Kredi Kartı Güvenliği ve Dolandırıcılıktan Korunma

Bir akşam telefonuma art arda harcama bildirimleri düştü: hiç gitmediğim bir şehirde, tanımadığım iş yerlerinde toplam 6.300 TL'lik işlem. Kart cebimdeydi ama bilgileri çoktan ele geçirilmişti. O gece kartı anında bloke ettim, sabah itiraz dilekçesini verdim ve üç hafta sonra paranın tamamı iade edildi. Bu olay bana iki şey öğretti: dolandırıcılık herkesin başına gelebilir ve hızlı hareket edersen kaybını sıfıra indirebilirsin. Güvenlik, kart kullanmanın en sıkıcı ama en kritik tarafı.

Dolandırıcılık nasıl gerçekleşiyor?

Kart dolandırıcılığını anlamak, ondan korunmanın ilk adımı. Saldırganların kart bilgisine ulaşma yolları aslında sınırlı sayıda ve hepsi tanınabilir.

• Oltalama (phishing): Banka veya kargo şirketi gibi görünen sahte SMS/e-posta linkleriyle kart bilgilerini sana yazdırırlar.
• Sahte ödeme sayfaları: Gerçek mağaza gibi görünen sahte sitelerde kart bilgisi girersin, bilgi doğrudan dolandırıcıya gider.
• Kart kopyalama (skimming): ATM veya POS cihazına takılan aygıtla kartın manyetik şeridi kopyalanır.
• Veri sızıntısı: Alışveriş yaptığın bir sitenin veritabanı çalınır, kart bilgilerin başkasının eline geçer.
• Sosyal mühendislik (telefon dolandırıcılığı): "Bankadan arıyoruz, kartınızda şüpheli işlem var, doğrulama kodunu söyleyin" diyerek SMS şifresini alırlar.

Bu yöntemlerin ortak noktası, çoğunun senin bir bilgini vermenle çalışmasıdır. Saldırganın ihtiyacı olan kart numarası, son kullanma tarihi, CVV ve çoğu zaman SMS doğrulama kodudur. Bu son parçayı vermezsen işlemlerin büyük kısmı tamamlanamaz.

Dolandırıcılığın evrim geçirdiğini de unutma. Eskiden sahte SMS'ler bozuk Türkçesinden kolayca anlaşılırdı; bugün gerçek bankanın mesajlarından ayırt edilemeyecek kadar düzgün hazırlanıyor, hatta gerçek mesajların geldiği aynı başlığa düşebiliyor. Bu yüzden "mesaj düzgün yazılmış, demek ki gerçek" mantığı artık güvenli değil. Ayırt edici ölçüt mesajın görüntüsü değil, içeriğidir: seni bir linke tıklamaya, bir kod paylaşmaya veya acele etmeye zorluyorsa, ne kadar profesyonel görünürse görünsün şüphelen.

Asla paylaşılmaması gereken bilgiler

Bazı bilgiler hiçbir koşulda, hiç kimseyle paylaşılmaz. Banka çalışanı bile bunları senden istemez. Bunları ezberle:

• SMS doğrulama kodu (OTP): Banka asla telefonda bu kodu sormaz. Kodu isteyen herkes dolandırıcıdır.
• Kartın CVV/CVC kodu: Kartın arkasındaki üç haneli sayı. Banka bunu telefonda istemez.
• İnternet ve mobil bankacılık şifren: Hiçbir banka çalışanı şifreni öğrenmek istemez.
• Kartın tam numarası ve son kullanma tarihi: Meşru bir işlem dışında kimseye söyleme.

Kural basit: telefonda, mesajda veya linkte senden bu bilgilerden herhangi biri isteniyorsa bu kesinlikle dolandırıcılıktır. Bankalar bu bilgilere zaten sahip; senden istemelerine gerek yok.

Günlük kullanımda alınacak önlemler

Korunmanın çoğu, küçük ama tutarlı alışkanlıklardan geçiyor. Kendi kullandığım önlemler şunlar:

• İşlem bildirimlerini aç. Her harcamada anında SMS/uygulama bildirimi gelsin; benim 6.300 TL'lik olayı dakikalar içinde fark etmemi sağlayan buydu.
• İnternet alışverişi için ayrı/sanal kart kullan. Çoğu banka tek kullanımlık veya limitli sanal kart sunar; gerçek kart numaran sitelere hiç gitmez.
• İnternet alışveriş limitini düşük tut. İhtiyacın kadar bir limit belirle; gerektiğinde geçici olarak yükselt.
• Temassız ödeme limitini bil ve gerekiyorsa düşür. Şifresiz temassız harcamaların bir üst sınırı vardır.
• Halka açık Wi-Fi'da alışveriş yapma. Açık ağlarda bilgilerin yakalanma riski yüksektir.
• Kartın güvenlik özelliklerini aktif et. Yurt dışı kullanım kapatma, internet kullanım açma/kapama gibi anahtarları uygulamadan yönet.

Bu önlemlerin hiçbiri tek başına %100 koruma sağlamaz ama birlikte uygulandığında saldırı yüzeyini çok daraltır.

Dolandırıldığını fark edince ilk 24 saat

Hız her şeydir. Şüpheli işlemi gördüğün andan itibaren atman gereken adımlar sırayla şöyle:

1. Kartı anında bloke et. Banka uygulamasından veya çağrı merkezinden kartı dakikalar içinde kapatabilirsin. Bunu ertelemek yeni işlemlere kapı açar.
2. Bankaya işlemi bildir ve itiraz başlat. "Bu işlemleri ben yapmadım, itiraz ediyorum" de. Banka itiraz sürecini başlatır.
3. Yazılı itiraz dilekçesi ver. Sözlü bildirimi yazıyla destekle; başvuru numarasını sakla.
4. Gerekirse savcılığa/polise suç duyurusunda bulun. Özellikle yüksek tutarlı işlemlerde resmi şikayet, itiraz dosyanı güçlendirir.

Yetkisiz işlemlerde, sen ihmalkâr davranmadığın (örneğin şifreni paylaşmadığın) sürece bankanın iade yükümlülüğü vardır. Benim olayımda işlemleri ben yapmadığım ve hiçbir kod paylaşmadığım için itiraz lehime sonuçlandı.

Risk durumlarının hızlı kıyaslaması

Aşağıdaki tablo, sık karşılaşılan üç durumda riski ve doğru tepkiyi özetliyor.

| Durum | Risk seviyesi | Doğru tepki | |---|---|---| | Telefonda SMS kodu istendi | Çok yüksek (kesin dolandırıcılık) | Hemen kapat, hiçbir kod verme | | Kartın fiziksel olarak kayboldu | Yüksek | Kartı anında bloke et, yenisini iste | | Tanımadığın bir harcama bildirimi | Yüksek | Kartı bloke et, işleme itiraz et |

Üç durumun ortak çözümü aynı: önce kartı durdur, sonra konuş. Tereddüt ettiğin her dakika dolandırıcının lehine işler.

Somut örnek: 6.300 TL'nin geri dönüşü

Kendi yaşadığım olayı sayılarla anlatayım. Bildirimleri gördüğümde saat akşam 23.00'tü. İşlemler dört ayrı yerde, toplam 6.300 TL'ydi.

• 23.02'de uygulamadan kartı blokeye aldım; sonrasında deneme yapılan iki işlem daha bu yüzden reddedildi (yaklaşık 2.000 TL daha engellendi).
• Sabah çağrı merkezini arayıp dört işleme de itiraz ettim.
• Şubeye giderek yazılı itiraz dilekçesi verdim, başvuru numarasını aldım.
• Üç hafta sonra 6.300 TL'nin tamamı hesabıma iade edildi.

Eğer bildirimleri kapalı tutsaydım bu işlemleri günler sonra ekstrede görecektim ve engellenen 2.000 TL de gerçekleşmiş olacaktı. Yani tek bir alışkanlık (anlık bildirim) ve hızlı tepki, potansiyel 8.300 TL'lik kaybı sıfıra indirdi.

Çocuklar, yaşlılar ve ek kart riskleri

Güvenlik sadece kendi kartınla bitmiyor. Ek kart verdiğin aile bireyleri, özellikle yaşlı ebeveynler, sosyal mühendislik saldırılarının en sık hedefi. Telefonla aranıp "kızınız adına işlem yapılıyor, doğrulamak için kodu söyleyin" denen senaryolar maalesef çok yaygın ve yaşlı kullanıcılar bu baskıya daha kolay teslim oluyor.

Ek kart ve aile güvenliği için aldığım önlemler:

• Ek kartlara ayrı, düşük limit tanımla. Ek kartın limiti, asıl kartın tamamı kadar olmak zorunda değil.
• Aileni "banka asla kod istemez" diye eğit. Bu tek cümle, çoğu dolandırıcılık girişimini boşa çıkarır.
• Ek kart işlemlerine de bildirim aç. Ek kartla yapılan harcamayı da anında görebilmelisin.
• Şüpheli telefonu birlikte doğrulama alışkanlığı kur. "Banka aradı" diyen yaşlı bir yakının, hiçbir şey söylemeden önce seni arasın.

Dolandırıcılar en zayıf halkayı hedefler; ailendeki en az teknik kişi, tüm hane için risk noktası olabilir. Onları korumak, kendi kartını korumak kadar önemli.

Şifre ve cihaz hijyeni

Kart güvenliğinin görünmeyen ama belirleyici tarafı, kartı kullandığın cihazların ve şifrelerin güvenliği. Telefonun ele geçirilirse, kart bilgilerin uygulamada kayıtlıysa saldırgan için kapı zaten açıktır.

• Mobil bankacılık ve ödeme uygulamalarına ayrı, güçlü bir parola ve mümkünse biyometrik kilit koy.
• Telefonuna ekran kilidi (PIN/parmak izi/yüz) mutlaka kur; kilitsiz telefon kayıp halinde felakettir.
• Aynı şifreyi birden çok serviste kullanma; bir sızıntı tüm hesaplarını riske atar.
• Uygulamaları ve telefon işletim sistemini güncel tut; güncellemeler güvenlik açıklarını kapatır.
• Bilinmeyen uygulamalara ödeme/SMS izni verme; bazı zararlı uygulamalar SMS kodlarını okuyabilir.

Bu önlemler kart bilgilerinden bağımsız gibi görünse de, modern dolandırıcılığın çoğu cihaz ve hesap güvenliğinin zayıf olduğu noktalardan giriyor.

Uygulama içi güvenlik ayarları

Modern banka uygulamaları, çoğu kullanıcının hiç açmadığı güçlü güvenlik anahtarları sunuyor. Bu ayarları aktif etmek, dolandırıcılığa karşı kurabileceğin en pratik savunma hattı. Kendi kartımda hepsini açtım ve fark gözle görülür.

• İnternet alışverişi aç/kapat: Online alışveriş yapmadığın dönemlerde bu anahtarı kapalı tut, sadece alışveriş anında aç. Kapalıyken kart numaran sızmış olsa bile online işlem geçmez.
• Yurt dışı kullanım: Yurt dışına çıkmadığın sürece kapalı tut. Pek çok dolandırıcılık işlemi yurt dışı POS'lardan geçer.
• Anlık harcama limiti: Günlük/işlem başı limiti ihtiyacına göre düşür; büyük tutarlı yetkisiz işlemleri baştan engeller.
• Temassız ödeme kontrolü: Şifresiz temassız harcama limitini düşür veya özelliği tamamen kapat.
• Bildirim tercihleri: Her işlemde SMS ve uygulama bildirimi gelecek şekilde ayarla; gecikmesiz fark etmenin tek yolu bu.

Bu anahtarların güzelliği, saniyeler içinde açılıp kapanabilmesi. Online alışveriş yapacağın zaman aç, bitince kapat alışkanlığı, kart bilgilerin ele geçse bile dolandırıcının elini kolunu bağlar. Güvenlik, tek seferlik bir kurulum değil; bu anahtarları ihtiyaca göre yönetmek sürekli bir alışkanlık olmalı.

İtiraz ve borç ilişkisi

İtiraz sürecinde tartışmalı tutar genellikle geçici olarak bekletilir; yine de bankanla durumun ne olduğunu net konuş. İtiraz devam ederken faiz işlememesi için süreci yazılı takip et. Bu arada gerçek harcamalarını ödemeyi aksatma; çünkü dolandırıcılıkla ilgisi olmayan kart borcu faiz işlemeye devam eder. İtiraz ettiğin tutarın ekstrede nasıl göründüğünü her dönem kontrol et; tartışmalı tutar bekletiliyor olsa bile bankayla yazışmanı saklamak, sürecin uzaması halinde elini güçlendirir. Asgari ödemeyle borç çevirmenin yarattığı yükü ayrıca asgari ödeme tuzağı yazısında anlatmıştım; güvenlik kadar borç disiplini de kart sağlığının parçası.

En sık dolandırıcılık senaryoları ve tepkileri

Dolandırıcılık girişimleri çeşitli görünse de aslında birkaç kalıba indirgenebilir. Bu kalıpları tanırsan, yeni bir versiyonuyla karşılaştığında da hemen fark edersin.

• Sahte kargo SMS'i: "Paketiniz teslim edilemedi, şu linkten adresinizi güncelleyin." Link sahte ödeme/giriş sayfasına götürür. Tepki: linke tıklama, kargo firmasının resmi uygulamasından kontrol et.
• Banka taklidi arama: "Kartınızda şüpheli işlem var, iptal için kodu okuyun." Tepki: kapat, kartın arkasındaki resmi numarayı kendin ara.
• Ödül/çekiliş tuzağı: "Tebrikler, ödül kazandınız, almak için kart bilgilerinizi girin." Tepki: hiçbir ödül kart bilgisi istemez; görmezden gel.
• İkinci el alışveriş dolandırıcılığı: "Kapora için kartınıza para göndereyim, kodu paylaşın." Tepki: para almak için kod paylaşmak gerekmez; bu kesin dolandırıcılıktır.
• Sahte yatırım/kripto platformu: Yüksek getiri vaadiyle kart bilgisi ve sürekli "doğrulama" ödemesi ister. Tepki: gerçekçi olmayan getiri vaadi her zaman tuzaktır.

Bu senaryoların tamamında ortak bir işaret var: aciliyet ve baskı. Dolandırıcı seni düşünecek zaman bırakmadan harekete geçirmek ister. "Hemen", "son şans", "şimdi yapmazsanız" gibi ifadeler duyduğun anda durup nefes al; gerçek kurumlar seni paniğe sürüklemez.

Kartını fiziksel olarak korumak

Dijital tehditler öne çıksa da fiziksel güvenlik hâlâ önemli. Skimming (kart kopyalama) ve kapkaç gibi yöntemler varlığını sürdürüyor.

• ATM'de kart yuvasına anormal bir aparat varsa veya tuş takımı oynuyorsa o makineyi kullanma.
• Şifreni girerken tuş takımını elinle kapat; üstte gizli kamera olabilir.
• Kartını gözünün önünden ayırma; restoran/mağazada POS işlemini mümkünse yanında yaptır.
• Eski kartlarını çöpe atarken çipi ve manyetik şeridi kesip imha et.
• Kartın kaybolursa veya çalınırsa saniyeler içinde blokeye al; gecikme her dakika risk demektir.

Fiziksel ve dijital güvenliği birlikte düşünmek gerekiyor; saldırgan hangi kapı açıksa oradan girer. İki tarafı da kapatmak, riskin büyük kısmını ortadan kaldırır.

Sık yapılan hatalar

• SMS kodunu "bankaya" söylemek. Banka bu kodu asla istemez; söyleyen herkes dolandırıcıdır. En sık ve en pahalı hata budur.
• Bildirimleri kapalı tutmak. Anlık bildirim olmadan dolandırıcılığı günler sonra fark edersin; o zaman zarar büyür.
• Aynı şifreyi her yerde kullanmak. Bir sitenin verisi sızdığında diğer hesapların da risk altına girer.
• Şüpheli linke tıklamak. Kargo/banka adına gelen kısa linkler genelde sahte ödeme sayfasına götürür.
• Kartı bloke etmeyi ertelemek. "Önce bir araştırayım" demek, dolandırıcıya ek işlem yapması için zaman vermektir.
• İtiraz etmemek. Yetkisiz işlemlerde itiraz hakkın var; sessiz kalmak parayı kaybetmek demektir.

Sık sorulan sorular

Kartımdan haberim olmadan harcama yapıldı, parayı geri alabilir miyim?

Evet, yetkisiz işlemlerde iade hakkın var. Sen ihmalkâr davranmadıysan (yani şifreni/SMS kodunu paylaşmadıysan) banka tutarı iade etmekle yükümlüdür. Önce kartı bloke et, sonra işleme yazılı itiraz et ve başvuru numaranı sakla. Yüksek tutarlarda suç duyurusu, dosyanı güçlendirir.

Banka beni arayıp şüpheli işlem olduğunu söyledi, ne yapmalıyım?

Telefonu kapat ve kartın arkasındaki resmi numarayı kendin arayarak doğrula. Gerçek banka senden SMS kodu, CVV veya şifre istemez; bunları soran "banka görevlisi" dolandırıcıdır. Acele ettirme ve baskı, dolandırıcılığın en belirgin işaretidir; gerçek banka seni panikletmeye çalışmaz.

İnternet alışverişinde nasıl daha güvenli olurum?

Mümkünse sanal/tek kullanımlık kart kullan; böylece gerçek kart numaran sitelere gitmez. İnternet alışveriş limitini düşük tut, sadece ihtiyaç anında yükselt. Adres çubuğunda güvenli bağlantı işaretini kontrol et ve halka açık Wi-Fi üzerinden ödeme yapma. 3D Secure (SMS onaylı) ödemeyi her zaman tercih et.

Temassız ödeme güvenli mi?

Temassız ödemenin şifresiz yapılabilen bir üst limiti vardır; bu limitin üstündeki işlemler şifre/onay ister. Kart çalınırsa şifresiz harcama riski olduğundan, kartını kaybedince anında bloke etmek kritik. İstersen temassız limitini uygulamadan düşürebilir veya özelliği tamamen kapatabilirsin; düzenli kullanmıyorsan kapatmak ek güvenlik sağlar.