Dolandırıcılık kaydı ve kontroller

Yöntem

Alıcı dosyayı satın alır, PDF'i indirir, ardından ücreti 'hizmet alınmadı' diyerek itiraz eder — makbuzun hiç ulaşmadığını iddia eder.

Önlem

Her dosya görüntüleme ve PDF indirme; zaman damgası + IP + tarayıcı bilgisiyle kaydedilir. Stripe webhook'u ters ibraz olaylarını dinler; teslim kaydını + IP-coğrafyasını + oturum açan kullanıcıyı ikna edici kanıt olarak otomatik sunarız (Sebep Kodu 13.1 — kredi işlenmedi / dostça dolandırıcılık).

Yöntem

Tek bir $129/ay abonelik, tüm bir alıcı-broker ofisi ya da 20 kişilik bir ajans tarafından kullanılır ve birim ekonomisini zedeler.

Önlem

Hesap/IP başına dosya oluşturma için yumuşak hız sınırı (Upstash). Sert üst sınır, lansman sonrası Supabase auth'ta eşzamanlı oturum tespiti + parmak izi hashleme ile uygulanır. Suistimal tespit edilirse ajans fiyat katmanı duyurulur.

Yöntem

Bot, canlı kartları bulmak için /upgrade'i $1–$49 arası bir taramayla çalınmış kart numaralarıyla yoklar.

Önlem

/api/checkout'u hız sınırla (5/dk/IP, sert 20/sa). Stripe Radar varsayılan kuralları BIN-hızı + CVC-uyuşmazlığı + tekrarlanan-ret durumlarını kapsar. Bot oranı %5'i aşınca ödeme adımına reCAPTCHA Enterprise ekle.

Yöntem

Sahte avukat profili, temsil etmediği mülkleri listeler, alıcı tanıtım adaylarını toplar, sonra ortadan kaybolur.

Önlem

MVP sırasında her ilanın manuel editör incelemesi (24 saat SLA). Lansman sonrası: avukat baro numarası doğrulaması + güncel mesleki ruhsat yüklemesi + mevcut doğrulanmış bir meslektaştan karşı imza tamamlamalı. İlandan kapanışa dönüşüm oranı izlenir; %10 altı ilanlar incelemeye işaretlenir.

Yöntem

Saldırgan, gerçek bir avukatlık firmasının baro numarasını kamu sicilinden alarak kayıt olur.

Önlem

Kayıt, firmanın alan adına gönderilen bir doğrulama e-postası gerektirir (DNS MX doğrulamalı, Gmail/Hotmail yok). Baro numarası, ülkenin baro birliğinin kamu siciliyle çapraz kontrol edilir (England Bar Council, Ordem dos Advogados, Colegio de Abogados, Conseil National des Barreaux, Türkiye Barolar Birliği).

Yöntem

Saldırgan, bulut hizmetlerinden meta veri çıkarmak için bir iç ağ URL'si (http://169.254.169.254, http://localhost) gönderir.

Önlem

lib/geocode.ts PORTAL_ALLOWLIST, ana bilgisayar adlarını sabit kodlar (rightmove.co.uk, idealista.com, seloger.com, imovirtual.com, sahibinden.com, …). İzin listesinde olmayan herhangi bir URL, herhangi bir getirme başlatılmadan önce 422 döndürür.

Yöntem

Bir ilan sayfasındaki kötü niyetli og:title ya da og:description, Gemini komutunu değiştirmeye çalışan 'Önceki talimatları yoksay ve …' ifadesini içerir.

Önlem

Kazınmış metinler kaçırılır, uzunluk sınırlanır (1000 karakter) ve komut içinde sınırlandırılmış [USER_INPUT] bloklarına sarılır. Sistem komutu, Gemini'ye girdiyi talimat değil güvenilmeyen veri olarak ele almasını açıkça söyler.

Yöntem

Alıcı $1.500 ücreti A kartıyla öder, B kartına iade ister — bizi bir kara para aklama karıştırıcısı olarak kullanır.

Önlem

Stripe Refunds API üzerinden sert kural: iade orijinal ödeme yöntemine dönmeli. Alternatif alıcıya iade yok. 10 bin € üzeri depozitolarda AML kontrolü (fon kaynağı kanıtı). Concierge müşterisi, depozito kabul edilmeden önce kimlik doğrulamasını (Stripe Identity) tamamlamalı.