Stripe, “friendly fraud”a karşı fazla dostça

 (gingerlime.com)
1 puan yazan GN⁺ 22 시간 전 | 1 yorum | WhatsApp'ta paylaş
  • Friendly fraud, müşterinin ürünü teslim aldıktan sonra ödemeyi inkâr etmesi sorunudur ve çok sayıda ödeme sinyaline sahip Stripe'ın bunu daha iyi engellemesi gereken bir alandır
  • Bir Ciglue müşterisi, DHL teslimat kanıtı bulunan ilk siparişten sonra itiraz başlattı; bunu banka hatası diye açıkladı ama gerçekte düzeltmedi
  • Satıcı teslimat kanıtını, müşteriyle yapılan konuşmaları ve politikaları sundu; ancak banka müşterinin tarafını tuttu ve satıcı para, ürün, kargo ücreti ve itiraz ücretinin tamamını kaybetti
  • Müşterinin yöntemiyle övündüğü ekran görüntüsü bile Stripe'a iletildi, ancak Stripe bunun satıcılar arası dolandırıcılık sinyali olarak kullanılmadığını söyledi
  • Stripe'ın yanıtı, satıcı hesabındaki Radar kuralları ile sınırlı kaldı; böylece sonraki satıcı da aynı müşterinin tekrarlanan suistimalini en baştan yeniden yaşamak zorunda kalıyor

Olayın özeti ve itiraz sonucu

  • Friendly fraud, müşterinin ürünü aldıktan sonra ödemeyi inkâr etmesi şeklindeki bir sorundur; konu, Stripe gibi çok sayıda ödeme sinyaline sahip büyük bir sağlayıcının buna daha iyi karşılık verebilmesi gerektiği düşüncesinden yola çıkıyor
  • Müşteri, puro yapıştırıcısı ürünü Ciglue'u iki kez satın aldı; ilk sipariş DHL ile gönderildi ve teslimat kanıtı da mevcutken teslim edildi
  • Müşteri iade veya yeniden gönderim talep etmeden itiraz başlattı; sonrasında bankanın, bunu Filipinler'deki gerçek dolandırıcılık işlemleriyle birlikte yanlışlıkla gruplanmış bir ödeme olarak açıkladığı aktarıldı
  • Müşteri bankayla iletişime geçeceğini ve PayPal ile yeniden ödeme yapacağını söyledi, ancak gerçekte bankaya düzeltme bildirmedi ve ürünü almamış gibi davrandı
  • Banka müşterinin tarafını tuttu; satıcı para, ürün, kargo ücreti ve itiraz ücretinin tamamını kaybetti; sunduğu teslimat kanıtı, müşteri yazışmaları ve web sitesi politikaları da sonucu değiştirmedi
  • İlk itiraz gelmeden önce aynı müşteri takipsiz kargo ile ikinci bir sipariş verdi ve ilk itirazdan birkaç gün sonra ikinci itirazı da başlattı
  • İlk itiraz müşteri lehine sonuçlandıktan sonra müşteri e-postada yöntemiyle övündü; satıcı da ilgili ekran görüntüsünü Stripe'a iletti

Stripe'ın yaklaşımı ve sınırları

  • Satıcı, ekran görüntüsünü Stripe'a göndererek bu kanıtın banka, dolandırıcılık ihbar ağları veya en azından Stripe içinde düzgün şekilde rapor edilip edilemeyeceğini sordu
  • Amaç, zaten kapanmış bir itirazı tersine çevirmek veya parayı geri almak değil; açık chargeback suistimali kanıtının bir şekilde anlamlı biçimde kullanılmasını sağlamaktı
  • Stripe, tek bir satıcıdan gelen chargeback suistimali kanıtını satıcılar arası dolandırıcılık sinyaline dönüştürmediğini ve müşterinin kartı, e-postası veya diğer ayrıntıları için başka satıcıları etkileyen bir önlem olarak kullanmadığını söyledi
  • Öfkeli tek bir satıcı nedeniyle Stripe'ın tüm ödeme sistemi içinde birinin otomatik olarak engellenmesi elbette arzu edilir bir yapı değildir; ancak “tam engelleme” ile “ekran görüntüsünü aldık, Radar'ı inceleyin” arasında büyük bir fark vardır
  • Stripe, Radar'ı çok sayıda ödeme ve sinyal, daha iyi dolandırıcılık tespiti ve makine öğrenimi tabanlı ağ etkileriyle pazarlıyor; ancak müşterinin gerçek chargeback suistimali kanıtı ağ sinyaline dönüşmüyor
  • Önerilen çözüm, Radar kurallarıyla ilgili müşterinin yeniden satın almasını engellemek; satıcının bu kuralları kullanmak için yükseltme yapması ve Stripe'a ek ücret ödemesi gerekebilir
  • Bu işlem normal görünüyordu, kontrolleri geçti ve gerçek adres de eşleşiyordu; bu yüzden “müşterinin ürünü aldıktan sonra bankaya yalan söylemesi” durumunu ödeme adımı kurallarıyla filtrelemek zor
  • Küçük satıcıların itiraz süreçlerinde pazarlık gücü neredeyse yoktur; kararı banka verir ve Stripe bankayı işaret ederken satıcı para, ürün, ücretler ve işlem süresini kaybeder
  • Yeni kanıt daha sonra ortaya çıkarsa sunmak için çok geç olabilir; aynı müşteri bunu başka yerlerde tekrarlasa bile sonraki satıcı yine zarar görebilir
  • Burada “friendly” olan hiçbir şey yok; Stripe hiçbir adım atmayarak fiilen dolandırıcılık yapanlar için elverişli bir yapı oluşturuyor

İlgili okumalar

1 yorum

 
GN⁺ 22 시간 전
Hacker News görüşleri

  • Stripe'ta Radar dolandırıcılık önleme ürününü yöneten Josh benim. Bu tür dolandırıcılık suiistimalleri gerçekten sinir bozucu ve Stripe'ın kullanıcılara yaşatmak istediği deneyim bu değil
    Burada birçok kişinin dile getirdiği ana nokta haklı. Mesele sadece belirli bir uyuşmazlığın sonradan geri alınıp alınamayacağı değil, chargeback suiistimali kanıtının bir sonraki işletmeyi korumak için kullanılıp kullanılamayacağı
    Öte yandan, tek bir işletmenin bildirimiyle Stripe genelindeki tüm satıcılarda bir alıcının otomatik olarak engellendiği bir dünya da istemiyorum. Meşru uyuşmazlıklar da var, tüketici hesapları da ele geçirilebiliyor ve aşırı engellemeden doğan yanlış pozitifler gerçek alıcılara zarar verebilir
    Yine de “bu kişiyi her yerde otomatik engelle” ile “ekran görüntüsü için teşekkürler” arasında bariz bir boşluk var ve çözmek istediğimiz kısım da bu
    Friendly fraud büyük ölçüde arttıkça Radar'ı yalnızca işlem dolandırıcılığını önleyen bir üründen; kayıt olma, deneme başlatma gibi müşteri yaşam döngüsünün tamamındaki dolandırıcılık ve suiistimalleri engelleyen bir ürüne doğru genişletiyoruz
    Şu anda Stripe ağı genelinde tekrarlayan chargeback suiistimalcilerini tespit edip işlemlerden önce işletmelere göstererek karar süreçlerine katmak, müşteri hesabının kendisi için kümülatif bir suiistimal risk puanı oluşturmak ve friendly fraud yaşandığında Smart Disputes ile kanıtları daha iyi yapılandırarak uyuşmazlıkları kazanmaya yardımcı olacak savunmalar inşa etmek üzerinde çalışıyoruz
    Radar hakkında geri bildiriminiz varsa jackerman at stripe dot com adresine gönderebilirsiniz

  • Bir SaaS işletiyorum ve bunu ara sıra yaşıyorum. Bir chargeback geldiğinde prensip gereği o müşteriyi veritabanında tamamen engellemek gerekiyor
    Kartı, e-posta adresini ve erişim parmak izini engellerseniz, yeniden kayıt olup ürünü tekrar satın alarak aynı sıkıntıyı yaşatmaya çalıştıklarında epey zahmeti azaltabilirsiniz

    • Suiistimalciler bu tür engelleri kolayca aşıyor. Tüm bu suiistimali yapanlar küçük bir grup
    • İleri düzey kullanıcılar kart, e-posta ve parmak izi gibi bu üç tanımlayıcıyı da kolayca değiştirebilir. “Erişim parmak izi” ile tam olarak ne kastedildiğini merak ediyorum
      Kullanıcı takibi için kullanılan tarayıcı parmak izlerini gördüm ama bunun, yalnızca gerektiğinde kullanılan bir tür parmak izi toplama olup olmadığını bilmiyorum
    • Sadece 3D Secure zorunlu kılınırsa sorumluluk müşterinin bankasına geçer. Ürünü gerçekten istiyorlarsa, çoğu kişi işlemi doğrulamak için telefonda banka uygulamasını açmaktan pek rahatsız olmaz
    • Böyle bir politika uygulayacaksanız, meşru müşteri destek taleplerine hızlı yanıt vermek iyi olur
    • iOS uygulamasıysa DeviceCheck de kullanabilirsiniz. Uber bunu hesap genelinde engelleme için kullanıyor

  • Stripe'ın “bir satıcıdaki chargeback suiistimali kanıtını başka satıcılar için çapraz dolandırıcılık sinyali hâline getirmediğini veya müşterinin kartı, e-postası ve diğer bilgilerini başka satıcılara karşı işlem yapmak için kullanmadığını” bu kadar açık söylemesi şaşırtıcı
    Stripe'ın bu tür ayrıntıları gerçekten iletmesi iyi. Ama birçok büyük şirketin neden sadece “bildiriminiz için teşekkürler, uygun şekilde ele alacağız” gibi opak yanıtlar verdiğinin mantığını da görebiliyorum. Gerçeği söylediğinizde insanlar daha çok sinirleniyor

    • Hayır. Cevap muğlak olsaydı çok daha fazla sinirlenirdim. Hâlâ hiçbir şey yapmamalarına sinirlendim
      Net bir cevap alana kadar birkaç kez gidip geldik ama sonunda net bir cevap aldım ve deneyimime göre Stripe desteği hâlâ harika ve iletişimleri de iyi
    • Hayır. Muğlak cevaplar çok daha sinir bozucu. Sadece o durumda yazacak bir şey olmuyor

  • Müşteri sizi dolandırdı, sonra da müşterinin bankası yaptı. Bunu yapan Stripe değil. Başlıkta ve yazıda neden Stripe'ın suçlandığını anlamıyorum
    Elbette Stripe Radar olmadan da daha fazlasını yapabilir ama tek bir satıcının şikâyetiyle Stripe ağının tamamında bir müşteriyi engelleme işine girerse bu tehlikeli olabilir. Böyle bir yaklaşımın açıkça birçok sorunu olabilir

    • Evet. Ama Stripe, bir sonraki satıcının aynı tuzağa düşmesini önlemek için hiçbir şey yapmadı. Tüm kanıtlara sahip olup bunu görmezden geldi
      Blog yazısında anlatmaya çalıştığım ana fikir buydu. Elbette satıcıların tüketicileri fazla kolay engelleyebilmesi de adil olmaz. Ama mutlaka orta bir yol vardır
      Stripe, bu tür bildirimlerle hiçbir şey yapmadığını oldukça açık biçimde söyledi. Resmen görmezden geliniyor
    • Hayır, Stripe'ın da sorumluluğu var. Chargeback'e müşterinin bankasının karar verdiği yaygın bir yanlış anlama. Gerçekte birkaç tur gidip gelinen sürecin sonunda son kararı kart ağı veriyor
      Kart ihraç tarafında birkaç yıl çalıştım ve Stripe kullanan satıcıların sunduğu belgeleri birçok kez gördüm. Ağ kurallarına göre açıkça kazanılabilecek durumlarda bile Stripe'ın itiraz etmeyi reddettiği vakalar biliyorum
      Stripe çoğu chargeback'le savaşmanın paraya değmediğine karar vermiş gibi görünüyor. Muhtemelen maliyeti satıcılara yıkabildiğini ve onların da başka yere gitmeyeceğini düşündüğü için
    • “Sinirlenmiş tek bir satıcının Stripe'ın tüm ödeme sistemi genelinde birini engelleyebildiği bir sistem” istenmez. Ama “bu kişiyi her yerde otomatik engelle” ile “ekran görüntüsü için teşekkürler. Radar'ı incelemeyi düşünebilirsiniz” arasında epey büyük bir mesafe var ve can sıkıcı olan da bu

  • Stripe'ta milyonlarca dolarlık chargeback yönettim. Bilet satıyorduk, biletleri yeniden satmak kolaydı ve müşteriler dünyanın dört bir yanından gösteri izlemeye gelen turistlerdi
    Stripe Radar iyi bir ürün değildi. Çok şüpheli işlemlere 100 üzerinden 1 ya da 2 gibi risk puanları verdiği sıkça oluyordu. Makine öğrenimi geçmişim yok ama metodolojide bir tür kusur varmış gibi görünüyordu; sanki içeride bir yerlerde bir kablo kopmuş gibiydi. Ne yazık ki Stripe'ın bunu önemsemesi için yeterli teşvik varmış gibi görünmüyor

  • Artık Stripe'ın en azından zihinsel olarak PayPal 2.0'a oldukça yakın olduğuna epey eminim
    Platformdaki dolandırıcılığa göz yumuyor, parayı aldıktan sonra yetişkin içerik üreticilerini ya da satıcıları kilitliyor ve her yerde olmasına rağmen pek sevilmiyor
    Stripe'ın fintech alanını değiştirmesi ve daha fazla kişinin ona programatik olarak erişebilmesini sağlaması güzel ama bu nedenlerle bugünlerde ödeme konusunda tavsiye isteyenlere sık sık “Stripe'tan uzak durun” diyorum

    • Bu tür sektörlerin doğası böyle. Yerleşik oyuncular yıllar içinde biriken kısıtlar yüzünden yavaş, hantal ve çalışması tatsız olur
      Yeni gelenler çeviklikleri ve birlikte çalışması daha keyifli olmalarıyla farklılaşarak pazar payı kazanır
      Zamanla yeni oyuncular da düzenleyici denetimi, dolandırıcılığı, operasyonel yükü ve sorumluluktan kaçınan uygulamaları giderek daha fazla yönetmek zorunda kalır
      Sonra yeni oyuncu yerleşik oyuncuya dönüşür ve döngü yeniden başlar
    • Alternatif olarak kimi önerirsiniz?

  • Sahte bir chargeback ile karşılaşıldı. İddia, satın alımın yetkilendirilmediği yönündeydi, ama o kişi derse bizzat geldi. Daha da kötüsü, ödeme Link ile yapıldığı için Stripe o kişiyi 2 aşamalı doğrulama ile aktif olarak doğrulamıştı
    Stripe veya rakiplerinin neden “bu yıl satıcılara karşı x adetten fazla chargeback açmış kartların işlemlerini reddet” gibi bir ayar sunmadığını açıklayabilir misiniz?

    • Böyle bir kural biraz sorunlu görünüyor. Birinin kartı gerçekten çalınmış da olabilir
      Sinir bozucu olan, Stripe’ın makine öğrenimi Radar kurallarıyla vb. övünmesine rağmen gerçekten değerli verileri oraya koyamaması
      Stripe destek ekibi, müşterinin beni dolandırdığıyla övündüğü e-postayı gördü ve bunun açıkça friendly fraud olduğuna tamamen katıldı, ama bu bilgiyle hiçbir şey yapmadı
    • Sebep bu mudur bilmiyorum ama bana böyle bir sistem yapmam söylenseydi, bunun Fair Credit Reporting Act kapsamında bir tüketici raporu sayılabileceği konusunda epey endişelenirdim
      Kaçınılmaz olarak çıkacak haber draması da istemezdim. Mesela şöyle sunulabilir: “Ben sadece yoksul ve saf bir büyükanneyim, Facebook reklamına inandım, Stripe da dolandırıldığım için internet mağazalarının yarısında beni engelledi!”
    • İddia satın alımın yetkilendirilmediği yönündeydi ve kişinin derse bizzat geldiğini söylediniz, ama biri derse gelmiş olsa bile kullanılan kredi kartının sahibi olduğunu nasıl biliyorsunuz?
    • Onların iş modeli, mümkün olduğunca çok sayıda “geçerli” işlemi kabul etmek; “müşterilerine” hizmet etmek değil. Onlar bir ödeme hizmeti sağlayıcısı

  • Bu düpedüz dolandırıcılık. “Friendly fraud”, müşterinin ekstredeki kalemi tanımayıp chargeback açması gibi istemeden ya da iyi niyetle yapılan durumlar içindir

    • Gerçekten ekstredeki kalemi tanımamak dolandırıcılık değildir. Bence dolandırıcılık için kasıt gerekir; en azından “hatırlamıyorsam hepsine itiraz ederim ve hatırlamaya da pek uğraşmam” türü ağır bir ihmalkârlık olmalı
      “Düpedüz dolandırıcılık” ifadesi zaten “suçlu c’nin, habersiz kart sahibi a’nın kartını habersiz satıcı b’de kullanması” durumu için kullanılıyor. O zaman neden “friendly fraud” ifadesine karşı çıkıldığını merak ediyorum
    • Mesele tam da bu. Ceza davası açabilirsiniz ve hukuk mahkemesinde de kazanabilirsiniz
    • Evet. Ve Stripe bunu çok daha iyi önleyebilir, ama yapmıyor

  • Güzel yazı. Asıl önemli nokta, Stripe’ın itiraz sonrası friendly fraud kanıtlarını Radar’ın satıcılar arası sinyali olarak kullanmayacağını kabul etmesiydi
    Buna bir de müşterinin chargeback’i kazandıktan sonra bunu resmen övünerek anlatması eklenince, sistemin bağımsız satıcılar aleyhine ne kadar eğimli olduğu ortaya çıkıyor

  • Stripe’ın friendly fraud ile ilgili verileri kaydettiği açık. En azından Visa Compelling Evidence 3.0’ı uyguluyor https://support.stripe.com/questions/how-does-stripe-support...
    Stripe desteğinden gelen mesajın ekran görüntüsü olmadığı için, belki de sadece temkinli, hukuken sorun çıkarmayacak muğlak bir yanıt verip konuyu kapatmaya çalıştılar ve bu da öfkeli bir blog yazısına dönüştü

    • Stripe’ın yanıtını aynen paylaşabilirim. Oldukça uzun bir yazışmaydı. Son e-postalardan bir kısmına bakılırsa, benim sunduğum kanıtları kullanmadıkları oldukça net görünüyor
      “Geri bildiriminizi kaydedip ekibe ileteceğim. İşlem sonrası kötüye kullanım tespiti konusundaki tespitiniz yerinde. Stripe’ın ağ düzeyinde güçlü sahtekârlık tespiti var, ancak satıcı tarafından sağlanan kesin sahtekârlık kanıtlarını daha geniş satıcı ekosistemini korumak için kullanma konusunda bir boşluk olduğu görülüyor. Elinde doğrudan kanıt bulunan satıcılardan gelen bu tür geri bildirimler, sistemi iyileştirmek açısından değerlidir.”
    • Eğer “temkinli, hukuken sorun çıkarmayacak muğlak bir yanıt verip konuyu kapatmaya çalıştılar” doğruysa, bu durumda sorunu tamamen görmezden gelmenin kendisi aldatıcı olur; yani çok da daha iyi bir durum sayılmaz
    • O bağlantıda, sizinle son 4-12 ay içinde itirazsız yapılan işlemlerin, bu anlaşmazlıktaki işlemin gerçekten meşru olduğunu gösterebileceği söyleniyor
      Oysa yazıdaki örnek, 1-2 hafta içinde sadece itirazlı bir satın alım yapan biriyle ilgili
    • Stripe’ın friendly fraud verilerini kaydetmesine dair tek şikâyetim, yenilemeyi düşünmediğim ve hizmetin ödeme sayfasında zaten yenilenmeyecek şekilde ayarladığım aktif bir aboneliğin kart bilgilerini silmeme izin vermemesi
    • Asıl mesele ne? Stripe’ın ne dediğinin önemli olduğunu mu düşünüyorsunuz? Öfkeli bir blog yazısını haklı çıkarmayacak nasıl bir yanıt olabilirdi merak ediyorum