Payten Ödeme Sistemleri Ürün Müdürü
Mehmet Evirgen
Payten Ödeme Sistemleri Ürün Müdürü Mehmet Evirgen, Fintechtime okurları için kaleme aldı “Blacklisting”.
“Blacklisting, işletmeyi güvende tutmaya ve sahtekarlıktan etkilenmeden önce önlemeye yardımcı olur. Başarısız ödeme işlemlerine dayalı şüpheli siparişleri engellemek, online platformun güvenilirliğini artırabilir ve müşterileri web sitesinde satın almaya daha istekli hale getirebilir.”
Blacklisting
Kara listeler ve beyaz listeler, e-ticaret şirketleri arasında dolandırıcılık yönetimi için yaygın mekanizmalar arasındadır. Kara listedeki müşteriler genellikle güvensiz olarak sınıflandırılır. Buna karşılık, beyaz liste, güvenli olarak adlandırılan tüm müşterileri içerir.
Ödeme İşlemini Blacklist’e Alma
Ödemede, kara listeye alma, ödeme dolandırıcılığına karşı koruma sağlamayı amaçlayan bir dolandırıcılık yönetimi yöntemidir. Online ödemede verileri korumak için kara listeler dışında birçok yöntem kullanılmaktadır. Bununla birlikte, en verimli olanlardan biridir. Kara listenin amacı, ödeme kaybını veya ters ibrazları en aza indirmek için hileli ve yüksek riskli müşterileri tespit etmektir. Herhangi bir markanın güvenilirliği, müşterilerin web sitesiyle uğraşırken kendilerini ne kadar güvende hissettiklerinde yatar.
Kara liste, işletmeyi güvende tutmaya ve sahtekarlıktan etkilenmeden önce önlemeye yardımcı olur. Başarısız ödeme işlemlerine dayalı şüpheli siparişleri engellemek, online platformun güvenilirliğini artırabilir ve müşterileri web sitesinde satın almaya daha istekli hale getirebilir.
Herhangi bir siparişi veya işlem yapanı kara listeye alma, öncelikle dolandırıcılık tarama yazılımı (Fraud Tool) tarafından gerçekleştirilir. Fraud Tool’una risk analistleri tarafından tanımlanmış onlarca fraud senaryosu ve kuralları tanımlanmış olmalıdır. Kural setleri tanımlanırken ödeme gatewayinin önünde konumlandırılmış olan Fraud Tool’unun daha önce deneyimlenmiş, güvenlik şirketleri tarafından önerilmiş hazır kurallarla oluşturulabileceği gibi firmanın sektör veya iş yöntemine göre özel fraud kurallarıyla desteklenmesi önemlidir.
Blackkisting Nasıl Çalışır?
- Internal blacklist
- External blacklist
Fraud Tool’ları şirketlerin internal ekipleri tarafından yazılmış ve kuralları tanımlanmış, tanımlanmaya devam eden araçlar olduğu gibi; sadece işi “Fraud” olan özel ürünlerde şirketlerin sistemlerine “out source” da entegre edilerek kullanılabilirler.
İki kullanım tercih yönteminin de zaman, maliyet, uzmanlık ve sorumluluk yükleme anlamında başlıca avantaj ve dezavantajları bulunmaktadır. Özellikle teknolojinin nimetlerinden yararlanmak isteyen şirketler bu ürüne ayırdıkları bütçe ve odak anlamında ürünlerini çok ileri seviye götürebilmektedirler. Manuel olarak yazılan birçok kural olabileceği gibi insan beyninin de bir noktada sınırlı olduğunu düşündüğümüzde, makine öğrenmesini işin için sokarak “big data” teknolojisi sayesinde, deneyimlenmiş işlem hareketlerine göre akıllı kurallarda yazılmaya başlanmıştır.
Daha önceki yazılarımda ödeme sistemleri döngüsünün paydaşlarından birçok kez bahsettim. Yukarıda bahsetmiş olduğum Fraud Tool yöntemleri genellikle ödeme gatewayinin önünde bir filtre görevi görerek, yapılmak istenen ödeme isteğinde işlem/kullanıcı güvenliğini süzerek devam edip etmemesine karar vermektedir. Risk analizi yapan bu uygulamalar belirlenmiş kurallara göre Blacklisting ve Whitelisting lerini oluşturmaktadır. Kuralların doğru ve gerçeği yansıtır bir şekilde yazılması oldukça önemlidir. Yanlış veya gerçeği yansıtmayan senaryolar gereksiz yere işlem kaybı ve müşterilerin Blacklisting ve Whitelisting girmesine neden olacaktır.
Internal olarak yazılan (Out Source bir uygulama dahi olsa kendi içlerinde internal olarak yazılmıştır.) bu araçlardan ziyada External olarak bu hizmet ve kontrolü sağlayan ve ödeme aracının sahibi olan Visa ve MasterCard gibi kredi kartı şirketleri de şirket kurallarını ihlal eden alıcıları belirlemek için kara listeler kullanır. Yüksek Riski Kontrol Etmek için Üye Uyarısı (MATCH), dolandırıcılık veya kara para aklama yaparken yakalanan müşterileri de listeler. Ek olarak, fark edilir derecede yüksek sayıda ters ibraza (chargeback) neden olan veya ödeme aczine düşen müşteriler kaydedilir ve Visa/ Master üyesi bankalarla paylaşılır. Ödeme sırasında, daha önce paylaşılmış kayıtların Blacklisting ve Whitelisting girmesi ilgili alıcı bankalar tarafından belirlenir.
Dolandırıcılığın önlenmesi için siparişin kaynağı ve siparişin kendisi hakkında bir dizi bilgiye ihtiyaç vardır. Müşterinin IP adresi, cihaz parmak izi, ödeme hızı ve sıklığı, kaynak IP adresinden gelen işlem tutar farklılıkları, sık para birimi değişikliği, farklı sipariş modellerinin çeşitliği ve tutarsızlığı gibi kontrol kriterleri gereklidir. Sipariş nerede tetiklendi, Veriler satın almayla bağlantılı olarak anlamlı mı? Bir kaynak birden fazla kimlik veya ödeme bilgisi içeriyor mu? Ne sipariş edildi ve hangi teslimat adresi verildi? Kısa sürede çok fazla sipariş mi verildi? Gibi soruların cevabı şüpheli bulunan istekler için Blacklisting hazırlanır.
Çalınan kimlik verilerinin %85’inden fazlası ilk 24 saatte kullanıldığından, gerçek zamanlı bir analiz kullanılması tavsiye edilir.
Ödeme Sistemi için Basit ve Önleyici Kurallar
Mümkün olan en kısa sürede, dolandırıcılıkla mücadele için uygun kararlar alınmalıdır. Şüpheli işlem analizinde ek olarak müşteri geçmişleri ve kaydedilmiş veri koleksiyonlarından elde edilen deneyim, analiz için değer sağlar.
Geniş kapsamlı “Fraud Tool’larının yanı sıra özellikle ödeme süreçlerinde ödeme gatewaylari üzerinde basit olarak yazılabilecek bazı algoritmalarda şüpheli işlemler için oldukça yararlı ve caydırıcı olabilirler.
Örnek bazı kural setlerini ve olabilecek senaryoları aşağıda paylaşmak gerekirse;
-Düzenli olarak ödeme akışının sağlandığı/ başlatıldığı firma sunucu IP’lerinin, gateway üzerinde Whitelisting içerisine alınması, işlem isteklerinin başka bir sunucudan gelmesi durumunda gateway tarafında engellenmesini sağlar.
-Eğer kurum içerisinden yapılabilecek bir sızma durumunda yine kurum sunucu IP’leri üzerinden atak gelmesi durumunda ise; gateway üzerinde farklı, basit ama etkili yazılımsal algoritmalarla isteğin gönderildiği client IP’sinin Blacklisting’e alınması,
-Eğer Client IP’si değişiyorsa, bu kez de gelen sipariş bilgilerinin detayları, gelme yoğunluğu, Client IP’sinin değişme sıklığı, aynı andaki ve belirli bir tutardaki işlem sıklığını engellenmesi gibi yazılımsal varsayım algoritmaları yazılabilir.
Kartlı ödeme sistemlerinde firma ve müşteriyi en zor duruma düşürecek veri kart numarasını ihlal edilmesidir. Bu nedenle genellikle güvenilir ortamlarda alışveriş yapılması, firmaların hiçbir koşulda müşterilerinin kartlarını kendi sistemlerinde açık olarak saklamaması, eğer iş modellerinde “kart saklama” özelliği varsa, muhakkak PCI-DSS ortamında şifrelenmiş verinin saklanması gerekmektedir.
Son zamanlarda özellikle e-ticaret ödemelerinde sanal kartlarla yapılan işlem sayısının artması, aslında kart sahiplerinin alışverişlere şüphe ile yaklaştıkları anlamına geliyor. Buna ek olarak firmaların veya müşterilerin alışveriş seçeneğine 3D Secure doğrulama ile devam etme oranlarının artması da bunun bir göstergesidir.
Şüpheli işlemler sadece ödeme dünyanın önemli bir sorunu olmayıp birçok sektör ve iş kolunun ortak kaygısıdır. Temelleri sağlam atılmış uygulamalar, farklı iş kolları ve modelleri içinde kendi yöntemlerine göre tehditleri en az seviyeye indirmeye yardımcı olacaktır. Risk faktörleri önceden analiz edildiğinde risk yönetimi yapmak kolaylaşacaktır.
Risklerin doğru tanımlanabilmesi için hedeflerin ve o hedefe gidecek yolların doğru belirlenmesi gereklidir.
Unutulmamalıdır ki tedbirler ne kadar arttırılırsa arttırılsın dış dünya ile bağlantısı olan her sistem her zaman tehditlere açıktır. Geliştirilmiş önlem ve uygulamaların sürekli takip edilmesi, geliştirilmeye devam etmesi, deneyimlenmiş unsurların araştırılarak, iş modelinin işine dahil edilmesi önemli bir kriterdir.