{"id":13263,"date":"2025-04-16T09:25:27","date_gmt":"2025-04-16T06:25:27","guid":{"rendered":"https:\/\/www.kaspersky.com.tr\/blog\/?p=13263"},"modified":"2025-04-16T09:25:27","modified_gmt":"2025-04-16T06:25:27","slug":"apple-google-nfc-carding-theft-2025","status":"publish","type":"post","link":"https:\/\/www.kaspersky.com.tr\/blog\/apple-google-nfc-carding-theft-2025\/13263\/","title":{"rendered":"NFC doland\u0131r\u0131c\u0131lar\u0131 Apple Pay ve Google Wallet’\u0131n arkas\u0131na saklan\u0131yor"},"content":{"rendered":"

\u00d6deme kart\u0131 g\u00fcvenli\u011fi s\u00fcrekli geli\u015fiyor, ancak sald\u0131rganlar para \u00e7almak i\u00e7in yeni yollar bulmaya devam ediyor. Ge\u00e7mi\u015fte, kurban\u0131 sahte bir \u00e7evrimi\u00e7i ma\u011fazada veya ba\u015fka bir doland\u0131r\u0131c\u0131l\u0131k yoluyla kart kimlik bilgilerini vermesi i\u00e7in kand\u0131ran siber su\u00e7lular, \u00e7al\u0131nan verileri manyetik bir \u015feride yazarak fiziksel bir kopya kart yaparlard\u0131. Bu kartlar daha sonra ma\u011fazalarda ve hatta ATM\u2019lerde sorunsuz bir \u015fekilde kullan\u0131labilirdi. \u00c7ipli kartlar\u0131n ve tek kullan\u0131ml\u0131k \u015fifrelerin (OTP\u2019ler) ortaya \u00e7\u0131kmas\u0131 doland\u0131r\u0131c\u0131lar i\u00e7in hayat\u0131 \u00e7ok daha zorla\u015ft\u0131rd\u0131, ancak bu duruma da uyum sa\u011flad\u0131lar<\/a>. Ak\u0131ll\u0131 telefonlar kullan\u0131larak yap\u0131lan mobil \u00f6demelere ge\u00e7i\u015f, baz\u0131 doland\u0131r\u0131c\u0131l\u0131k t\u00fcrlerine kar\u015f\u0131 dayan\u0131kl\u0131l\u0131\u011f\u0131 art\u0131rd\u0131, ancak ayn\u0131 zamanda yeni yollar da a\u00e7t\u0131. \u015eimdi, bir kart numaras\u0131n\u0131 ele ge\u00e7irdikten sonra, bunu kendi Apple Pay veya Google Wallet hesaplar\u0131na ba\u011flamaya \u00e7al\u0131\u015f\u0131yorlar. Bunu yapt\u0131ktan sonra, bir ak\u0131ll\u0131 telefondan bu hesab\u0131 kullanarak, normal bir ma\u011fazada ya da NFC \u00f6zellikli bir \u00f6deme terminali olan sahte bir sat\u0131\u015f noktas\u0131nda, kurban\u0131n kart\u0131 ile \u00f6deme yap\u0131yorlar.<\/p>\n

Kart bilgileri nas\u0131l ele ge\u00e7iriliyor?<\/h2>\n

Bu t\u00fcr siber sald\u0131r\u0131lar end\u00fcstriyel \u00f6l\u00e7ekte haz\u0131rl\u0131k gerektirir. Sald\u0131rganlar, \u00f6deme verileri i\u00e7in kimlik av\u0131 yapmak \u00fczere tasarlanm\u0131\u015f sahte web sitelerinden olu\u015fan a\u011flar kurarlar. Bunlar teslimat hizmetlerini, b\u00fcy\u00fck \u00e7evrimi\u00e7i ma\u011fazalar\u0131<\/a> ve hatta elektrik faturalar\u0131n\u0131 veya trafik cezalar\u0131n\u0131 \u00f6demeye y\u00f6nelik portallar\u0131 taklit edebilir. Siber su\u00e7lular ayr\u0131ca d\u00fczinelerce ak\u0131ll\u0131 telefon sat\u0131n al\u0131r, bunlarda Apple veya Google hesaplar\u0131 olu\u015fturur ve temass\u0131z \u00f6deme uygulamalar\u0131 y\u00fcklerler.<\/p>\n

\u0130\u015fin ilgin\u00e7 k\u0131sm\u0131; bir kurban sahte bir siteye girdi\u011finde, kartlar\u0131n\u0131 ba\u011flamalar\u0131 veya zorunlu k\u00fc\u00e7\u00fck bir \u00f6deme yapmalar\u0131 istenir. Bu, kart bilgilerini girmeyi ve bir OTP girerek kart\u0131n sahipli\u011fini onaylamay\u0131 gerektirir. Asl\u0131nda, bu noktada karttan \u00fccret al\u0131nmaz.<\/strong><\/p>\n

Peki ger\u00e7ekte ne olur? Kurban\u0131n verileri, kart\u0131 ak\u0131ll\u0131 telefonlar\u0131ndaki bir mobil c\u00fczdana ba\u011flamaya \u00e7al\u0131\u015fan<\/strong> siber su\u00e7lulara neredeyse an\u0131nda aktar\u0131l\u0131r. Bu i\u015flemi yetkilendirmek i\u00e7in OTP kodu gerekir. S\u00fcreci h\u0131zland\u0131rmak ve basitle\u015ftirmek i\u00e7in sald\u0131rganlar, kurban taraf\u0131ndan sa\u011flanan verileri alan ve kart\u0131n m\u00fckemmel bir \u015fekilde kopyas\u0131n\u0131 olu\u015fturan bir g\u00f6r\u00fcnt\u00fc olu\u015fturan \u00f6zel bir yaz\u0131l\u0131m kullan\u0131r. Bundan sonra, Apple Pay veya Google Wallet\u2019tan bu g\u00f6r\u00fcnt\u00fcn\u00fcn foto\u011fraf\u0131n\u0131 \u00e7ekmeniz yeterlidir. Bir kart\u0131 mobil c\u00fczdana ba\u011flama i\u015flemi \u00fclkeye ve bankaya g\u00f6re de\u011fi\u015fir, ancak genellikle numara, son kullanma tarihi, kart sahibi ad\u0131, CVV\/CVC ve OTP d\u0131\u015f\u0131nda herhangi bir veri gerekmez. T\u00fcm bunlar tek bir oturumda ele ge\u00e7irilebilir ve hemen kullan\u0131ma sokulabilir.<\/p>\n

Sald\u0131r\u0131lar\u0131 daha da etkili hale getirmek i\u00e7in siber su\u00e7lular ba\u015fka hilelere de ba\u015fvuruyor. \u0130lk olarak, kurban G\u00f6nder d\u00fc\u011fmesine dokunmadan \u00f6nce durumun fark\u0131na var\u0131rsa, formlara \u00f6nceden girilmi\u015f olan t\u00fcm veriler (sadece birka\u00e7 karakter veya eksik bir giri\u015f olsa bile) su\u00e7lulara aktar\u0131lmaya devam eder. \u0130kinci olarak, sahte site \u00f6demenin ba\u015far\u0131s\u0131z oldu\u011funu bildirebilir ve kurbandan farkl\u0131 bir kart denemesini isteyebilir. Bu \u015fekilde, su\u00e7lular tek seferde iki veya \u00fc\u00e7 kart i\u00e7in bilgi toplayabilirler.<\/p>\n

Kartlardan hemen para \u00e7ekilmez ve bir\u00e7ok ki\u015fi banka ekstresinde \u015f\u00fcpheli bir durum g\u00f6rmedi\u011finden olay\u0131 tamamen unutur.<\/p>\n

Kartlardan nas\u0131l para \u00e7al\u0131n\u0131yor?<\/h2>\n

Siber su\u00e7lular bir ak\u0131ll\u0131 telefona d\u00fczinelerce kart ba\u011flayabilir ve bu kartlardan hemen para harcamaya \u00e7al\u0131\u015fmayabilirler. Kart numaralar\u0131yla dolu bu ak\u0131ll\u0131 telefon<\/a> daha sonra karanl\u0131k a\u011fda sat\u0131\u015fa \u00e7\u0131kar\u0131l\u0131r. \u00c7o\u011fu zaman, kimlik av\u0131 ile harcama aras\u0131nda haftalar hatta aylar ge\u00e7er. Ancak o tats\u0131z g\u00fcn gelip \u00e7att\u0131\u011f\u0131nda, su\u00e7lular fiziksel bir ma\u011fazadaki l\u00fcks \u00fcr\u00fcnleri, sahte kart numaralar\u0131yla dolu bir telefondan temass\u0131z \u00f6deme yaparak sat\u0131n almaya karar verebilirler. Ba\u015fka bir senaryoda, yasal bir e-ticaret platformunda kendi sahte ma\u011fazalar\u0131n\u0131 kurabilir ve var olmayan \u00fcr\u00fcnler i\u00e7in para talep edebilirler. Hatta baz\u0131 \u00fclkeler NFC \u00f6zellikli bir ak\u0131ll\u0131 telefon kullanarak ATM\u2019den para \u00e7ekmeye bile izin veriyor. Yukar\u0131daki t\u00fcm durumlarda, i\u015flemin PIN veya OTP yoluyla onaylanmas\u0131 gerekmez, bu nedenle ma\u011fdur ki\u015fi kart\u0131 bloke edene kadar para hortumlanabilir.<\/p>\n

Sald\u0131rganlar, mobil c\u00fczdanlar\u0131n gizli al\u0131c\u0131lara aktar\u0131lmas\u0131n\u0131 h\u0131zland\u0131rmak ve ma\u011fazalarda \u00f6deme yapanlar i\u00e7in riski azaltmak amac\u0131yla Ghost Tap<\/a> olarak adland\u0131r\u0131lan bir NFC aktar\u0131m tekni\u011fi kullanmaya ba\u015flad\u0131lar. \u0130lk i\u015f olarak, NFCGate gibi yasal bir uygulamay\u0131; biri mobil c\u00fczdan ve \u00e7al\u0131nan kartlar, di\u011feri ise do\u011frudan \u00f6demeler i\u00e7in kullan\u0131lacak iki ak\u0131ll\u0131 telefona y\u00fcklerler. Bu uygulama, internet \u00fczerinden ger\u00e7ek zamanl\u0131 olarak c\u00fczdan\u0131n NFC verilerini ilk telefondan ikincisinin NFC antenine iletir ve siber su\u00e7lular\u0131n su\u00e7 orta\u011f\u0131 (\u201ckat\u0131r\u201d olarak bilinir) \u00f6deme terminaline dokunur.<\/p>\n

\u00c7evrimd\u0131\u015f\u0131 ma\u011fazalardaki \u00e7o\u011fu terminal ve bir\u00e7ok ATM, aktar\u0131lan sinyali orijinal sinyalden ay\u0131rt edemez, bu da kat\u0131r\u0131n mallar (veya \u00e7al\u0131nan fonlar\u0131 aklamay\u0131 kolayla\u015ft\u0131ran hediye kartlar\u0131) i\u00e7in kolayca \u00f6deme yapmas\u0131na olanak tan\u0131r. Ve e\u011fer kat\u0131r ma\u011fazada g\u00f6zalt\u0131na al\u0131n\u0131rsa, ak\u0131ll\u0131 telefonda su\u00e7lay\u0131c\u0131 hi\u00e7bir \u015fey bulunmaz, sadece yasal NFCGate uygulamas\u0131 bulunur. \u00c7al\u0131nan kart numaralar\u0131 ortada yoktur, \u00e7\u00fcnk\u00fc bunlar operasyonun arkas\u0131ndaki beynin ak\u0131ll\u0131 telefonunda sakl\u0131 tutulmaktad\u0131r ve bu ki\u015fi herhangi bir yerde, hatta ba\u015fka bir \u00fclkede bile olabilir. Bu y\u00f6ntem, doland\u0131r\u0131c\u0131lar\u0131n b\u00fcy\u00fck mebla\u011flar\u0131 h\u0131zl\u0131 ve g\u00fcvenli bir \u015fekilde nakde \u00e7evirmesine olanak tan\u0131r \u00e7\u00fcnk\u00fc ayn\u0131 \u00e7al\u0131nt\u0131 kartla neredeyse ayn\u0131 anda \u00f6deme yapan birden fazla kat\u0131r olabilir.<\/p>\n

Kart\u0131n\u0131z\u0131 telefonunuza dokundurarak nas\u0131l para kaybedersiniz?<\/h2>\n

2024 y\u0131l\u0131n\u0131n sonlar\u0131nda doland\u0131r\u0131c\u0131lar ba\u015fka bir NFC aktar\u0131m \u015femas\u0131 geli\u015ftirerek bunu Rusya\u2019daki kullan\u0131c\u0131lar \u00fczerinde ba\u015far\u0131yla test ettiler ve bu operasyonun d\u00fcnya \u00e7ap\u0131nda yayg\u0131nla\u015fmas\u0131n\u0131 engelleyecek hi\u00e7bir \u015fey yok. Bu y\u00f6ntemde, kurbanlardan kart bilgileri bile istenmiyor. Bunun yerine, sald\u0131rganlar sosyal m\u00fchendislik yoluyla ak\u0131ll\u0131 telefonlar\u0131na devlet, bankac\u0131l\u0131k veya ba\u015fka bir hizmet kisvesi alt\u0131nda s\u00f6zde kullan\u0131\u015fl\u0131 bir uygulama y\u00fcklemelerini sa\u011fl\u0131yor. Rusya\u2019da bu t\u00fcr bir\u00e7ok bankac\u0131l\u0131k ve devlet uygulamas\u0131 yapt\u0131r\u0131mlar nedeniyle resmi ma\u011fazalardan kald\u0131r\u0131ld\u0131\u011f\u0131 i\u00e7in, \u015f\u00fcphelenmeyen kullan\u0131c\u0131lar bunlar\u0131 y\u00fcklemeyi kolayca kabul ediyor. Daha sonra ma\u011fdurdan kart\u0131n\u0131 ak\u0131ll\u0131 telefonuna tutmas\u0131 ve \u201cyetkilendirme\u201d veya \u201cdo\u011frulama\u201d amac\u0131yla PIN kodunu girmesi isteniyor.<\/p>\n

Tahmin edebilece\u011finiz gibi, y\u00fcklenen uygulaman\u0131n a\u00e7\u0131klamas\u0131yla hi\u00e7bir ortak yan\u0131 yok. Bu t\u00fcr sald\u0131r\u0131lar\u0131n ilk dalgas\u0131nda, kurbanlar\u0131n ald\u0131\u011f\u0131 \u015fey, \u201ckullan\u0131\u015fl\u0131 bir uygulama\u201d olarak yeniden paketlenmi\u015f NFC aktar\u0131c\u0131s\u0131. Ak\u0131ll\u0131 telefona tutuldu\u011funda kart\u0131 okuyor ve verilerini PIN ile birlikte NFC \u00f6zellikli ATM\u2019lerden al\u0131\u015fveri\u015f yapmak veya nakit \u00e7ekmek i\u00e7in kullanan sald\u0131rganlara iletiyor. B\u00fcy\u00fck Rus bankalar\u0131n\u0131n doland\u0131r\u0131c\u0131l\u0131kla m\u00fccadele sistemleri, kurban\u0131n ve \u00f6deyenin co\u011frafi konumlar\u0131ndaki uyumsuzluklar nedeniyle bu t\u00fcr \u00f6demeleri tespit etmeyi \u00e7abucak \u00f6\u011frendi, bu nedenle 2025\u2019te plan de\u011fi\u015fti ama \u00f6z\u00fc ayn\u0131 kald\u0131.<\/p>\n

\u015eimdi, kurban kopya kart olu\u015fturmak i\u00e7in bir uygulama al\u0131yor ve aktar\u0131c\u0131 sald\u0131rganlar\u0131n taraf\u0131na y\u00fckleniyor. Ard\u0131ndan, h\u0131rs\u0131zl\u0131k riski gibi sahte bir bahaneyle ma\u011fdur, \u00f6demeyi onaylamak i\u00e7in ak\u0131ll\u0131 telefonunu kullanarak bir ATM arac\u0131l\u0131\u011f\u0131yla \u201cg\u00fcvenli bir hesaba\u201d para yat\u0131rmaya ikna ediliyor. Kurban telefonunu ATM\u2019ye tuttu\u011funda, doland\u0131r\u0131c\u0131 kendi kart bilgilerini ATM\u2019ye iletiyor ve para onlar\u0131n hesab\u0131na ge\u00e7iyor. Bu t\u00fcr i\u015flemlerin otomatik doland\u0131r\u0131c\u0131l\u0131k \u00f6nleme sistemleri taraf\u0131ndan takip edilmesi zor \u00e7\u00fcnk\u00fc i\u015flem tamamen yasal g\u00f6r\u00fcn\u00fcyor; birisi ATM\u2019ye gitmi\u015f ve karta nakit para yat\u0131rm\u0131\u015f. Doland\u0131r\u0131c\u0131l\u0131\u011f\u0131 \u00f6nleme sistemi kart\u0131n ba\u015fka birine ait oldu\u011funu bilmiyor.<\/p>\n

Kartlar\u0131n\u0131z\u0131 doland\u0131r\u0131c\u0131lara kar\u015f\u0131 nas\u0131l korursunuz?<\/h2>\n

\u00d6ncelikle Google ve Apple, \u00f6deme sistemleri ile birlikte \u00f6deme altyap\u0131s\u0131nda ek koruyucu \u00f6nlemler almal\u0131d\u0131r. Ancak kullan\u0131c\u0131lar da kendilerini korumak i\u00e7in ad\u0131mlar atabilirler:<\/p>\n