Sanal Kart Algoritmaları Nasıl Çalışır? Luhn Testi, BIN Kodları ve Siber Korsanların Tahmin Yöntemlerine Karşı “Aşılamaz” Savunma (2026)

yazar

Kocaeli’nde bir bilgisayar mühendisi olan Deniz, kredi kartı güvenliğini hep “şans işi” sanıyordu. Sanal kart kullanmaya başlayınca merak etti: “Bu kart neden gerçekten daha güvenli? Sadece farklı bir numara olması yeterli mi?” Araştırdıkça anladı ki sanal kartın gücü tek bir özellikten değil, üst üste binen üç savunma katmanından geliyordu. Deniz, sanal kartı bir “kale” gibi düşünmeye başladı — her katman ayrı bir sur.

İçindekiler:

  1. Kart Numarası: Matematiksel Bir Kale
  2. Luhn Algoritması: İlk Savunma Hattı
  3. BIN Kodları ve Sanal Kart Farkı
  4. Brute Force Saldırısı Nedir?
  5. Savunma 1: Limit Sınırlaması
  6. Savunma 2: Anlık İptal Edilebilirlik
  7. Savunma 3: Platform İzolasyonu
  8. Sık Sorulan Sorular

Sanal kartların güvenliği matematiksel ve mimari bir temele dayanır. Bu rehberde bu temelin nasıl çalıştığını anlatıyoruz.

Kart Numarası: Matematiksel Bir Kale

İnternetten alışverişte kullandığınız 16 haneli kart numarası rastgele değildir. Her hanenin bir anlamı, her numaranın bir matematiksel kuralı vardır.

Bu yapı bir kaleye benzer. Dışarıdan bakan biri sadece duvarları görür — ama içeride katmanlı bir savunma sistemi vardır. Kart numarasının yapısı şu unsurlardan oluşur: BIN (ilk 6 hane, banka kimliği), hesap numarası (orta haneler) ve Luhn kontrol hanesi (son hane).

Sanal kart, bu kale yapısını korur ama üzerine ek savunma katmanları ekler. İşte sanal kartı fiziksel karttan daha güvenli kılan şey budur — temel mimari aynı, ama ek surlar var.

Luhn Algoritması: İlk Savunma Hattı

Luhn algoritması (Modulus 10), kart numaralarının geçerliliğini doğrulayan matematiksel bir kontrol yöntemidir. 1954’te Hans Peter Luhn tarafından geliştirilmiştir.

Ne işe yarar: Kart numarasının son hanesi, diğer 15 hanenin Luhn algoritmasıyla hesaplanmış sonucudur. Herhangi bir hane yanlış girilirse, Luhn kontrolü başarısız olur ve numara geçersiz sayılır.

İlk savunma hattı olarak rolü: Luhn algoritması bir “ön eleme” yapar. Geçersiz formatlı numaralar daha ödeme sistemine ulaşmadan elenir. Bu, kabaca yapılan rastgele tahminleri en baştan engeller.

Sınırı: Luhn tek başına bir güvenlik duvarı değildir — sadece bir format kontrolüdür. BIN numarasını ve Luhn kuralını bilen biri, Luhn’a uygun numara formatları üretebilir. Bu yüzden Luhn ilk savunma hattıdır, ama tek savunma değildir. Asıl koruma sonraki katmanlardadır.

BIN Kodları ve Sanal Kart Farkı

BIN (Bank Identification Number), kart numarasının ilk 6 hanesidir ve bankayı, kart şemasını ve kart tipini belirtir. Bu bilgi kamuya açıktır.

Sanal kartın BIN’i: Sanal kart numarası, ana kartınızla aynı BIN numarasını kullanabilir — çünkü aynı bankadan gelir. Ama hesap numarası bölümü farklıdır. Yani sanal kart numarası ana karttan tamamen farklı bir numaradır.

Kritik fark: Bir saldırgan sanal kart numaranızı ele geçirse bile, bu ana kart numaranız değildir. Ana kartınız hiç ortaya çıkmamıştır. Sanal kart, ana kartınızla aranıza bir “vekil katman” koyar.

Neden önemli: Fiziksel kartla online alışverişte gerçek kart numaranız satıcının sistemine girer. O sistem ihlal edilirse gerçek kartınız tehlikededir. Sanal kartta ise satıcının sistemine giren numara, silinebilir ve sınırlı bir vekil numaradır.

Brute Force Saldırısı Nedir?

Brute force (kaba kuvvet) saldırısı, dolandırıcıların geçerli bir kart numarası bulana kadar sistematik olarak numara denemesidir.

Nasıl çalışır: Saldırgan, bilinen bir BIN numarasından yola çıkar. Luhn algoritmasına uygun potansiyel kart numaraları üretir. Bu numaraları küçük tutarlı işlemlerle test eder. Çalışan numarayı bulduğunda büyük harcamalara geçer.

Otomasyon riski: Özel yazılımlar saniyede binlerce numara denemesi yapabilir. Bu, brute force’u teorik olarak güçlü bir tehdit haline getirir.

Neden pratikte zor: Ödeme sistemleri hız limitleri (rate limiting) uygular — kısa sürede çok fazla deneme yapılırsa sistem bloke eder. Ayrıca CVV ve 3D Secure ek engeller oluşturur. Yine de brute force, 3DS ve CVV doğrulaması yapmayan platformları hedef alabilir.

İşte sanal kartın üç katmanlı savunması tam burada devreye girer — brute force bir sanal kart numarasını bulsa bile zarar veremez.

Savunma 1: Limit Sınırlaması

Sanal kartın birinci savunma katmanı, limit kontrolüdür.

Mantık: Bir sanal kartın maruz kalabileceği maksimum zarar, o kartın limitiyle sınırlıdır. 200 TL limitli bir sanal kart, brute force ile bulunsa bile en fazla 200 TL risk taşır.

Sıfır limit gücü: Sanal kartı kullanmadığınız zamanlarda limitini 0 TL’de tutarsanız, brute force saldırısı o kartı “bulsa” bile hiçbir işlem yapamaz. Numara geçerlidir ama limit yetersizdir — işlem reddedilir.

Fiziksel kartla fark: Fiziksel kartın limiti genellikle yüksektir ve sürekli aktiftir. Brute force fiziksel kart numaranızı bulursa, kartın tüm limiti risk altındadır. Sanal kartta ise limiti siz kontrol edersiniz.

Bu katman, brute force’un “ödülünü” sıfıra veya çok küçük bir tutara indirir. Saldırgan kartı bulsa bile eline anlamlı bir şey geçmez.

Savunma 2: Anlık İptal Edilebilirlik

İkinci savunma katmanı, sanal kartın saniyeler içinde iptal edilebilmesidir.

Mantık: Sanal kartta şüpheli bir işlem fark ettiğinizde, kartı bankanızın mobil uygulamasından anında silebilirsiniz. Silinen sanal kartın numarası ve CVV’si o anda geçersiz hale gelir.

Brute force karşısında etkisi: Brute force saldırısı genellikle küçük “test” işlemleriyle başlar. Anlık bildirimleriniz açıksa, bu test işlemini fark eder ve sanal kartı anında silersiniz. Saldırgan, “çalışan” bir numara bulduğunu sanırken numara aniden geçersiz olur.

Fiziksel kartla fark: Fiziksel kart iptal edildiğinde yeni kart günlerce beklemeyi gerektirir. Sanal kart ise anında silinir, yeni bir tane anında oluşturulur. Bu hız, savunmayı pratik kılar.

Bu katman, saldırının “zaman penceresini” daraltır. Bir sanal kart numarası ele geçirilse bile, kalıcı olarak kullanılabilir kalma süresi sizin tepkinizle sınırlıdır.

Savunma 3: Platform İzolasyonu

Üçüncü ve belki en güçlü savunma katmanı, platform izolasyonudur.

Mantık: Her platform veya alışveriş için ayrı bir sanal kart kullanırsınız. Bir kart sadece bir platforma tanımlıdır.

İhlal durumunda etkisi: Bir e-ticaret sitesinin verisi sızdığında, yalnızca o siteye tanımlı sanal kart etkilenir. Diğer platformlardaki sanal kartlarınız ve ana kartınız tamamen güvende kalır. Zarar, tek bir karta hapsedilir.

Brute force karşısında etkisi: Brute force bir sanal kart numarasını bulsa bile, o numara yalnızca bir platforma aittir ve diğer kartlarınızı etkilemez. İhlal “yayılamaz”.

Fiziksel kartla fark: Fiziksel kart, kullandığınız her platforma aynı numarayla tanımlanır. Bir platform ihlal edilirse, o tek numara tüm platformlarda risk altına girer. Sanal kartta her platform izole bir bölmedir.

Üç katman bir arada: Limit zararı sınırlar, anlık iptal zaman penceresini daraltır, platform izolasyonu ihlalin yayılmasını engeller. Deniz’in “kale” benzetmesi tam da bunu anlatıyor — her katman ayrı bir sur, biri aşılsa diğeri devrede.

Sık Sorulan Sorular

Sanal kart numaram brute force ile bulunabilir mi?

Teorik olarak her kart numarası gibi sanal kart numarası da denenebilir. Ama pratik etkisi çok sınırlıdır: Limit düşük veya sıfırsa zarar oluşmaz, kart anında silinebilir ve platform izolasyonu sayesinde ihlal yayılmaz. Üç katmanlı savunma brute force’u etkisiz kılar.

Luhn algoritması sanal kartı korur mu?

Luhn bir format kontrolüdür, tam bir güvenlik katmanı değildir. Geçersiz formatlı numaraları eler ama asıl koruma limit, iptal edilebilirlik ve platform izolasyonu katmanlarından gelir. Luhn ilk savunma hattıdır, son savunma değil.

Sanal kartın BIN numarası ana kartla aynıysa risk var mı?

Hayır. BIN aynı olsa bile hesap numarası bölümü farklıdır — sanal kart numarası ana karttan tamamen farklı bir numaradır. BIN zaten kamuya açık bir bilgidir; gizli olması beklenen kısım hesap numarasıdır ve o farklıdır.

En etkili savunma katmanı hangisi?

Üçü birlikte çalışır ve birbirini tamamlar. Ama “sıfır limit” kuralı tek başına bile çok güçlüdür — limiti sıfır olan bir kart, numarası bulunsa bile hiçbir işlem yapamaz. Buna platform izolasyonu eklenince koruma neredeyse tam hale gelir.

Sanal kart kullanmak teknik bilgi gerektirir mi?

Hayır. Algoritmaların nasıl çalıştığını bilmeniz gerekmez — bunlar arka planda otomatik işler. Sizin yapmanız gereken tek şey, bankanızın uygulamasından sanal kart oluşturmak, limitini yönetmek ve her platform için ayrı kart kullanmaktır. Pratik kullanım son derece basittir.

Yorum yapın

Gizlilik PolitikasiHakkimizdaIletisimKullanim Sartlari
Yasal Uyarı ve Sorumluluk Reddi: FinansalCozum.com'da yer alan tüm içerikler, makaleler ve rehberler tamamen bilgi paylaşımı ve eğitim amaçlıdır. Sitemiz hiçbir şekilde resmi bir yatırım, kredi, hukuk veya finansal danışmanlık hizmeti sunmamaktadır. Burada yer alan bilgiler bir yatırım tavsiyesi (YTD) niteliği taşımaz. İşlem yapmadan önce mutlaka kendi bankanızla veya resmi kurumlarla teyit etmeniz önerilir. © 2026 FinansalCozum.com - Tüm Hakları Saklıdır.