Продовжуючи тему захисту вашого бізнесу від можливих ризиків, пов’язаних з процесом прийому онлайн-платежів, ми хочемо повернутися до питання запобігання шахрайству (Fraud Prevention) з платіжними картами на веб-сайтах. Раніше, один з випусків нашого тематичного блогу був присвячений базовим аспектам роботи систем fraud-моніторингу для виявлення випадків обману в мережі Інтернет. Сьогодні ж ми хочемо більш детально розглянути ті методи, які допомагають ефективно боротися з шахрайськими операціями, де використовуються банківські картки.
Наступний список сформовано, виходячи з аналізу рекомендацій Visa, заснованих на багаторічному досвіді роботи в цьому напрямку.
Методи запобігання шахрайським операціям з платіжними картками
- Побудова внутрішньої системи захисту від шахрайства.
Розуміючи купівельні звички користувачів сайту, ви можете захистити свій бізнес від транзакцій з високим ризиком. Створення надійних внутрішніх файлів для запобігання шахрайства та «інтелектуальний контроль» транзакцій є невід’ємними елементами в інфраструктурі управління ризиками. Тут мова йде про те, що в процесі роботи веб-сайту вам необхідно формувати власну історію платежів, шахрайських і підозрілих операцій. Зберігаючи певний пул даних, ви отримаєте цінне джерело інформації, яке допоможе запобігти несанкціонованим транзакції в майбутньому. Сюди відносяться: імена, адреси електронної пошти, адреси доставки, ідентифікаційні номери клієнтів, паролі, номери телефонів і номери карт, що використовуються. З метою гарантування інформаційної безпеки забороняється зберігати Card Verification Value 2 (CVV2) – тризначний код, вказаний на звороті платіжної картки.
Використання подібних внутрішніх файлів допомагає здійснювати так званий «інтелектуальний контроль» транзакцій. Даний контроль передбачає собою постійну перевірку купівельної активності на предмет виявлення ризикових операцій. У цьому випадку також буде корисним встановити кілька додаткових лімітів для перевірки, наприклад, за кількістю та/або сумою однієї операції (мінімальній або середній ціні чека). У свою чергу, такі дії допоможуть врегулювати потоки справжніх замовлень з сайту і виявити потенційно шахрайські транзакції.
- Використання інструментів Visa.
Для зниження рівня несумлінного використання банківських карт Visa пропонує застосовувати кілька потужних інструментів при авторизації платежу по карті. Щоб забезпечити надійну обробку транзакцій, при авторизації власника картки на етапі заповнення платіжної форми на вашому веб-сайті використовуйте перевірку за наступними показниками:
– тип платіжної картки та її номер. Запропонуйте користувачеві вибрати тип банківської карти, наприклад, Visa або Mastercard, а потім попросіть ввести її номер (16-значний код на лицьовій частині карти). Порівняйте обраний тип карти і першу цифру введеного номера, щоб переконатися в позитивному збігу. Якщо обраний тип карти – «Visa», а номер рахунку починається з «4», то збіг позитивний. Для власників карт Mastercard відповідний номер починається з «5».
– термін дії карти. Попросіть власника картки ввести дату закінчення терміну її дії (місяць і рік). Щоб не ризикувати, не ставте за замовчуванням дату закінчення терміну дії платіжної картки. Власник картки може помилково вибрати вже запропоновану дату, в результаті чого транзакція буде відхилена банком-емітентом.
– CVV2-код. Використовуйте CVV2-код Visa, щоб перевірити справжність картки при здійсненні онлайн-платежу. Разом з даними щодо типу, номеру і дати закінчення терміну дії карти, CVV2-код допомагає коректно ідентифікувати власника платіжного інструменту.
– служба перевірки адреси (AVS). Ця функція надається великими провайдерами платіжних сервісів і дозволяє провести авторизацію власника банківської карти за таким критерієм як платіжна адреса або адреса виставлення рахунку (billing address). При використанні AVS банк-емітент автоматично перевіряє зазначену покупцем адресу виставлення рахунку відповідно до своїх баз даних та повідомляє продавцеві, чи варто продовжувати транзакцію. У даний час AVS доступна для банківських карток, випущених в Канаді, Великобританії та США, і недоступна для іноземних карток (тобто карт, випущених не в країнах їх використання).
- Застосування систем fraud-скринінгу.
Про подібні системи ми раніше вже писали, коли говорили про те, як убезпечити свій інтернет-магазин від шахрайських операцій. Але варто додатково звернути увагу на той факт, що система fraud-скринінгу є комплексним явищем і не обмежується лише внутрішнім моніторингом. Для визначення шахрайських транзакцій можна вдаватися і до зовнішнього скринінгу, який надають сторонні сервіси та партнери. Прикладом подібного сервісу виступає Ethoca як єдина автоматизована і безпечна платформа для зв’язку емітентів карт і продавців за межами потоку авторизації платежів. Ця платформа допомагає ліквідувати інформаційний розрив між різними банками-емітентами та продавцями, надаючи в режимі реального часу дані про підозрілі і шахрайські операції, що були виявлені іншими учасниками.
До того ж необхідно зазначити про важливість розробки процедур реагування на підозрілі транзакції за допомогою здійснення дзвінків для підтвердження замовлення і перевірки власника картки. Незважаючи на те, що прямий контакт знижує ризик шахрайства, він також дозволяє завоювати прихильність клієнта і зміцнити рівень його довіри до продавця.
- Реалізація механізму Verified by Visa.
Використання Verified by Visa може значно знизити ризики при автентифікації власника картки і забезпечити захист від шахрайства з онлайн-платежами. Verified by Visa – це унікальна назва механізму 3-D Secure – протоколу безпеки і двофакторної автентифікації власника платіжного інструменту, розробленого безпосередньо компанією Visa. Про принципи роботи 3-D Secure ми також раніше розповідали в одному з випусків блогу. Сьогодні ж хочемо звернути вашу увагу на той факт, що застосування механізму Verified by Visa є додатковою перевагою в процесі організації прийому платежів через веб-сайт, оскільки він дозволяє з більшою часткою ймовірності підтвердити автентичність здійснюваної платіжної операції.
- Захист мерчант-акаунта від стороннього скринінгу.
Повноцінний захист онлайн-бізнесу від шахрайства є комплексним підходом і включає не тільки запобігання несанкціонованим транзакціям з боку користувачів, але і попередження атак зловмисників на внутрішні системи продавця і його мерчант-аккаунт безпосередньо. Тут мова йде про ті випадки, коли треті особи мають намір заволодіти платіжною інформацією покупців, яка доступна продавцеві для обробки, або ж отримати доступ до мерчант-акаунта продавця і його виплат. Щоб уникнути стороннього скринінгу рекомендується проводити щоденний моніторинг систем авторизації і транзакцій, а також час від часу змінювати пароль в системі платіжних шлюзів (gateway system).
Маємо надію, що цей матеріал буде корисним у процесі організації та налаштування внутрішніх систем моніторингу і запобігання шахрайських дій з платіжними картами на вашому веб-сайті. У будь-якому випадку, якщо ви плануєте довгостроково і ефективно розвивати свій онлайн-бізнес, вам слід обов’язково впровадити викладені рекомендації Visa, а команда Finance Business Service з радістю допоможе розібратися в тонкощах роботи методів боротьби з інтернет-шахрайством.