Çeşitli yöntemlerle, fiziksel yollardan ele geçirilen kredi kartı bilgilerinin Fraud işlemler gönderilerek sınandığı ortam; bankalar tarafından Üye İşyerlerine sağlanan “Sanal Pos” altyapıları olur. Üye İşyerleri gerçekleşen transaction’ları detaylı analiz ederek, çeşitli parametrik değerlerle süzmezlerse charge-back riski ile karşı karşıya kalırlar.
Bu konuyla ilgili bir kaç ipucu vermek istiyorum.
Öncelikle; Gerçekleşen işlemler, müşteri doğrulanarak “güvenli” statüsüne çekilene kadar “PreAuth” olarak Sanal Pos’a gönderilmelidir. PreAuth’u( Ön otorizasyonlu) açıklamak gerekirse; kısaca kredi kartına borç geçmeden, kart limitine bloke konulması olarak değerlendirebiliriz. Bu tip işlemlerde muhasebeleşen bir tutar olmadığı için; kredi kartı ekstresinde de haraket olmayacak, işlem gerçekten kart sahibine ait değilse charge-back riski doğmayacaktır. İşlemin kart sahibine ait olmadığının tespit edilmesi durumunda açık provizyonda bekleyen tutar kolaylıkla “iptal” edilebilir.
Üyelerin gri, beyaz ve kara liste şeklinde 3 farklı grup altında takip edilmesi, kart doğrulama ile uğraşan operasyonel ekibin yükünü hafifletecektir. Kartı bir kere doğrulanan müşteri için alışveriş tutarı geçmişe dönük siparişlerinin çok üzerinde değilse PreAuth yerine Auth, yani direk satış işlemi gönderilebilir. Örn; ortalama 100 YTL sipariş veren sadık bir kullanıcı, bir sepette 3.000 YTL’lik sipariş gönderiyorsa bu siparişin fraud kontrolünden geçmesi gerekmektedir.
Üye İşyerleri bankalardan kart sahibi doğrulatabilir mi?
Kart doğrulama ile ilgili bankadan bankaya değişen birimler ile irtibata geçilebilir… Belirli tutarların üzerinde kalan siparişlerde bankaların operasyon merkezleri tarafından kart doğrulama hizmeti verilmektedir. Bu işlemler için transaction’a ait verileri bir mail ile ilgililere göndermeniz istenir. (provizyon numarası, tutar, kart sahibi adı vb.) banka kart sahibi ile irtibata geçerek sipariş doğruluğunu onaylar ve Üye İşyerine bilgi verir. Onayı alan Üye İşyeri PreAuth olarak gerçekleşen işlemi onaylayarak muhasebeleşmesini sağlar. Artık siparişe ilişkin tutarlar kart dönem içi işlemlerine yansımıştır.
Fraud Kontrolleri;
Unutulmaması gereken; yeni açılan Sanal Pos kullanıcı Üye İşyerlerinin hedef olduğudur. Bu sitelerin müşteri veritabanları henüz oluşmamış ve çeşitli açıkları oldukları varsayılır. Yeni açılan siteler, B2C’ler ilk bir kaç günü çok iyi gözlemlemekte fayda var.
- 1 – Aynı IP’den birden fazla işlem geliyorsa; çeşitli uyarı mekanizmaları çalışmalı, belirlenen kısıtların üzerindeki işlemlerde otomatik olarak “red” cevabı döndürülmelidir. Bir kaç kredi kartı bilgisi ele geçiren kullanıcı kartlarının hepsini deneyecektir. Bu uyarılar e-mail, cep telefonu mesajı vb şekillerde olabilir.
2 – Aynı üyelik ile birden fazla işlem geliyorsa; çeşitli uyarı mekanizmaları çalışmalı, belirlenen kısıtların üzerindeki işlemlerde otomatik olarak “red” cevabı döndürülmelidir.
3 – Aynı kart numarası ile birden fazla işlem gönderilmesi durumu (aynı gün) incelenmeli Müşterinin daha önceki siparişleri ile son siparişi arasındaki oransal fark incelenmelidir.
4 – Hata alan işlemlerin hata açıklamaları incelenmelidir. Sanal Pos’ta onay mesajı “00” ile ifade edilir. 01’den 99’a kadar alınan mesajlar hata açıklamalarını ifade etmektedir. “51” gayet masum bir limit yetersiz hatasıyken, “82” hatalı CVV anlamına gelmekedir. 41 ve 43 no’lu hatalar Çalıntı kartları ifade etmektedir. Dolayısıyla bu hata mesajlarının alan işlemler, IP, üyelik, Kredi Kartı numarası takip edilmeli, çeşitli uyarılar ile desteklenmelidir.
5 – Anlamsız ve ücretsiz mail adresleri fraud habercisi olabilir.
6 – Aynı kredi kartı ile çok düşük tutarlı bir kaç farklı sipariş, kartın limiti olup olmadığının test edilmesi anlamına gelmektedir. Gerçek bir kullanıcı hepsini aynı sepette alarak tek bir kargo ücreti ödemek isteyecektir. Bu tip işlemler yüksek miktarda gelecek fraud provizyonun habercisidir.
Bu örnekleri çoğaltmak mümkün aklıma gelen, en çok karşılaşılanları listelemeye çalıştım.
dostum eline sağlık çok faydalı bir yazı olmuş.
Öncelikle herkesin Ramazan bayramını kutlar sağlık ve esenlikler dilerim… Dostum ellerıne sağlık faydalı bilgi olmuş, bu fraud kontrollerini ortadan kaldırmak için 3D secure sisteminin yaygınlaşması gerekir, 3d secure sorgulamasıyla sanal posa gelen işlemde kart çalıntı olsada üye işyerinin charge-back riski ortadan kalkmaktadır…
merhaba,
http://www.teleislem.com web sitemizden üyemiz olmadığınız halde neden denemeler yaptığınız bilmek istyoruz ? Eğer yukarıda bahsettiğiniz “masum” türden denemeler ise sorun yok ama başka bir sebeple denemeler yapıyorsanız bu konuda bize bilgi vermenizi bekliyoruz.
Mehmet Özakıncı
Tenik Destek Departmanı
Goognet Ltd.Şti.
Merhaba Mehmet Bey,
Ödeme Sisteminizin çalışma mantığını anlamaya yönelik denemelerdi bunlar, ilk denemede “gerçek” isim soyisim göndererek yaptığım için beni bulabildiğiniz, dolayısıyla iyi niyetli denemelerdi.
Takibiniz için teşekkür ederim.