İşlem dolandırıcılığını tespit etmekte kullanılan SQL kalıpları

 (analytics.fixelsmith.com)
1 puan yazan GN⁺ 2 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Dolandırıcılık tespiti, makine öğrenmesinden önce çoğu zaman tabloları ve join'leri doğru kurup hız, konum, tutar, iş yeri ve zaman dilimi anormalliklerini SQL ile bulmakla başlar
  • Velocity, kısa süre içinde aynı kart sahibine yığılan işlemleri bulur; zaman penceresi, eşik ayarı ve yanlış pozitifler için beyaz liste gerekir
  • Impossible travel, LAG() ve mesafe hesabıyla Chicago'daki bir ödemeden 7 dakika sonra Los Angeles'ta yapılan ödeme gibi fiziksel olarak imkânsız hareketleri güçlü bir kopya kart sinyali olarak yakalar
  • Tutar anormallikleri, $1.00, $99.99, $499.99 gibi kart testi ya da kural kaçınmasını ima eden tutarları arar; ancak yardım/benefit işlemlerine pek uymaz
  • İş yeri sıçraması, alışılmış saatlerin dışındaki işlemler ve pencere fonksiyonlarından türetilen sütunlar birlikte kullanıldığında işlemler birden fazla sinyalle puanlanabilir ve yineleme döngüsü haftalardan saatlere indirilebilir

İşlem verilerinde dolandırıcılık işaretlerini bulmak için SQL kalıpları

  • Dolandırıcılık tespiti, makine öğrenmesi ya da grafik veritabanlarından önce çoğu zaman doğru tablolar ve join'ler ile anormal işlem biçimlerini bulan SQL'den başlar
  • Kredi kartı, sağlık talebi, e-ticaret, POS ve devlet destek/yardım programları gibi paranın hareket ettiği ve log bıraktığı verilere uygulanabilir
  • Yeni bir veri setinde kalıplar genelde şu sırayla kurulur: velocity, imkânsız yolculuk, tutar anormalliği, iş yeri yoğunlaşması, olağandışı saatler, pencere fonksiyonu tabanlı sinyaller

1. Velocity: kısa sürede aşırı işlem

  • Çalıntı kartı ya da hesabı hızla tüketmeye çalışan durumlarda, aynı kart sahibinde kısa süre içinde işlem yığılması görülür
  • Temel sorgu, son 30 günlük işlemleri saat bazında gruplar ve cardholder_id başına işlem sayısı eşiği aşan aralıkları bulur
  • Temel ayar noktaları zaman penceresinin boyutu ve işlem sayısı eşiğidir
    • 1 dakika, 5 dakika ve 1 saatlik sürümler paralel çalıştırılıp karşılaştırılabilir
    • Kart testi yapan gruplar işlemleri saniyeler içinde yığabilirken, yardım suistimali yapan gruplar yarım güne yayılmış şekilde hareket edebilir; yani ölçek farklıdır
  • Normal kullanıcılar da eşiği aşabilir
    • Otomat yöneten işletmeciler
    • Ön ödemeli karta toplu yükleme yapan kişiler
    • İlk keşiften sonra bu tür yanlış pozitif hedefleri için beyaz liste gerekir
  • Sliding window yaklaşımı, COUNT(*) OVER (...) RANGE BETWEEN INTERVAL '5 minutes' PRECEDING AND CURRENT ROW ile son 5 dakikadaki işlem sayısını hesaplar
  • QUALIFY, Snowflake, BigQuery, Databricks, Teradata üzerinde çalışır
    • Postgres'te tüm sorguyu bir CTE içine alıp dışarıda filtrelemek gerekir

2. Impossible travel: fiziksel olarak imkânsız hareket

  • Bir kart Chicago'da kullanılıp 7 dakika sonra Los Angeles'ta kullanılıyorsa, ikisinden biri büyük olasılıkla sahtedir
  • Bu kalıp, kopya kartı yakalamada güçlü bir sinyaldir; bir kartın birkaç dakika içinde birbirinden uzak iki yerde bulunması için normal bir sebep neredeyse yoktur
  • Sorgu, LAG() ile bir önceki işlemin zamanını ve konumunu alır; ardından mevcut konum ile önceki konum arasındaki mesafe ve süreyi hesaplar
  • haversine, büyük çember mesafesini (great-circle distance) hesaplayan bir fonksiyondur
    • Çoğu veri ambarı bunu sağlar
    • Yoksa elde yazılabilecek kadar basit bir fonksiyondur
  • Örnek eşik 600mph'dir
    • Ticari jetlerin seyir hızının yaklaşık 575mph olması nedeniyle, bu uçakla bile mümkün olmayan bir hız anlamına gelir
    • 100mph'ye düşürülürse hızlı kara yolculukları da yakalanabilir; ancak gerçek hava yolcuları ya da çocuğunu arabayla taşıyan ebeveynlerin normal işlemleri de takılmaya başlar
  • Aynı ailede ek sinyaller de incelenebilir
    • 5 dakika içinde aynı eyalette uzak iki şehirde işlem görülmesi yerel kopyalama şebekesine işaret edebilir
    • 1 saat içinde birden çok ZIP kodunda işlem görülmesi, tek bir bölgede dolaşan skimmer şebekesine işaret edebilir
    • 10 dakika içinde sınır aşan işlemler uluslararası bir şebeke sinyali olabilir

3. Amount anomalies: belirli tutar aralıklarındaki anormal işlemler

  • Dolandırıcılıkta sık görülen ama normal kullanımda seyrek olan tutar kalıpları vardır
  • Örnek koşullar şu tutar aralıklarını arar
    • $1.00, $5.00, $10.00
    • $99.50 üzeri ve $100.00 altı
    • $499.50 üzeri ve $500.00 altı
  • Küçük tam dolar tutarları çoğunlukla kart testi sinyalidir
    • Amaç, kart numarası dökümlerinden alınan numaranın gerçekten çalışıp çalışmadığını doğrulayıp sonra yeniden satmaktır
    • Gerçek kart sahibinin tam olarak $1.00 tutarında bir ürün alması nadirdir
    • Kahve $4.73, yakıt $52.81 gibi tam yuvarlak olmayan tutarlarda olur
  • Eşiğin hemen altındaki tutarlar başka bir anlama gelir
    • $99.99, birçok yerde $100 üzeri için kimlik kontrolü istenen sınırdan kaçınma girişimi olabilir
    • $499.99, günlük $500 ATM limitinden kaçınma girişimi olabilir
    • Bu, işlem yapan kişinin kuralı bilip onun hemen altında kaldığını gösterir
  • Yardım/benefit işlemlerinde yuvarlak tutar kalıpları çok faydalı değildir
    • Yardımlar aynı şekilde kart testiyle sınanmaz
    • Genelde mükerrer yararlanıcılar daha önemli bir sinyaldir

4. Suspicious merchants: iş yeri düzeyinde anormal yoğunlaşma

  • Akaryakıt pompasındaki kart okuyucu gibi belirli bir okuyucu skimmer ile ele geçirilirse, bu tek bir olaya değil onlarca dolandırıcılık vakasına yol açabilir
  • O okuyucuyu haftalar boyunca kullanan tüm kartlar birilerinin veritabanına girebilir
  • İş yeri açısından bakıldığında bu, kısa süre içinde birbiriyle ilgisiz kart sayısının normalden çok daha fazla artması ve işlem tutarlarının da büyümesi olarak görünür
  • Basit eşik örneği, son 7 gündeki işlemleri iş yeri ve saat bazında gruplayarak şunları hesaplar
    • Benzersiz kart sayısı
    • Toplam işlem sayısı
    • Toplam işlem tutarı
    • Benzersiz kart sayısı 20'yi ve toplam tutar $5000'ı aşan saatler aranır
  • Statik eşiklerde ölçek düzeltme sorunu vardır
    • Costco bu eşiği 90 saniyede geçebilir
    • İkinci el kitapçı ise neredeyse hiç geçmeyebilir
  • Daha iyi yaklaşım, her iş yerini kendi tarihsel taban çizgisiyle karşılaştırmaktır
    • Son 60 günlük işlemler saatlik bazda gruplanır
    • Her iş yerinin geçmiş 168 saatlik bucket'ı üzerinden ortalama benzersiz kart sayısı hesaplanır
    • Mevcut benzersiz kart sayısının geçmiş ortalamanın 3 katını aştığı aralıklar bulunur
  • 168 saatlik bucket, son 7 günün saatlik dilimlerine karşılık gelir
    • Çünkü günlük ve haftalık mevsimsellik önemlidir
    • Aynı kahve dükkânının salı 14:00 ile cumartesi 09:00 taban çizgileri farklıdır
  • Başlangıç noktası olarak normalin 3 katı kullanılabilir
    • Alarm yağmuruna yol açmayacak kadar gevşektir
    • Gerçekten garip saatleri yakalayacak kadar da sıkıdır

5. Off-hours: kişinin normal kullanım saatleri dışındaki işlemler

  • Çoğu insanın harcama alışkanlıkları vardır
  • 09:00-17:00 çalışan biri aniden sabah 03:00'te yakıt almaya başlarsa, kart başka biri tarafından kullanılıyor olabilir ya da kişi seyahatte olabilir
  • Seyahatte olup olmadığı başka sinyallerle ayrıca doğrulanabilir
  • Sorgu, son 90 günde kart sahibi ve saat bazında işlem sayılarını hesaplar; sonra yalnızca en az 2 işlem görülen saatleri alışılmış saatler olarak kabul eder
  • Daha sonra yeni bir işlemin saati, ilgili kart sahibinin earliest_hour ve latest_hour aralığının dışındaysa tespit edilir
  • İç sorgudaki “o saatte en az 2 işlem” koşulu önemlidir
    • 3 ay önce rastlantısal olarak yapılmış tek bir gece yakıt alımının normal saatlere dahil edilmesini engeller
    • Eşiği “bir kez oldu” yerine gerçek alışkanlığa uyarlar
  • Zayıf yanı, geçmiş veri gerektirmesidir
    • Yeni hesaplarda taban çizgisi yoktur
    • Yeni hesaplarda tüm kullanıcıların saat kalıpları kullanılabilir ya da hesap birkaç ay veri biriktirene kadar bu kalıp atlanabilir

6. Pencere fonksiyonlarıyla sinyalleri birleştirmek

  • Pencere fonksiyonu kalıpları ayrı bir dolandırıcılık türü değil, önceki beş kalıbı birleştirilebilir sinyallere dönüştürmek için hazırlık işidir
  • İşlem bazında şu türetilmiş sütunlar üretilebilir
    • Önceki işlemden beri geçen süre: timestamp - LAG(timestamp)
    • İş yeri değişti mi: önceki merchant_id ile mevcut merchant_id karşılaştırması
    • Son 24 saatteki kümülatif tutar: SUM(amount) OVER (...)
    • Gün içindeki kaçıncı işlem olduğu: ROW_NUMBER()
  • Bu sütunlar materialize edilirse dolandırıcılık kuralları basit filtre ifadelerine indirgenir
  • Kart testi yapan şebekeler şu koşullarla bulunabilir
    • Günün 5. işlemi veya sonrası
    • Önceki işlemden sonra 60 saniyeden az geçmiş olması
    • İş yerinin önceki işlemden farklı olması
  • Yeni dolandırıcılık hipotezlerini mühendislik bileti yerine SQL filtresi olarak ifade edebiliyorsanız, yineleme döngüsü haftalardan saatlere iner
  • Sonuç olarak daha fazla dolandırıcılık daha hızlı yakalanabilir

Kalıpları birlikte kullanma biçimi

  • Tek bir kalıp hiçbir zaman yeterli değildir
  • Her kalıbın belirgin sınırları vardır
    • Velocity, otomat işletmecileri gibi yanlış pozitifler üretir
    • Coğrafi olarak imkânsız hareket, aynı metropol alanında gerçekleşen dolandırıcılıkları kaçırır
    • Tutar anormallikleri, kart testi bağlamı dışında iyi çalışmaz
    • Olağandışı saatler kuralı geçmiş veri ister
  • Pratikte tüm kalıpları çalıştırıp her işlemi birden fazla sinyal üzerinden puanlamak işe yarar
  • Üç ya da dört sinyale birden takılan işlemler neredeyse her zaman dolandırıcılıktır
  • Yalnızca tek bir sinyale takılan işlem ise seyahatte olan gerçek kart sahibinin sıra dışı ama normal kullanımı olabilir
  • Dolandırıcılık tespitine yeni başlıyorsanız önce Velocity ile başlamak iyi bir fikirdir
    • Faydalı miktarda dolandırıcılığı görünür kılar
    • Normal faaliyetleri görece az yakalar
    • Çalıştırma maliyeti de düşüktür
  • 1'den 5'e kadar olanlar zaten varsa, sonraki yatırım alanı pencere fonksiyonu tabanlı ham sütunlar olmalıdır
    • Bir kez oluşturulduğunda ekipteki tüm analistler kullanır
    • Sonraki dolandırıcılık kalıbını eklemek ayrı bir proje olmaktan çıkar

Dikkat edilmesi gerekenler

  • NULL işleme

    • Gerçek işlem tabloları çoğu zaman SQL giriş kitaplarındaki gibi NULL kullanmaz
    • Birçok legacy sistem, “bitiş tarihi yok” için 9999-12-31, “başlangıç tarihi yok” için 0001-01-01 gibi sentinel değerler kullanır
    • IS NULL ile filtrelerseniz bu satırları sessizce kaçırabilirsiniz
    • WHERE koşulunu yazmadan önce ilgili tablonun kuralını kontrol etmek gerekir

  • Yanlış pozitifler

    • Her kural, anormal ama meşru davranış sergileyen gerçek kart sahiplerini yakalayabilir
    • İşaretlenen kayıtlar için insan incelemesi gerekir
    • Eşiklerin, gerçek dolandırıcılık ve değil ayrımına göre ayarlanacağı bir geri bildirim döngüsü gerekir
    • Tek bir kuralla otomatik engelleme yapmak müşteri kaybettirebilir

  • Gizlilik

    • Veride PII varsa geçerli veri kullanım politikalarına uyulmalıdır
    • Önce anonimleştirilmiş ya da örnek veriyle çalışılmalı, üretim verisi ise onaydan sonra kullanılmalıdır

  • Maliyet

    • Büyük partition'larda pencere fonksiyonları ucuz değildir
    • Önce tarih aralığı filtrelenmeli, sonra pencere fonksiyonu uygulanmalıdır
    • Tüm veri setinin 2 yıllık işlem geçmişine önce LAG() çalıştırıp WHERE koşulunu sonra eklemek, veri ambarı kredi bütçesini ciddi biçimde tüketebilir

İlgili okumalar

1 yorum

 
GN⁺ 2 시간 전
Hacker News yorumları

  • Gerçek kart sahibinin tam olarak $1.00 tutarında bir şeyi neredeyse hiç satın almadığı ölçütü, satıcının fiyatları nasıl belirlediğine bağlı değil mi diye düşünüyorum
    Çalıntı kredi kartını test etmek için bir web sitesinden bir şey alırken alıcı fiyatı kafasına göre belirleyemez
    Ayrıca bu, fiyatlara verginin dahil olmadığı ABD gibi durumlara fazla göre düşünülmüş gibi; başka bölgelerde ise tam yuvarlak fiyatlar çok yaygındır
    Yazıdaki diğer ölçütlerin de iyi çalışıp çalışmayacağı şüpheli. Örneğin son 90 gün içinde normalde en az 2 işlem yaptığı saat aralıklarının dışında işlem yapan kişileri işaretlerseniz, insanların yarısı buna takılmaz mı?
    Bunun karmaşık uzmanlık bilgisini aşırı basitleştirilmiş SQL sorgularına indirgeyen bir yazı mı, yoksa tamamen tahmin ve uydurma mı olduğu belirsiz. “İşlem sahtekarlığını yakalamakta kullanılan altı SQL deseni” ile “burada gerçekten üzerinde çalıştığım ya da gördüğüm hiçbir şey yok” cümleleri birbiriyle çelişiyor

    • “Normal saatlerin dışında işlem” epey temel bir ölçüt gibi görünüyor
      Normalde sabah 2'de yakıt, kahve ve atıştırmalık almam ama çok nadiren böyle bir şey yaptığımda bunun büyük ihtimalle kişisel bir acil durum olması muhtemel ve o sırada bankayı aramak isteyeceğim son şey olur
      Fırsatçı hırsızların da o saatte aktif olabileceğini biliyorum ama yanlış pozitif maliyeti diye bir şey de var
    • Bundan da kötü. Benim deneyimimde kahve çoğu zaman tam yuvarlak tutarlı oluyor ve yakıt alırken özellikle tam tutarda alan insanlar da var
      Ayrıca 10, 20, 50 euro gibi önceden belirlenmiş tutarlar isteyen benzin istasyonları da mevcut
    • Bir gece barda acıkmıştım ve bir paket cips almak istedim ama kart için minimum ödeme tutarı £5 idi, ben de ödemeyi doğrudan £5 olarak almalarını söyledim
      Sonra sahtekarlık şüphesiyle kartım bloke edildi ve bu bayağı sinir bozucuydu. Sabah 2'de sarhoşken uğraşmak isteyeceğim bir şey değildi
      Belki beni kendimden korumuş oldu ama yine de rahatsız ediciydi
    • Hâlâ kullanılıyor mu bilmiyorum ama eskiden otel veya araç kiralama gibi yerler, oda rezervasyonu ya da araç kiralaması öncesinde kredi kartının geçerli olup olmadığını $1.00 işlem ile kontrol ederdi
    • Bu yöntem, test işlemine biraz oynama payı eklenirse kolayca aşılabilir ve düzgün bir istatistiksel analizle de kolayca iyileştirilebilir
      Ayrıca neredeyse %100 doğruluk beklenmeyen böyle sezgisel örüntü tanıma tam da yapay zekanın iyi olması gereken alan değil mi?

  • “10 dakika içinde sınır geçişi uluslararası organizasyon demektir” ölçütü, Avrupa'da sınır bölgelerinde yaşayan sıradan insanlar için de geçerli olabilir
    Kartın fiziken bulunmadığı işlemler hariç tutulsa bile, tüm işyeri konumlarının doğru ayarlandığını, tüm satışların fiziksel mağazada gerçekleştiğini, seyyar satış gibi durumların olmadığını ve tüm işlemlerin çevrimiçi işlendiğini yanlış biçimde varsayıyor gibi görünüyor

    • Birkaç hafta önce ABD'den Kanada'ya geçerken de sanırım yaklaşık 10 dakika sürmüştü

  • Sonuna kadar okuyunca içi boş ve kendi içinde çelişen tavsiyeler ortaya çıkıyor. Neredeyse kesinlikle LLM ile üretilmiş bir yazı gibi
    “Ekibiniz” hiçbir desene tek başına güvenmemeli diyor ama aynı zamanda yalnızca desen 1'in bile “kayda değer miktarda sahtekarlığı” ortaya çıkarabileceğini söylüyor
    “Ekibinizdeki tüm analistler bunlar, yani pencere fonksiyonları ellerine geçtiğinde onları kullanacak ve bir sonraki sahtekarlık desenini eklemek artık bir proje olmayacak” gibi tuhaf cümleler de var
    Ayrıca neredeyse tüm örneklerde IS NULL kullanılmamasına rağmen IS NULL filtrelemesinin uygulanmayabileceğine dair alakasız bir tartışma çıkıyor; kullanılan tek örnek de başka bir bağlamda
    Genel olarak düşük kaliteli ve fazla uzun bir yazı

  • Hacker News, buna dikkat etmek lazım
    “Fixel Smith” yapay zekanın ürettiği bir persona ve yazının sahtekarlık analiziyle neredeyse ilgisi yok. Bu isim, hayal edilebilecek neredeyse her kimlik için kullanılıyor: müzisyen (1), romancı (2), sahtekarlık analisti (3), influencer (4)
    220'den fazla puan ve 70'ten fazla yorum almış ama bu yazının epey sahte olduğunu fark eden neredeyse hiç kimse yok ve bunun AI üretimi bir karakter olduğunu gören de olmamış

    1. https://www.amazon.it/Forged-Soundtrack-Explicit-Fixel-Smith...

    2. https://fixelsmith.com

    3. https://analytics.fixelsmith.com/

    4. https://www.instagram.com/fixeltales/

    • Hacker News son zamanlarda böyle düşük kaliteli AI gönderilerini öne çıkarma gibi sinir bozucu bir alışkanlık edinmiş gibi görünüyor
      Bu AI selinin topluluğun muhakeme gücüyle ilgili rahatsız edici bir gerçeği mi ortaya koyduğunu, yoksa sadece mevcut savunma mekanizmalarının başarısızlığı olup değiştirilmeleriyle çözülebilecek bir şey mi olduğunu merak ediyorum
    • Telefonda yazıya bakarken yorumlara sadece kısaca göz attım. Bir yazının AI üretimi mi yoksa düzenlenmiş mi olduğunu anlamak her zaman kolay değil ama burada yalnızca alıntılara bakınca bile ilk bakışta açıktı
      Tüm yorumların iyi niyetle yazıldığını varsaysak bile, burada dahi AI okuryazarlığının düşük olması oldukça endişe verici
    • Kabaca bakınca ya çok üretken bir kişi ya da bir bot gibi görünüyor
      Roman analiz yazılarıyla neredeyse ilgisiz ve analiz yazıları da LLM üslubu taşıyor gibi, bu yüzden bütün tablo şüpheli. Metnin konusunun sahtekarlık olması düşünülünce bu ironik
    • Çoğu insanın okuduğu metinlerin yazarını alışkanlık olarak araştırdığını söyleseler buna daha çok şaşırırdım
      Dürüst olmak gerekirse ben genelde imzaya bile bakmam, sitenin diğer kısımlarına ise hiç bakmam
    • Bu kesinlikle gerçekten var olan bir yazı. Elbette LLM yazmış gibi görünüyor ama bir yazıya getirilebilecek en ağır eleştiri sadece LLM gibi görünmesi ise, bu aslında somut bir eleştiri yok demek de olabilir
      İçeriğin uydurma olup olmadığı belirsiz ama metni, LLM yazdı mı yoksa kurgu mu diye tahmin yürütmeden de eleştirebilirsiniz. Çok daha somut kusurlar var

  • Biz açık kaynak güvenlik çerçevesi tirreno geliştiriyoruz
    Burada anlatılan yaklaşıma şüpheyle yaklaşıyorum. Örneğin imkansız seyahat meşru ve yaygın kullanılan bir tekniktir ama bu, IP adresine dayalı çevrimiçi kullanıcı davranışıyla ilgilidir
    tirreno'da, IP'nin Apple Relay veya VPN/Tor'dan geldiğinin açık olduğu durumlar için ayrı kurallar var ve bunlar ayrı bayraklar olarak ele alınıyor
    Örneklerin bir kısmının veya tamamının LLM üretimi olduğunu düşünüyorum. Bağlamlar birbirine karışmış ve kart ödemelerinde GPS konumunu büyük ölçekte toplayan gerçek bir yer yok

    1. https://github.com/tirrenotechnologies/tirreno

  • Bu daha çok, “dayanak veri olmadan SQL sorgularına kodlanmış kural tabanlı mantık” gibi
    Eşik değerler bolca var ama bu eşiklerin anlamlı olduğunu gösteren veri yok

  • “İşlem verilerindeki sahtekarlık tespiti çoğunlukla SQL'dir; makine öğrenmesi, grafik veritabanı veya Gartner'ın bu yıl parlatacağı herhangi bir şey değildir” gibi kesin bir ifade ancak tüm program bütünlüğü işini kapsıyorsanız savunulabilir
    Problem alanını çözüyorlarsa daha basit ve kaba yöntemler daha iyi olabilir
    Fintek müşterileri genelde tam şu anda gerçekleşen işlemin sahtekarlık olup olmadığını bilmek ister ve yüksek boyutlu veri üzerinde birkaç milisaniye içinde cevap bekler. İlişkisel veritabanları, bu tür gerçek zaman kısıtlarını karşılaması zor ölçeklerdeki işler için uygun değildir; bunun yerine geçmiş veri yükleme gibi başka amaçlarla kullanılır
    Bu yüzden bellek içi veritabanları, akış işleme motorları ve makine öğrenmesi devreye girer
    Yine de yazarın bazı noktaları yerinde ve özellikle gürültülü alarmları yönetme sorunu, performans mühendisliğinin ötesine geçen genel bir mesele olduğu için sonraki yazıyı merak ediyorum

    • Benim deneyimimde anlatılan şeye daha spesifik olarak sahtekarlık tespiti değil sahtekarlık önleme demek daha doğru olur. Olgun sistemlerde ikisi birlikte bulunur ve birbirini tamamlar
      Önlemede her zaman gecikme gereksinimleri, mevcut veri ve kullanıcı davranışına dair eksik resim tarafından kısıtlanırsınız. Makine öğrenmesi ve kurallarla hızlı karar verip vakaların çoğunu ele alırsınız ama bu kısıtlar nedeniyle tüm sahtekarlığı kusursuz biçimde engelleyemezsiniz
      Tespit ise sonrasındaki sonuçlarla ilgilenir. Analist ekiplerinin onaylanmış işlemleri inceleyip sahtekarlık işaretleri araması yaygındır. Chargeback veya müşteri şikayeti gibi dış sinyallerin olmadığı sahtekarlık türlerinde bu özellikle önemlidir. Platform bütünlüğü bunun bir örneğidir; fintekteki kara para aklamayı önleme sistemleri de sahtekarlığı aktif olarak aramak zorundadır
      Birbirlerini tamamlamalarının nedeni, tespit edilmiş işlemlerin sonraki önleme modellerini eğitmek ve değerlendirmek için etiket haline gelmesidir

  • Chicago'da kart okutulup 7 dakika sonra Los Angeles'ta tekrar okutulursa ikisinden biri sahtedir denmiş, ama çevrimiçi alışverişte bunun nasıl çalıştığını merak ediyorum
    Kanepede oturup Amazon'dan bir şey alırsam adres nereye kayıtlı olur?
    Ayrıca eşlerin çevrimiçi hesabı paylaşması ve birinin seyahatteyken kayıtlı kart bilgileriyle alışveriş yapması gibi sınır durumları da mümkün görünüyor

    • Kartı okutmak, takmak veya temassız okutmak kartın fiziken bulunduğu işlemdir. Çevrimiçi alışverişte olduğu gibi kart numarasını girmek ise kartın fiziken bulunmadığı işlemdir
      Perakendeciler ve bankalar bu farkı ayırt edebilir
    • İşlem meta verisinden ayırt edebilirsiniz. Bir kredi kartı şirketinde çalışmıştım
    • Sistemin kartlı yüz yüze işlemler ile kartın fiziken bulunmadığı işlemleri ayırt ettiğini biliyorum

  • “Bu yöntem geçmiş birikene kadar çalışmaz ve yeni hesaplarda baz çizgi yoktur” meselesi, değeri az görülen bir müşteri deneyimi unsurudur
    Yeni müşteri olduğumda ya da yeni bir örüntü gösterdiğimde kartın reddedilmesi, yazılımın işini iyi yaptığını düşündürür
    Ama benim doğruladığım bir geçmiş varken işlem reddedilirse, saf ve paranoyak bir algoritma yüzünden sinirlenirim

    • Bankanın teşviki sahtekarlığı azaltmak yönündedir
      Sahte işlemler sonunda iptal veya iade ile bankaya zarar yazar. Reddedilen işlemler ise sadece kızgın bir müşteri yaratır; müşteri şikayet eder ve sonra kısa sürede unutur. Bu yüzden dışsallaştırılan maliyetin yükü müşteriye biner
      Dolayısıyla bankaların daha temkinli davranacak şekilde hata yapma ve yanlış pozitif pahasına bile işlemi reddetme yönünde teşviki vardır

  • Makine öğrenmesinin özü zaten bu tür kuralları veriden öğrenmek değil mi diye düşünüyorum
    Doğru yaklaşımın, bir makine öğrenmesi modeliyle sahtekarlığa karşılık gelen örüntüleri bulup sonra bunların hangilerinin anlamlı olduğunu değerlendirmek olduğunu düşünüyorum. Böylece yeni hipotezler de keşfedebilirsiniz

    • Açıklanabilir ve deterministik biçimde yinelemeli olarak iyileştirilemeyen bir şey, finansal işlemleri reddetme işinde fazla risklidir
      İnsan analist, belirli bir işlemin neden reddedildiğini ve olumsuz karardan kaçınmak için neyin farklı yapılması gerektiğini uyum ekibine 5 dakikalık bir e-posta ile açıklayabilmelidir
      Makine öğrenmesiyle bir sorunu düzeltince, çoğu zaman henüz netleşmemiş iki yeni sorun ortaya çıkar. Zaman içinde değiştikçe regresyonlar veya beklenmeyen yan etkiler açısından SQL genelde daha az sürpriz çıkarır