e-Ticaret ve online işlemler son 20 yılda hızlı yükseliş yakalayarak büyük bir popülerlik kazandı. 2020 yılında yaşadığımız pandemi sürecinde de online alışverişi tercih etmeyen kitleler bir burayı benimsedi. Dünya çapında e-ticaret satışlarının 2024 yılına kadar 6,4 trilyon dolara ulaşarak büyümeye devam etmesi tahmin ediliyor.* Ne yazık ki, e-ticaretin artan popülaritesi ile birlikte siber suçluların e-ticaret web sitelerinin altyapılarına yaptığı saldırılar, beraberinde fraud (sahtecilik) da arttı.

e-Ticaret hızlı tempolu, rekabetçi ve bazen zorludur. Onlarca iş yükünün arasında endişelenmek isteyeceğiniz son şey e-ticaret dolandırıcılarıdır. Her online mağaza sahibi kısa sürede kendilerini dolandırıcılara karşı korumaları gerektiğini fark eder. Son yıllarda %70 oranında artan dolandırıcılık vakaları COVİD-19 salgınından sonra büyük ölçüde artış gösterdi. Bu nedenle, bu yazımızda e-ticaret web sitelerine yapılan en yaygın saldırıları ve kendinizi nasıl koruyabileceğinizi anlatacağız.

Fraud Nedir?

Fraud, sahte ya da çalıntı kredi kartlarının kullanılarak yapılan alışverişlerdir. Sahte kredi kartları çevrimiçi ya da çevrimdışı ödeme platformları kullanılarak yapılır. Kart sahibinin bu işlemlerden haberi olmaz.

Fraud Türkçesi Nedir?

Türkçe’de sahtecilik, dolandırıcılık, sahtekarlık anlamlarına gelmektedir.

e-ticaret entegrasyonu banner görseli

Fraud İşlem Ne Demek?

Örneğin, bir siber suçlu, mağazanızda bir ürün satın almak için çalınan kredi kartı bilgilerini kullanırsa bu işlem fraud olarak adlandırılır. Sahtecilik olaylarında işlemin gerçekleşmesi için bir kartın mevcut olması şart değildir. Bunun yerine dolandırıcı çalınan kredi kartı bilgilerini girer ve e-ticaret web sitesi bu geçerli bir işlem olarak değerlendirilir. Sahtecilik işlemleri gerçekleştiği zaman tüketiciler harcama itiraz ya da ters ibraza başvurur. Bu durumda işletme, işlemin doğruluğunu ispat etmek durumundadır. Ürün ya da hizmetin gerçekten kart sahibine sunulduğu tespit edilemezse satıcı ödemeyi geri vermelidir.

Fraud Kontrolü Nedir?

Fraud kontrolü, online ortamlarda işletmelerin ve kart sahiplerinin sahtecilik işlemlerinden korunmasını sağlayan güvenlik önemlerine denir. Sahtecilik yapanlara karşı kart bilgilerinin güvenle alınması ve kartla yapılan işlemlerde şüphe gerektiren durumların saptanması sağlanır. Sahtecilik kontrolü şu şekilde yapılabilir:

  • IP adresinin coğrafi konumu ve gönderim adresi gibi verilerin karşılaştırılması,
  • Kredi veya banka kartlarının arka yüzünde yer alan CVV güvenlik kodunun sorgulanması,
  • Kart bilgilerinin ödeme esnasında birden fazla defa yanlış girilmesinin tespit edilmesi,
  • TC kimlik bilgisinin karşı taraftan istenmesi,
  • Çok sayıda ürün ya da hizmet alınması,
  • Yüksek meblağlı işlemlerin yapılması.

e-Ticarette Fraud İşlemler Hangi Yöntemlerle Yapılır?

e-Ticarette yaygın olarak kullanılan birçok sahtekarlık çeşidi vardır. En çok karşılaşılanlar; kredi kartı dolandırıcılığı, hesap ele geçirme ve üçgenleme sahtekarlığıdır. Gelin bu işlemleri inceleyelim:

  • Kredi Kartı Dolandırıcılığı En yaygın e-ticaret dolandırıcılığı türüdür. Genellikle bu işlemler yeni başlayan dolandırıcılar tarafından gerçekleşir. Bu tür saldırılarda, dolandırıcılar bir şekilde kullanıcının kredi kartı bilgilerini ele geçirir. Ele geçirdiği kart bilgileriyle bir e-ticaret web sitesinden internet alışverişi yapar. Satın aldığı ürünleri alabilmek için de çeşitli dolandırıcılıklara devam eder.
  • Hesap Ele Geçirme Hesabı ele geçirme dolandırıcılığı (ATO) olaylarında bir siber suçlu, e-ticaret web sitesinde bir kullanıcın hesabına erişim kazanır ve bu hesap üzerinden satın alma işlemleri gerçekleştirir. Dolandırıcılar hesapları ele geçirmek için çeşitli teknikler kullanabilir. ATO dolandırıcılığı hem e-ticaret web sitesini hem de müşterileri mağdur duruma düşürür ve ciddi zarara uğratır. Müşteriler için kimlik bilgilerinin çalınmasına yol açar. İşletmeler için ise suçlu bulunabilecek markalarının itibarına uzun vadeli zarar verebilir.
  • Üçgenleme Sahtekarlığı Üçgenleme dolandırıcılığında üç türde aktör vardır: Dolandırıcılığı yapan kişi, alışveriş yapan kişi ve e-ticaret mağazası. Sahtekarlar, üçgenleme dolandırıcılığı şu adımlarla yaparlar:
    1- Dolandırıcı, yüksek talep gören ürünleri uygun fiyatlarla satan bir mağaza kurar.
    2- Ürün fiyatlarını müşteriler, kaçırılmayacak fırsat olarak değerlendirir ve satın almaya karar verir.
    3- Müşteri kart bilgilerini girerek alışverişi yapar. Dolandırıcı ödemeyi ve kart bilgilerini alır.
    4- Dolandırıcı ele geçirdiği kart bilgileri ile gerçek satıcıdan ürünü satın alır. Kart sahibinin verdiği adres
    bilgileriyle teslimatı ayarlar.
    5- Yasal satıcı ürünü müşteriye ulaştırır.
    6- Kart sahibi hesap dökümünden gerçekleşen alımları görünce döngü ortaya çıkar. Kart sahibi ortaya çıkan masraflara itiraz edince, yasal satıcı ters ibraz ile karşı karşıya kalır.

e-ticaret entegrasyonu banner görseli

Fraud İşlemlerden Korunma Yöntemleri Nelerdir?

Peki hem tüketiciyi hem de e-ticaret işletmelerini mağdur eden bu sahtecilik işlemlerinden nasıl korunabiliriz. Markanızı ve müşterilerinizi dolandırıcılardan koruyabileceğiniz yöntemlerden bazıları şunlardır:

  • Düzenli Güvenlik Kontrolü Fraud dolandırıcılığı, sisteminizde farkında olmadığınız kusurlar ve açıklar bulunduğunda gerçekleşir. Zafiyetlerinizi saldırganlardan önce tespit ederseniz onlardan bir adım önde olursunuz. Bunun için; e-ticaret altyapısına sürekli güncellemeler yapmalısınız. Hazır bir altyapı kullanıyorsanız güvenlik sisteminizin güncel olup olmadığından emin olmalısınız. Web sitenizin SSL sertifikasını düzenli olarak kontrol edin. e-Ticaret web sitelerine karşı tüketicide güven oluşturan SSL sertifikaları için detaylı bir rehbere “SSL Sertifikası Nedir? e-Ticaret Siteleri İçin SSL Rehberi” içeriğimizden ulaşabilirsiniz. İşletmenizin ve müşterileriniz arasındaki tüm veri aktarımlarının uçtan uca şifrelemeye sahip olduğundan emin olun.
  • Kredi Kartları için CVV Sistemi Herhangi bir çevrimiçi satın alma işlemin CVV (Kart Doğrulama Değeri) numarasının istenmesi standart bir uygulamadır. CVV numaraları, internet alışverişlerinde iki faktörlü kimlik doğrulama işlevi gören, kredi kartının arkasında bulunan 3 ya da 4 haneli güvenlik kodudur. Web sitenizden alışveriş yapan müşterilerden CVV numaralarını isteyerek, kredi kartının fiziksel olarak gerçekten ürün satın alan kişinin elinde olduğuna dair fikir sahibi olabilirsiniz.
  • IP Adreslerin Kaydedilmesi Web sitenizi ziyaret eden tüketicilerin IP adreslerini kayıt altında tutmak, e-ticarette yaşayabileceğiniz sahtecilik işlemlerine karşı savaşmak için kullanabileceğiniz yöntemler arasındadır. Dolandırıcılık yapanlar genellikle alışverişleri IP adreslerini değiştirerek yapmaktadır. Bunu engellemek için farklı ülkelerin IP adreslerini kullanarak sitenizden alışveriş yapılmasını engelleyebilirsiniz.
  • Geçersiz Adreslerin Siparişlerinin İptal Edilmesi Dolandırıcılar gerçek adreslerinin kaydedilmemesi için adres kutularına geçersiz konumları yazabilir. Herhangi bir siparişi bu tarz adreslere göndermemek en iyisidir.
  • 3D Secure Kullanımı e-Ticarette en yaygın kullanılan güvenlik uygulamalarından birisi 3D Secure’dır. e-Ticaret web sitenizde 3D Secure kullanımını aktif hale getirerek, müşterilere daha güvenli bir alışveriş deneyimi sunabilir, dolandırıcılığın önüne geçebilirsiniz.
  • Anti Fraud Yazılımları Anti Fraud yazılımları ile web sitenizde kullanıcıların alışveriş yaparkenki tüm davranışlarını izleyebilirsiniz. Bir müşterinin işlem geçmişi, konumu ve IP adresi görülebilir ve doğrulama işlemi yapılabilir. Böylece cihazın dolandırıcılık geçmişine sahip olup olmadığını görebilirsiniz. Bu yazılımlar ayrıca bot kullanıcıları ve bot üzerinden yapılan sahte işlemleri de tespit eder. Ayrıca kullanıcılarınıza, alışveriş güvenliği esas alınarak verilerinin toplandığı ve işlenmekte olduğunu, ziyaret ettikleri sürece bunu onayladıklarını belirten bir uyarı metni de paylaşabilirsiniz.
  • Online Klavye Kullanımı Dolandırıcılar genellikler keylogger programlarını kullanarak kart bilgilerini ve güvenlik kodlarını kolaylıkla kopyalamaktadır. Ancak online klavye kullanıldığı zaman bu bilgileri kopyalamaları mümkün olmaz. Bu da çok fazla sahtecilik işlemini engellemenizi sağlar.

Fraud Kontrolünü Geçemedi Uyarısı Nedir?

“Fraud kontrolünü geçemedi” uyarısı internet alışverişlerinde sahte hesap şüphesiyle karşımıza çıkan bir uyarı sistemidir. Ödeme işlemleri esnasında kart bilgileri ile sahtecilik şüphesi oluştuğu zaman bu uyarı ile karşılaşabiliriz. Hesap çalınması, kişi adına hesap bilgilerinin kullanılması ve firma ödemelerinin bu bilgilerle yapılması gibi durumlarda ortaya çıkar. Sanal POS ile yapılan ticari ödemelerde de bu uyarı çıkabilir. Bu durumda vakit kaybetmeden banka müşteri hizmetleri aranmalı ve durum bildirilmelidir.

* Kaynak: 7 Types of E-Commerce Fraud & How to Prevent Them