Teknoloji

Yeni teknolojiler dolandırıcılık yöntemlerini de etkiliyor

Dolandırıcılık anlamına gelen Fraud, her sektörde farklı türleriyle kendini gösteren bir kavram. Çoğunlukla finans ve Telekom sektörlerinde karşımıza çıkan bu kavramın en sık karşılaşılan türü ise kredi kartı dolandırıcılığı. Fraud, telekom ve bankacılık dışında, e-ticaret başta olmak üzere online satış ve sanal işlem içeren tüm iş alanları için tehdit oluşturmaya devam ediyor.

Bir Fraud saldırısına maruz kalındığında finansal kayıp dışında, telafi edilmesi daha zor olan diğer boyut ise kurum ve markanın zarar görmesidir. Ayrıca müşteri deneyimi ve operasyon maliyetlerine olumsuz etkisi de kaçınılmaz olur.

Diğer yandan hemen her sektöre hizmet veren çağrı merkezleri de bu tür dolandırıcılıklar için risk taşıyan sektörlerin başında geliyor.

Son iki yıl içinde, çağrı merkezi dolandırıcılığı endişe verici bir oranda büyüdü. Pindrop Araştırma Şirketinin büyük kurumsal çağrı merkezlerini analiz ederek elde ettiği verilere göre 2011-2016 arasında saldırganların kişisel verileri elde etme yöntemleri arasında en zayıf halkayı telefon kanalı olarak gördüğü dolandırıcılık faaliyetlerinde artış kaydedildi. Dolandırıcılık aramaların oranı 2013- 2016 yılları arasında yüzde 45 büyüdü. Aynı dönemde, çağrı merkezi zararlar hileli işlemler yüzde 14 yükseldi.

Digitalleşme, sosyal medya ve ödeme sistemlerindeki teknolojilerin gelişmesiyle Fraud girişimlerini yaygınlaştırmakta hatta çeşitlendirmektedir. Ancak teknolojik gelişimlerle şekillenen dolandırıcılık riskleri, yine teknolojik çözümlerle mücadele etmeyi gerektiriyor.

Gerek maddi gerekse itibar anlamında önemli kayıplara sebep olabilen Fraud eylemleri karşısında çağrı merkezleri  Ses biyometrisi, göz tanıma teknolojisi gibi kimlik doğrulama ve çeşitli yapay zeka teknolojileriyle,  risk faktörlerini ortadan kaldırmaya yönelik önemli yatırımlar yapmaya devam ediyor.

Barış Ödemir, Verint Ülke Müdürü

Dolandırıcılar bilgiye kolay erişim için çağrı merkezlerini istismar ediyorlar.

Bankacılıkta EMV adaptasyonuyla birlikte Chip&PIN Kredi kartları, kredi kartı dolandırıcılığı ve hırsızlığına ilişkin sahte işlemlerin önlenmesine yardımcı olmak için tasarlandı ve piyasaya sürüldü. Fakat bu kart ve bilgi güvenlik politikalarını takiben CNP (kart bulunmuyor) dolandırıcılığı İngiltere ve Kanada’da iki katına çıktı.

Online güvenlik politikaları sıkılaştıkça dolandırıcılar bilgiye kolay erişim için çağrı merkezlerini istismar ediyorlar. Internet dolandırıcılığı vakalarının ki bunları genelde CNP dolandırıcılığı oluşturuyor çok büyük kısmında dolandırıcının çağrı merkezini aradığı tespit edilmiştir.

Peki, bu nasıl oluyor?

Profesyonel bir dolandırıcı, çalınan kart ve kimlik bilgilerinin bulunduğu listeyi satın alır. Bu dolandırıcının amacı; çevrimiçi satın alma işlemleri yapmaktır. Bu genellikle CNP dolandırıcılığının büyük bir kısmını oluşturur. Satın almaları en üst düzeye çıkarmak için dolandırıcı, kullandığı kartın mevcut kredi limitini bilmek ister. Bu Limit aşımlarından kaçınmaya yardımcı olur ve böylece de kartın asıl sahibinin bu işlemlerden haberi genellikle olmaz.

Internet üzerinden bir bankacılık sitesine bağlanmak çok zordur. Ancak dolandırıcının, çağrı merkezinin soracağı güvenlik sorularını karta ve kişisel bilgilere (ör. Doğum tarihi, sosyal güvenlik numarası vs) erişimi olduğundan yanıtlaması çok kolaydır. Böylece güvenlik kısmını geçip kart ile ilgili verilere ulaşmak artık çocuk oyuncağıdır. Bankayı ararlar, hesap sahibiymiş gibi davranırlar ve mevcut krediyi öğrenirler. Bu verilerle çevrimiçi alışveriş yapmaya başlarlar.

Özetle dolandırıcılar, çevrimiçi satın alma işlemlerini gerçekleştirmeden önce çalınan kartlardaki mevcut kredileri kontrol etmek için bankayı veya kart sahibi kurumu ararlar. Ayrıca, büyük bir satın alım için kredi artırımı veya ön izin gibi ek şeyler talep edebilirler. Bunlar CNP dolandırıcılığı için “destek” çağrıları olarak değerlendirilir.

Peki, bu hikâyede iyi haber yok mu?

Aslında bankaların dolandırıcılık yöntemini analizleri ile birlikte, kendilerini korumanın da yeni bir yolunu sunar. İleriye dönük düşünen bankalar, yeni nesil Ses Biyometrisi çözümleri ile bilinen dolandırıcıların “ses izlerini” toplayarak bir ses veri bankası oluştururlar. Pasif Ses Biyometrisi ile çağrı merkezini arayan kişinin ses izini toplayabilir ve normal bir çağrının arka planında inceleyebilirler. Hepimizin bildiği gibi Pasif çözümler arayan kişinin önceden bir metin okumasını ya da bir işlem yapmasını istemez böylece kullanımı basit ve yaygınlaşması kolaydır. Böylece canlı aramalardaki kişinin sesi, dolandırıcı ses veri bankasında (black list) tarama yapılarak; dolandırıcılar tespit edilir. Bilinen bir sahtekârın sesi algılanırsa, bankalar müşteri hesabını muhtemelen tehlikeye atılmış olarak işaretleyebilir. Tüm bunlar arka planda olur ve dolandırıcının haberi olmaz. Daha sonra CNP çevrimiçi sahtekârlık girişiminde bulunulduğunda ilgili hesap önceden yüksek güvenlik seviyesine çıkarıldığından banka işlemi reddedebilir.

Verint olarak yurtdışında birçok bankada Pasif Ses Biyometrisi çözümü kurulumu yaptık. Bu projeler ve sonrasında yaşadığımız deneyime göre bu çözümün başarıyla uygulandığı büyük bankalarda sahtekârlık kayıplarında ciddi bir azalma görülmüştür. Böylece bankalar CNP dolandırıcılığını azaltmak için çağrı merkezlerini avdan avcıya çevirirler.

 

Tuna Baliç, Webhelp Türkiye, Genel Müdür Yardımcısı

Uyguladığımız başlıca süreçler; yönetim stratejisi, risk değerlendirme ve iç denetim

Digitalleşme, sosyal medya ve ödeme sistemlerinin gelişmesi, yaygınlaşması ve popülerliğinin her gün artması ile birlikte fraud olayları da farklılaşmaktadır. Fraud, aslında bunların bütünleşmesi ve sosyal mühendislik teknolojileri ile entegre edilmesidir. Peki sosyal mühendislik nedir diye bakacak olursak; kişilerin iletişim ve insani davranışlarındaki kilit noktalarda açıklar bulup, bu açıklardan faydalanarak güvenlik süreçlerinin atlatılması yöntemine dayanan süreç açıkları  ve bu açıklara yapılan müdahalelerdir diyebiliriz.

Özellikle bankacılık işlemleri, mobil işlemler ve çağrı merkezlerinde yaşadığımız sürekli denemeler ile bilgilerin konsolide edilmesi yöntemlerine sıkça rastlamaktayız.

Fraud süreci günümüzde son derece teknolojik ortamlarda ortaya çıksa da aslında başlangıç noktası şirket yöneticisinin “doğru davranış” modelidir. Takımınızın iç sürecini nasıl yönetirseniz, personeliniz de size aynı şekilde reaksiyon verir. Fraud yaklaşımı bu noktada başlamaktadır. Dolayısıyla hiyerarşideki ilk nokta fraud’u engellemek için çok önemlidir. Bu konuda net bir yönetim felsefesi, oluşabilecek pek çok fraud’u oluşmadan bitirebilir.

Fraud ile mücadele ederken sıradaki adım risk değerlendirme sürecidir. Organizasyon kendi açıklarını ortaya koyup, bir iç denetim mekanizması işletmeli ve açıklar bulundukça kapatılmalıdır. Bu denetim süreçleri farkındalık eğitimleri ile desteklenirse, fraud’un takibini sadece denetimlere bağlamadan tüm kitleye yaymış oluruz. Fraudu oluşturan ilk sebebi yani baskı parametresini kontrol altına almak için çalışana yardım ve ödüllendirme mekanizması ise büyük bir anti-fraud silahıdır. Adil bir performans yönetimi ile birleştiğinde zaten pek çok fraud sebebini kendiliğinden yok eder. Son nokta ise devamlı gözlemleme ve takiptir. Bu konu dijitalleşen dünyamızda pek çok teknolojiyi beraberinde getirmektedir.

Çağrı merkezleri fraud takibini sıkıca uygulanması gereken, aksi halde ciddi sorunların oluşabileceği bir ortamdır. Yönetim stratejisi, risk değerlendirme ve iç denetim; pek çok farklı sektörde farklı süreç ve teknoloji işleten firmalara hizmet verirken devamlı uyguladığımız süreçlerdir. İç denetim, bilgi güvenliği denetim süreçleri ile devam etmektedir. Beraberinde ISO27001, PCI-DSS gibi uluslararası sertifikasyonlara sahip olunarak, bunların denetimlerinden geçilmektedir.

Tüm bu denetimlere ek olarak, çağrı merkezinde özelleşmiş eğitim departmanları ile verilen farkındalık eğitimleri fraud konusunda güncel mesajlar verir. Yine çalışan performansının değerlendirilip, hem sosyal akitivitelerle hem de ödüllendirme mekanizmalarıyla desteklendiği sistem, fraud’un değil, çalışanın ve emeğin kazanacağı bilincini oluşturur.

Devamlı kontrol fraud’un en son ve değişilmez adımıdır. Günümüzde bu konulara odaklanan her işletme artık DLP sistemlerini, verinin mail gibi yazı tabanlı kanallardan dışarı çıkışını engelleyen otomatik uyarı ve kontrol sistemlerini kullanmaktadır. İstenmeyen bir verinin dışarı çıkışını gerçek zamanda yakalamak mümkündür. Eskiden adına antivirus dediğimiz programlar bugün sistemler arası veri akışına kadar denetleme yapabilmektedir. Firewall’lar ise IPS ve benzeri fonksiyonları ile DOS tipi ataklara karşı bir çeşit yapay zeka çalıştırabilmektedir. Ses kanalına baktığımızda, ses tanıma sistemleri pek çok dilde yüksek başarı oranları ile konuşma tanıma yapabilmektedir. Bu sayede konuşanın söylediği kelimeleri anlamakla birlikte duygusal analizini bile çıkarabilmekteyiz. Buna günümüz teknolojilerindeki görüntü tanıma ve imaj işleme sistemlerini de kattığımızda, kişileri online tanımlamak, yapılan hareketleri, lokasyonları otomatik görmek ve aksiyon almak mümkündür. Aslında tüm bu sistemler altında benzer yapay zeka altyapıları çalışmaktadır. Günümüzde kullanılan GPS, RFID, manyetik kart, parmak izi tanıyıcı, retina okuyucu gibi teknolojilerle bireyi her türlü ortamda tanımlamak ve takip altına almak oldukça mümkündür. Günümüzde veri teknolojilerinin bigdata ve depolama tekniklerinin de gelmiş olduğu yeri düşünürsek, herkesin, her firmanın, her organizasyonun bahsi geçen yapay zeka teknolojileri ile kayıt ve takip altına alınması mümkündür.

Yeni teknolojiler ve sosyal medya riskleri arttırıyor

Yeni teknolojiler, sosyal medyanın hayatımızın merkezinde olması ve sosyal medya üzerinden kişiler hakkında birçok bilgiye ulaşılabilmesi sosyal mühedislik alanında da riskleri artırmaktadır. Aslında fraud ne kadar artsa da önlemler de paralelinde artmaya devam etmektedir. Önümüzdeki yıllarda giyilebilir teknolojilerin hayatımıza girmesi ile farklı boyutlarda güvenlik aşamalarından geçiyor olacağımızı düşünüyorum. Belki kişiye özel kalp ritmine, damarlarındaki yapıya göre güvenlik önlemleri alabilecek boyutlara geçebileceğiz. Giyilebilir çipler ile bugün açık olan noktaların daha güvenli hale geldiğini göreceğiz. Değişim ve dönüşüm hızının sürekli artarak ilerlediği bir döneme girdik ve gelecekte çok farklı fraud modelleri karşısında daha farklı güvenlik önlemlerini kullanıyor olacağız.