Fraud Nedir? Nasıl Hesaplanır? Nasıl Engellenir?
Arama
Genel

Fraud Nedir? Nasıl Hesaplanır? Nasıl Engellenir?

Konuk yazarımız Tarık Tombul, PayU Türkiye‘de Risk & Operasyon Müdürü olarak görev almaktadır.

fraud-Tarik-Tombul-payu-logoÖzünde sahtecilik/dolandırıcılık anlamı taşıyan ‘fraud‘, çoğunlukla finansal ve itibari kayba yol açan, adli soruşturmaya konu olabilen, hemen her sektörde farklı türlerini görebileceğiniz bir terimdir.

Ödeme sistemleri anlamında fraud, başkalarına ait kredi ya da debit kart ile herhangi bir işyeri ya da ATM’den işlem yaparak haksız kazanç sağlamak, bu sayede gerçek kart hamili, işyeri ya da bankayı zarara uğratmaktır. Dolandırıcı (fraudster) şahıs(lar) tarafından gerçekleştirilen söz konusu işlemler, fiziki ya da sanal bir ortamda yapılabilmektedir.

Fiziki ortamda gerçekleştirilen sahtecilikler (CP-Card Present Fraud)

Bu kategorideki işlemler kartın manyetik şeridi ya da çipinde yer alan bilgilerin (Track datası) POS ya da ATM’ye okutulması suretiyle ya da temassız (contactless) olarak gerçekleştirilmektedir. Kart ve dolandırıcı fiziken işyerindedir. Bu tür sahtecilikler kayıp, çalıntı ya da kopyalanmış (sahte) kartlar ile çoğunlukla manyetik şeritten ve şifresiz olarak, yapılmaktadır.

Sahteciliğin en çok görüldüğü mağazalar; kuyumcular, cep telefonu ve TL yükleme satışı yapan mağazalar, elektrik/elektronik mağazaları, market ve akaryakıt istasyonları ile ATM’lerdir. Çip ve Şifre (Chip & PIN) geçişi sonrası ‘Card Present‘ sahtecilikleri önemli derecede azalma göstermiş fakat bu kategorideki sahtecilikler içerisinde ATM’de sahte kartlar ile yapılan nakit çekim işlemleri ciddi oranda artış göstermiştir.

Bu tür sahteciliklerin önlenmesinin en temel yöntemi, işlemin çip okuyucudan ve şifre girilerek yapılmasını sağlamaktır. Çipsiz kartlarda kartın fiziksel güvenlik özellikleri (mor ışık, micro bordür, logo, imza bandı, vb.) ve imza (imza bandında yer alan imza ile satış slibine atılan imzanın karşılaştırılması) kontrolü yapılmak suretiyle sahtecilik önlenebilir. Şüpheli durumlarda mutlaka banka aranılmalı ve bilgi alınmalıdır.

Sanal ortamda gerçekleştirilen sahtecilikler (CNP-Card Not Present Fraud)

Bu tür sahteciliklerde kart ve dolandırıcı fiziken işyerinde değildir. İşlem, hassas kart verisi (kart no., SKT, güvenlik kodu ve şifre) POS cihazına işyeri tarafından tuşlanmak (MO-TO, Mail Order-Telefon Order Sahtecilikleri) ya da dolandırıcı tarafından web sitesinde yer alan ödeme sayfasına girilmek (Sanal POS sahtecilikleri) suretiyle gerçekleştirilmektedir. Gelişen teknoloji ile birlikte ödeme sayfasında QR Code okutulmak suretiyle de CNP sahteciliği yapılabilmektedir.

Sahteciliğin en çok görüldüğü sektörler; uygulama indirme mağazaları (iTunes, Google Play, Facebook), bilet satışı yapan web siteleri ve havayolu şirketleri (uçak ve otobüs bileti), GSM siteleri (TL yükleme), elektronik ürün satışı yapan web siteleri ile giyim ve aksesuar satışı yapan dikey segmentteki websiteleridir.

CNP sahteciliklerinin önlenmesindeki en etkili yöntem güçlü bir fraud önleme (Anti-Fraud) yazılımı ve tecrübeli fraud ekibidir. Yazılım kurum içi (inhouse) olabileceği gibi profesyonel bir şirket tarafından da temin edilebilir. Inhouse yazılımlarda yazılımı yapan kişinin aynı zamanda sahtecilik saptama tecrübesine sahip olması beklenir. Profesyonel sahtecilik önleme hizmeti sunan şirketlerin ürünleri, kurum içi yazılımlara kıyasla biraz daha pahalı olmasına karşın, sürekli yenilenmeleri nedeniyle, sahteciliği tespit oranları bakımından daha fazla tercih edilmektedir. Özellikle bankalar ve büyük ölçekli elektronik ticaret şirketleri tarafından tercih edilen profesyonel sahtecilik önleme yazılımları kural bazlı ve gelişmiş filtreleme sistemleri ile donatılmışlardır.

Sahteciliği yakalamak için şans vardır

Bir siparişin sahte olduğuna dair belirtilere sahipseniz sahteciliği yakalamak için hala bir şansınız var demektir. Bu belirtilerden en bilindik olanları; bankaların işleme döndükleri riskli cevap kodları, bu kodların sipariş ve siparişi oluşturan benzersiz (unique) değerler ile eşleştirilmesi, kullanılan kart sayısı, IP, saat dilimi (time zone) bilgisi, kartın kullanım sıklığı, isim bilgisi, ürün bilgisi, teslimat adresi (kargo şirketine yapılan teslimatlar), kullanılan e-postalar ve uzantıları gibi yüzlerce kontrol noktasıdır.

Profesyonel sahtecilik önleme hizmeti sunan şirketler bu varsayılan filtrelere ilave olarak daha karmaşık ve sahteciliği yakalayan gelişmiş filtreler kullanmaktadır. Bu noktada diğer önemli konu ise, yazılımınız ne kadar güçlü olursa olsun, manuel kontrol için gri alana düşürdüğünüz işlemlerin sahtecilik olup olmadığına karar verecek izleme ekibinizin donanımıdır. Tecrübeli bir sahtecilik ekibine sahip değilseniz, yazılımınız ne kadar güçlü olursa olsun ve ne kadar sahtecilik vakası yakalarsa yakalasın, gri alan kontrolünde yanlış karar verebilir ve sahtecilik zararı ile karşılaşabilirsiniz.

Fraud kontrolü yapılmasının bir diğer önemli noktası marka ve itibarın koruma altına alınmasıdır. Bir fraud saldırısına maruz kalındığında finansal kayıp dışında markanın zarar görmesi de mümkündür. Bu konuda Visa, Mastercard, American Express gibi lisansör kuruluşların belirledikleri standart oranların üzerinde bir “fraud” ve “chargeback” hacmine ulaşır ve bu hacim süreklilik arz eder ise işyeri ilgili kuruluşlar tarafından diskalifiye edilebilir. Bu standartlar işyerinin aylık bazda karşılaştığı fraud işlem adedi, fraud işlem tutarı ve raporlanan toplam fraud tutarının aylık toplam ciroya oranıdır. Aynı şekilde aylık bazda karşılaşılan chargeback işlem adedi, chargeback işlem tutarı ve raporlanan toplam chargeback tutarının aylık toplam ciroya oranının da belirlenen standart seviyelerin altında olması gereklidir.

Fraud hacmi hesaplama ve standartlar

Bir işyeri ya da banka için fraud rasyosu (toplam fraud /toplam ciro) x10.000 şeklinde hesaplanır ve Bases Point (Baz Puan) olarak adlandırılır. Örneğin bir aylık dönem için fraud işlem tutarınız 100.-TL ve cironuz 100.000.-TL ise fraud baz puanınız “(100/100.000)x10.000= 10” On Binde 10’dur.

Bir işyeri ve banka için maksimum fraud standardı On Binde 4’tür. Bu oran, Avrupa bölgesinde yaklaşık On Binde 8 iken, dünya genelinde On Binde 11 seviyesindedir. Türkiye ortalamasında ise bankadan bankaya göre değişiklik göstermekle birlikte, yaklaşık ortalama On Binde 2 seviyesindedir.

Sektör bazında fraud rasyoları değişiklik göstermekle birlikte riskli kategorilerde, örneğin uçak bileti satan bir acentada, % 8 (Yüzde Sekiz) seviyesine dahi çıkabilmektedir. Bu tür durumlarda işyeri, Visa (MFP-Merchant Fraud Perfomance), Mastercard (GMAP-Global Merchant Audit Programme ve MOST-Merchant Online Status Tracking), AMEX (HRSE-High Risk Service Establisment) gibi kuruluşların risk izleme programlarına girmekte ve Acquirer bankalara işyeri ile ilgili bildirimler gönderilerek seviyeleri doğrultusunda (Level 1,2,3) işyeri hakkında aksiyon alınması istenmektedir.

2012 yılında sadece ABD ve Kanada’daki e-ticaret şirketlerinde 3.5 milyar dolar zararın oluşması, fraud’un tespit edilmesi ve kaynağında engellenmesinin (Anti-Fraud) ne kadar önem arz ettiğini net bir şekilde ortaya koyuyor.

Yorumları GösterYorumlar Gizle (10)
  1. Benjamin dedi ki:

    Bilenlere ya da Payu uzmanlarına bir sorum olacak;

    Diyelimki sitemizden aylık üyelik yöntemi ile bulut hizmeti satıyoruz, kişi geliyor, üye oluyor ve ilk ayın ödemesini yapıyor, sistemi kullanmaya başlıyor.

    Bir sonraki ay, aynı tarihte otomatik olarak aylık ücretin kesilmesi gerekiyor. Payu kullanırsak böyle bişiy mumkun oluyormu ? Yani 2. ve sonraki ödemeler otomatik olarak kesilebiliyormu ? Kişinin KK bilgilerini saklayarak bu ödemeleri tetiklemek mümkünmü ?

    Tşkler

    1. Nurettin Bacanak dedi ki:

      Sevgili Benjamin,

      buna tekrarlı ödeme adı veriliyor. İnternette araştırma yapmak için doğru, İngilizce anahtar kelime “recurring payment”. Garanti Bankası’nın Sanal Pos’unun tekrarlı ödeme desteği var, bankadan özellikle bu özelliğin talep edilmesi gerekiyor, ekstra ücretlendiriyorlar mı bilmiyorum ama Garanti Bankası’nın masraf almadığı o kadar az konu var ki bunun için de alıyordur diye varsayıyorum, hatam varsa diğer arkadaşlar düzeltsinler.

      Öte yandan, PayU’nun böyle bir desteği var mı bilmiyorum. Örneğin Chargify.com ‘un var ancak onların da komisyon oranlara korkunç yüksek.

      Benim bildiklerim bu kadar.

    2. anti-fraud manager dedi ki:

      Merhaba,

      müşterilerin kart bilgilerini saklamak yasak ve suç sayılmaktadır.

      1. Deniz dedi ki:

        Merhaba kart bilgilerini saklamak herhangi bir yasak veya suç teşkil etmemektedir. Kart bilgilerini saklayan yüzlerce sistem, girişim ve kuruluş bulunmaktadır. Dünyada: Paypal, Google, Facebook, GoDaddy. Türkiye’den: BKM Express, iPara, Turkcell vb.

    3. Tarık TOMBUL dedi ki:

      Merhaba,

      Belirttiğiniz özellik tekrarlayan ödeme “recuring transaction” özelliği ile mümkün olabilmektedir. Bu tür bir işlemde kart hamili sadece ilk işleminde cvc2/cvv2 kodunu girerek işlemi tamamlamakta, sonraki işlemler belirlenen aralıkta ve belirlenen süre sonuna kadar otomatik olarak gerçekleştirilmektedir.

      PCI DSS (Payment Card ındustry Data Security Standarts) kuralları gereğince hassas kart verisinin saklanması yasaktır (keza aynı şekilde 5464 sayılı banka ve kredi kartları kanunu gereğince de. Kart numarası, son kullanım tarihi, güvenlik kodu (CVC2/CVV2) ve şifre yüz yüze olmayan bir işlemdeki en temel hassas kart verisidir. Bu bilgileri saklayan, işleyen ya da yönlendiren tüm kuruluşların (İşyerleri, servis sağlayıcılar, bankalar vb.) PCI DSS (Payment Card Industry Data Security Standarts-Ödeme Sistemleri Endüstrisi Veri Güvenlik Standartları) kurallarına uymaları ve bu uyumluluklarını periyodik raporlar ile belgelemeleri zorunludur.

      PayU Türkiye olarak Recuiring Payment özelliği ile ilgili çalışmalarımız devam etmektedir. Yakın bir zamanda bu özelliği de üye işyerlerimize sunuyor olacağız.

      İlginiz için teşekkürler.

      Tarık

      1. Özgür Canan dedi ki:

        Merhaba PCI DSS v2 standartına ve ilgili yasalara göre kart şerit bilgisi ve CVC2/CVV2 bilgisinin kaydedilmemesi gerekiyor. USA’da bu bilgi olmadan da Authorization sağlanabildiği için bir sorun teşkil etmiyor. Ancak Facebook’un bile bu kuralı USA dışında uygulamadığını okumuştum.

  2. Ozan Yorur dedi ki:

    merhabalar Oncelıkle sisteminize basvurumu yaptım bu cuma 2. hafta dolucak arada maillerde attım durum ile ilgili olarak donus yapan yok evraklarım teslım alınmıs kargo firmasından bunu ogrendım sitenizde sizlere ulasabılmem ıcın bır telefon numarası yok ve aksaklık var ise bunu nasıl duzeltmem gerekecegı ıle .Bu durumda ne yapmalıyım baska alternatifler aramayamı baslamalıyım acaba

    1. Merhaba Ozan Bey,

      Başvurunuz eksik evrakların tamamlanmasını müteakip 20 Mayıs tarihinde değerlendirme için ilgili ekibe yönlendirilmiş görünmektedir. Banka yanıtını bugün alabilmeyi ve kullanıcı bilgilerinizi gün içerisinde size iletebilmeyi umuyoruz. Yoğunluktan kaynaklanan bu durum için anlayışınızı rica ediyoruz.

      Müşterilerimiz ile iletişimimizi kayıt altına alabilmek ve ölçüm yapabilmek adına ticket sistemi üzerinden yürütmekteyiz. Her türlü sorunuz için bilgi@payu.com.tr adresini kullanabilirsiniz.

      Saygılarımızla,

  3. Emrah Dinçer dedi ki:

    Merhaba Tarık Bey,

    Kariyerimin son 10 yılını Fraud üzerine programlar yazarak geçirdim. Bu vesile ile de LinkedIn de Fraud Nedir ? grubunu kurdum.

    Değerli bilgiler içeren bu yazınızı da LinkedIN grubumda adınızı da vererek yayınlayabilir miyim ?

    http://www.linkedin.com/groups?gid=5024037&trk=hb_side_g

    iyi çalışmalar

    Emrah Dinçer

    1. Tarık TOMBUL dedi ki:

      Merhaba Emrah Bey,

      Lİnkedin de grubunuzu takip ediyorum. Tabiki yayımlayabilirsiniz.

      iyi çalışmalar dilerim.

      Tarık

Bir Yorum Yazın