E-Ticaret Müşteri Fraudları

[bingildak]

paranı alma süreci farklı.

3d secure değilse banka iş yerini sallamadan zınk diye parayı çekiyor; haklı mı haksız mı umursamıyor.

diğerinde para çekmeden önce bin tane şeyi kontrol ediyor, eğer iş yerini haksız görürse chargeback talebini yerine getiriyor. iş yeri default hatalı sayılmıyor.

çünkü ilki iş yerinin hatası, ikincisi değil.

[marksman]

Biraz alakasız ama geçenlerde başımıza şöyle bir olay geldi.

Abim memleketten zeytinyağı gönderdi, baya sağlam bidonu kasaya koymuş etrafına baya dolgu felan sarıp sarmalamış, 18 kilo. kendi şirketi adıyla göndermiş, Adana aktarmada bidon patlamış tutanak tutmuşlar, hem kargo parası gitti hem zeytinyağı, yaklaşık zarar 300 tl. Yurtiçi kargo sıvı olduğu için sigorta yaptırmanız gerekirdi demiş. Tabi kargoya verirken kimse bunu soylememis.

Yani adam kötü niyetli olsa yolda hiç eder. O kadar dedim otebisle gönder diye. Elcazlarimla ektigim zeytinlerin ilk mahsuluydu. Sıvı felan gönderirken buna dikkat edin.

[Esh]

hep bu isguzar abiler yuzunden oluyo

[bingildak]

konuyla ilgili bazı detaylar öğrendim merak edene paylaşayım.

banka iş yerinden parayı söke söke alıyor eğer çalıntı kart bildirimi var ise ve 3d secure işlem yapılmadı ise.

iş yeri hakkını savcılığa suç duyurusu oluşturarak kovalıyor.

biz, bizim siteden yapan kişiyi tespit ettik - yasal süreci başlattık. bir şey çıkmaz ama en azından yanına kalmayacak.

[ad3m]

marksman said:

Biraz alakasız ama geçenlerde başımıza şöyle bir olay geldi.

Abim memleketten zeytinyağı gönderdi, baya sağlam bidonu kasaya koymuş etrafına baya dolgu felan sarıp sarmalamış, 18 kilo. kendi şirketi adıyla göndermiş, Adana aktarmada bidon patlamış tutanak tutmuşlar, hem kargo parası gitti hem zeytinyağı, yaklaşık zarar 300 tl. Yurtiçi kargo sıvı olduğu için sigorta yaptırmanız gerekirdi demiş. Tabi kargoya verirken kimse bunu soylememis.

Yani adam kötü niyetli olsa yolda hiç eder. O kadar dedim otebisle gönder diye. Elcazlarimla ektigim zeytinlerin ilk mahsuluydu. Sıvı felan gönderirken buna dikkat edin.

Bundan eminmisin sıvı ve cam içerikli (seramik dahil - kırılabilir) ürünler sigorta dışı diye biliyorum ben. Bir sürü firmayla çalıştım bu hep böyleydi yani.

[senko]

bingildak patiyi cok guzel aydinlatmis kendisine tesskur ediyoruz.

[Malibu]

Allahdan Debit kartlar ile alış veriş yapılamıyor diye 3D secure'u zorunlu tutmuştum bizim sitede.

3D secure yüzünden de kaçan müşteri sayısı da bir hayli fazla oluyor hoş.

Bilgilendirme için teşekkürler bingildak.

[sabonis]

3d secure yüzünden niye kaçıyor müşteri ya? Ne alaka? Anasının babasının kredi kartı ile gizli bişi alacak çocuklar falan mı alamıyor :P

[senko]

Bazen telefona bakmaya useniom bisi alirken, tam alcakken bi bakiom 3d secure istiyor, haa sonra hallederiz diyorum oyle kaliyor sonra
Benim caseimde kac kisi vardir tartisilir gerci

[Malibu]

sabonis said:

3d secure yüzünden niye kaçıyor müşteri ya? Ne alaka? Anasının babasının kredi kartı ile gizli bişi alacak çocuklar falan mı alamıyor :P

Sanal POS hataları korkunç derecede artıyor. Yanlış giriyorlar falan genellikle.
Telefonun şarjı bitiyor telefon yanında olmuyor vs vs vs.

[riglous]

Demek yıllardır zenginiz diye milleti böyle kandırdınız aldınız bütün parçaları sonra hoop refund bastınız, üstüne geldiniz burada birde açılmamış ürün diye sattınız. Bir eleman söylüyordu haram parça/kaçak parça satıyorlar burada diye, doğruymuş demek ki.

[bingildak]

pos entegrasyonlarıyla ilgili bankalarla görüştüm. yani sistemler sanki dolandırıcılığı teşvik etmek için kurulmuş.

sen işlem yaparken kartın üzerindeki isim ve soyadı kullanıcıya yazdırıyorsun, kullanıcı sözleşmesiyle de bağlayıcılık sağlıyorsun (girdiğim bilgiler doğrudur şartını kabul ediyor) fakat pos girilen bilgi ile kartın üzerindeki aktüel bilgiyi cross check yapmıyor.

atıyorum kartın üzerinde ahmet bakar yazıyor. ben senin kartını çalıyorum, kartın üzerindeki ismi bilmediğim için fatma karabaş yazıyorum. bu işlemi ben bankaya gönderirken banka tarafında tutulan "ahmet bakar" ile "fatma karabaş" x check yapılmıyor.

ondan sonra banka bana soruyor "kart üzerindeki isimi vermeniz gerekiyor ki fraud kontrolü yapabilelim" diye. ulan geri zekalı ben nereden bileyim işlem yapılırken sen bunun legitliğini kontrol etmiyorsun ki. kullanıcı ne yazıyorsa ben onu görüyorum.

kullanılan sistemler ciddi anlamda çağ dışı. arafta kalan o kadar çok işlem oluyor ki, aslında bunların çözülmesi çok basit ama kimse bu yönde (sanal poslar) yatırıma girmek istemiyor. ne ise onu kullanıyor. banka topu "3d secure" a atıyor, onu yaparsan çok iyi yapmazsa direkt kötüsün. işin kolayına kaçıyorlar ne yazık ki.

işin komik tarafı bütün dünyada sistem böyle çalışıyor. amerikada bu konuda inanılmaz oranda fraud işlemler söz konusu.

[dana22]

o dedigin olsa bile kart ustundeki isimle beraber bilgileri satan bir alay rus hacker , fatura odeme noktasi vs vs var..3d secure zorunlugunu onun icin getirdiler ..calinan bilgileri satip sistemi cokertmeye calisiyorlardi wipe yedi sistem..

[bingildak]

bizim siteden çalıntı kart ile işlem yapanlara da kafayı taktım olay olduktan sonra. insanın hem dolandırıcı hem salak olması gerçekten üzücü ya. aklınca telefon kullanmayıp, adres vermeyip akıllıca bir iş yapıyorlar. paketleri teslim aldıkları şubeden iyi niyet, ufak rüşvet ile kamera kayıtlarını aldık. suratı kabak gibi görünüyor. oradaki çalışanlara da ufak tefek bir şeyler verdik. ayrıca cep telefonuyla biri geldiğinde daha yakından çekmiş, ses kaydı almış bizim için dün gönderdi.

izinsiz çekilen hiçbir şeyi delil niteliğinde kulllanamıyorsun fakat şubede kapalı devre alınan kayıtları sunabiliyorsun. ek olarak paketi alırken kimlik kontrolü yapıldığı için tc kimlik + gerçek adı soyadı belli oluyor (eğer kimlik de sahte değilse tabii).

kadın sürekli sitelerden bu şekilde gelen paketleri teslim alıyormuş. baya usuallarından.

peşine adam taktık nerede ne zaman olduğunu bildiğimiz için ev adreslerini de tespit ettik.

ip adreslerini yaptıkları iki işlemde gizlememişler, onları da çıkarttık.

dün bütün bilgilerle savcılığa gittiler. bugün izin çıkarsa kargo şubesinde bizden gelen paketi alırken suç üstü yapacaklar. eğer suç üstü yapamazlarsa süreç biraz daha uzuyor ama sonuçta çok fazla iz bırakmışlar her türlü tepelerine bineceklerdir birkaç aya.

[Malibu]

Ben ingiltereden bir alış veriş için sanal kart kullanmaya çalıştım yemedi. sonra debit denedim o da yemedi en son kredi kartımla hallledebilmiştim. Sonradan anladım ki kart üstündeki isim ile siparişi verenin ismi+soy ismi tutması gerekiyormuş. UÇAK = UCAK farkından dolayı yapamamıştım.

Demekki elin gavuru bu işi bir şekilde çözebilmiş :)

Ama işte bir hata olunca genelde insanlar alış verişten vazgeçiyorlar. Sadece %10 luk bir kısmı sonradan siparişi gerçekleştiriyor

[dana22]

bingildak said:

dün bütün bilgilerle savcılığa gittiler. bugün izin çıkarsa kargo şubesinde bizden gelen paketi alırken suç üstü yapacaklar. eğer suç üstü yapamazlarsa süreç biraz daha uzuyor ama sonuçta çok fazla iz bırakmışlar her türlü tepelerine bineceklerdir birkaç aya.

iyi tezgah kurmussun bari kaymagini da sen ye..haber kanallari o tip haberler icin para oduyor sanirim..

[bingildak]

işin şov tarafında değilim. yanlarına kalmasın yeterli benim için.

[bingildak]

ülke o kadar başı boş ki. bu işler o kadar basit yapılıyor ki. şu geri zekalılar bunun göstergesi işte. kim bilir kaç aydır bu şekilde bu işi devam ettiriyorlar. iş yerleri de yarasına tuz basıyor, uğraşmıyor sonunda yanlarına kalıyor. biz uğraştık umarım yanlarına bırakmazlar bu kadar bilgiye rağmen.

[dana22]

hayir ucu yine bizim gibi bilgisayar basinda konforunu bozmadan alisveris yapmayi seven insanlara dokunuyor..

hos bizim hastaneden gunde 20 30 koli siparis getirten bir alay disi doktor arkadas da var..hem de cokca ..sabah bir posta once onlarin siparisler geliyor onlarin begenmeyip geri gondereceklerini de alip gidiyorlar..onlara ozel sefer var..nasilsa geri gonderim beles..

[goldbären]

bingildak said:

ülke o kadar başı boş ki. bu işler o kadar basit yapılıyor ki. şu geri zekalılar bunun göstergesi işte. kim bilir kaç aydır bu şekilde bu işi devam ettiriyorlar. iş yerleri de yarasına tuz basıyor, uğraşmıyor sonunda yanlarına kalıyor. biz uğraştık umarım yanlarına bırakmazlar bu kadar bilgiye rağmen.

abi suçlular o kadar low-lifer ki şaşırıyorsun dimi. her şeyi göstere göstere yapıyorlar, sıfır akıl sıfır ingenuity. oradan buradan öğrendikleri patternleri uyguluyorlar sadece. akıllıca zekice bir şey görmek istiyorsun ama yok. bunun bu kadar olmasının tek sebebi de kolluk kuvvetlerinin yargının en az onlar kadar umarsız ve low-lifer olması sdfs.

[di]

bingildak said:

işin şov tarafında değilim. yanlarına kalmasın yeterli benim için.

Yontemler her iki taraf icin de gelisiyor zamanla, ister teknik olsun, ister kural/kanun olsun, bu is her zaman her yerde boyleydi. Haliyle sen onlemini alabiliyosan gerisine cok takilma bence zira bunu engelleyenin ya da engellenmesi icin sirketlere bastiranin devlet olmasi gerekiyor.

3D secure olmadan alisveris sitesi acmayin diyecek gerekirse.

Bu arada UK icin baya gelismis anti-fraud sistemleri var, entegre ediyosun, aninda tespit ediyo bununla is yapilir yapilmaz diye ama oyle bir sistemi Turkiye'ye uygulamak mumkun degil ne yazikki. Burada da isliyor olmasinin tek sebebi senin icin instant credit check yapabiliyor olmalari.

edit : ha bir de HSBC'nin bi olayi var, 3D secure icin her zaman sifre istemiyo. Baktinki benzer islemleri tekrar tekrar yapiyosun, otomatik onayliyo seni 3D secure ekrani, gormuyosun bile. Haliyle 3D secure can sikici olmaktan cikiyo.

TL;DR; Cozum cok ama uygulayan olursa iste.

[Flassh]

Malibu said:

sabonis said:

3d secure yüzünden niye kaçıyor müşteri ya? Ne alaka? Anasının babasının kredi kartı ile gizli bişi alacak çocuklar falan mı alamıyor :P

Sanal POS hataları korkunç derecede artıyor. Yanlış giriyorlar falan genellikle.
Telefonun şarjı bitiyor telefon yanında olmuyor vs vs vs.

bana olmustu bu. 3d ile ödeme yaparken banka paramı cekmiş ama yönlrndirme patladıgı için sitede siparişim onaylanmamıstı

[bingildak]

di said:

TL;DR; Cozum cok ama uygulayan olursa iste.

uygulama konusunda en büyük engel müşteriler ve sektör abi ne yazık ki. müşteri bir yerde "rahat" işlem yaptığında diğer yerde yapamadığı için tepki koyuyor ve alışveriş yapmıyor. eğer eli sana bağlıysa sen yine o parayı bir şekilde alıyorsun (exclusive mal satıyorsan) fakat değilsen gidip diğerinden alıyor daha kolay olduğu.

aslında bilmiyor ki kolay = güvensiz çoğu örnekte.

bu algıların kırılması için dediğin gibi devlet eliyle müdahale gerek. 1 günlük işi var. bankalara diyecek ki "3d secure olmayan işlem yapamazsınız". BİTTİ. tek gecede çözülür.

benim 8 bankayla pos entegrasyonum var. 6 tanesi asseco alt yapısını kullanıyor (https://asseco.com). bütün dünyaya hizmet veren bir alt yapı. bu alt yapıyı kullanıp da ayrışan bir tek finans bank oldu şu ana kadar. adam entegrasyon dokümanında demiş ki 3d secure değilse ben işleme otomatik red dönüyorum. bitti abi aslında bu kadar basit. ya finans bank kullanmıyorsun ya da 3d secure kullandırmak zorundasın. sektörün standartı haline böyle geliyor.

diğer 2 banka da kendi sistemini geliştiriyor; biri garanti diğeri yapı kredi. yani yapı krediyi kullanmayan bilemez. adamlar gerçekten rezalet ötesi. sözüm ona custom sistem inşa etmişler. adam IT ekibini toplamış istediği sonucu söylemiş ve projeyi öyle bitirmişler. kullanıcı deneyimi, sektör standartları falan hak getire.

diyeceksin ne kadar kötü olabilir... bak şimdi sitede ben isim soayad, kredi kartı numarası, son kullanım tarihi, cvv kodu alıyorum post ediyorum adamlara. ondan sonra adam redirect veriyor kendi sitesine sitesinde BÜTÜN BİLGİLERİ tekrar alıyor. yani sen kullanıcıya aynı bilgileri iki defa ard arda girmeye zorluyorsun. şimdi işin angarya tarafını geçtim, kullanıcı deneyimi olarak bunun ne kadar yanlış olduğu konusunda sanki kimse uyarmamış adamları. IT ekibi fonksiyonu sağlamış ama kullanıcı deneyimini en ufak önemsememiş.

sistem böyle geliştirilince kimse kullanmak istemiyor. ben entegre ettikten sonra resmen conversionlarım çakıldı. müşteri "ikinci bir sitede yine bilgilerimizi istediler, çalınma riskinden dolayı girmedim" demeye başladı haklı bir şekilde çünkü yönlendirdiği site HTTPS bile görünmüyor...

sistem şu direkt benim gözümde:
http://wow.zamimg.com/uploads/screenshots/small/177182.jpg

işi yapıyor mu yapıyor ama freak of ux yani - push etmek imkansız.

entegrasyonunu kaldırdım posu da garantiye bağladım bu yüzden. garanti üzerinden çatır çatır 3d secure olarak işleme alıyorum.

bu konuda adamlara 20 kere feedback verdim umurlarında değil.

garanti bu konuda 10 kat daha iyi ama oradan da bir örnek vereyim. burada birkaç kere yazmıştım. mükerrer çekim dediğimiz olay ÇOK BÜYÜK sıkıntı sektörde. ben site olarak işlemi bir kere post etmeme rağmen işlem iki defa geçiyor. 200 TL yerine 2x200TL çekiliyor ve benim bunu fark etmem mümkün değil çünkü servis vermiyorlar sorgu çekebildiğim. ancak manuel tek tek bakacaksın.

müşteri 200 tl yerine 400 tl çekildiğini görüyor. ne benim dolandırıcı olmadığım kalıyor, ne yemediğim küfür kalmıyor. adım çıktığı gibi bir de müşteri kaybediyorum.

bu konuda garanti ile defalarca konuştum. tamam 3d secure olmayan işlemde olabiliyor diyelim, üstünü çizelim o tarafın. AGA 3D SECURE İŞLEMDE 1 ŞİFREDE İKİ İŞLEM NASIL YAPILIR BANA AÇIKLAR MISINIZ diyorum, yanıt kesiliyor.

düşünüyorsun garanti bankası. türkiyede bu konuda önder niteliğindeler. bu kadar TEMEL sorunları bile çözemiyorlar hala. bu işin benim bildiğim sadece 3 yıllık geçmişi var. 3 yıldır düzelmedi. belki 10 yıldır vardır, büyüklere sormak gerek.

içine girip de detayına baktığında işlerine ne kadar tırı vırı döndüğünü anlıyorsun. milyon dolarlık projeler en temel güvenlik protokollerinde sınıfta kalıyorlar.

bu konudaki açıklığı görüp de 3rd party ödeme sistemi geliştiren bir sürü alternatif çıkıyor ama penetrasyon yaratamıyorlar işte. en yaygını BKM Express mesela. ülkedeki kullanıcıya "kredi kartın bir yerde kayıt edilecek" dediğinde direkt üstünü çiziyor çünkü insanlar güvenliğin nasıl sağlandığını anlamıyor ve korkuyor.

günün sonunda devlet bu işleri regüle etmediği sürece bu işin burnu boktan çıkmaz. türkiye'de bu tür şeyleri ite kaka zorlayacak adamların çoğuyla ben tanıştım. yukarıdakilerin kulağına fısıldayan "büyükler". en ufak ilgileri yok konuya. hepsi ekmeğinin peşinde nasıl daha çok yeriz derdinde. yarın 3d zorunluluğu getiriyoruz desen ilk onlar karşı çıkıyor kendi milyon dolarlık şirketlerinde conversion 0.01 düşecek diye.

[eldar]

iş yine devlet babaya mı kaldı yani?

Bu arada bence teslim alandan ürünü geri istemeniz lazım, vermezse de dava açarsın: sebepsiz zenginleşme. Nasıl ki hesabına yanlışlıkla yatan parayı banka geri alabiliyorsa sen de yanlışlıkla yollanan ürünü geri alabilirsin.

Hani uğraşayım diyorsan en mantıklı yol bu.

[bingildak]

sahte kimlikle alışveriş yapan hiçbir bilgisine sahip olmadığın kişiyi nasıl dava ediyorsun?