Продолжая тему защиты вашего бизнеса от возможных рисков, связанных с процессом приема онлайн-платежей, мы хотим вернуться к вопросу предотвращения мошенничества (Fraud Prevention) с платежными картами на вебсайтах. Ранее, один из выпусков нашего тематического блога был посвящен базовым аспектам работы систем fraud-мониторинга для выявления случаев обмана в сети Интернет. Сегодня же мы хотим более детально рассмотреть те методы, которые помогают эффективно бороться с мошенническими операциями, где используются банковские карты.
Следующий список составлен, исходя из анализа рекомендаций Visa, основанных на многолетнем опыте работы в этом направлении.
Методы предотвращения мошеннических операций с платежными картами
- Построение внутренней системы защиты от мошенничества.
Понимая покупательские привычки пользователей вебсайта, вы можете защитить свой бизнес от транзакций с высоким риском. Создание надежных внутренних файлов для предотвращения мошенничества и «интеллектуальный контроль» транзакций являются неотъемлемыми элементами в инфраструктуре управления рисками. Здесь речь идет о том, что в процессе работы вебсайта вам необходимо формировать собственную историю платежей, мошеннических и подозрительных операций. Сохраняя определенный пул данных, вы получите ценный источник информации, который поможет предотвратить несанкционированные транзакции в будущем. Сюда относятся: имена, адреса электронной почты, адреса доставки, идентификационные номера клиентов, пароли, номера телефонов и номера используемых карт. В целях информационной безопасности запрещается хранить Card Verification Value 2 (CVV2) – трехзначный код, указанный на обороте платежной карты.
Использование подобных внутренних файлов помогает осуществлять так называемый «интеллектуальный контроль» транзакций. Данный контроль предусматривает собой постоянную проверку покупательской активности на выявление высокорисковых операций. В этом случае также будет полезным установить несколько дополнительных лимитов для проверки, например, по количеству и/или сумме одной операции (минимальной или средней цене чека). В свою очередь, такие действия помогут урегулировать потоки подлинных заказов с вебсайта и выявить потенциально мошеннические транзакции.
- Использование инструментов Visa.
Для снижения уровня недобросовестного использования банковских карт Visa предлагает применять несколько мощных инструментов при авторизации платежа по карте. Чтобы обеспечить безопасную и надежную обработку транзакций, при авторизации держателя карты на этапе заполнения платежной формы на вашем вебсайте используйте проверку по следующим показателям:
— тип платежной карты и ее номер. Предложите пользователю выбрать тип банковской карты, к примеру, Visa или Mastercard, а затем попросите ввести ее номер (16-значный код на лицевой части карты). Сравните выбранный тип карты и первую цифру введенного номера, чтобы убедиться в положительном совпадении. Если выбранный тип карты — «Visa», а номер счета начинается с «4», то совпадение положительное. Для владельцев карт Mastercard соответствующий номер начинается с «5».
— срок действия карты. Попросите держателя карты ввести дату истечения срока ее действия (месяц и год). Дабы не рисковать, не ставьте по умолчанию дату окончания срока действия платежной карты. Владелец карты может ошибочно выбрать уже предложенную дату, в результате чего транзакция будет отклонена банком-эмитентом.
— CVV2-код. Используйте CVV2-код Visa, чтобы проверить подлинность карты при совершении онлайн-платежа. Вместе с данными по типу, номеру и дате истечения срока действия карты, CVV2-код помогает корректно идентифицировать владельца платежного инструмента.
— служба проверки адреса (AVS). Эта функция предоставляется крупными провайдерами платежных сервисов и позволяет произвести авторизацию держателя банковской карты по такому критерию как платежный адрес или адрес выставления счета (billing address). При использовании AVS банк-эмитент автоматически проверяет указанный покупателем адрес выставления счета согласно своим базам данных и сообщает продавцу, стоит ли продолжать транзакцию. В настоящее время AVS доступна для банковских карт, выпущенных в Канаде, Великобритании и США, и недоступна для иностранных карт (то есть карт, выпущенных не в странах их использования).
- Применение систем fraud-скрининга.
О подобных системах мы ранее уже писали, когда говорили о том, как обезопасить свой интернет-магазин от мошеннических операций. Но стоит дополнительно обратить внимание на тот факт, что система fraud-скрининга является комплексным явлением и не ограничивается только лишь внутренним мониторингом. Для определения мошеннических транзакций можно прибегать и к внешнему скринингу, который предоставляют сторонние сервисы и партеры. Примером подобного сервиса выступает Ethoca как единая автоматизированная и безопасная платформа для связи эмитентов карт и продавцов за пределами потока авторизации платежей. Эта платформа помогает ликвидировать информационный разрыв между различными банками-эмитентами и продавцами, предоставляя в режиме реального времени данные о подозрительных и мошеннических операциях, обнаруженных другими участниками.
Вдобавок необходимо отметить о важности разработки процедур реагирования на подозрительные транзакции по средству осуществления звонков для подтверждения заказа и проверки держателя карты. Несмотря на то, что прямой контакт снижает риск мошенничества, он также позволяет завоевать расположение клиента и укрепить его доверие.
- Реализация механизма Verified by Visa.
Использование Verified by Visa может значительно снизить риски при аутентификации держателя карты и обеспечить защиту от мошенничества с онлайн-платежами. Verified by Visa — это уникальное название механизма 3-D Secure — протокола безопасности и двухфакторной аутентификации владельца платежного инструмента, разработанного непосредственно компанией Visa. О принципах работы 3-D Secure мы также ранее рассказывали в одном из выпусков блога. Здесь же хотим обратить ваше внимание на тот факт, что применение механизма Verified by Visa является дополнительным преимуществом в процессе организации приема платежей через вебсайт, поскольку он позволяет с большей долей вероятности подтвердить аутентичность осуществляемой платежной операции.
- Защита мерчант-аккаунта от стороннего скрининга.
Полноценная защита онлайн-бизнеса от мошенничества представляет собой комплексный подход и включает не только предотвращение несанкционированных транзакций со стороны пользователей, но и предупреждение атак злоумышленников на внутренние системы продавца и его мерчант-аккаунт непосредственно. Здесь речь идет о тех случаях, когда третьи лица намереваются завладеть платежной информацией покупателей, которая доступна продавцу для обработки, или же получить доступ к мерчант-аккаунту продавца и его выплатам. Во избежание стороннего скрининга рекомендуется проводить ежедневный мониторинг систем авторизации и транзакций, а также время от времени менять пароль в системе платежных шлюзов (gateway system).
Очень надеемся, что данный материал будет полезен в процессе организации и настройки внутренних систем мониторинга и предотвращения мошеннических действий с платежными картами на вашем вебсайте. В любом случае, если вы планируете долгосрочно и эффективно развивать свой онлайн-бизнес, вам следует обязательно внедрить изложенные рекомендации Visa, а команда Finance Business Service с радостью поможет разобраться в тонкостях работы методов борьбы с интернет-мошенничеством.