Kredi kartı dolandırıcılığı da bir iş: Onların da kendi tedarik zinciri ve QC organizasyonu var

• Bir Stripe çalışanının 3 konuyu bir araya getirerek anlattığı ilgi çekici bir hikâye

→ hayır amaçlı bağışlar

→ kredi kartı dolandırıcılığı için tedarik zinciri

→ küresel finansal altyapı

• Kredi kartı dolandırıcıları son derece sofistike ve uzmanlaşmış bir ekosisteme sahip

→ özel altyapı ve müdahale hızı konusunda rekabet eden kalite kontrol departmanları bile var

• Çalınan kartların çoğu hırsızlar/hackerlar tarafından kullanılmıyor; bu pazarda satılıyor

→ bu da işin uzmanlaşmasını mümkün kılıyor

→ bu pazarda ürün kalitesini garanti etmek için yıldızlı değerlendirmeler vb. ile yönetilen kalite standartları da var

• Bu "kalite", "alıcı bu karttan gerçekten para çekebilir mi?" anlamına geliyor

→ bu, satıştan önce (veya sonra) yapılan sözde "kart testleri" ile güvence altına alınıyor

• Bu tür kartların kullanılabilirliği zamanla azalıyor (kart iptal edildiği veya engellendiği için)

→ hırsızlar satıştan hemen önce "test işlemleri" gerçekleştirerek bu kartların yüksek fiyatı hak ettiğini gösteriyor

→ alıcılar, yasa dışı yollardan satın alınmış bu kartlarla "kart dolandırıcılığı" girişimi başarısız olursa, bunları satın almak için kullandıkları diğer kıt kaynakları da boşa harcayabilecekleri için bu testler önemli

• Meşru şirketler ve hayır kurumları "büyük ölçekli kart testleri" için kullanılıyor (bir seferde milyonlarca kişi düzeyinde)

→ dolandırıcılar burada doğrudan bir şey almıyor

→ sadece kartın ödemeyi başarıyla yapıp yapmadığını doğrulayabilmeleri, pazarda daha fazla para kazanmalarını sağladığı için

• Hayır kurumları tüm kart testi girişimlerinin %11'ini oluşturuyor

→ diğer sektörler çok daha düşük (din/eğitim/sigorta vb. sektörlerin 3 katından fazla)

• Dolandırıcılar neden öncelikle hayır kurumlarını hedef alıyor?

→ nedenlerden biri, (özel ödeme ekibi olan büyük hayır kurumları hariç,)

→ büyük ölçekli hayır kurumlarının, birinin onlara para verirken kendilerini yasa dışı biçimde kullanabileceğini düşünmemesi

• E-ticaret şirketleri için anti-fraud (dolandırıcılık önleme) zorunlu ama hayır kurumlarının buna ayıracak gücü yok

• Ancak bu kart testleri hayır kurumları için gerçekten kötü

• Bu şekilde yapılan ödemeler, kart sahibi itiraz ettiğinde iptal ediliyor ve bunun gerçekleşmesine izin verdikleri için finans sektöründe olumsuz sonuçlarla karşılaşıyorlar

• En kötü senaryoda, bu tekrarlayan kart testlerini engelleyemedikleri için kartla bağış kabul etmeleri tamamen imkânsız hâle gelebilir

• Bu, çevrimiçi kartlı bağışların her şey demek olduğu küçük hayır kurumları için felaket düzeyinde

• Pandemi döneminde kart testi saldırıları hızla arttı

• Benim yaşadığım Asya'da ise Stripe ağı genelinde beklenenden %56 daha fazla artış görüldü

• Peki küçük hayır kurumları buna karşı ne yapabilir?

• Stripe, bunlara karşı koruma sağlama sorumluluğuna sahip ve bunu engellemek için çeşitli çalışmalar yaptı

→ backend tarafında kart testi saldırılarını tespit etmeye yönelik çalışmalar sürüyor

→ frontend tarafında daha güçlü müdahale mümkün, ancak küçük kuruluşların bunu uygulayacak kaynakları yok

→ (genel olarak hayır kurumlarının personeli arasında geliştirici bulunmuyor)

• Bu yüzden Stripe Checkout'a bir aracılık modeli uygulandı

→ saldırı nedeniyle kart ödemelerini tamamen engellemek hayır kurumlarına zarar verir

→ bu yüzden saldırı gerçekleştiğinde Captcha gibi bir şey ekleniyor; bu son derece etkili

→ genelde saldırı sırasında Captcha'nın başarı oranı yalnızca %1,6 oluyor

→ bu herkese uygulanmıyor; yalnızca saldırgan olarak tanımlanan kullanıcılara Captcha gösterildiği için bunu gören meşru kullanıcı sayısı neredeyse yok