Temassız kredi kartları güvenli mi?

Temassız ödemeler hayatımıza bir girdi, pir girdi. Özellikle pandemi döneminde POS cihazına dokunmadan ödeme sağladığı için hijyen bakımından rahatlık sağlayan temassız ödemeler artık günlük hayatımızın parçası. Kolay olmasına kolay ama pek çok kişi dolandırıcılık endişesi taşıyor ve bu ödeme yöntemine şüpheyle bakıyor. Yüreğinize baştan su serpelim: Temassız ödemeler gayet güvenli. Neden güvenli olduklarını gelin detaylarına bakarak inceleyelim. 

Temassız ödeme nasıl yapılabiliyor? 
Öncelikle işin teknik kısmının nasıl çalıştığını anlayalım: Temassız kartların içerisinde bir çip ve alışveriş esnasında pos cihazıyla iletişim kurmak için kullanılan küçük bir anten bulunur. Bunun gerçekleşmesi için kart, okuyucuya gerçek hesap ayrıntılarınızı ifşa etmeyen bilgilerle birlikte tek seferlik bir kod, diğer adıyla token gönderir. Bir dahaki alışverişlerinizde bu kodlar tamamen farklı olacaktır. 

Bir mobil ödeme hizmeti olan Apple Pay, NFC teknolojisini de temassız ödeme aracı olarak kullanır. NFC donanımına sahip bir kredi kartı kullanmak, manyetik şeritli bir kartı pos cihazından geçirmekten çok daha güvenlidir. Bu yüzden bu kartlarda yüz yüze -fiziksel olarak- kart dolandırıcılığı çok düşüktür.  Bu bilgileri çalmak teoride mümkün olsa da kimlik sahtekarlığı kurbanlarına kâr amacı gütmeyen bir kuruluş olarak hizmet veren Identity Theft Resource Center, bu tür bir dolandırıcılığın ‘gerçekte mümkün olmadığı’ vurgusunu yapıyor. 

Eski nesil kartlara göre çok daha güvenli
Eski nesil kartların aksine, günümüzde sahip olduğumuz EMV (Europay, MasterCard ve Visa baş harflerini alır) kartlar çok daha akıllı bir mikroişlemci teknolojisine sahiptir. Bu teknoloji sayesinde hem kart sahibinin bilgileri gizli kalır hem de POS cihazlarıyla arasında geçen iletişim esnasında şifrelenmiş bir yol izlenir. 

EMV kartların sahip olduğu çiplerin değiştirilmesi veya klonlanması neredeyse imkânsız olduğundan bu kartlar eski nesil kredi ve banka kartlarına göre çok daha güvenlidir. 
EMV standardı, Dinamik Veri Kimlik Doğrulaması (DDA) gibi yeni güvenlik mekanizmalarını içerecek şekilde sürekli olarak gelişir. 

Bu kartlar asimetrik ve tipik RSA şifrelemesine sahiptir. Her EMV kart uygulanan asimetrik şifreleme metodundan dolayı bir özel (private) ve bir genel (public) anahtar çifti içerir. 
POS cihazından istediğinde bu temassız kartlar POS cihazına gönderilmek üzere veriyi bir anahtar yardımıyla şifreler ve cihaza iletir. Bu üretilen kod o işleme özeldir ve kartın orijinal olduğunu kanıtlar. POS cihazı ise kart tarafından gönderilen kodu doğrulamak için anahtar çiftindeki diğer anahtarı kullanır. 

Kartın mikroişlemci çipi, ISO/IEC 14443 standardı gereği POS’a 4 santimetreye kadar mesafede çalıştırılır. Ve yalnızca gerçek bir alıcı banka hesabına sahip gerçek bir POS, bir EMV kartla işleme devam edebilir. 

Temassız kartlara dair şehir efsaneleri
1. Temassız kartım uzak mesafeden benim haberim olmadan okutabilir mi ?
İlk efsaneye göre dolandırıcılar, uzaktan ve temassız kartlardan veri çıkarmak için uzun menzilli RFID (Radyo Frekanslı Tanıma) okuyucuları kullanır ve bu teknoloji sayesinde kart sahiplerinin hesaplarına erişebilir ve para çalabilir.

Peki bu gerçekten mümkün mü ?
Hayır, temassız kartlarla veri alışverişi yapabilmek için uzun menzilli RFID okuyucuları kullanmak mümkün değildir.
Temassız kartlardaki ‘yakın alan iletişimi’, yani NFC ve aynı zamanda ISO/IEC 14443 standardıyla uyumlu bir teknoloji kullanılır. Bu teknoloji yalnızca kısa bir aralıkta dijital verileri ileten 13.56 Mhz radyo frekansı teknolojisini kullanır. 

Tipik olarak optimum mesafe 4 santimetre veya daha azdır. Daha ileri mesafelerde bu sinyal hızla azalır ve 10 santimetreyi aşamaz.
Bu nedenle güvenlik amacıyla temassız kart koruma kılıfına ihtiyacınız yoktur. 

2. Temassız kartlar uzaktan kopyalanabilir mi?
İkinci efsanemize göre, NFC okuyucusuna sahip bir dolandırıcı, metro gibi kalabalık toplu taşıma alanlarında birisinin cebinde veya çantasında bulunun temassız kartlara erişebilir. Bunu yaparak, sahte bir kart üretmek veya çevrimiçi alışveriş yapmak için yeterince hassas veri elde edilebilecektir. 

Peki gerçek ne ?
Akıllı telefonlar veya herhangi bir NFC okuyucuyla gizli şekilde toplanan veriler sayesinde temassız bir kartı klonlamak imkânsızdır. 
Ayrıca çevrimiçi bir alışveriş yapmaya yetecek kadar bilgi de temassız kartlardan temassız bir şekilde elde edilemez. Bunu yapmanın tek yolu, banka tarafından gerçek kişilere veya şirketlere verilmiş bir POS cihazı kullanmaktır. Bankalarda tüm POS cihaz sahipleri kayıtlı olduğundan dolayı böyle bir dolandırıcılık işlemine girişilmesi sonucunda gerçek POS sahibi dolandırıcı kısa süre içerisinde yakalanacaktır. 


3. Peki kartımın çalınması durumunda düşük miktarlarda ama sürekli yapılabilecek alışverişler?
Son efsaneye göreyse düşük fiyatlı alışverişler için herhangi bir PIN kodu doğrulamasına ihtiyaç duyulmadığından, kartı ele geçirmiş bir kötü niyetli kullanıcı düşük miktarlarda ama sürekli alışverişler yaparak toplamda büyük bir vurgun yapabilir.

Cevap yine hayır! Kaybolan veya çalınan bir kartla bile olası toplam dolandırıcılık miktarı ihmal edilebilir düzeyde olacaktır. 
Küçük tutarlarda yapılan temassız ödemeler için PIN kodu gereksinimi duyulmayan birçok ülkede dahi banka veya kredi kartları ile üst üste yapılabilecek temassız işlem sayısı sınırlandırılmıştır. 

Belirli bir temassız işlem sayısına erişildiğine kartın POS cihazına takılıp PIN doğrulamasıyla temassız işlem limitinin sıfırlanması gerekmektedir. Aksi takdirde kart temassız olarak çalışmayı durduracaktır. 

Ve dahası, birçok ülkede temassız bir kartın kaybolduğu veya çalındığı bildirildiğinde kartı veren bankalar zararın bir kısmını karşılayacaktır. Bunun için her ay sonu kart ekstrenizi kontrol etmeyi ihmal etmeyin.

Unutmamak gerekir ki her yeni teknolojiyle birlikte konuyla alakalı korkutma amaçlı hikâyeler ve komplo teorileri ortaya çıkar. Temassız kartlar da bu durumdan nasibini alsa da artık günümüzde temassız kartları gönül rahatlığıyla kullanabileceğinizi biliyorsunuz. 

Kaynak:
https://www.nytimes.com
https://www.thalesgroup.com