Ekizer.Net Adli Bilişim

Siber Suçlar / Adli Bilişim / Siber Güvenlik / Teknik Takip Teknolojileri

Kartlı Ödeme Sistemleri Sahteciliği

Yazar: · 4 Ocak 2014

BİLİŞİM YOLUYLA İŞLENEN KARTLI ÖDEME
SİSTEMLERİ SAHTECİLİĞİ VE DOLANDIRICILIĞI

          Ülkemizde bilgisayar teknolojilerinin ve internetin gelişmesiyle birlikte maddi çıkar amacı güden suçlular bu teknoloji vasıtası ile Bankaların kartlı ödeme sistemlerini de hedef almış bulunmaktadırlar. Gün geçtikçe yaygınlaşan bu suç türü ile mücadelede en etkin yöntemlerden birisi de Bankalar ile kolluk kuvveti olan polisin iş birliğinin sağlanabilmesi ve kart kullanıcıların bilgilendirilmesidir.

          Suçlular bankaların kartlı ödeme sistemlerine yönelik suçları işlerken birçok yöntem kullanmakta ve bu suçun icrası sırasında da bilgisayar ile internet teknolojilerinden yararlanmaktadırlar. Öncelikle suçluların bu suçu işleyebilmesi için bir şekilde bankalara ait kart bilgilerini temin etmeleri daha sonra da bunları maddi çıkar elde etmede kullanabilmek için elverişli cihazlarının ve imkanlarının olması gerekmektedir. Bankalara ait kart bilgilerinin temini birçok farklı şekilde olabileceği gibi asıl olarak iki ana guruba ayrılmaktadır; Kart bilgilerinin direkt olarak kopyalanması ve Internet üzerinden temin edilmesi.

Genel olarak karşılaşılan suç tipleri şu şekildedir;

Kart_suclari1

Suçlular genellikle suç işleyebilmek için aşağıdaki yöntemleri kullanarak kart bilgilerini elde etmektedirler.

Kart bilgilerinin temin edilme yöntemleri:

  1. Manyetik kopyalama cihazları vasıtasıyla alışveriş yada ATM makinelerinin kullanımı sırasında.
  2. Alışveriş sırasında kart bilgilerinin izlenmesi yöntemiyle.
  3. İnternet üzerinde bulunan online alışveriş sitelerinin kayıtları elde edilerek buradaki kart sahiplerinin spam mail yoluyla kandırılması suretiyle.
  4. İnternet üzerindeki sohbet kanallarından.

1. Manyetik kopyalama cihazları vasıtasıyla alışveriş yada ATM makinelerinin kullanımı sırasında kart bilgilerinin elde edilmesi.

          Suçlular bu durumda iki farklı yöntem kullanmaktadırlar. Birincisi direkt olarak alış veriş esnasında kopyalama diğeri ise bankaların ATM cihazlarının kart giriş yerlerine yerleştirilen minik cihazlar ile kopyalama.

          Alış veriş esnasında kopyalama yönteminde; suçlular ellerindeki manyetik kart kopyalama cihazları vasıtası ile bankalar tarafından kullanıcısına verilmiş kredi kartlarını kopyalamaktadırlar. Bu işlem için kart sahiplerinin alış veriş yaptıkları yerlerde kredi kartları pos cihazlarından geçirilmeden önce veya sonra kopyalama cihazlarından geçirilmekte ve kartın manyetik şeridinde bulunan (Track 1, 2, 3) bilgileri bu cihazlar vasıtası ile kaydedilmektedir.

Kart_suclari2

          Banka ve Kredi Kartlarının arka yüzünde bulunan manyetik şeritler, Track adı verilen alanlarda ISO 7811/1~6 standardında Text ve Sayısal bilgi içermektedir. Genelde bu bilgiler Track 1, 2, 3 şeklinde üç ayrı alana bölünmüş vaziyettedir.

Kart_suclari3

          Banka ve kredi kartlarının manyetik şeritlerinde bulunan Track bilgileri bankaların belirlemiş oldukları kendi standartlarına göre farklı şekillerde bilgi de ihtiva edebilir. Örneğin Bir banka Kartın Son kullanma tarihini track denilen alanlarda saklayabileceği gibi bir başka banka bu alanı kart numarasını okuduktan sonra online olarak veritabanlarından öğrenebilir. Manyetik şeritlerde bulunan ve Track adı verilen bilgiler genellikle aşağıda bulunan şekildeki gibidir.

Kart_suclari4

          Suçlular alış veriş esnasında kopyalama yönteminde; bazı durumlarda ise pos cihazlarında arıza var şeklinde müşteriler kandırılıp kartlarının pin kodlarını elle girmeleri istemekte bu sayede de kartların pin kodlarını elde etmektedirler.

          Suçlular tarafından kopyalanması yapılıp pin kodu elde edilemeyen bazı kartlar boş pvc manyetik kartlara encoder adı verilen cihazlar ile kopyalanıp kartın ikizi çıkarıldıktan sonra genellikle anlaşmalı iş yerlerinden cep telefonu, altın ve ziynet eşyası gibi nakit paraya çevirmesi kolay olabilecek parçalar satın alınmakta, bunlar daha sonra gerek satılarak gerekse anlaşmalı olan iş yerlerinden alınmış gibi gösterilerek nakit paraya çevrilmektedir.

          Suçlular yine pin numaralarını tespit ettikleri kart bilgilerini boş pvc kartlara kopyalayarak yurt içindeki veya yurt dışındaki atm cihazlarından nakit para çekmekte ve çekilen paraları sahte kimlikler ile açtıkları banka hesaplarına yatırmaktadırlar. Bazı durumlarda ise direkt olarak başka hesaplara havale yapmaktadırlar.

          ATM makinelerinin kart giriş yerlerine yerleştirilen kopyalama cihazlarında ise suçlular genellikle uzak bir yerlerde gözetlemede bulunmakta, daha sonra kopyaladıkları kartları manyetik kart yazma cihazıyla boş kartlara yazıp kartın ikizini çıkarabilmektedirler. Bazı durumlarda ise kopyalanan kartın şifresini öğrenebilmek için ATM cihazlarının üst köşelerine micro kameralar yerleştirmek suretiyle ATM cihazının tuş takımını izleyerek şifreleri de alabilmektedirler.

Kart_suclari5 Kart_suclari6

2. Alışveriş sırasında kart bilgilerinin izlenmesi yöntemiyle

          Genellikle profesyonel olmayan suçlular tarafından uygulanan bu yöntemde suçlular kullanıcısına fark ettirmeden alış veriş esnasında veya başka zamanlarda başkasına ait kredi kartı’nın ön ve arka yüzlerindeki yazılı numaraları (kart numarası, son kullanma tarihi, cvv2 güvenlik kodu ) not ederek ya da akılda tutularak almaktadırlar. Bu yöntemle genellikle internet üzerinden online alışveriş gerçekleştirilmektedir.

3.İnternet üzerinde bulunan online alışveriş sitelerinin kayıtları elde edilerek buradaki kart sahiplerinin spam mail yoluyla kandırılması suretiyle.

          İnternet üzerinde bulunan birçok online alış veriş sitesi kredi kartı ile online para transferi yapmak suretiyle müşterilerine hizmet vermektedir. Bu hizmetleri sırasında ister istemez müşterilerine ait bazı bilgilerde veritabanlarında tutmakta, bunları online olarak kaydetmektedirler. Bu bilgiler arasında müşterinin satın aldığı ürün, teslimat adresi, müşterinin telefonu, e-posta adresi, ürünü aldığı tarih ve bazı sitelerin veritabanlarında ise müşterinin kredi kartı numarası ile kartın son kullanma tarihi tutulmaktadır. Normal şartlar altında müşterinin sadece kredi kartı numarasının ve kredi kartının son kullanma tarihinin internet alış veriş sitesinin veri tabanında tutulmasında her hangi bir sakınca olmamakla birlikte bazı durumlarda suç soruşturmaları içinde oldukça işe yaramaktadır.

          Örneğin internet üzerinden cep telefonuna kontör yüklenebilmesi durumunda hangi telefon numarasına hangi kart ile ödeme yapılarak kontör yüklendiği bilgisi bazı durumlarda başkasının kart bilgisini kullanarak kontör yükleyen suçluları kolayca ele verebilmektedir. Yada sahte alış veriş yapan şahsın sitenin veri tabanındaki kart bilgisi ile adresinin karşılaştırılması sonucu teslimat adresinden yola çıkarak suçlular yakalanabilmektedir. Aşağıda örnek olarak internet üzerindeki bir online alış veriş sitesinin veri tabanından ufak bir parça yer almaktadır. Buna bilişim dilinde Order Log ( Alış veriş kaydı) denmektedir.

Kart_suclari7

          Burada da görüldüğü gibi alış veriş yapan kişiye ait bir çok bilgi online alış veriş sitesinin veri tabanında yer almaktadır. İşte bu aşamada uzman bilgisayar korsanları yani hacker’lar devreye girmekte ve suçun işlenmesi için kredi kartı bilgilerini temin etmek üzere online alış veriş sitelerinin güvenlik önlemlerini kırarak bu sitelerin order log’larının (alışveriş kayıtları) tutulduğu veritabanlarını ele geçirmektedirler. Yukarıda da belirtildiği gibi aslında bu veri tabanlarında tutulan bilgiler tek başına hiç bir işe yaramamaktadır. Özellikle sadece kredi kartının numarası ve son kullanma tarihi hiç bir işe yaramamaktadır. Gerek online alışveriş gerekse bankaların algoritmasına göre boş pvc manyetik kartlarına yazmak için gerekli olan kredi kartının arkasında bulunan Cvv2 güvenlik kodu bu veri tabanı kayıtlarında bulunmadığı için suçlular bu aşamadan itibaren başka bir yöntem ile gerekli bilgileri kart sahibinden almaya çalışmaktadırlar.

          Bu aşamada suçlular, veri tabanındaki kayıtlardan yola çıkarak online alışveriş sitesinden alış veriş yapan kişilerin bir çok bilgisini elde ettikleri için (özellikle şahsın mail adresi), hedef olarak bu kişileri seçmekte ve elde ettikleri 16 haneli kredi kartı numarasın ilk 6 hanesinden (BIN ID) şahsın sahip olduğu kredi kartının bankasını öğrenmektedirler. Kartın hangi bankaya ait olduğunu öğrenmek için örnek olarak  şekildeki gibi programlar kullanmaktadırlar.

Kart_suclari8

          Suçlular böyle programlar vasıtası ile hedef şahısların kartlarının ait olduğu bankayı öğrendikten sonra elde ettikleri veritabanı kayıtlarına göre kart sahibinin mail adresine sanki bankaymış gibi e-posta (spam mail) atmakta ve yapılan alış verişin teyidi için güvenlik amacıyla gönderilmiş bir teyit maili hissi uyandırmaktadırlar. Bu mail ile şahıslardan mail ekindeki forma veya verilen internet adresindeki siteye girip buradaki forma kart bilgilerini tekrar girmesi ve alışverişi onaylaması istenmektedir. Mali alan kurban kişiler mailde kart bilgilerinin ve yaptıkları alışverişin detayını gördükleri için şüphelenmemekte ve formu doldurma işlemini gerçekleştirmektedirler. Ancak bu tarz mailler vasıtası ile fazladan şahsın kredi kartının Cvv2 güvenlik kodu ve ATM cihazlarında kullanılabilecek pin kodu da istenmektedir. Kurban kişiler formu doldurduktan sonra suçlular için tamamlanmış bilgiler artık hazır demektir. Bu aşamadan sonra suçlular ellerindeki bilgileri bankaların algoritmalarına göre boş pvc kartlara yazarak kullanabilmektedirler. Bu bilgiler ile gerek boş pvc kartlara yazma işlemi gerçekleştirerek para çekebilmekte gerek sonradan nakite çevirebilecek alışverişler gerçekleştire bilmekte gerekse de online alışveriş yapabilmektedirler.

4. İnternet üzerindeki sohbet kanallarından.

          Internet de IRC (Internet Relay Chat) adı verdiğimiz sohbet alanlarında suçlular buluşarak bir önceki başlıkta anlatılan internet üzerinde bulunan online alışveriş sitelerinin kayıtları elde edilerek buradaki kart sahiplerinin spam mail yoluyla kandırılması suretiyle elde ettikleri kart bilgilerini karşılıklı olarak paylaşmaktadırlar. Burada suçlular genellikle uluslararası çalışmakta ve örneğin bir ülkede elde edilmiş kart bilgileri diğer ülkede bulunan ortaklarına gönderilerek yarı yarıya usulü karşılıklı çıkar sağlamaktadırlar. Burada elde edilen haksız gelir genellikle Western Union para transfer şirketi gibi aracı kurumlar vasıtası ile karşılıklı gönderilmektedir.

          Burada dikkat edilmesi gereken husus her bankanın her dünya ülkesinde ödeme yapmamasıdır. Dolayısıyla suçlular ödeme yapılabilecek ülkedeki arkadaşlarına kart bilgilerini göndererek hem gizlenmeyi hedeflemekte hemde suçun işlenmesini kolaylaştırmaktadırlar. Dolayısı ile ülkemizden çalınan bir kart bilgisi yurt dışında kullanılabilmektedir. Aşağıda bu chat kanallarından bir örnek resim bulunmaktadır.

Kart_suclari9

          Burada suçun takibi gerçekten de çok zor olmakta, genelliklede şahıslar diğer yöntemlerde olduğu gibi kolay kolay yakalanamamaktadırlar. Bu sohbet kanallarında alınan kredi kartının çalışıp çalışmadığı kontrolü de yapılmaktadır.

Kart Kopyalamada kullanılan cihazların temini:

          Manyetik kart kopyalama cihazları İnternet Üzerindeki bu cihazları satan Online alış veriş sitelerinden satın alınmakta veya suçluların yurt dışında bulunan elemanları vasıtası ile temin edilip bizzat ya da posta yoluyla Türkiye’ye sokulmaktadır. Yurt içinde ve Yurt Dışında bir çok online alışveriş sitesi bu cihazların ve boş manyetik kartların satışını yapmaktadır.

          Manyetik kartların kullanım alanı sadece kartlı banka siteminden ibaret olmayıp, kapı güvenlik sistemlerinde, kimlik tanıma sistemlerinde ve daha birçok alanda kullanılabileceği için ülkemize bu kart okuma cihazların girmesi veya pazarlanması şuç teşkil etmemektedir.

Online Alışveriş

          Çeşitli yollarla elde Edilen kredi kartı bilgileri ile haksız kazanç sağlayacak online alışverişlerde mümkün olabilmektedir. Online alışverişlerdeki satışı genellikler ikiye ayırabiliriz. Birincisi ürün satışıdır.

          Ürün satışında online alış veriş yapan kişiler kredi kart bilgilerini alış veriş sitesinde kullanarak ödeme yaptıktan sonra posta veya kargo aracılığı ile alış veriş sırasında verdikleri adrese satın aldıkları ürünler teslim edilmektedir. Burada genellikle ürün teslimi yapıldıktan sonra şahısların hesaplarından tahsilat yapılmaktadır.

          İkincisi ise online hizmet satışıdır. Burada ise elle tutulur bir ürün ortada yoktur. İnternetin verdiği hizmetler arasında ücretli üyeliği bulunan sitelerde bulunmaktadır. Örneğin kredi kartı ile ödeme yaparak bir bilgi topluluğuna, arkadaşlık sitesine üye olunabilir ya da bir program veya elektronik doküman temin edilebilir.

          İşte bu aşamada suçlular genellikle takibi zor olan elle tutulur bir ürünün olmadığı hizmet satışlarından faydalanmaktadırlar. Bir web adresinin tescil edilmesi, site bulundurma hizmetinin satın alınması gibi hizmetler suçluların en çok tercih ettikleri alışverişlerdir. Bir ürünün teslimatının olduğu alış verişlerde ise suçlular genellikle teslimat sırasında sahte kimlikler kullanmakta ve teslimatın kargo bürosunda gerçekleşebilmesi içinde yanlış adres bilgisini alış veriş sitesine vermektedirler.

NOT : Bu yazı 2000-2004 tarihleri arasında EGM KOM, TADOC ve çeşitli konferanslar ile bazı kurslarda vermiş olduğum sunumdan özetlenerek yazılmıştır. Güncel olmayan eski sunuma Buradan ulaşabilirsiniz.

Etiketler:

A.Hakan Ekizer

1978 Doğumlu, Polis Akademisi 2000 mezunu. Bilişim Suçları, Adli Bilişim(Digital Forensics), Bilişim Güvenliği ve Adli Teknik Takip Teknolojileri (Lawful Interception Techs.) konusunda uzman Emniyet Müdürü. ACE, EnCe, CCE, CHFI, CEH, Security+, Linux+, Network+ ve PMP Sertifikalı. Yazılım Geliştirme alanında tecrübe sahibi. Linux, BSD, Mac OSx aşığı MS-Windows zorunlu kullanıcısı. Amatör fotoğrafçı ve motosiklet tutkunu.

Bunlar da hoşunuza gidebilir...