Kartımdaki şüpheli işlem sonrası CVC kodunu değiştirmeme rağmen deneme çekimleri neden devam ediyor?

Şöyle bir şey var ki, CVC kodunu değiştirmek, kartının fiziksel olarak çalınması veya kopyalanması durumunda yeni dolandırıcılıkların önüne geçmek için çok etkili bir adım. Ancak internet ortamında bilgiler bir kez ele geçirildiyse, yani bir veri sızıntısının kurbanı olduysan, durum biraz daha karmaşıklaşabiliyor. Gördüğün küçük meblağlı deneme çekimleri, genellikle çalınan kart bilgilerinin "canlı" olup olmadığını kontrol etmek için yapılan otomatik sistem denemeleri oluyor. Dolandırıcılar, büyük bir alışveriş yapmadan önce bu tür küçük işlemlerle kartın aktifliğini ve limitini test ederler. CVC kodunu değiştirmen, bu denemelerin bir kısmını durdurabilir ama hepsi için geçerli olmayabilir. Örneğin, bazı e-ticaret siteleri veya abonelik servisleri, daha önce kart bilgilerini kaydettiysen, CVC istemeden işlem yapabiliyor. Hatta bazı eski veya güvenlik açığı olan sistemlerde, sadece kart numarası ve son kullanma tarihiyle bile işlem denemeleri yapılabiliyor. Bu yüzden CVC değişikliği önemli bir önlem olsa da, bankanın sana yeni bir kart göndermesi genelde en kesin çözüm olarak öne çıkıyor. Çünkü yeni kartın hem numarası hem de CVC kodu tamamen farklı olacak. Eski kart bilgileriyle yapılan her türlü deneme boşa düşecek. Benim başıma benzer bir durum geldiğinde, bankam anında yeni kartımı basıp göndermişti ve o günden sonra eski kart bilgilerimle yapılan hiçbir deneme başarılı olmamıştı. Biraz beklemen ve bankandan bu konuda tam destek alman önemli. Eğer bu denemeler devam ederse, bankandan kartını tamamen iptal edip yeni bir numara ile kart talep etme konusunda ısrarcı olmalısın. Bazen CVC değişse bile, o kartın "kimliği" üzerindeki risk devam edebiliyor. Hatta bazı durumlarda, kartın kayıtlı olduğu eski bir platformdaki zayıf güvenlik nedeniyle, sistem hala eski bilgilerle deneme yapmaya devam edebilir. Bu durum özellikle otomasyonla çalışan botlar için geçerli. Bu denemeler genellikle küçük miktarlarda olduğu için bankalar tarafından başlangıçta göz ardı edilebilir ancak devamlılığı ciddi bir soruna işaret eder. banka ile sürekli iletişimde kalıp bu işlemleri sorgulamak ve gerekirse yeni kart talebini yinelemek en doğrusu olacaktır. Kendi deneyimimden söyleyebilirim ki, bankaların ilk tepkisi genellikle CVC değiştirmek veya kartı geçici kapatmak oluyor, ancak kökten çözüm için yeni kart şart.

Bu tür küçük meblağlı deneme çekimlerinin, CVC kodu değişikliğine rağmen devam etmesi, kart bilgilerinin sızdırılma mekanizması ve dolandırıcıların kullanım stratejileriyle doğrudan ilişkili bir durumdur. CVC (Card Verification Value) veya CVV (Card Verification Value) olarak bilinen 3 haneli güvenlik kodu, genellikle kartın arkasında yer alır ve internet veya telefon üzerinden yapılan işlemlerde ek bir doğrulama katmanı sunar. Bu kod, kart numarasının (PAN) kendisi gibi kalıcı bir bilgi değildir; banka sistemlerinde dinamik olarak üretilebilir veya belirli periyotlarda değiştirilebilir. Sizin mobil uygulama üzerinden yaptığınız CVC değişikliği, bankanızın sisteminde kartınızın mevcut CVC kodunu güncelleyerek, bu andan itibaren bu yeni CVC koduyla yapılacak yetkilendirme taleplerini geçerli kılacaktır.

Ancak sorun şu ki, tüm online ödeme sistemleri veya POS cihazları, her işlemde CVC kodu zorunluluğu aramaz. Özellikle “Card-on-File” (kart bilgilerini kaydetme) özelliği sunan e-ticaret platformları, ilk işlemde CVC alsalar bile sonraki işlemlerde bu bilgiyi talep etmeyebilirler. Bu durumda, eğer kart bilgileriniz (PAN ve son kullanma tarihi) bir satıcı veri tabanından sızdırıldıysa, dolandırıcılar bu bilgileri kullanarak CVC gerektirmeyen işlemleri deneyebilirler. Gördüğünüz 1-2 TL'lik çekimler, genellikle "karting" denilen bir dolandırıcılık yönteminin parçasıdır. Bu yöntemde, çalınan binlerce kart bilgisi (genellikle sadece PAN ve son kullanma tarihi içeren) otomatik yazılımlar aracılığıyla farklı e-ticaret sitelerinde veya test ödeme ağ geçitlerinde küçük meblağlarla denenir. Amaç, hangi kartların aktif olduğunu ve limitinin bulunduğunu tespit etmektir. Bir kart "canlı" çıktığında, daha büyük çaplı dolandırıcılık işlemleri için kullanılır. Sizin CVC değişikliğiniz, bu denemelerin CVC gerektiren kısmını durduracaktır; ancak CVC gerektirmeyen veya tokenleşmiş kart bilgisi üzerinden yapılan işlemleri etkilemeyebilir. Bu nedenle, bankanın size yeni bir kart numarası ataması, yani eski PAN'ı tamamen geçersiz kılması en güvenli çözümdür. Mevcut CVC değişikliği, yalnızca CVC gerektiren anlık işlemlere karşı bir bariyer oluşturur, ancak geçmişte sızdırılmış ve CVC'siz işlem yapabilen platformlarda risk devam edebilir. Bu, PCI DSS standartlarındaki bazı esnekliklerden veya eski sistemlerin açıklarından kaynaklanabilir.

Aslında burada çoğunun gözden kaçırdığı şey, CVC kodunu değiştirmenin, kartın Sızdırılma anında ne kadar işe yaradığından çok, Sonrasında ne tür bir güvenlik sağladığı meselesidir. Sen bir CVC değişikliği yaptığında, bankana 'bu kartın arkasındaki kod artık bu' demiş oluyorsun. Bu, gelecekteki, yani o an itibarıyla yapılacak CVC gerektiren işlemleri etkiler. Ancak sorun şu ki, kart bilgileriniz muhtemelen çok daha önce, CVC kodunu değiştirmeden önce bir yerden çalınmış durumda. Bu durumda, sızdırılan veriler sadece senin CVC kodunla sınırlı değil, aynı zamanda kart numaran ve son kullanma tarihin gibi temel bilgileri de içeriyor olabilir.

O gördüğün minik çekimler, genellikle otomatik botlar tarafından yapılan, tabiri caizse 'kurban seçme' operasyonlarıdır. Botlar, ele geçirdikleri binlerce kart numarasını farklı sitelerde ve farklı miktarlarda deneyerek hangilerinin geçerli olduğunu anlamaya çalışır. Bu denemelerin bazıları CVC ister, bazıları istemez. Hatta bazı eski sistemler veya zayıf güvenlikli platformlar, CVC istemeden de kart numarasını ve son kullanma tarihini kabul edebilir. Senin CVC değişikliğin, bu denemelerin yalnızca CVC isteyen kısmını etkisiz hale getirir. Diğer bir deyişle, deneme çekimlerinin devam etmesi, dolandırıcıların elinde hala kart numaran ve son kullanma tarihin gibi kritik bilgilerin olduğunu ve bu bilgileri CVC gerektirmeyen platformlarda test etmeye devam ettiklerini gösterir. Bankanın sana yeni bir kart numarası vermesi, bu döngüyü tamamen kırmanın tek yoludur. Çünkü yeni kartla birlikte hem kart numaran hem de CVC'n tamamen değişir. Aksi takdirde, sen sürekli CVC değiştirsen bile, kart numaran aynı kaldığı sürece, sızdırılmış eski verilerle yapılan denemeler, CVC'ye ihtiyaç duymayan platformlarda başarıya ulaşma potansiyeli taşır. Yani mesele senin CVC'ni değiştirmen değil, kartının 'kimliğinin' baştan sona değişmesi. Bankanın bu konudaki yaklaşımını sorgulamalı ve sana yeni bir kart numarası vermeleri konusunda ısrarcı olmalısın. Kısacası, bandaj değil, yeni bir kan nakli gerekiyor.