleştirme ve dolandırıcılık tespit algoritmaları devreye girer. Ancak risk tamamen ortadan kalkmaz. Özellikle temassız özelliği açık ve limiti yüksek kartlarda bu tür senaryolar daha fazla tartışılıyor.”

Buna ek olarak sahte POS cihazlarının veya manipüle edilmiş ödeme ekranlarının da başka risk alanları olduğuna dikkat çeken Prof. Dr. Kırık, örneğin küçük bir satış noktasında kullanıcıya ekranda 50 TL gösterilirken, arka planda daha yüksek bir tutar çekilebileceğine işaret etti ve ekledi:

“Kullanıcı ekrana dikkat etmediğinde bu tutar sonradan fark edilir. Bu nedenle ödeme sırasında POS ekranında görünen tutarın kontrol edilmesi kritik bir güvenlik adımı.”

Bu örneklerin ortak noktası, sürecin genellikle küçük ve dikkat çekmeyen işlemlerle başlamasıdır. Dolandırıcılar sistemi test etmek için düşük tutarlı işlemler yapar, kartın aktif olduğunu doğrular ve güvenlik zafiyetini analiz eder. Bu aşama başarılı olursa daha büyük ve daha sık işlemler devreye girebilir. Bu nedenle erken aşamada fark edilmesi çok önemlidir.

Banka uygulamalarında anlık işlem bildirimlerinin açık olmasının en önemli adımlar arasında yer aldığının altını çizen Kırık, “Çünkü en küçük işlem bile anında görülebilir ve şüpheli durumlar hızlıca fark edilir” dedi. Kırık kullanıcıların da dikkatili olmasının önemine işaret etti:

“Kart hareketlerinin düzenli kontrol edilmesi, özellikle düşük tutarlı işlemlerin gözden kaçırılmaması gerekir. Temassız ödeme limitlerinin düşürülmesi veya gerektiğinde kapatılması da önemli bir kontrol mekanizmasıdır. Kullanılmayan kartlarda NFC özelliğinin kapatılması, kart bilgilerinin yalnızca güvenilir platformlarda kullanılması ve bilinmeyen bağlantılara tıklanmaması da riskleri azaltır.”

Kırık’ın sıraladığı güvenlik önlemleri arasında ayrıca, kamuya açık Wi-Fi ağlarında bankacılık işlemi yapılmaması, mobil cihazların güvenlik güncellemelerinin ihmal edilmemesi ve mümkünse iki aşamalı doğrulama sistemlerinin aktif edilmesi işlemleri de yer alıyor. Çünkü Kırık, dolandırıcılığın sadece kart üzerinden değil, aynı zamanda dijital hesaplara erişim üzerinden de ilerleyebildiğine vurgu yapıyor:

“Aslında ghost tapping, tek bir yöntemden oluşan basit bir dolandırıcılık değil; dijital ve fiziksel yöntemlerin birleştiği çok katmanlı bir risk alanı olarak değerlendirilmeli. En önemli özelliklerinden biri, genellikle küçük ve fark edilmesi zor işlemlerle başlaması. Bu nedenle sistemin en kritik savunma noktası kullanıcı farkındalığı. Düzenli kontrol, anlık bildirimler ve küçük işlemleri bile ciddiye alma alışkanlığı, olası finansal kayıpların önlenmesinde belirleyici rol oynar.”

Osman Demircan ise bayram öncesinde özellikle kermes alanlarında ya da kurban bağışı ve yardım toplanan küçük stantlarda kalabalık olabildiğini hatırlatarak, artık semt pazarlarında bile POS cihazı kullanıldığını belirtti. “Hal böyle olunca dolandırıcılar bunları da kullanmaya başladılar” diyen Demircan, özellikle Türkiye merkezli olmayan ödeme merkezleri üzerinden ve doğrudan vatandaşların kredi kartlarının temas yöntemleriyle para çekilebildiğinin altını çizdi:

“Bunun iki yöntemi var; birincisi daha zor yöntem. Kartınızın çantada POS makinesiyle ya da cep telefonuyla iletişim kuracak kadar yakın olması gerekiyor; bu zor olan kısmı. Kolay olan kısmı ise, kredi kartıyla ödeme sisteminin cep telefonu seviyesine inmiş olması. Yani telefondaki NFC özelliği ve bankanın uygulamasıyla doğrudan kartınızdan sanki POS makinesiyle para çeker gibi para çekilebiliyor.”

Temassız ödemelerin çok küçük haller almasının basit bir temasla karttan para çekilebileceği anlamına geldiğine vurgu yapan Demircan da manipüle edilmiş ödeme ekranlarına dikkat çekti:

“Siz herhangi küçük bir POS makinesinden ya da cep telefonundan ödeme yapmak istediğiniz zaman yazılan rakamı kontrol etmiyorsanız sizden çok büyük bir meblağ çekilebiliyor. Bu da cihazın ters çevrilmesi ya da ekranın sizin göremeyeceğiniz hale gelmesi veya ışığının kısılması yöntemiyle yapılıyor.”

Osman Demircan, normal şartlarda ülkemizde şirket açmanın belirli kurallara tabi olduğunu ve şirket açıldıktan sonra da bankaya başvurup bu tarz cihazları veya POS sistemlerini uygulama olarak almanın bazı standartları bulunduğunu anımsatarak, dolandırıcıların yurt dışı sistemlere başvurduğunu aktardı:

“Ancak bu tarz dolandırıcılıklar genellikle, yurt dışı merkezli online ödeme üzerine çalışan sistemler aracılığıyla yapılabiliyor. Çünkü dolandırıcılar bu sistemlerde kolaylıkla hesap elde edebiliyorlar. Türkiye merkezli olmasa bile yurt dışında açılmış bir şirket üzerinden bu tarz ödeme işlemleri yapabiliyorlar.”

Osman Demircan, hayalet POS dolandırıcılığında aslında teknik olarak alınabilecek önlemlerin hayli sınırlı olduğunu söyledi. Alınabilecek tek teknik önlemin bu temassız ödeme sistemlerinin BDDK’nın radarında olması ve rakamların BDDK’nın belirlediği seviyede tutulması olduğunu kaydeden Demircan, mevcut durumda bir günde maksimum 2 bin 500 lira temassız ödeme yapılabildiğini dile getirdi ve sözlerine şöyle devam etti:

“Her ne kadar hayatımızı kolaylaştırsa da bankayla iletişime geçerek bu özelliği kapattırabilir veya limiti düşürtebilirsiniz. Böylece bu tarz dolandırıcılıklardan uzak kalabilirsiniz. Kartınızı kaybettiğinizde ya da düşürdüğünüzde, kartınız kötü niyetli birinin eline geçmesi halinde kartınızın kaybolduğunu fark edene kadar geçen sürede bu kişilerin harcama yapmaması için önemli bir adım olur.”

Demircan ayrıca, radyo dalgalarını kesebilen cüzdanlara da dikkat çekti. “Birçok cüzdan radyo dalgalarını kesici özelliğe sahip” ifadesini kullanan Demircan, değerlendirmesini şöyle sonlandırdı:

“Kartınız böyle bir cüzdandaysa herhangi bir cihaz cüzdanınıza yaklaştırıldığında kartınızdan hiçbir bir ödeme alınamaz. Dediğim gibi yüzde 100 teknik olarak çözülebilecek bir konu değil; bu kredi kartı kullanıcılarının dikkatiyle çözülmesi gereken bir konu.”

Fotoğraflar: iStock