Продовжуючи серію блогів, присвячених процесу організації прийому платежів через веб-сайт, команда Finance Business Service хоче приділити особливу увагу питанням безпеки інтернет-магазинів. Раніше ми вже публікували матеріал, що стосується аспектів безпечного еквайрингу платіжних карт, коли аналізували механізм роботи 3-D Secure. Сьогодні ж пропонуємо розглянути роботу систем fraud-моніторингу для запобігання випадків інтернет-шахрайств.
Що таке fraud
У широкому розумінні fraud полягає в проведенні шахрайських операцій в мережі Інтернет. На даний час існує велика кількість шахрайських схем у фінансовій сфері, серед яких:
- carding — здійснення операцій з використанням вкрадених реквізитів банківських карт;
- skimming — різновид carding — копіювання даних банківських карт за допомогою апаратних рішень, встановлених на банкомати;
- fishing — заволодіння даними банківських карт користувачів через підроблені веб-сайти (практично ідентичні оригінальним), шляхом введення самими користувачами своїх платіжних даних на шахрайських веб-сторінках;
- voice fishing — виманювання реквізитів банківських карт або особистих даних користувачів по телефону (найчастіше зловмисники представляються працівниками банку).
Для онлайн-магазинів fraud небезпечний тим, що є ймовірність понести збитки в досить великих розмірах. Класична ситуація здійснення шахрайської операції виглядає наступним чином:
- 1) у результаті будь-якого з вище згаданих видів шахрайства, зловмисники заволодівають даними платіжних карт, достатніх для здійснення покупки в онлайн-магазині;
- 2) зловмисники оформлюють замовлення на покупку товару або надання якоїсь послуги, після чого гроші списуються з карти;
- 3) власник карти, дізнавшись про несанкціоновану транзакцію, заявляє про ситуацію, що трапилася до свого обслуговуючого банку і формує заявку на повернення незаконно списаних грошових коштів (сhargeback);
- 4) банк відповідно ініціює процедуру повернення, але по факту тягар відповідальності лягає на плечі інтернет-магазину, так як саме він повинен повернути платіж.
У тому випадку, коли шахраї встигли отримати товар, збитки онлайн-магазину можуть потроїтися. Адже магазин повертає гроші власнику карти, втрачає товар, а також вірогідно потрапляє під штрафні санкції через допуск шахрайських операцій, і аж до введення обмежень або заборони на прийом онлайн-платежів.
Робота систем fraud-моніторингу
Для того, щоб уникнути подібних неприємних ситуацій, онлайн-торговцям рекомендується використовувати системи fraud-моніторингу. Технічно, fraud-моніторинг являє собою алгоритм — набір спеціальних правил і фільтрів — який дозволяє оцінити потенційні ризики транзакцій, що проводяться, і при необхідності попередити їх. Основне завдання такого моніторингу полягає в тому, щоб перевірити кожен платіж в режимі реального часу і виявити в ньому щось «незвичайне і підозріле».
Система fraud-моніторингу складається з декількох елементів: автоматичний моніторинг транзакцій, механізми ідентифікації власника картки і валідації карти, а також «ручний» моніторинг транзакцій на випадок виникнення неоднозначних ситуацій.
Найчастіше для гарантування безпеки онлайн-платежів інтернет-магазини використовують автоматичний fraud-моніторинг. Його головною перевагою є можливість вибору різних фільтрів для аналізу та попередження підозрілих транзакцій. Незважаючи на достатню кількість даних фільтрів, вкрай важливо вміти їх правильно підбирати та поєднувати для ефективної роботи механізму.
Серед основних фільтрів застосовуються:
- 1. Обмеження за географічними показниками. Наприклад, IP-адреси тих країн, в яких широко поширені випадки інтернет-шахрайств (країни Африки), можуть служити індикатором в системі fraud-моніторингу для подальшого блокування транзакцій, що проводяться з території таких країн.
- 2. Stop-списки банківських карт. Такі списки створюються з урахуванням реквізитів платіжних карт, за якими були помічені fraud-транзакції. Також сюди можуть потрапляти карти, про компрометацію даних яких заявляли їх власники. У разі наявності тієї чи іншої карти в stop-списку, система моніторингу буде знати, що по ній не можна здійснювати оплату.
- 3. Відповідність параметрів. Роботу цього фільтра можна проілюструвати прикладом відповідності наступних параметрів — країна IP-адреси платника і країна емітента банківської карти. Коли оплата проводиться з країни, яка не збігається з країною банку-емітента картки, цілком можна припустити, що транзакцію здійснюють зловмисники. Винятком є випадок, коли власник картки завчасно повідомив свій банк про подорож в конкретну країну або групу країн.
- 4. Ліміти авторизації і кількості проведених платежів. Наприклад, системою можуть бути встановлені ліміти на суму проведення однієї транзакції або кількості спроб авторизації з однієї IP-адреси (однієї банківської картки). Крім цього, ліміти можуть бути встановлені відносно кількості платежів в день/тиждень/місяць від одного платника.
- 5. Закінчення терміну дії карти (перевипуск карти). Ще одним індикатором для системи fraud-моніторингу є термін дії карти або її перевипуск. У разі спроби проведення платежу за допомогою карти, термін дії якої закінчився, існує досить об’єктивний ризик, що оплата ініціюється в шахрайських цілях. Перевипуск банківської карти також може свідчити про те, що попередня (наприклад, загублена карта) потенційно використовується недобросовісними споживачами.
Незважаючи на наведений вище перелік фільтрів, для налаштування автоматичного fraud-моніторингу ви можете використовувати ряд інших індикаторів, які ідеально підходять для вашого типу онлайн-бізнесу або спрямованості інтернет-магазину. Також необхідно враховувати ступінь вразливості бізнесу до шахрайських операцій загалом.
Потрібно пам’ятати, що не варто запускати абсолютно всі фільтри для відстеження підозрілих транзакцій, так як це може негативно вплинути на конверсію сайту. У результаті цього навіть стандартні і безпечні оплати будуть заблоковані системою. Тут важливішим є індивідуальний підхід до налаштування механізму fraud-моніторингу, виходячи з особливостей бізнес-профілю та аналізу потенційних клієнтів.