3-D Secure, internette alışveriş işlemlerinin güvenli bir şekilde yapılabilmesi için kart kuruluşları tarafından geliştirilmiş olan bir kimlik doğrulama sistemidir. Bu sistem fiziki Pos’ larda Chip pin olarak adlandırılan şifre sisteminin benzeridir. Sistemin Visa kredi kartı kullanımı için hazırlanan uygulamasına “ Verified by Visa ”, Master Card kredi kartı kullanımı için hazırlanan uygulamasına ise “ Secure Code ” isimleri verilmektedir.

Kart sahibi kendi oluşturduğu şifresi veya cep telefonundaki mobil-imzasıyla işlemlerin kendisi tarafından yapıldığını doğrular. Şifre vasıtasıyla işlem anında kartın ve kart sahibinin aynı yerde olduğu belgelenir. Yöntemin amacı, kart sahibinin onayı alınarak, internet işlemlerinde sahtekarlığın önlenmesi, internet işlemlerinin güvenliğinin arttırılması, sanal mağazaların ve kart sahiplerinin riskinin ortadan kaldırılmasıdır.
BDDK Yönetmeliğinin ‘ Teknik Altyapıya ilişkin Hususlar ’ başlıklı 27 A maddesinin 7. fıkrasına göre ;

Üye is yeri anlaşması yapan kuruluşlar ve üye iş yerlerinin, harcama ve alacak belgesi düzenleme imkânı olmayan, kart hamili tarafından başlatılan ve internet kullanılarak gerçekleştirilen işlemler için diğer önlemlerle birlikte 3D Secure kart hamili doğrulama teknolojisini içerecek şekilde kart kullanım alt yapısı tesis etmeleri gerekmektedir.
3D Secure olarak gerçekleşen işlemler için, kart sahibi Fraud nedenli itirazda bulunamaz; bulunsa da itiraz, kart bankası tarafından reddedilir. Böylece işyeri Fraud nedeni ile Chargeback riski taşımaz.
3D Secure sistemi, internet üzerinden yapılan alışverişlerde web sitesinde yer alan ödeme sayfasına girilmek suretiyle yapılan işlemler için geçerlidir. Hassas kart verisinin ( kart no, SKT, güvenlik kodu ) POS cihazına işyeri tarafından tuşlanması ( Mail Order – Telefon Order ) ile gerçekleşen işlemler için geçerli bir yöntem değildir. Çünkü işlemin 3D Secure olarak yapılabilmesi için bir web sitesinin ödeme sayfası üzerinden gerçekleşmesi gerekir.
Mail order ve telefon order yöntemi ile işlem kabul eden işyerleri ; genelde Chargeback riskinden korunmak ve kimlik doğrulama yapabilmek için kart sahiplerinden Mail order form veya Tele order form olarak adlandırılan bir belge talep etmekteler. Bu belge üzerinde kart sahibinin hassas kart verisini paylaşmasını ve kartından çekilen tutara onay verdiğini belirterek imzalamasını talep ederler. Uluslararası Visa ve Mastercard kurallarına göre herhangi bir geçerliliği olmayan ve işyerlerini kesinlikle Chargeback riskinden korumayan bir belgedir aslında. İşyerleri de harcama itirazı ile karşılaştıklarında, bu belgeyi bankası ile paylaştığında, bu gerçek ile yüzleşmektedirler. Burada tabi, hassas kart verisinin bulunduğu bu belgeler nerede ve ne kadar süre saklanıyor, güvenliği nasıl sağlanıyor ayrı bir konu.
Mail order ve telefon order yöntemi ile işlem kabul eden işyerleri, Chargeback riskinden korunmak ve kimlik doğrulama yapabilmek için son yıllarda yeni bir yöntem uygulamaktadırlar. Bu yönteme göre yine telefon ile hassas kart verilerini alıyorlar, ancak fiziki pos üzerinden değil, sanal pos üzerinden kart verilerini girerek işlemin 3D Secure yöntemi ile tamamlanmasını sağlıyorlar. Kart sahibine sms olarak giden güvenlik şifresini telefonda söylemesini istiyorlar ve şifreyi sanal pos ödeme sayfasından girerek işlemi tamamlıyorlar. Böylece telefon order yöntemi ile 3D Secure olarak işlemin tamamlanmasını sağlıyorlar. Bu yöntem ile kontör, tatil, sigorta, kasko, uçak bileti, otobüs bileti…. satıyorlar.

Bu yöntem işyerini Fraud nedeni ile oluşabilecek Chargeback riskinden koruyor ancak çağrı merkezi kanalıyla sosyal mühendislik yoluyla yapılan dolandırıcılık olaylarına da zemin hazırlıyor. Son yılların en popüler kart sahteciliği yöntemi, Çağrı Merkezleri aracılığıyla yapılan dış aramalar sonucu veya cazip mesajlarla Çağrı Merkezlerine yönlendirilerek tek kullanımlık işlem şifreleri ele geçirilmek suretiyle yapılan dolandırıcılık.
Bu dolandırıcılık türünde ; kredi dosya masrafı / kredi kartı aidatını geri alın, Ödül / para kazandınız bizi arayarak ödülü alın veya bankadan arıyoruz diyerek hayali senaryolarla kart sahipleri ikna edilerek kart verileri ve cep telefonuna gelen 3D güvenlik şifresi alınması ve kart sahibinden alınan bu verilerle e-ticaretsitelerinden harcama yapılarak dolandırıcılık gerçekleşiyor. Özünde kart hamilini dolandırılarak yapılan Fraud bir işlem olduğu halde, şifre ile işlem tamamlandığı için, bu işlem ile ilgili kart hamilinin Fraud nedeni ile bankasına harcama itirazı hakkı bulunmuyor. ( Burada kart hamilini Fraud nedeni dışında bir nedenle itiraza yönlendirme ve sonuçları konusu ayrı, daha önce yazmıştım tekrar detayına girmiyorum.)

Bu şekilde 2 yıl içinde 10 milyon TL’ ye yakın dolandırıcılık yapıldığı düşünülüyor. Burada iki tane mağdur olan taraf var. Dolandırılan kart sahipleri ve e-ticaret siteleri. Kart sahibinin neden mağdur olduğu ortada. E – ticaret siteleri bu gibi dolandırıcılık işlemlerinin artması sonucunda konunun mağduru değil de sebebi olarak gösteriliyor. Halbuki bu tür dolandırıcılık yapanlar ; müşterilerin özlük ve iletişim bilgilerini başka bir kanal üzerinden ele geçiriyorlar, Mail order ve telefon order yöntemi ile işlem kabul eden işyerlerinin Fraud yapılmaya açık yukarıda detaylandırdığım satış yöntemini kullanıyorlar ve e-ticaret sektörünün lekelenmesini sağlıyorlar.

Burada en önemli konulardan biri ; sadece hassas kart verisi ( kart no, SKT, güvenlik kodu ) ile internet üzerinden standart ödeme ile alışveriş yapılabilir. Neden 3D Secure şifresini öğrenmek için dolandırıcılar bu kadar çaba sarf ediyor ? Çünkü e-ticaret siteleri özellikle Fraud riski gördükleri belli bir tutarın üstünde olan ve nakite dönüştürülmesi kolay olan ürünler için işlemin sadece 3D Secure ile tamamlanmasına izin veriyor. Yani e-ticaret sitesi kendisi açısından kredi kartı sahtekarlığını engellemek için bir aksiyon alıyor ve hatta bunu yaparken belli oranda ciro kaybını da göze alıyor. Bundan sonraki süreçte bir de, Fraud nedeni ile Chargeback riski olmayan bu işlemler için ek bir kontrol noktası koyması ya da benzer önlemler alması e-ticaret sitesinin operasyonel maliyetini oldukça artırır.

Bu ve benzeri kredi kartı dolandırıcılığının önüne geçilmesi için öncelikle, müşterilerin özlük ve iletişim bilgilerinin ele geçirildiği kanalların engellemesi gerekir. Daha sonra hassas kart verisinin işyerleri tarafından tutulmasının ve saklanmasının önüne geçilmesi gerekir. Bir sonraki adımda da hassas kart verisinin herhangi bir sisteme kart hamili haricinde bir kişi tarafından manuel girilmesinin tamamen önüne geçilmeli. Bunlar yapılmadığı sürece, bu tip dolandırıcılıkların önüne geçilmesi pek mümkün değil. Günü kurtarmak için alınan önlemlerle çözülecek bir sorun değil. Kaynak: 3d alışveriş