Finansal kuruluşların en önemli görevlerinden biri, müşterilerinin varlıklarını korumaktır. Teknoloji geliştikçe dolandırıcılıkla etkin mücadele yolları gelişirken dolandırıcılar da yeni yöntemleri keşfetmekte hatta bazı durumlarda finans sektörünün bir adım önünde gitmektedir. Günümüzde yaşadığımız en büyük sorunlardan birinin sosyal mühendislik olduğunu birçoğumuz biliyor. Mağdurları çeşitli yöntemlerle ikna eden dolandırıcılar, müşterilerinin şifrelerini, işlem doğrulama kodlarını vb. öğrenerek veya işleme onay vermesini sağlayarak kişilerin hesaplarındaki varlıkları ele geçirmeyi amaçlamaktadır.
Dolandırıcılık ile etkin mücadeleyi hedefleyen ülkelerden biri olan İngiltere’de bu anlamda yoğun bir gündem var. PSR (Payment Systems Regulator) tarafından yapılan araştırmaya göre 2022 yılında bankaların dolandırıcılık olaylarında mağdurlara geri ödeme yapma oranında finansal kayıpların %91’ini ödeyen TSB ilk sırada yer almıştı. İyi müşteri deneyimi ile iddialı olan yeni nesil bankalardan Monzo ise %22’lik geri ödeme oranıyla listenin son sırasında kalmıştı. Starling ise %37 ile alt sıralarda kendine yer bulmuştu.
Veri: 2023’ün ilk yarısında APP fraud vakalarında İngiliz bankalarının mağdurlara yaptıkları geri ödeme tutarı 152 milyon pound oldu.
Bu oranlar, Monzo ve Starling için olumsuz görünse de farklı bir veri, bu iki oyuncunun dolandırıcılıkla mücadelede başarılı olduğunu ortaya koyuyor. APP (Authorised Push Payment) olarak adlandırılan ve müşterilerin bilgilerini ele geçirerek veya yanıltıcı bilgiler verip işlemleri onaylamaya ikna ederek yapılan dolandırıcılık vakalarının tüm işlemlere oranında, Monzo ve Starling düşük oranlarda kalmayı başarmış.
- Starling’in her 1 milyon pound tutarındaki işlemde kaybı sadece 112 pound olmuş.
- Monzo ise bu tutarın yaklaşık iki katı seviyede bir zararda kalarak başarılı bankalar arasında bulunuyor.
İngiltere’de APP fraud vakalarında doğan zarara sosyal medya ve telekom şirketlerinin de ortak olmasına yönelik sektörün talebi de bulunuyor. Bu talebin gerekçesi ise vakaların, %94’ünün başlangıç noktasının sosyal medya platformları, telefon görüşmeleri ve SMS’ler olması… Finans sektörü; telekom ve teknoloji şirketlerinin konuyu sahiplenmediğini ve yeterli düzeyde önlem almadığını düşünüyor.
Gelelim bu yazıya ismini veren Monzo’nun güvenlik çözümlerine… Monzo’nun tüm işlemler içerisinde dolandırıcılık oranının düşük olduğundan bahsettim. Bununla yetinmeyen Monzo, geçtiğimiz haftalarda dolandırıcılık ile mücadelede etkinliği arttırmak amacıyla yaptığı geliştirmeler hakkında bir blog yazısı paylaştı. Buna göre Monzo müşterileri, belirledikleri günlük işlem limitini aşan işlemler yapmak istediğinde, aşağıda detaylandırdığım 3 ek güvenlik adımından kendi belirlediği 2’sinin tamamlanması/gerçekleşmesi beklenecek. Aksi durumda işlemler gerçekleşmeyecek. Bu ek kontrolleri getirmekte Monzo’nun ana motivasyonu ise telefon hırsızlığındaki artış olmuş, Londra’da her 6 dakikada 1 telefonun çalındığına dair bir veri de paylaşılmış. Gelin şimdi bu ek güvenlik adımlarını inceleyelim:
Güvenli Konum (Known Locations):
Bankalar bugün kendi güvenlik kuralları doğrultusunda normal kullanım alışkanlıklarının dışında bir işlem gerçekleştirildiğinde anomaliyi tespit edip dolandırıcılık şüphesiyle işlemleri durdurabiliyor. İşlemin gerçekleştiği lokasyon bilgisi de bu kapsamda dikkate alınan parametrelerden biridir. Örneğin son işlemini bugün İstanbul’da bir işyerinde yapan kişinin 5 dakika sonra yurt dışından mobil bankacılık üzerinden para transferi yapması, kuvvetle muhtemel ki şüpheli işlem olarak değerlendirilecektir.
Monzo ise lokasyon konusunda kararı müşteriye bırakmış. Kişiler, yüksek tutarlı işlem yapabilecekleri lokasyonları uygulama üzerinden işaretliyor (evinizi, işyerinizi işaretlediğinizi düşünün) ve bu konumlar dışında bir noktadan mobil bankacılık üzerinden yüksek tutarlı işlem yapılmak istendiğinde ilgili ek güvenlik adımı yerine getirilmemiş kabul ediliyor.
Güvenilir Kişiler (Trusted Contacts):
Monzo’nun uyguladığı ikinci güvenlik adımı ise güvenilir kişiler olarak eklediğiniz kişilerden birinden onay almanızı gerektiriyor. Bu kez sizi tanıyan bir aile üyesi veya yakın arkadaşınızı düşünün, bu kişiler size ait olmadığını düşündüğü bir işlemi reddedebilecek. Monzo müşterisi olan güvenilir kişiler, işlemleri kendi mobil bankacılık uygulamaları üzerinden değerlendirebilecek. Değerlendirme sonuçlanana kadar ise para karşı tarafa iletilmeyecek.
Gizli QR Kodlar:
Bu yöntemde işlemin gerçekleşmesi için daha önce üretilen bir QR kodun, işlem esnasında mobil bankacılık uygulaması üzerinden okutulması gerekiyor. Bu yöntemde Monzo’nun kripto dünyasındaki private key’lerin (özel anahtar) kağıtta saklanmasına yönelik kullanıcı davranışından esinlendiğini düşünüyorum. İşlem güvenliğinin artması için QR kodun fiziki olarak veya farklı bir cihazda dijital olarak saklanması beklenir.
Az önce de belirttiğim gibi Monzo’nun benimsediği yaklaşımda, müşterinin belirlediği günlük işlem limitinin üzerindeki işlemlerde bu 3 ek güvenlik adımından yine müşteri tarafından belirlenecek 2’sinin gerçekleşmesi bekleniyor.
Bu yöntemlerin, dijital okuryazarlığı ve dolandırıcılığa karşı farkındalığı yüksek olan kişiler için koruyucu bir ek katman olacağı aşikar. Banka bu yaklaşımın genel kitle tarafından benimsenmesini sağlarsa dolandırıcılık vakalarını minimze etmesi sürpriz olmayacaktır. İyi uygulamaların diğer kurumlar tarafından hızla benimsendiği finans sektöründe Monzo’nun geliştirdiği yaklaşımın ne kadar karşılık bulacağını önümüzdeki dönemde birlikte göreceğiz.