Merhaba! Yahu sayfasının bu haftaki konusu “Kart magdurları ne yapmalı”. Umarız faydalı bulursunuz!
Temassız kart kopyalanır mı? Gerçekten neyi konuşuyoruz
Ankara’da yaşayan biri olarak sabahları metroya yetişme telaşı, öğlen Kızılay’da hızlı bir kahve molası ve akşam eve dönerken otobüste ayakta kalma mücadelesi arasında kartımı kaç kez kullandığımı hiç saymadım. Ama son birkaç yıldır kafamı en çok kurcalayan şeylerden biri şu oldu: Temassız kart kopyalanır mı?
Bunu ilk kez ciddi ciddi düşündüğüm an, bir kafede ödeme yaparken kartımı cihaza yaklaştırdığım sırada yan masadaki birinin “abi NFC ile kart bilgisi çalınıyormuş” dediğini duymamla başladı. O an insanın zihni ister istemez boşlukları dolduruyor. Ekonomi okumuş biri olarak veriye, ihtimallere ve sistemlerin nasıl çalıştığına biraz meraklıyım ama yine de o cümle kısa süreli bir tedirginlik yaratmıştı.
Aslında mesele sadece teknik değil; şehir hayatının içinde, güvene dayalı küçük rutinlerimizin ne kadar sağlam olduğuyla da ilgili.
Ankara’da günlük hayat ve benim gözlemlerim
Ankara’da toplu taşıma kullanan biriyseniz temassız kartlar artık hayatın doğal bir parçası. Metro turnikelerinde saniyeler içinde geçmek, otobüste cüzdan açmadan ödeme yapmak… Bunlar artık “lüks kolaylıklar” değil, günlük refleksler.
Geçen kış sabahı Eryaman metrosunda yaşadığım bir anı hatırlıyorum. Kalabalık, herkes uykulu, eldivenler çıkmıyor bile. Önümdeki adam kartını cihaza yaklaştırdı ama sistem okumadı. Arkasından üç kez daha denedi. Arkadan biri “kartın manyetiği bozulmuş olabilir” dedi. O an biri de “temassız kartlar kopyalanıyor zaten, dikkat etmek lazım” diye ekledi.
İşte şehir efsaneleri tam burada büyüyor.
Ama işin ilginç tarafı şu: Ben o dönem veri güvenliğiyle ilgili makaleler, bankaların teknik dokümanlarını ve Avrupa’daki ödeme sistemleri raporlarını kurcalarken gördüm ki konu sandığımızdan daha katmanlı.
Temassız kart kopyalanır mı? Teknolojiyi anlamadan cevap zor
Temassız kartların büyük kısmı NFC (Near Field Communication) teknolojisiyle çalışıyor. Yani kart ile ödeme cihazı arasında çok kısa mesafede (genelde 4 cm’den az) bir iletişim kuruluyor. Bu iletişimde kart, sabit bir “manyetik şerit bilgisi” göndermiyor. Onun yerine her işlemde değişen, şifrelenmiş dinamik veriler üretiyor.
Burada önemli bir nokta var: Modern temassız kartların çoğu EMV standardı kullanıyor. Bu sistemde her işlem için tek kullanımlık bir şifre üretiliyor. Yani biri o anda veriyi alsa bile, bir sonraki işlemde o veri işe yaramıyor.
Bu yüzden teknik olarak bakıldığında “kartı birebir kopyalayayım, aynısını kullanayım” fikri eski manyetik şerit kartlarındaki kadar basit değil.
Güvenlik katmanları
Bankaların kullandığı sistemlerde birkaç kritik güvenlik katmanı var:
Dinamik işlem kodları (her işlemde değişen şifre)
Tokenization (kart numarasının gerçek hali yerine sahte bir temsil kullanılması)
Limitli temassız işlem tutarları
Şüpheli işlem algılama sistemleri
Türkiye’de BDDK ve bankalar uzun süredir temassız işlemlerde ek güvenlik limitleri ve doğrulama sistemleri uyguluyor. Bu yüzden “tek dokunuşla kart boşaltma” senaryosu pratikte çok zor.
Ama bu, riskin hiç olmadığı anlamına da gelmiyor.
Temassız kart kopyalanır mı? teknik olarak mümkün mü
Bu sorunun cevabı biraz “evet ama…” şeklinde. Çünkü güvenlik sistemleri ne kadar güçlü olursa olsun, saldırı yöntemleri de gelişiyor.
Kart kopyalama ile veri çalma aynı şey değil
İnsanların en çok karıştırdığı nokta bu. Temassız kart kopyalanması denince çoğu kişi fiziksel kartın birebir çoğaltılmasını düşünüyor. Oysa modern saldırıların büyük kısmı “kopyalama” değil, geçici veri yakalama üzerine kurulu.
Örneğin:
Skimming: Kart bilgilerini okuma girişimi
Relay attack: Kart ile terminal arasındaki sinyali uzaktan aktarma
Malware tabanlı veri sızıntıları
Ama burada kritik bir detay var: Temassız kartlarda yakalanan veri genelde yeniden kullanılamaz oluyor.
Saldırı senaryoları gerçekte nasıl çalışıyor?
Teknik literatürde en çok konuşulan yöntemlerden biri “relay attack”. Bu yöntemde saldırgan kartı fiziksel olarak kopyalamıyor. Bunun yerine kart ile terminal arasındaki iletişimi anlık olarak başka bir yere aktarıyor.
Yani biri cüzdanınıza çok yakın bir cihazla yaklaşsa bile, bu saldırının çalışması için ciddi teknik düzenek gerekiyor. Sokakta rastgele biriyle olacak bir şey değil.
Bir dönem Avrupa’da yapılan testlerde, kalabalık metro istasyonlarında bu tür denemeler yapılmıştı. Sonuçlar ilginçti: Teorik olarak mümkün olsa da pratikte başarı oranı oldukça düşüktü ve ekipman gereksinimi yüksek olduğu için yaygın bir suç yöntemi haline gelmemişti.
Türkiye’de durum nasıl?
Türkiye’de bankaların EMV geçişi ve temassız işlem limitleri sayesinde risk oldukça kontrol altında. Ayrıca dolandırıcılık sistemleri anlık olarak şüpheli işlemleri tespit edebiliyor.
Benim ekonomi bölümünden bir arkadaşım bankada risk analizi tarafında çalışıyor. Onun söylediği şey şu olmuştu: “Bizim sistemler kart kopyalamadan çok hesap ele geçirme ve phishing saldırılarına odaklanıyor, çünkü gerçek kayıplar oradan geliyor.”
Bu cümle aslında konunun özünü anlatıyor.
Sokakta yaşanan gerçek olaylar ve yanlış anlaşılmalar
Bir gün Kızılay’da bir kafede otururken yan masada iki kişi ciddi ciddi “telefonun yanında kart taşıma, hepsi kopyalanıyor” diye konuşuyordu. O an ister istemez kulak misafiri oldum çünkü bu konu sürekli yanlış bilgiyle büyüyen bir alan.
Ama işin gerçeği çoğu zaman daha basit.
Annem mesela uzun süre kartını cüzdanın en iç kısmına koyup dışarıya RF sinyali geçmez diye düşünüyordu. Halbuki çoğu cüzdanın “RFID blocking” iddiası pazarlama tarafında abartılan bir özellik. Gerçek dünyada kartın korunması daha çok işlem güvenliğiyle ilgili.
Bir başka örnek de iş yerinde yaşandı. Bir arkadaşım markette ödeme yaparken kartını iki kez okuttuğu için “hesabımdan iki kez çekmişler” diye panik yaptı. Banka kaydına baktığında ise sadece tek işlem vardı; diğeri provizyon olarak kalmıştı.
Bu tarz yanlış anlamalar temassız kartların “güvensiz” algısını büyütüyor.
Temassız kart kopyalanır mı? Risk nerede başlıyor?
Burada kritik nokta şu: Kartın kendisi değil, kullanım alışkanlıkları risk yaratıyor.
Mesela:
Kart bilgilerini telefonla paylaşmak
Güvenilir olmayan sitelerde ödeme yapmak
Phishing (oltalama) linklerine tıklamak
Kartı kaybettiğinde hızlıca iptal ettirmemek
Aslında gerçek dünyadaki finansal kayıpların büyük kısmı temassız kopyalamadan değil, kullanıcı hatalarından kaynaklanıyor.
Veri güvenliği raporlarında da benzer bir tablo var: Kart-present olmayan dolandırıcılık yöntemleri, fiziksel kart kopyalamaya göre çok daha yaygın.
Metroda kart okutan insanlar ve görünmeyen güvenlik
Her sabah metroda kartımı cihaza yaklaştırırken aslında arka planda saniyenin çok küçük bir diliminde şifrelenmiş bir iletişim gerçekleşiyor. İnsan gözüyle basit bir “bip” sesi gibi görünen şey, aslında oldukça karmaşık bir kriptografik süreç.
Bir keresinde bunu düşünürken kendime şunu sordum: Bu kadar karmaşık bir sistem varken, sokakta biri gerçekten kartımı kopyalayabilir mi?
Cevap, teknik olarak çok dar senaryolar dışında hayır.
Ama bu “hiç risk yok” anlamına da gelmiyor. Çünkü sistem ne kadar güçlü olursa olsun, insan faktörü her zaman en zayıf halka olmaya devam ediyor.
Günlük hayat, teknoloji ve güven hissi
İşin ilginç tarafı şu: Temassız kartlar hayatımızı kolaylaştırırken aynı zamanda görünmez bir güven duygusuna da dayanıyor. Turnikeden geçerken, markette ödeme yaparken ya da bir kahve alırken aslında sisteme güveniyoruz.
Benim için bu güven zamanla kör bir güvene dönüşmedi. Daha çok “ne olduğunu anladıkça rahatlama” haline geldi.
Ekonomi eğitimi alırken öğrendiğim en temel şeylerden biri şuydu: Risk hiçbir zaman sıfır olmaz, sadece yönetilir.
Temassız kartlar da bunun güzel bir örneği. Kopyalanma ihtimali teorik olarak bazı çok dar senaryolarda konuşulabilir ama gerçek hayatta asıl risk alanı çok başka yerlerde duruyor.
Temassız kart kopyalanır mı? sorusunun gündelik karşılığı
Bugün Ankara’da bir kafede otururken kartla ödeme yapan insanları izlesem, çoğu kişinin bu teknolojinin nasıl çalıştığını düşünmeden kullandığını görüyorum. Bu da aslında normal.
Teknoloji görünmez oldukça daha iyi çalışıyor.
Ama yine de akılda kalan şey şu: Temassız kart kopyalanır mı sorusu, teknik bir sorudan çok modern hayatın güven algısına dair bir soru gibi. Çünkü mesele sadece kart değil; verilerimiz, alışkanlıklarımız ve dijital dünyada ne kadar açıkta olduğumuz.
Ve belki de en gerçek cevap şu: Sistemler oldukça güvenli, ama dikkat her zaman bireyde başlıyor.
Yahu olarak “Kart magdurları ne yapmalı” konusunda hazırladığımız bu içeriğin beğeninizi kazandığını umuyoruz. Bir sonraki yazıda buluşmak üzere!