Fraud yani teknolojiyi kullanarak yapılan sahtecilik, son yıllarda büyük bir artış gösteriyor. Fraud yöntemleri o kadar çok çeşitlilik gösteriyor ki, “Ben asla bu oyuna gelmem” diyenleri bile ağına düşürebiliyor.
Bu yöntemlerin en bilinenleri; bankaların çağrı merkezlerini kullanarak, bankaların internet sitelerini taklit ederek, “hediye kazandınız” mesajları gönderip banka ve kredi kartı bilgilerini alarak, cep telefonlarına korsan yazılımlar yükleyerek yapılan fraud.
Türkiye’de finans kurumlarına fraud çözümü hizmeti veren İHS Teknoloji CEO’su Bülent Özkan, “2010 yılında bu alanda büyük bir açık olduğunu saptadık ve kendi mühendislerimizle özel çözümler geliştirdik. Şu anda Türkiye’nin önde gelen bankalarına fraud çözümleri, entegrasyon ve danışmanlık hizmeti veriyoruz” diyor.
“Bizim yaptığımız iş fraud tespit sistemleri entegre ederek bankalara hizmet vermek. Bir bankacılık işlemi gerçekleştiğinde bunun fraud olup olmadığını 80-90 mili saniye gibi bir sürede saptayıp sistemi uyarıyoruz. Ki bu süre aslında tam olarak gözü kapatıp açma arasında geçen süre” diyen Özkan, “Sadece büyük bir bankada günde sadece dijital kanallarla 25-30 milyon civarında işlem yapıyor. Günde ortalama 300 milyonun üsünde bir işlemden söz ediyoruz. Bir bankanın tüm bu işlemleri takip edebilmesi için binlerce çalışana ihtiyacı var ve sistem olmadan da saptanması mümkün değil. İşte biz tüm bu işlemleri tarayıp saniyeden daha az bir zamanda bir işlemin müşterinin profiline uyup uymadığını anlıyoruz ve bankayı haberdar ediyoruz” şeklinde konuştu.
Türkiye’de 2017 yılında kredi kartından en az 100-150 milyon TL civarında fraud kaybı olduğunu belirten Özkan, “Aslında kredi kartları Türkiye’nin kanayan yarası diyebiliriz. Çünkü Türkiye’de fraud yapanlar daha çok sosyal mühendislik yöntemlerini kullanarak kredi kartlarını hedef alıyor. Örneğin bankaların sosyal medya hesaplarını taklit ediyorlar (bunu Facebook denetlemiyor), çekilişle otomobil vereceklerini söylüyor, insanlar da inanıyor ve ya kredi kartı bilgilerini veriyor ya da belli bir miktar para gönderiyor. Halkımız seviyor bu tür çekilişleri” dedi.
Finans kurumlarnın artık müşteri için en yeni teknolojileri kullanıma soktuğunu belirten Bülent Özkan, bunun da yeni güvenlik sorunları getirdiğine dikkat çekti. Artık parmak izi, yüz tanıma gibi sistemlerin kullanıldığın belirten Özkan, “Bizim de Türkiye’de birlikte çalıştığımız bir bankayla yeni bir yüz tanıma sistemimiz çıkacak. Yüz tanıma artık yeni bir kimlik denetimi aracı olarak bir iki yıl içinde çok yaygın olarak kullanılmaya başlanacak. Ancak bunun da çok değişik teknikleri var. Bazı bankaların kullandığı yüz tanıma sistemleri tüketiciler nezdinde çok kabul görmedi, çünkü tüketici dostu değildi. Şöyle düşünün evinize hırsız giriyor, siz uyurken cep telefonunuzu yüzünüze tutup banka hesabınıza girebiliyor. Dolayısıyla tüketicilerin bu tür uygulamaları kullanırken bankanın aldığı güvenlik önlemlerine dikkat etmesi gerekiyor.
Bu işlemlerin kimlik denetimine yaradığını belirten Özkan, “Buradaki problem siz o kişi misiniz, değil misiniz? Bunu anlıyoruz. Teknoloji ilerledikçe size ait biometrik verilerle daha doğru teyit edebilir hale geliyor. Şu günlerde herkes Amerika’da olduğunuz sırada dahi sizin kimlik denetiminizi yapabilecek teknolojilerin peşinde koşuyor. Çünkü artık hacker’lar SMS’le telefonunuza gelen şifreyi by-pass edebilecek sistemleri kullanıyor” dedi.
Fraudu yapan saldırganların oldukça bilinçli ve bilgili olduğuna dikkat çeken Özkan, “Dünyada böyle bir istatistik var, bu işlemlerin yüzde 46’sı zaten kurum içi destekli yapılıyor. Yani kurumda da biri oluyor ve bazı büyük çaplı olan operasyonlar fraud saldırıları aslında bir takım yer altı örgütlerini finanse etmek amacıyla yapılıyor” derken, yani sahteciliğin arkasında 5-10 arkadaşın bir araya gelip “böyle bir şey yapalım, cebimiz para görsün” şeklinde değil günün sonunda terör destekçiliği boyutu olduğunu vurguladı.
Özellikle telefonla kişisel bilgilerin alınıp banka hesaplarının boşaltılması durumunun önüne geçilmesi gereken önlemleri de anlatan Özkan, öncelikle bankaların güvenli operasyon sürdürmek istiyorlarsa mutlaka ve mutlaka müşteri arama ve pazarlama faaliyetlerini sonlandırmaları gerektiğini vurguladı. Özkan, “İnsanlar şunu karıştırıyor, ‘banka beni arıyor’ bilinci var insanlarda ve ‘bankadan arıyorum’ diyen bir başkası bir takım bilgilere erişmek istediğinde kolay bir şekilde veriyor onlara. Çünkü banka mal satmak için de arıyor müşterilerini” dedi.
2020’den sonra yasal mevzuat da tamamlandıktan sonra kredi kartlarının plastik olarak dağıtılması bırakılacak. “2025’te bunu çok net görebiliriz, kredi kartları cep telefonu içinde olacak. Zaten dokunmatik çipi var telefonlarda. Bunun alt yapısı da yavaş yavaş hazırlanıyor.
Her ne kadar hep bankacılıktaki frauddan bahsediliyorsa da artık başka sektörlerde de fraud olduğunu söyleyen Özkan, buna örnek olarak zincir restoranları, büyük marketleri, sağlık kurumlarını, havayolu şirketlerini gösterdi.
“Amerika’da bir bankanın başına gelmiş bir olay. Türkiye’de bu kadarını görmedik. Saldırganlar banka için bir uygulama oluşturuyorlar. Buna da örneğin ‘premium’ uygulama diyorlar ve bu uygulamayı iki dolardan satıyorlar. Uygulama boş, sadece bilgilerinizi çalmak için bir login ekranı var. 60 bin kişi indirmiş. Yani bilgilerinizi çalacak programı indiriyorsunuz, bir de çalsın diye 2 dolar veriyorsunuz. Bu sistem bir gün sonra tespit edilebilmiş.”
Çoğu bankanın fraud konusunda kayıplarını çok fazla basına yansıtmadığı bir gerçek. BDDK da bununla ilgili rapor istemiyor. Avrupa’da şimdi PSD isimli yeni bir regülasyonun geldiğinin altını çizen Özkan, “Bu regülasyonun ikinci versiyonunda fraudun altı ayda bir raporlanması isteniyor hatta kanal kanal raporlanması gerekiyor. Yani debit, kredi kartı harcamaları özellikle kart tarafındaki fraudu şu anda Avrupa’daki ülkelerin merkez bankaları altı ayda bir detaylı bir rapor halinde istiyor. Rapor şu formatta; Totalde kredi kartlarından kaç euroluk işlem yapıldı, kaç tane işlem yapıldı, bunun kaç tanesi fraud ve kaç eurosu fraud. Bunu resmi rapor olarak istiyor. Biz de şu anda dünyada olmayan böyle bir raporlama yazılımı yazdık. Yazılımı bitireli yaklaşık altı ay oldu. Şu anda Türkiye’de bir bankayla çalışıyoruz, yabancı bir bankayla da görüşüyoruz. Ürünün lansmanını da Şubat 2019’da yapacağız, yurt dışında da çalışmalarımız var hatta İspanya’da biraz daha aktif çalışıyoruz. Türkiye’de de böyle bir raporlama modeline geçilmesi şart. BDDK’nın bu konuda çalışma içinde olduğunu duyuyoruz” dedi.