Kredi kartı ağlarının kötüye kullanımının yeraltı dünyası
(chargebackstop.com)- Bir SaaS hizmeti, kart onay ret oranındaki ani artışı izlerken otomatik oluşturulmuş isimler ve garip e-posta alan adları kullanan bir kart test saldırısı tespit etti
- Saldırı, büyük ölçekli bot trafiğinden çok dakikada en fazla 4 kartlık manuel·hafif otomasyon düzeyine yakındı ve kartların ortak özellikleri aynı banka, aynı fon kaynağı ve ABD çıkışlı olmalarıydı
- Herkese açık Telegram kanalları ve çevrimiçi araçlarda BIN, CVC, son kullanma tarihi, belirli web sitelerinde geçme olasılığı yüksek kart numarası üretme yöntemleri ve Stripe Checkout otomatik çalıştırma araçları paylaşılıyordu
- Başarılı dolandırıcılık ödemelerinin %15'i chargeback ile sonuçlandı; anlaşmazlık kabulü, iade, abonelik iptali ve doğrulama için ChatGPT ile oluşturulmuş Python betikleri kullanıldı
- Stripe Radar'ın varsayılan risk puanları çoğunlukla 0~5 gibi düşük seviyedeydi ve gerçek savunmada saat bazında başarısız deneme sayısını sınırlayan özel Radar kuralları en faydalı araç oldu
Kart test saldırısının keşfi ve ilk müdahale
- Birkaç hafta önce kart onay ret oranının normalden yüksek olduğuna dair bir uyarı oluştu
- Stripe panelinde, otomatik üretilmiş gibi görünen isimlere ve tuhaf e-posta alan adlarına sahip kullanıcılardan çok sayıda başarısız ödeme görüldü
- Hizmet bunu tipik bir kart test saldırısı olarak değerlendirdi, Stripe Radar'ı etkinleştirdi ve ödeme akışına CAPTCHA ekleme işini backlog'a aldı
- Benzer dönemde Pieter Levels ve Danny Postma da Twitter'da benzer saldırıları paylaştı
- Pieter Levels, Philippines'ten gelen
Jake Smithadlı 240 müşterinin iade ve iptal edildiğini, kart test ödemelerinin tutarının 7.000 dolar olduğunu yazdı - Danny Postma,
jack smithadıyla sahte ödemeler gerçekleştiğini ve Stripe tarafından hızlı bir çözüme ihtiyaç olduğunu yazdı
- Pieter Levels, Philippines'ten gelen
Manuele yakın saldırı modeli
- Birkaç hafta sonra onay ret oranı uyarısı yeniden oluştu ve geçici Stripe Radar kuralları eklenerek müdahaleye başlandı
- Trafiğe yakından bakıldığında saldırganların dakikada en fazla 4 kart test ettiği, zamanın büyük kısmında ise saldırının yoğunluğu ve tutarlılığının daha düşük olduğu görüldü
- Stripe'ın kart testi önleme dokümanına göre bu hizmetin entegrasyonu görece iyi korunuyordu
- Kullanıcılar ödeme sayfasını açmadan önce giriş yapmak zorundaydı
- Payment Element kullanılıyordu ve bazı sinyallerden de yararlanılıyordu
- Stripe dokümanına göre kart testi koruma seviyesi
excellentdüzeyine yakın olmalıydı
- Ek inceleme ve ekip içi değerlendirme sonrasında bu trafiğin manuel saldırı ya da çok hafif bir otomasyona daha yakın olduğu sonucuna varıldı
Açık kanallarda dolaşan kart parametreleri ve araçlar
- Saldırıda kullanılan kartların çoğu aynı özellikleri taşıyordu
- Hepsi aynı banka tarafından verilmişti
- Aynı fon kaynağına sahipti
- Hepsi ABD'de verilmişti
- Kart parametreleri fazlasıyla benzer olduğu için, bunların gerçekten bankadan sızdırılmış kartlar olup olmadığı konusunda şüphe doğdu
- Herkese açık erişilebilen kanallarda kredi kartlarının BIN, CVC, son kullanma tarihi ve bu girdilerle geçerli kart numarası üreten araç bağlantıları bulundu
- BIN, kart numarasının ilk 6~8 hanesi olan Bank Identification Number anlamına gelir
- Fon kaynağı, kartın debit, credit ya da prepaid olup olmadığını gösterir
- Açık Telegram kanallarında Spotify Premium veya YouTube Premium'u yasa dışı şekilde elde etme yöntemlerini anlatan mesajlar da vardı
- Belirli web sitelerinde, genelde SaaS'larda, onay alma ihtimali yüksek kart parametrelerini paylaşan açık bir yeraltı ekosistemi vardı
- Bu hizmete yönelik saldırının da belirli bir private Discord sunucusu ya da Telegram kanalında başlayan manuel bir saldırı olma ihtimali yüksekti, ancak somut kaynak bulunamadı
- Açık kanallarda birkaç gün sonra private'a geçileceğini belirten mesajlar sık görülüyordu ve etkinliğin önemli bir kısmının erişilemeyen alanlarda yürüdüğü anlaşılıyordu
- Otomatik oluşturulmuş kart listelerini alıp rastgele bir Stripe Checkout oturumunda otomatik çalıştıran çok sayıda çevrimiçi araç da vardı
- Stripe'ın uçtan uca sahip olduğu Stripe Checkout'un bile otomasyona karşı savunmasız olabilmesi beklenmedik bulundu
- Araç kodlarının bir kısmı Gmail üzerinde rastgele geçersiz e-posta adresleri üretiyordu
Anlaşmazlık, iade ve abonelik iptaline uzanan temizlik süreci
- Bazı saldırganlar ödemeyi başarıyla tamamlayıp gerçekten ürün satın aldı ve bu da sonradan toparlama maliyetini büyüttü
- Ölçeği görmek için 1 Mayıs'tan sonra başarısız ödeme sayısı 5'i aşan müşteriler veri deposunda sorgulandı
- ChatGPT ile bir Python betiği oluşturularak bu müşterilerin e-posta alan adları çıkarıldı
- Alan adı listesine göre veritabanı sorgulanarak aynı alan adına sahip e-posta kullanan müşterilerin yaptığı başarılı ödemelerin listesi elde edildi
- Başka bir ChatGPT üretimi betikle hangi ödemelerin zaten anlaşmazlık durumunda olduğu kontrol edildi
- Başarılı sahte ödemelerin %15'i chargeback ile sonuçlandı
- Chargeback oranı: {p:15}
- Tüm anlaşmazlıkların kabul edilmesine ve her biri için Stripe'ın 20 £ ücretinin üstlenilmesine karar verildi
- Stripe'ta en az yetkili bir restricted key oluşturuldu ve ChatGPT ile chargeback kabul betiği üretildi
- Ardından betikle listedeki ödemeler çekildi, anlaşmazlıkta olmayan ödemeler iade edildi ve bu ödemeleri yapan müşterilerin aktif abonelikleri iptal edildi
- İade edilen ödemelerde de başarılı ödeme ve iade süreci boyunca Stripe ve ağ ücretleri nedeniyle kayıp oluşabiliyordu
- Son bir doğrulama betiğiyle tüm ödemelerin ya anlaşmazlık kabulü ya da iade durumunda olduğu ve ilgili müşterilerde aktif abonelik kalmadığı doğrulandı
- ChatGPT, betikleri çalıştırırken dikkatli olunmasını ve küçük örneklerle test edilmesini önerdi; betikler manuel incelendi ve müşteri verileri, ID'ler ve API anahtarları paylaşılmadı
ABD bankalarının onay uygulamalarının yarattığı yük
- Çevrimiçi ödeme dünyasının işletmeler açısından ciddi biçimde adaletsiz olduğu düşünülüyor
- Anlaşmazlıklarda kazanma ihtimali düşük
- Stripe'a göre anlaşmazlık etkinliğinin %%0,75'in altında tutulması gerekiyor
- İşletme kazansa da kaybetse de her anlaşmazlık için 20 £ ödüyor
- Aynı anda bankalar, özellikle ABD bankaları, şu koşullarda bile ödemeyi onaylayabiliyor
- Tam ad yanlış
- CVV/CVC geçersiz
- Son kullanma tarihi yanlış
- Fatura adresi yalnızca kısmen verilmiş ve ZIP code da yanlış
- Bu koşullarda bile 3D Secure doğrulaması mutlaka tetiklenmiyordu
- Yalnızca kart numarası doğru olan işlemlerde sorumluluğun neden işletmeye yüklendiği sorusu ortada kalıyor
- prepaid card'larda bu kontrollerin uygulanma ihtimali sınırlı olabilir, ancak yine de iyileştirme alanı olduğu düşünülüyor
Gerçekte işe yarayan Stripe Radar kuralları
- İlk müdahale Stripe Radar'ı etkinleştirmek oldu
- Stripe Radar, her ödemeye puan verip bazı sinyaller uyuşmadığında otomatik engelleme yapacak şekilde tasarlanmış, makine öğrenimi tabanlı bir çözümdür
- Bu vakada varsayılan Radar değerlendirmesi fazla yardımcı olmadı
- Sahte ödemelerin çoğunda risk puanı 0~5 gibi düşük seviyelerde çıktı
- Buna karşılık bazı gerçek müşteriler iki kez 3D Secure challenge başarısızlığından sonra engellendi
- Bu deneyim, müşterilerin kaderini makine öğrenimine bırakma konusunda endişe yarattı
- Daha kullanışlı olan özellik Stripe Radar özel kuralları oldu
- 3D Secure challenge isteme
- Manuel incelemeye gönderme
- Tam engelleme
- Radar kuralları sözde kod gibi görünse de kötü niyetli ödeme girişimlerini daraltmak için oldukça karmaşık mantıklar ifade edebiliyor
- En faydalı karşı önlem, müşteri başına 1 saat, 1 gün ve 1 hafta içinde izin verilen ödeme başarısızlığı sayısına makul sınırlar koymak oldu
- CAPTCHA eklemek, başarısızlık oranını izlemek ve özel Radar kuralları paylaşmak, bankaların onay sorumluluğu artana kadar elde kalan gerçekçi önlemler olarak görülüyor
Maliyet sonunda işletme ve müşteriye yansıyor
- Ödeme işleyici ücretleri, chargeback cezaları, mühendislik maliyetleri ve platformdan atılma riski dahil, sahtekârlığın maliyeti dünya genelindeki işletmeler tarafından karşılanıyor
- Stripe'ın işletmelerden 20 £ chargeback ücreti alması da adaletsiz muamelenin bir örneği olarak görülüyor
- Bu maliyetler sonunda daha yüksek fiyatlar şeklinde müşterilere yansıyor
- Her gün güvenilen ödeme ağları kötüye kullanıma oldukça açık ve kartın borçlandırılıp borçlandırılamayacağına dair nihai karar kartı veren bankanın takdirine bağlı
- Bankalar onay konusunda daha fazla sorumluluk üstlenmedikçe işletmelerin yapabilecekleri şeyler, onay başarısızlık oranını yakından izlemek, CAPTCHA eklemek ve Stripe Radar kurallarını geliştirmekle sınırlı kalıyor
1 yorum
Hacker News yorumları
En şaşırtıcı olan, Stripe ödemelerini kötüye kullanan bir grubun varlığı değil; yazarın ChatGPT’ye ödeme işleme otomasyon betiği yazdırmış olması
Özellikle bunun chargeback işlemleri için olması sorunlu; yazının bağlamından da yazarın o betiği kendi yazacak ya da doğrulayacak teknik yetkinliğe sahip olmadığı izlenimi doğuyordu
Stripe’ın dolandırıcılığı önleyeceğine inanıp güveninin boşa çıktığına öfkelenirken, bu kez de anlamadığı başka bir teknolojiye körü körüne güvenmiş oluyor
Sorun yalnızca Stripe değil; güveni rastgele bir yere emanet edip işlerin yolunda gitmesini umma tavrında
Yazar ödeme işlemesini devretmiş değil; daha çok söz konusu hesapların chargeback’lerini tarayıp fiilen “kabul et” düğmesine basan bir betik yapmış
Teknik yetkinliğinin eksik olduğu yargısı nereden çıktı pek anlamıyorum; yazıda da “tüm betikleri dikkatle inceledim, müşteri verisi, kimlik bilgisi, API anahtarı paylaşmadım” diyordu
Bu süreçte yalnızca zaman kazanmak için ChatGPT ile betikler oluşturmuş
Teknik olmayan biri mi, yoksa sadece zamandan tasarruf etmeye mi çalışıyor bilmiyorum; ama açıkçası bu tür uygulama becerisi övgüyü hak eder
Bu betikler ölüm kalım meselesi yaratmadı ya da işin temel kararlarını vermedi; büyük hacimli veriyi süzüp elle kontrol edilebilir sonuçları hızlıca üreten araçlardı
Hatta ChatGPT’nin en faydalı olduğu örnek gibi görünüyor. Zamanı kısıtlı bir kurucunun belirli bir hedefle, kısa süreliğine ihtiyaç duyduğu uzman bilgiyi edinip betik yazdırdığı bir yetkinlik artırma aracı yani
Eskiden aynı sonucu almak için dış kaynak bulmak, işe almak ve derdini anlatmak haftalar sürerdi; şimdi neredeyse ücretsiz ve anında yapılabiliyor
Buna refleks olarak “şaşırtıcı” ya da sorumsuzca bakılmasını anlayabiliyorum, ama epey “şimdiki gençler” tarzı bir tepki gibi geliyor
Gelecek buysa, geliştiricilerin teknik olmayan kişilerin kendi kendine yetme kapasitesinin artmasını desteklemesi ve kurucuların ChatGPT’den betik isteme sürecini nasıl iyileştirebileceğini düşünmesi daha iyi olur bence
Bu alanda teknik uzmanlığımın eksik olduğunu söylemek zor; sadece zamanımı olabildiğince verimli kullanmaya çalışıyorum
Yazar zaten betiği incelediğini ve hassas veri yüklemediğini söylemiş; bu konuda eklenecek bir şey yok
Pek çok kişi ChatGPT’yi etkili kullanıyor ama çıktılara körü körüne güvenmiyor. Benim için ChatGPT başlangıç noktasıdır, nihai çıktı değil
Halüsinasyonla uydurulmuş emsal karar atıflarını doğrulamadan hukuki dilekçeye yapıştıran o avukat gibi herkes aptal değil
Benzer çok yazı okudum ama konu kodlama ya da hata ayıklamanın kendisine dair meta bir yazı değilken yazarın bir anda kod yazarken Stack Overflow’a güvendiğini söylediğini pek hatırlamıyorum
ABD’de ödeme kabul eden yabancı bir şirketseniz, bunu sadece iş yapma maliyeti olarak beklemeniz gerekir
ABD’de kredi kartı dolandırıcılığı toplumsallaştırılmış durumda. Nihai tüketici sorumluluk taşımadığı için çip ve PIN, iki aşamalı doğrulama, 3D Secure gibi şeyleri kullanmaya pek yanaşmıyor
Şüpheli bir işlem fark ederse banka uygulamasında tek bir düğmeye basıyor ve birkaç dakika içinde ödeme iptal ediliyor
Bankalar ve ödeme işlemcileri de insanların daha fazla harcaması için işlemleri mümkün olduğunca hızlı ve kolay geçirme yönünde teşviklere sahip
Yazarın dediği gibi, son kullanma tarihi, fatura adresi, posta kodu uyuşmasa bile genelde ödeme geçiyor
Dezavantajı, tüm sorumluluğun işletmeye itilmesi; işletmenin de bunu telafi etmek için fiyatları herkese yükseltmek zorunda kalması
Danimarka’da da aynı tüketici korumaları, chargeback imkânı ve banka hesabı boşaltılsa bile tüketicinin para kaybetmemesini sağlayan devlet güvencesi var
Buna rağmen satın alma anında zorunlu çip ve PIN ile 3D Secure gibi güçlü korumalar mevcut
ABD’de daha iyi kart güvenliği olmamasının makul bir nedeni olduğunu sanmıyorum. Sadece istemiyorlar gibi görünüyor
ABD’de bu genelde işlem tutarının yaklaşık %2’si; AB’de ise en fazla %0,3 ile sınırlandırılmış durumda
O bile aktarılan para miktarı düşünüldüğünde hâlâ yüksek görünüyor
Bu maliyet de nihayetinde toplumsallaştırılıp tüketiciye yansıtılıyor; nakit ödeyenler de daha yüksek fiyatlarla bunu üstleniyor
Bu arada 3D Secure’da bazı banka şartlarına göre kart sahibi sahte işlemlerden sorumlu tutulabiliyor
Telefona gelen iki aşamalı doğrulama söz konusuysa telefonla cüzdanın birlikte çalınması yeterli; haberlerde gerçekten binlerce dolar kaybeden vakalar gördüm
Gördükleri tek şey dolar başına 1–2 sent, en fazla 5 sent civarı ödülün “puan” biçiminde verilmesi; 1 sent de 100 puanmış gibi gösterildiğinden cazip görünüyor
Görünmeyenler ise genel ürün fiyatlarına eklenen %3–5 veya daha fazla zam, chargeback ve işlem maliyetleri, sahte ödemeler, zayıf güvenlik, hâlâ manyetik şerit kabul eden mağazalar ve sayısız aracı
Banka ücretleri, kartı çıkaran kuruluş ücretleri, ağ ücretleri, premium kart ücretleri durmadan ekleniyor
Tam bir kaos ve gerçekten nefret ediyorum
FedNow ile değişmesini umuyorum. İnsanların parasını emen aracıları ortadan kaldırmak, parazitleri ve israfı yok etmek gerekiyor
İçinde olduğum iki kuruluşu son iki yıldır işletiyorum; ikisi de Fransız banka kartları kullanan otomatik kredi kartı doğrulama botlarının saldırısına uğradı ve birçok kart geçti
Elbette her iki kuruluşun da ödeme sitesini güçlendirmeleri yönündeki önceki uyarılarımı görmezden gelmişlikleri var; bunlardan biri hâlâ Magento 1 kullanıyordu
Bu sadece bir anekdot, ama asıl sorun kredi kartlarının ACH kadar yamalı bohça hâline gelmiş bir kalıntı olması ve kimsenin bunu anlamlı biçimde düzeltmeye çalışmaması
Kredi kartı ABD’de icat edildi; bu yüzden teknoloji eski ve yükseltmesi uzun sürüyor
Manuel ödeme tarafında Hindistan’ın UPI’ı oldukça iyi görünüyor. Duyduğuma göre ödeme işlenmeden önce müşteri her bir ödemeyi telefonundan onaylıyor
Chargeback ücretleriyle ilgili olarak Visa, birkaç yıl önce Verifi adlı şirketi satın aldı.
Yeni ürünleri Rapid Dispute Resolution ve Order Insight var.
RDR, bir işlem chargeback’e dönüşmeden önce otomatik iade yapılmasını sağlıyor ve Visa 4 dolar ücret alıyor. MCC kodunun yüksek riskli olmaması şartıyla.
Order Insight, itiraz edilen bir ödeme için belirli verilerin anında sağlanmasına olanak tanıyor; müşterinin geçmişte 3 kez ödeme yapmışlığı varsa chargeback başlatılamıyor.
Bizim işimizde kazanma oranı, ortalama sipariş tutarı ve chargeback ücreti açısından karar vermek çok kolaydı.
Artık Visa’nın ya da üye iş yeri bankasının %1 chargeback kuralı için sürekli endişelenmemize de gerek yok.
Yalnızca Visa ödemeleri için geçerli ama toplam işlem hacminin yaklaşık %50’sini oluşturuyordu.
Son olarak Visa, işlem sağlayıcıların devasa bir gelir kaynağını fiilen ellerinden alıyor. İşlem sağlayıcınız TSYS ise RDR ücreti olarak 10 dolar almaya çalışacaktır.
Ethoca’yı duydum; SEO’yu gerçekten iyi yapıyorlar. Verifi’ye epey benziyor.
ABD’nin bankacılık tarafında neden bu kadar geride göründüğünü anlamıyorum.
Birleşik Krallık 2004’ten itibaren çip ve PIN uygulamasını başlattı, 2006’dan itibaren de zorunlu kıldı; ABD ise yaklaşık 10 yıl sonra yetişti.
Faster Payments, çoğu banka hesabı arasında anlık transferi ücretsiz sunuyor. ABD’li müşterilerden havale almak, ABD Wise hesabım olsa bile her zaman kâbustu.
AB güçlü müşteri kimlik doğrulamasını getirdiğinden beri yeni ödemelerin çoğunun mobil bankacılık uygulamasıyla ya da başka bir iki aşamalı doğrulama yöntemiyle onaylanması gerekiyor.
Ondan önce bile en azından posta kodu ve CVV’nin eşleşmesi gerekiyordu.
Bu önlemler bankaların dolandırıcılık sorumluluğunu müşteriye devretme yolu gibi görünüyor ama her iki durumda da zarar müşteriye gidiyor.
Kart dolandırıcılığının yaygın biçimde kabullenildiği bir kültürde, bu maliyeti dengelemek için fiyatlar yükseliyor.
Masada terminalle doğrudan ödeme yapmak yerine kartınızı garsona verip bir yerlerde manuel işlem yapmasını beklemeniz gerekiyor.
Son birkaç yılda iyileşmiş olabilir ama Kanada’da 2000’lerin başından beri bu yöntem kullanılmıyor.
Bunun sonucunda Y% daha fazla müşteriye hizmet verebilir; Y, X’ten büyükse uzun vadede daha fazla kâr edebilir.
ABD’de muazzam ölçek sayesinde bu yöntem birçok işte işe yarıyor.
Örneğin McDonald’s için öğle yoğunluğunda dolandırıcılık olmadığını kontrol etmeye 1 saniye harcamaktansa ödemeyi hızlıca geçirmek marj açısından muhtemelen daha iyidir.
Avrupa’da işe yaramayabilir ama gerçek maliyeti analiz ederken işlem hızı ve ölçek boyutunun gözden kaçırıldığını düşünüyorum.
Dolandırıcılık ile kâr dengesi şirketlerin aleyhine döndüğü anda, ABD’de de başlıca dolandırıcılık önleme mekanizmaları neredeyse anında açılacaktır.
50 eyalete yayılmış binlerce küçük yerel banka bulunuyor ve her eyalet de oldukça bağımsız.
Böyle bir ortamda büyük yeni teknolojileri yayına almak çok daha zor.
Çip ve PIN internet ödemelerinde çalışmaz.
Banka havaleleri uluslararası ölçekte iyi uyum sağlamaz.
Adres doğrulama ve CVV’yi açmak kolaydır ama meşru işlemleri de daha fazla reddedebilir. Bazen bunun maliyeti yakaladığı dolandırıcılık riskinden büyüktür.
Dolandırıcılık sorumluluğu müşteriye değil, üye iş yerine itilir.
Elbette üye iş yerinin dolandırıcılık maliyeti sonunda fiyatlara yansır ve müşteri daha fazla öder; ama bu yalnızca tüm dolandırıcılık maliyetlerinin sonunda tüketiciye aktarıldığı anlamında böyledir.
Gerçekte durum böyle değil; karmaşık bir mesele ve Atlantik’in iki yakasındaki aktörler değişimi kötüye kullanmaya çalışan kötü niyetli bir oyun oynuyor.
Ayrıca ilgili rolleri de görmezden geliyor.
İstikrarlı bir işi olan 20’li yaşların ortasındaki kişiler, çeşitli nedenlerle gerçek sistemin giderek daha küçük bir parçası hâline geliyor.
AB’de ve diğer bölgelerde çalışan 20’li yaşlardaki insanların sömürüldüğünü ve haklarını kaybettiğini düşünenler de var.
Eskiden çalıştığım şirketin sunucusu hacklendi; API anahtarını çalıp o sunucuda carding yaptılar.
PayPal bize 100 bin dolar ücret ödememiz gerektiğini söyledi.
Biz kurs kayıt ücretleri için günde en fazla 5 işlem, işlem başına da yaklaşık 4.500 dolar işleyen bir yer idik.
Hacker, rastgele kredi kartı numaraları için her saniye 1 dolarlık provizyon isteği çalıştırdı.
Carding ücretlerini sonunda ödemek zorunda kalmadık ama onların umurunda değildi.
Dolandırıcılıktan para kazandıkları için umurlarında değil.
Ayarlarda sipariş tutarının yalnızca 2.500–6.000 dolar arasında olmasına izin verdiğimizi belirtmiştik ama provizyon isteklerini kontrol etmiyorlardı.
Gerçekten delilik.
2010 civarıydı ve o dönemde Stripe Kanada’da kullanılamıyordu.
Stripe’ın dolandırıcılık önlemesi berbat ve bu kasıtlı.
Risk yönetimi maliyetini açıkça müşterilerine yıkıyorlar. Müstehcen denecek kadar.
Kredi kartı dolandırıcılığı önleme alanında çalışıyorum; bu işte çok iyi olduğum da söylenemez ama 3,5 kişilik ekibimiz bu tür carding saldırılarını engelleyen sistemleri kolayca kurup sürdürdü.
İşletmelerin carding saldırılarını engellemesinin başlıca yolu, kendilerini bir sonraki hedeften biraz daha zahmetli hâle getirmektir.
Bana kalırsa Stripe, acıyı ve maliyeti kullanıcılarına yıkabildiği için saldırması en kolay büyük ağ olarak kalmayı sorun etmiyor.
Stripe çok düşük bir maliyetle bu zararları kolayca engelleyebilir.
Birkaç kuruş tasarruf etmek için kullanıcıların acı çekmesine izin vermeyi seçiyorlar.
Stripe Taxes ve berbat döviz dönüşümü de aynı strateji.
Başta hizmeti düzgün sunmuyor; sonunda Stripe işlem maliyetinin toplam fiyatın çift haneli yüzdesine çıktığını fark ediyorsunuz.
Stripe’dan Edwin’im. Bu yazının bir ay öncesine ait eski bir yazının (https://piotrmierzejewski.com/p/card-networks-exploitation) kopyası olduğunu eklemek isterim.
O zamandan beri bu sorunların çoğunu düzelttik. Bu tür kart testleri azaldı ve artık Radar’ın bu saldırıları yakalaması gerekiyor.
Chargeback’ler konusunda biz de chargeback’lerden nefret ediyoruz ve mümkün olduğunca azaltmak istiyoruz.
Aslında burada yardımcı olacak birkaç şey üzerinde çalışıyoruz.
Bankalar chargeback ücretlerini farklı tutarlarda alıyor ve bunun ortalaması 20 dolarlık ücret olarak görünüyor.
Bu Stripe’a özel bir ücret değil ve biz chargeback’lerden kâr etmiyoruz.
Şirketin yılın geri kalanına yönelik planlarını yeni tamamladık ve bu tür dolandırıcılığı azaltmak en yüksek önceliğimiz.
Benzer bir şey yaşadığınızı düşünüyorsanız edwin@stripe.com adresine e-posta gönderebilirsiniz.
Bunu cidden, sizin müşteriniz olarak söylüyorum.
Geçen yıl bir e-ticaret şirketinde sistemler, CI, altyapı ve yazılımdan sorumlu bir rolde çalıştım.
Bu tür şeyler gerçekten çok yaygındı ve her hafta en az bir günümü yeni örüntüleri anlamaya ve engellemeye harcıyordum.
Saldırganlar sistemimiz üzerinden kredi kartlarını doğruluyordu.
Sonunda alışveriş sepeti ve ödeme tarafındaki saldırıların neredeyse tamamını engelledik ama istekler gelmeye devam etti.
Daha sonra alakasız bir PHP sorunu nedeniyle logları incelerken, bir yazılım mühendisi sonradan ödeme yöntemi kaydetmeye yarayan sayfaya muazzam trafik geldiğini söyledi.
Platform, kartın gerçek olup olmadığını kontrol etmek için 1 dolarlık ödeme gönderiyordu ve saldırganlar da bunu kullanarak kartları sürekli deniyordu.
Kredi kartı hırsızları gerçekten çok becerikli.
Stripe ile dolandırıcılık tespitinde, bunu ciddi şekilde azaltmak istiyorsanız ve yeterli işlem hacminiz varsa kendi dolandırıcılık tespit modelinizi eğitmenin iyi olacağı tavsiyesini duymuştum.
Basit bir lojistik sınıflandırıcı gibi bir şey bile işe yarayabilir.
Stripe Radar her işletmenin ayrıntılı özelliklerine göre ayarlı değil; hangi ürünün satın alındığı, site açıldıktan sonra satın almaya kadar ne kadar süre geçtiği gibi ek sinyaller hesaba katılabilir.
Özel Radar kuralları da bir ölçüde işe yarıyor.
Birçok bağımsız işletmecinin bunun için kaynak ya da isteği olmadığını anlıyorum.
Satın alınabilecek çözümler de var, ama pahalılar ve çoğunlukla yüksek hacimli işlem yapan üye işyerlerini hedefliyorlar.
Belki bir gün Stripe ince ayar yapılabilen bir Radar ürünü çıkarır.
Kredi kartı sektörünün ortadan kalkması için bir neden daha.
Güvenlik protokolleri ya yok ya da 21. yüzyılın başından beri güncellenmedi; aracılar tarafından yapılan suistimaller de saymakla bitmez.
Bu baş ağrılarıyla uğraşmanın maliyeti, daha yüksek işlem ücretleri ve chargeback ücretleri şeklinde üye işyerlerine yansıtılıyor, sonunda da tüketiciye geçiyor.
Kredi kartı sektörünün tüketicilerde en kötü harcama alışkanlıklarını teşvik ettiğini ve bitmeyen borç köleliği döngüsünü sürdürdüğünü de unutmamak gerek.