Ödeme Dolandırıcılığını Önleme: Ne İşe Yarar, Neler Sadece Gösterişten İbaret?
İki ödeme uygulaması, aynı tehdit, zıt sonuçlar. Bir tarafta, ana şirketi müşteri dolandırıcılığı iddialarını ele alma biçimi nedeniyle 2025 yılının başlarında 175 milyon dolar ödemeye mahkum edilen Cash App var. Diğer tarafta ise o yıl bir trilyon dolardan fazla işlem hacmi gerçekleştiren ve yine de zarar oranını %0,08 civarında tutan PayPal bulunuyor . Her ikisi de aynı dolandırıcılarla, aynı çalıntı kartlarla, aynı sosyal mühendislik senaryolarıyla karşı karşıya. Peki neden biri düzenleyici kurumun basın bülteninde, diğeri ise kazanç açıklaması dipnotunda yer aldı?
Aradaki fark bütçe değil. Her şirketin hangi kontrollere güvendiği önemli. Ödeme dolandırıcılığını önleme diye sunulanların çoğu tiyatrodan ibaret: güven verici görünüyor, slaytları dolduruyor ve neredeyse hiçbir şeyi durdurmuyor. Gerçek işi yapan birkaç kontrol var. PayPal ve Cash App, ikisini birbirinden ayırmak için temiz ve doğal bir deney örneği oluşturuyor, çünkü onların durumunda bir düzenleyici kurum bizim için değerlendirmeyi yaptı. Bu, neyin işe yaradığını ve neyin sessizce başarısız olduğunu gösteren bir çalışma kılavuzu.
Ödeme dolandırıcılığının ekonomiye maliyeti şu anda ne kadar?
Manşetlerdeki rakamlar insanı uyuşturacak kadar büyük. FTC'nin Tüketici Gözlem Ağı'na göre , Amerikalılar 2024 yılında dolandırıcılık nedeniyle 12,5 milyar dolar kaybetti; bu, tek bir yılda %25'lik bir artış anlamına geliyor. Dünya genelinde kart dolandırıcılığı 33,41 milyar dolara ulaştı ve Amerika Birleşik Devletleri, küresel kart işlem hacminin yaklaşık dörtte birini oluşturan bu kayıpların yaklaşık %42'sini karşıladı.
Toplam rakamların altında gizli olan daha faydalı gerçek şu: paranın aslında nereden sızdığı. Bildirilen kayıplara göre en çok kullanılan iki ödeme yöntemi banka havaleleri (2,09 milyar dolar) ve kripto para birimleri (1,42 milyar dolar) oldu; kartlar değil. Bu bir tesadüf değil. Bu sistemler, parayı hızlı ve ileriye doğru hareket ettirmek için tasarlandı ve geri alınması için yerleşik bir mekanizma yok. Kart ağlarının arkasında onlarca yıllık anlaşmazlık çözüm mekanizması var. Hesaplar arası transferlerde ise genellikle böyle bir mekanizma yok. Dolandırıcılık, en az geri döndürülebilir yolu izliyor.
| Metrik (en son) | Figür | Kaynak |
|---|---|---|
| ABD'de bildirilen dolandırıcılık kayıpları, 2024 | 12,5 milyar dolar (+%25 yıllık artış) | FTC Tüketici Gözlemcisi |
| En çok kayıp yaşanan yöntem: banka havaleleri | 2,09 milyar dolar | FTC, 2024 |
| Kripto para kayıpları | 1,42 milyar dolar | FTC, 2024 |
| Küresel kart dolandırıcılığı kayıpları, 2024 | 33,41 milyar dolar | Nilson Raporu |
| ABD'nin küresel kart dolandırıcılığındaki payı | ~%42 (hacmin yaklaşık %26'sı üzerinden) | Nilson Raporu |
Ödeme dolandırıcılığının yaygın türleri, ödeme yapan kişiye göre sıralanmıştır.
Her dolandırıcılık rehberi size aynı düzine saldırı türünün listesini sunar. Daha faydalı olanı, zararı kimin üstlendiğine göre sıralamaktır, çünkü bu, ilgilenmeniz gerekip gerekmediğine karar verir. Yaygın ödeme dolandırıcılığı türleri, zararı eşit olarak paylaşmaz.
İş e-postası ele geçirme ve yetkilendirilmiş anlık ödeme dolandırıcılığı, kurbanı kendi başına para göndermeye kandırdığı ve kurbanın genellikle parayı geri alamadığı için listenin başında yer alıyor. İngiltere Finans Kurumu, 2025 yılının ilk yarısında anlık ödeme dolandırıcılığından 257,5 milyon sterlinlik bir gelir kaydetti; bu, bir önceki yıla göre %12'lik bir artış anlamına geliyor. Hesap ele geçirme ise ikinci sırada geliyor: Bir dolandırıcı gerçek bir hesaba giriyor ve parayı boşaltıyor; bu da gerçek hesap sahibinin bunun kendisi tarafından yapılmadığını kanıtlaması gerektiği anlamına geliyor. Kart dolandırıcılığı yaygın ancak tüketiciler için çoğunlukla geri ödemeler yoluyla kartı veren kuruluş tarafından karşılanıyor. Ardından, gerçek bir müşterinin gerçek bir satın alma işlemine itiraz ettiği dostane dolandırıcılık geliyor; bu, e-ticaret geri ödemelerinin tahmini %75 ila %79'unu oluşturuyor ve satıcı ödeme yapıyor. Deepfake ve ses klonlama dolandırıcılığı ise yeni bir giriş, bugün dolar bazında küçük olsa da hızla artıyor. Desen basit: Ödeme yöntemi ne kadar az geri alınabilirse, dolandırıcılık o kadar çok onu en az toparlayabilecek kişiye zarar veriyor.
Cash App: Dolandırıcılık önleme tiyatrosunda bir vaka incelemesi
Büyük ölçekte dolandırıcılık önleme tiyatrosunun nasıl göründüğünü görmek istiyorsanız, Cash App'e bakın. Düzenleyiciler geldiğinde, yaklaşık 56 milyon aktif hesabı ve şık, kullanıcı dostu bir uygulaması vardı. Sahip olmadığı şey ise ekranın arkasındaki gösterişsiz mekanizmaydı: gerçek soruşturmalar, çalışan bir telefon hattı ve yetkisiz bir transferin şirketin düzeltmesi gereken bir sorun olduğu anlayışı.
Denetçilerin aslında bulduğu şey
Ocak 2025'te Tüketici Finansal Koruma Bürosu (CFPB), Cash App'in ana şirketi Block'a 175 milyon dolar ödeme emri verdi: 120 milyon dolar zarar gören kullanıcılara geri ödeme ve 55 milyon dolar ceza . Metni dikkatlice okumakta fayda var. CFPB, şirketin kendi lehine dolandırıcılık raporlarını kapatmak için "kasıtlı olarak özensiz soruşturma uygulamaları" kullandığını söyledi. Dolandırıcılık hattını arayan müşteriler, ölü, önceden kaydedilmiş bir mesaja ulaştılar; yıllarca canlı bir müşteri temsilcisine ulaşmak mümkün olmadı. Aynı ay, 48 eyalet düzenleyicisinden oluşan bir koalisyon, kara para aklama karşıtı başarısızlıklar için ayrı bir 80 milyon dolarlık ceza daha ekledi. Toplam risk: yaklaşık 255 milyon dolar. Bunların hiçbiri zeki bilgisayar korsanlarıyla ilgili değildi. Bu, telefonu cevaplamanın isteğe bağlı olduğuna karar veren bir şirketle ilgiliydi.
Geri döndürülemez P2P transferlerinin yapısal bir kusur olmasının nedenleri
Uygulama hikayesinin altında bir tasarım tercihi yatıyor. Cash App, tıpkı nakit gibi, hesaptan hesaba para transferi yapıyor. Para bir kere gitti mi, geri alacak bir kart ağı yok. Bu, birisi kandırılana veya hacklenene kadar sorunsuz, ancak o zaman "tıpkı nakit gibi" modeli "kendi başınızın çaresine bakın" haline geliyor. Federal yasa (E Yönetmeliği), bankaların ve ödeme uygulamalarının yetkisiz elektronik transferleri araştırmasını ve kullanıcıların zararlarını karşılamasını gerektiriyor. Benim sürekli geri döndüğüm nokta, hatanın ne kadar sıradan olduğu: bir ihlal değil, sadece yetkisiz transferleri müşterinin sorunu olarak ele alma kararı. CFPB bu kararı bir ihlal olarak nitelendirdi.
PayPal'ın dolandırıcılık tespit sistemi aslında nasıl çalışıyor?
PayPal, "işe yarayan" doğal bir örnektir, ancak pazarlama versiyonu yanlıştır. PayPal dolandırıcılıktan arınmış değildir ve aksini iddia etmek gerçek dersi gizler. Kendi açıklamaları, 2025 yılında 1,72 milyar dolarlık işlem ve kredi kaybı olduğunu, bu rakamın bir önceki yıla göre %19 arttığını göstermektedir. Dolandırıcılık PayPal içinde hâlâ yaygın ve etkilidir. Fark, bundan sonra ne olacağında yatmaktadır.
Alıcı ve Satıcı Koruması, Geri Döndürülebilirlik Katmanı Olarak
PayPal, işlemin her iki tarafını da korumak için ürüne geri alınabilirlik özelliği ekledi. Uygun satın alımlar Alıcı Koruması ile birlikte gelir ve satıcılar da kendi korumalarına sahip olur; bunun üzerine bir anlaşmazlık ve talep süreci de eklenir. Dolandırıcılık olduğunda, sistem genellikle alıcıya para iadesi yapabilir veya işlemi geri alabilir, böylece onları mağdur etmez. Cash App'in eksik olduğu tam olarak bu katmandır. Ayrıca pahalı, yavaş ve birçok istisnai durum içeriyor ve PayPal bununla ilgili birçok şikayet alıyor. Ancak "sinir bozucu bir anlaşmazlık süreci" ve "ölü bir telefon hattı" aynı başarısızlık kategorisine girmiyor.
İşlem anında makine öğrenimi tabanlı risk puanlaması
İkinci katman ise tespit. PayPal, paranın hareket etmesinden önce şüpheli olanları işaretlemek için yüzlerce sinyale (cihaz, konum, geçmiş, hız, davranış) göre işlemleri gerçek zamanlı olarak puanlıyor. En önemli sonuç, toplam ödeme hacminin yaklaşık %0,08'i civarında seyreden ve rekor düşük seviyeye yakın bir kayıp oranıdır; bu oran, mutlak kayıplar ölçekle birlikte artsa bile geçerlidir. Bu iki rakamı birlikte okursanız, dürüst versiyonu elde edersiniz: daha fazla hacim, daha fazla ham dolandırıcılık parası anlamına gelir, ancak uyarlanabilir puanlama oranı düşük tutar. Sistem sihirli değil. Sadece sürdürülüyor.
İşe yarayan yöntemler: dolandırıcılığı önleyen en iyi uygulamalar
Peki, sayıları gerçekten etkileyen şey ne? Satıcı sunumlarını bir kenara bırakırsak, sahtekarlığı gerçekten önleyen kontroller kısa ve sıkıcıdır. Bunların ortak bir özelliği vardır: tek bir statik kontrole güvenmek yerine, uyum sağlarlar veya ikinci bir bağımsız kontrol eklerler.
Çok faktörlü kimlik doğrulama, en ucuz ve yüksek etkili kontrol yöntemidir. Microsoft, MFA'nın otomatik hesap ele geçirme girişimlerinin %99,9'undan fazlasını engellediğini ve ele geçirilen hesapların neredeyse tamamının MFA'yı hiç etkinleştirmediğini bildirmiştir. Makine öğrenimi tabanlı işlem puanlaması, cihaz parmak izi ve davranışsal biyometri, sabit kuralların gözden kaçırdığı kalıpları yakalar; bir banka, davranışsal analitiği uyguladıktan sonra dolandırıcılık kayıplarını yaklaşık %35 oranında azalttığını bildirmiştir, ancak bu rakam satıcı tarafından bildirilmiştir ve kesin bir gerçek olarak değil, gösterge niteliğinde olarak okunmalıdır. 3D Secure 2 aracılığıyla güçlü müşteri kimlik doğrulaması, kart ödemelerine bir doğrulama adımı ekler; bir sürtünme maliyeti taşır (kabaca her beş kimlik doğrulama girişiminden biri tamamlanmaz), ancak sorumluluğu kaydırır ve çalınan kart kullanımının önemli bir bölümünü durdurur. Müşteri tanıma kontrolleri ve hız limitleri listeyi tamamlar.
| Kontrol | Durdurduğu şey | Kanıt | Karar |
|---|---|---|---|
| Çok faktörlü kimlik doğrulama | Hesap devralma | Otomatik saldırıların %99,9'undan fazlasını engeller (Microsoft) | Eserler |
| ML / davranışsal puanlama | Anormal işlemler | PayPal benzeri kayıp oranları %0,08'e yakın. | Eserler |
| 3-D Secure 2 / SCA | Çalıntı kart kullanımı | Sorumluluk kayması; yaklaşık 5'te 1'i terk ediliyor. | Sürtünme ile çalışır |
| Cihaz parmak izi alma | Tekrarlayan dolandırıcılar | Endüstri standardı sinyal | Eserler |
| Yeni işe alım sürecinde KYC (Müşterini Tanı) | Sentetik kimlikler | Düzenleyici temel çizgi | Eserler |
Güvenlik tiyatrosu: Başarısız dolandırıcılık koruması
Şimdi de bütçeyi boşa harcayan, sahtekarlığa karşı koruma gibi görünen ama neredeyse hiçbir işe yaramayan kontrollerden bahsedelim. Güvenlik soruları en büyük suçlu. Cevaplar (annenizin kızlık soyadı, ilk evcil hayvanınız) tahmin edilebilir, ele geçirilebilir veya ihlal edilebilir ve ABD standartlar kuruluşu NIST artık bilgiye dayalı kimlik doğrulamasını geçerli bir giriş faktörü olarak resmen yasaklıyor. Bu "bir katman eklemek" anlamına gelmiyor, yanlış bir katman ekliyor.
SMS tek kullanımlık kodlar bir sonraki tuzak. Çok faktörlü kimlik doğrulamaya benziyorlar, ancak bir saldırganın SIM kart değiştirme yoluyla çalabileceği bir telefon numarasına dayanıyorlar ve sektör araştırmaları bunun ilk denemede yaklaşık %80 oranında başarılı olduğunu gösteriyor; FBI, yalnızca 2024 yılında bildirilen SIM kart değiştirme kayıplarının yaklaşık 26 milyon dolar olduğunu kaydetti. Sonra, asla öğrenmeyen statik, yalnızca kurallara dayalı motorlar ve dolandırıcılığın insan müdahalesi olmadan onaylanmasına izin veren yavaş manuel inceleme kuyrukları var. En pahalı tiyatro gösterisi ise Cash App'in bize öğrettiği şey: transferleri varsayılan olarak geri alınamaz hale getirmek ve buna hız demek. Mühendisler geri alınabilirliği ortadan kaldırılması gereken bir sürtünme olarak görme eğilimindedir. Mağdur için ise bu, olayın özüdür.
Hesap ele geçirme dolandırıcılığı: Modellerin ayrıldığı noktalar
Hesap ele geçirme dolandırıcılığı, tüm tartışmanın en temiz testidir, çünkü her iki şirket de aynı saldırıyla karşı karşıyadır: bir suçlu gerçek bir kullanıcının kimlik bilgilerini ele geçirir ve parayı transfer etmeye çalışır. Aynı girdi, çok farklı çıktı.
Önleme tarafında, karşı önlemler iyi bir şekilde belirlenmiştir: güçlü çok faktörlü kimlik doğrulama (SMS kodları değil) uygulayın, sahibiyle eşleşmeyen bir giriş için davranışsal sinyalleri izleyin ve şüpheli işlem hızını kısıtlayın. Ancak önleme her zaman biraz sızıntı yapar ve ikinci soru, sızıntı olduğunda ne olacağıdır. PayPal'ın geri alınabilirlik ve itiraz süreci, ele geçirilen kullanıcıya geri dönüş yolu sunar. Cash App'in geçmişteki tutumu, yetkisiz bir transferin kullanıcının sorunu olduğu yönündeydi ve bu da onları çaresiz bıraktı; bu durum, bir güvenlik olayını 175 milyon dolarlık bir hesap verebilirlik davasına dönüştürdü. Aynı dolandırıcılık, zıt sonuç, bir kod parçası yerine bir politika seçimiyle belirlendi.
| Ön | PayPal | Cash App (2025 öncesi) |
|---|---|---|
| Para modeli | Karton destekli, çift taraflı | Hesaplar arası, geri alınamaz |
| Dolandırıcılık baş gösterdiğinde | Alıcı/Satıcı Koruması, anlaşmazlık çözüm yolu | Kullanıcının sorunu olarak ele alındı. |
| Tespit | Gerçek zamanlı makine öğrenimi risk puanlaması | Sınırlı, öncelikli büyüme |
| Dolandırıcılık desteği | Hasar tespit süreci (yavaş ama gerçek) | Yıllardır çalışmayan telefon hattı. |
| Düzenleyici kayıt | Dosyalarda açıklanan zarar oranı yaklaşık %0,08'dir. | Tüketici Finansal Koruma Bürosu'nun (CFPB) 175 milyon dolarlık emri, eyaletin 80 milyon dolarlık cezası. |
Dolandırıcılık olayından sonra nasıl tepki verilir?
Tespit işin sadece yarısı; düzenleyicilerin asıl değerlendirdiği kısım ise yanıttır. Yetkisiz bir transfer gerçekleştiğinde, ABD ödeme uygulamaları kapsamındaki yasal asgari şart, E Yönetmeliği'dir: derhal soruşturma yürütülmeli ve transfer yetkisiz ise kullanıcının zararı karşılanmalıdır. Bu, gerçek bir soruşturma, ulaşılabilir bir insan ve zaman kısıtlaması anlamına gelir. Cash App'in 175 milyon dolarlık faturası, hacklenmesiyle ilgili değildi. Şirketin sonrasında nasıl yanıt verdiği veya vermeyi reddettiğiyle ilgiliydi. Sadece duvarı değil, yanıtı da inşa edin.
Dolandırıcılık eğilimleri: önleme nereye doğru gidiyor?
Bir sonraki aşama, her iki tarafın da aynı silahla yürüttüğü bir silahlanma yarışıdır. Üretken yapay zeka, en hızlı büyüyen saldırı vektörünü destekliyor: Deloitte, ABD'de yapay zeka destekli dolandırıcılık kayıplarının 2023'te 12,3 milyar dolardan 2027'ye kadar yaklaşık 40 milyar dolara yükseleceğini öngörüyor ve sektör tahminlerine göre deepfake tabanlı dolandırıcılıklar 2025'te milyarlarca dolara ulaştı. Aynı teknoloji aynı zamanda en iyi savunmayı da yönlendiriyor. Nilson Raporu, yapay zekanın kart endüstrisinin sahip olduğu en güçlü dolandırıcılıkla mücadele modellerini ürettiğini belirtiyor. Daha hızlı yineleyen turu kazanıyor; işte bu yüzden statik savunmalar başarısızlığa mahkumken, uyarlanabilir savunmalar başarılı oluyor.
Bu durum ödeme dolandırıcılığının önlenmesi açısından ne anlama geliyor?
PayPal ve Cash App'ten çıkarılacak ders "teknolojiye daha fazla para harcayın" değil. İkisi de bolca para harcadı. Kazanan bahis dar ve gösterişsiz: geri alınabilirlik, hesap verebilirlik ve rol yapmayan, uyum sağlayan birkaç kontrol. Tiyatro daha ucuzdur, ta ki bir düzenleyici kurum 175 milyon dolarlık bir fiyat biçene kadar. Bu yüzden kendi sisteminizi yukarıdaki tabloyla karşılaştırın ve önemli olan tek soruyu sorun: Sahte bir transferi geri alamıyorsanız veya bir müşteri soyulduğunda telefonu açamıyorsanız, ödeme dolandırıcılığı önleme sisteminiz yok demektir. Sadece bir logonuz var.
