E-Ticarette Sahte Sipariş ve Chargeback: Dolandırıcılığı Durdurma Rehberi
Sahte sipariş, ters ibraz (chargeback) ve promosyon suistimali sessizce kâr marjınızı yiyor. iyzico risk kuralları, 3D Secure ve kapıda ödeme filtreleriyle kaybı durdurmanın somut yolları.
Bir sabah panelinizi açıyorsunuz: dün gece 3 dakika arayla girilmiş 6 sipariş, hepsi aynı IP'den, farklı kart numaralarıyla, üstelik hepsi "kapıda ödeme" yerine kartla ve en pahalı ürünlerden seçilmiş. Bir hafta sonra bankadan e-posta geliyor: ters ibraz (chargeback). Ürün çoktan kargolandı, para geri çekildi, üstüne bir de bankanın kestiği işlem ücreti cebinizde kaldı.
Bu senaryo Türkiye'deki büyüyen mağazaların neredeyse tamamının başına en az bir kez geliyor. Dolandırıcılık; iade, kargo ve reklam kadar konuşulmasa da doğrudan net kârdan yiyen sessiz bir gider kalemi. İyi haber şu: vakaların büyük kısmı, birkaç akıllı kural ve doğru ödeme altyapısı ile daha para hesabınızdan çıkmadan durdurulabilir.
Kaybınız gerçekte ne kadar?
Dolandırıcılığın maliyeti sadece çalınan ürün değil. Tek bir başarılı chargeback'te dört ayrı kayıp üst üste biner:
- Ürün maliyeti — gönderdiğiniz malın alış fiyatı.
- Kargo ve operasyon — gidiş, çoğu zaman geri gelmeyen ürün, personel zamanı.
- Ters ibraz ücreti — banka/POS sağlayıcısı işlem başına genelde 15-40 TL arası ceza kesebilir.
- İtibar riski — chargeback oranınız işlem hacminizin %1'ini aşarsa banka POS'unuzu riskli görmeye, komisyonunuzu artırmaya hatta hesabı askıya almaya başlar.
Ortalama sipariş değeri 900 TL olan bir mağazada, ayda sadece 10 sahte sipariş yılda 100.000 TL'nin üzerinde doğrudan kayıp demek. Bu para, iki tam zamanlı çalışanın maaşına denk.
Dört ana dolandırıcılık türü
Her saldırı aynı değil; savunma da farklılaşıyor.
1. Kart dolandırıcılığı (chargeback)
Çalıntı kart bilgileriyle sipariş verilir, gerçek kart sahibi işlemi tanımayınca bankadan itiraz açar. Türkiye'de en güçlü kalkan 3D Secure'dur: işlem, kart sahibinin telefonuna gelen tek kullanımlık şifreyle doğrulanır. 3D Secure ile onaylanmış işlemlerde "ben yapmadım" temelli ters ibrazın sorumluluğu büyük ölçüde bankaya geçer.
2. Kapıda ödeme suistimali
Kartsız olduğu için görece güvenli sanılır ama farklı bir riski vardır: sahte ad-adresle sipariş açıp teslimatı reddetme veya hiç ulaşılamama. Ürün depodan çıkar, kargo gider-gelir, iki yönlü kargo ücreti ve yıpranan ürün sizde kalır.
3. Promosyon ve kupon suistimali
Aynı kişinin onlarca sahte hesapla "ilk siparişe %20" kuponunu tekrar tekrar kullanması, hediye çeklerini istismar etmesi. Küçük görünür, kampanya dönemlerinde bütçeyi hızla eritir.
4. Hesap ele geçirme (ATO)
Müşterinizin zayıf şifresini ele geçiren saldırgan, kayıtlı adrese değil kendi adresine ürün gönderir, biriken sadakat puanlarını harcar. Bu, markanıza olan güveni doğrudan zedeler.
Riskli siparişi tanıyan sinyaller
Dolandırıcılık nadiren tek bir işaret verir; sinyaller üst üste binince alarm çalmalı. Panelinizde şu kombinasyonlara dikkat edin:
| Risk sinyali | Neden şüpheli? |
|---|---|
| Fatura ve teslimat adresi farklı şehir/ülke | Çalıntı kart senaryosunun klasik izi |
| Dakikalar içinde art arda birçok sipariş | Otomatik kart deneme (kart testi) saldırısı |
| Aynı IP'den farklı kart/isimler | Tek elden çoklu dolandırıcılık |
| İlk siparişte en pahalı ürün + hızlı kargo | "Kar-götür" davranışı |
| Yeni açılmış, doğrulanmamış e-posta/telefon | Tek kullanımlık kimlik |
| Gece yarısı, çok sayıda başarısız ödeme denemesi | BIN taraması / kart doğrulama |
Tek başına "farklı adres" masumdur (hediye alışverişi olabilir). Ama "farklı ülke + yeni hesap + pahalı ürün + acele kargo" bir araya geldiyse, o siparişi otomatik onaylamak yerine elle incelemeye almak en akıllısıdır.
Katmanlı savunma: pratik kurulum
Tek bir araç sizi kurtarmaz; savunma katmanlıdır.
1. 3D Secure'ı zorunlu kılın. iyzico, PayTR, KuveytTürk sanal POS gibi sağlayıcılarda 3D Secure'ı varsayılan yapın. Dönüşümü birkaç puan düşürebilir ama chargeback'i ciddi biçimde azaltır. Yüksek tutarlı ya da riskli işlemlerde koşullu 3D Secure devreye alın.
2. Sağlayıcınızın risk kurallarını kullanın. iyzico ve benzeri altyapılar, işlem başına risk skoru üretir ve kural tanımlamanıza izin verir: aynı karttan saatte kaç deneme, aynı IP'den kaç işlem, ülke bazlı bloklama (velocity kuralları). Bunları aktif etmek çoğu otomatik saldırıyı daha ödeme aşamasında keser.
3. Kapıda ödemeye eşik ve doğrulama koyun. Belirli tutarın (örneğin 2.000 TL) üzerini kapıda ödemeye kapatın; ilk siparişte telefon doğrulaması (OTP) isteyin. Teslim almayan numaraları bir kara listeye ekleyin.
4. Kupon kullanımını kilitleyin. "Tek kullanım / hesap başına bir kez" kuralını e-posta değil, telefon + cihaz parmak izi üzerinden uygulayın; aksi halde 10 dakikada 10 sahte hesap açılır.
5. Hesapları koruyun. Yeni cihazdan girişte e-posta uyarısı, sadakat puanı harcamadan önce doğrulama adımı ekleyin.
KVKK'yı unutmayın
Dolandırıcılık önleme adına IP, cihaz bilgisi ve davranış verisi toplarken KVKK kapsamında hareket ettiğinizi unutmayın. Bu verileri "meşru menfaat / sözleşmenin ifası" hukuki sebebiyle işleyebilirsiniz; ancak aydınlatma metninizde bu amacı açıkça belirtin, veriyi yalnızca gerektiği kadar saklayın. Kara listeye aldığınız bir kişiyi süresiz ve gerekçesiz tutmak da veri minimizasyonu ilkesine aykırıdır.
Hızlı kontrol listesi
- Tüm kartlı işlemlerde 3D Secure aktif mi?
- Sanal POS panelinizde velocity/IP kuralları tanımlı mı?
- Kapıda ödemeye tutar eşiği ve OTP koydunuz mu?
- Chargeback oranınızı aylık takip ediyor musunuz (%1 kritik eşik)?
- Şüpheli siparişleri elle inceleme kuyruğuna alan bir akışınız var mı?
- Kupon kuralları hesap değil cihaz/telefon bazlı mı?
- Fatura, e-Arşiv üzerinden gerçek alıcı bilgisiyle kesiliyor mu?
Bu listenin çoğunu bir öğleden sonrada devreye alabilirsiniz. Kaybettiğiniz her sahte sipariş, aslında bir gerçek müşteriye harcanabilecek bütçeydi.
Shopizayn ile güvenli başlayın
Dolandırıcılıkla mücadele, ayrı ayrı araçlar kurmak zorunda kalmadan altyapının içinde gelirse çok daha kolaydır. Shopizayn'da iyzico ve KuveytTürk gibi sanal POS entegrasyonları 3D Secure'la hazır gelir; risk kuralları, kapıda ödeme eşikleri, kupon kilitleri ve e-Arşiv fatura otomasyonu tek panelde toplanır. Mağazanızı Shopizayn ile ücretsiz açın, ilk gününüzden itibaren siparişlerinizi hem büyütün hem de sessizce sızan kârı koruma altına alın.
