Fraud, Chargeback ve Ödeme Sistemleri Uzmanı

İbrahim Kudret Elçiboğa

 

Fraud, Chargeback ve Ödeme Sistemleri Uzmanı İbrahim Kudret Elçiboğa Fintechtime okurları için kaleme aldı, “2022 için Kart Dolandırıcılığı Trendleri Tahminleri”.

İşletmeler tüketicilerden gelen dijital talebe ayak uydurabilmek için dijital hızlanma butonuna bastılar.  Bu talebi yönlendiren, öncelikle yıkıcı teknoloji sağlayıcıları ve ikinci olarak pandemi kaynaklı dijital finansal hizmetler ve e-ticaret kullanımını artıran tüketicilerdir. Dijital hızlanmada, finansal hizmet sağlayıcıların tüketicilerle bağlantı kurma şeklini değiştirdi ve güvenli ancak sorunsuz bir müşteri deneyimi artık altın standart haline geldi.

Sektördeki bu kadar hızlı değişiklikler bu alandaki kart dolandırıcılık trendlerini nasıl etkiledi? 2022 için kart dolandırıcılık trendleri ile ilgili tahminlerimi yazdım.

Friendly fraud, 1 numaralı kart dolandırıcılık trendi olmaya devam edecek. Son yılların popüler kart sahterkarlığı trendlerinden olan ve genel olarak tehdit olarak hafife alınmış olan Friendly Fraud, sıklıkla Chargeback Fraud olarak da adlandırılır. Çünkü chargeback yani harcama itirazı başvurusu yapmak üzere alışveriş yapılmaktadır.

Bu yöntemde sahtecilik işlemi gerçek kart sahibi tarafından yapıldığından diğer yöntemlere göre farklı bir sahtecilik çeşididir. Bu kart dolandırıcılığında, kart sahibinin bilgisinde bir satın alma işlemi gerçekleşir, ürün veya hizmetler alındıktan sonra yapılan satın alma işleminin bilgisi ve onayı dışında yapıldığını kart sahibi ileri sürerek harcama itirazında bulunur ve chargeback süreci ile işyerinden işlem tutarını geri alır. Daha basit bir tanımla; kart sahibi kendine ait kart ile bilgisi ve onayı ile alışveriş yapıldıktan sonra işlemin sahte olduğunu ileri sürerek bankasına itiraz etmesi ve harcama itirazı süreci ile tutarı tahsil etmesi durumudur. Aynı şekilde kart sahibi bilgisinde kendi kartını başka kişilere kullandırabilmektedir. Bu şekilde kartıyla kendi işlem yapmamış gibi gösterip bankaya işlemlerin sahte olduğunu iddia ederek mağduriyetinin giderilmesini talep eder.

Özellikle iptal ve iade hakkı bulunmayan ürün/hizmet tutarının tahsili için başvurulan bir dolandırıcılık şeklidir. Online satış kanalları üzerinden yapılan ve mesafeli işlem olarak adlandırılan işlemlerde kart fiziki olarak işyerinde bulunmadığı için mali sorumluluğun chargeback sürecinde işyerine kalması kullanılarak, bir diğer deyişle gerçek olarak kart sahibi bilgisi ve onayı ile yapılan bir işlemin, kart bankasına sanki sahte bir işlem yapılmış olarak gösterilmesi ve e-ticaret şirketlerinin zarara uğratılması ile sonuçlanan bir tür kart dolandırıcılığıdır.

Friendly Fraud iki şekilde olur; kasıtlı ve bilinçsiz. Kasıtlı olanda, yukarıdaki senaryo gerçekleşir. Bilinçsiz olanda genellikle kart sahibinin yanlışlıkla bir ödemeye itiraz etmesine yol açabilecek bir durum oluşur. Hizmet veya ürün alınan işyerinin kart ekstresinde farklı bir isimde yer alması veya aile yakını bir kişinin kartı habersiz kullanmasından ortaya çıkabilir.

Bu kart dolandırıcılığı özellikle e-ticaret siteleri için kritik uzun vadeli zarar verebilecek yüksek maliyetli bir tehdittir. Dolandırıcılık yönetimi araçlarına dahil edilen kimlik davranışı analitiği, geçmiş davranışlara dayalı müşteri riskini analiz edilmesine olanak sağlayarak, bu dolandırıcılık türü için riski azaltabilir.

Card Testing Fraud, diğer önemli bir kart dolandırıcılık trendi olmaya devam edecek. Çalınan kart numaralarının geçerliliğini belirlemek için dolandırıcılar, hangi kartların onaylandığını görmek için bir tüccarın sitesinde küçük satın almalar yaparak kart testi yapabilir. Dolandırıcı daha sonra onaylanmış kartlarla daha büyük alışverişler yapabilir veya doğrulanmış bilgileri dark web’de yeniden satabilir.

Kartları manuel olarak test etmek zaman alıcıdır, bu nedenle dolandırıcılar kısa sürede binlerce düşük değerli işlemi çalıştırmak için botnet’leri kullanır. Bu saldırılar, bir işletmenin kaynaklarını tüketebilir, yüksek hacimli yetkilendirme işlem ücretleri üreterek gelir kaybına neden olabilir ve ayrıca işletmenin markasına zarar verebilir.

Bazen, kart geçerliliği dolandırıcılığını tespit etmek zor olabilir. Bununla birlikte, bazı genel işlem özellikleri vardır:

  • Küçük tutarlı işlemler
  • Kısa sürede birden fazla kart ile işlemler
  • Birden fazla kredi kartı markası ile işlemler
  • Birden çok işlem hatası bildirimi
  • Her zamankinden daha yüksek trafik

Kart geçerliliği kontrol dolandırıcılığını önlemenin yolu, kartı bilgilerini kredi kartı formunda kopyalamasına ve yapışmasına engel olmak, dolandırıcıların çalınan kart ayrıntılarını özellikle de otomatik test işlemleri sırasında test etmesini zorlaştırmaktadır.

Sosyal Medya Dolandırıcılığı; son yılların popüler kart dolandırıcılığı trendlerinden ve hızla en popüler trend olma yolunda yıllar geçtikçe emin adımlarla ilerlemeye devam ediyor.

Kendini gerçek bir kişiymiş gibi göstererek, düzenledikleri sahte kampanyalar aracılığıyla kişilerin kimlik bilgilerini ele geçirmeye çalışan hesaplar, yeni kurulmuş ve resmi gibi duran sahte siteler veya bazı resmi kanalları taklit eden sahte adresler üzerinden gerçekleştirilen bir dolandırıcılık türüdür. Resmi bir sayfaya gidiyormuş gibi tasarlanan ama aslında sahte bir siteye yönlendiren linkler üzerinden dolandırıcılık işlemleri gerçekleştirilir. Mesela ‘’o’’ harfi yerine ‘’0’’ kullanan taklit link bağlantıları, resmi sitenin tasarım olarak da neredeyse bire bir kopyası olduğu için ilk bakışta fark edilemeyebilir.

Sosyal medyada güvenliğini sağlamak için, bu mecralar üzerinden iletişim kurulan kişiler ile sosyal medya kullanıcı bilgileri, kimlik bilgileri, kredi kartı bilgileri veya diğer kişisel bilgileri her ne sebeple olursa olsun paylaşılmamalı, sosyal medyada yapılan yönlendirmeler ile hiçbir para gönderme işlemi gerçekleştirilmemeli.

Sosyal medya dolandırıcılığına karşı alabilecek başlıca önlemler; tüm sosyal medya hesaplarının parolalarını belirli aralıklarla değiştirmek, her sosyal medya hesabı için farklı şifre kullanmak, zorlu ve tahmin edilemeyen parolalar oluşturmak için şifre yöneticisi uygulamalarını kullanmak, sosyal medya hesaplarını sadece tanınan kişilere açık olacak şekilde kullanmak, iki faktörlü kimlik doğrulaması (2FA) kullanmak, bir bağlantıya tıklamaya “çağıran’’ metinlere karşı dikkatli olarak güvenilmeyen sayfalarda yer alan hiçbir yönlendirme linkine tıklamamak olacaktır.

Kart dolandırıcılık kayıplarının önümüzdeki yıl boyunca artmaya devam edeceğini ve yukarıda detaylandırdığım başlıca kart dolandırıcılık türlerine yenilerinin ekleneceğini tahmin etmek güç değil.  Özellikle işyeri tarafında gelişen dolandırıcılık senaryolarının izlenmesi ve önlenmesi, işlem verilerini, profilleri ve dolandırıcılık önlemek için kullanılan kuralların sürekli olarak güncellenmesi oldukça önem arz ediyor. Verileri gerçek zamanlı olarak analiz eden ve karşılaştıran gelişmiş çözümleri kullanmak gerekliliği her geçen gün daha önemli oluyor.