[Интересно] Безналичные платежи и Фрод

battarismos

Assistant moderator
Publicist
Регистрация
07.12.20
Сообщения
55
Лучшие ответы
0
Реакции
20
Баллы
4
С активным переходом в цифровое поле бизнес становится все более уязвимым для кибер-мошенников, то есть нас. Недополученная прибыль и потеря доверия со стороны клиентов - вот лишь малая часть неприятностей, приносимых фродом. Ну, извините, ребят, у нас работа такая.

Фрод (от англ. fraud), т.е. мошенничество (а именно мошеннические транзакции), наносят мировой экономике ущерб, измеряемый миллиардами долларов. Касается всех: от правительств и банков до рядовых граждан. Однако главный удар все же принимают на себя компании. Как в сфере e-commerce так и всевозможные сервисы.

Конечно, чем крупнее организация, тем более лакомой добычей она является для плохих парней. Но, говоря по правде, не защищен никто. Даже самый на первый взгляд неприметный интернет-магазинчик, торгующий исключительно вантузами да прокладками для труб. Под угрозой любой бизнес, вне зависимости от размера или местоположения. Хотя по статистике чаще всего атакам подвергаются производственные компании, а также компании, работающие в области здравоохранения и оказания финансовых услуг.

Еще один интересный факт: по данным IBM, чуть ли не больше половины всех кибератак осуществляется инсайдерами, то есть сотрудниками компаний. К сожалению, нас с вами это едва ли касается (иначе вы бы это не читали). Ведь по мере развития сетей и увеличения количества устройств к ним подключаемым, растет и число потенциальных источников внутренних угроз.

В основе многих (если не большинства) мошеннических действий извне лежит та или иная форма кражи личных данных через электронную почту. А это означает, что даже самый прекрасный и ответственный сотрудник представляет угрозу информационной безопасности своей компании, являясь нашей с вами потенциальной целью. Порой, чтобы получить доступ к нужным данным или системам компании, намного легче обмануть ее работника (социальную инженерию и человеческий фактор никто не отменял), чем самостоятельно взламывать надежно защищенные системы. Хотя чаще используются оба этих метода в совокупности. Ну, это для продвинутых. А так как большинство не будут лезть в дебри, а предпочтут просто повбивать стафчик, то на этом и сконцентрируемся.

Итак, фрод - это любой тип ложной или незаконной транзакции, совершенной киберпреступником. Плохой парень в интернете лишает свою жертву денег, личного имущества, процентов или конфиденциальной информации, а потом радуется.


Методов фрода бессчетное множество, вот лишь некоторые из них:

  1. Мошенничество с банковскими картами или кардинг (хи-хи). Наиболее распространенный сценарий - использование чужих платежных данных для совершения онлайн-покупок. Вы все наверняка с этим знакомы не по наслышке. Владелец карты в большинстве случаев, конечно же, такую операцию будет оспаривать, но нас с вами это уже никак не касается. А вот несчастный продавец рискует потерять не только товар, но и деньги.
  2. “Фейковые” возвраты. Они же рефанды (от слова refund). Требуем вернуть деньги, якобы отсылая невостребованный товар назад или утверждая что не получили его вовсе или получили с дефектом..
  3. Триангуляция (Triangulation Fraud). За сложным названием скрывается такая схема:
Этот метод используется для сбора электронных и почтовых адресов, а также платежных данных. Итак, создаем страничку фейк шопа, где предлагаем популярные товары по крайне низким ценам. Ни о чем не подозревающий покупатель делает у нас заказ. Далее совершаем покупки реальном магазине, используя данные украденных банковских карт наших “клиентов”. В результате реальный продавец поставляет товары реальному заказчику. Мы же в свою очередь продолжаем совершать дополнительные покупки за счет “клиента”. Номера банковских карт и заказы в таком случае практически невозможно соединить между собой, отчего обнаружить нас крайне трудно, придется приложить немало усилий и времени. Времени, которое мы с вами можем потратить на прекрасный шоппинг.

4. Дружественное мошенничество (Friendly Fraud). Заказываем и оплачиваем товар онлайн, а затем убеждаем продавца сделать возврат денег, сетуя на то, что банковскую карточку у нас украли, ну или любой другой повод Деньги возмещаются, а сам товар при этом остается у нас. Профит. Кстати, этим грешат почти все)

5. Мошенничество с использованием личных данных продавца. Создаем учетную запись торгового представителя от имени, казалось бы, легального бизнеса и снимаем деньги с полученных банковских карт. Затем, прежде чем владельцы карт заподозрят неладное и отменят платежи, исчезаем в закат.

Зачастую плохие парни вроде нас выдают себя за законных представителей, связываются с владельцами карт и без проблем получают конфиденциальную информацию напрямую. Так, данные можно получить через электронную почту, телефонные звонки, путем отправки вредоносных программ на смартфон жертвы, через мгновенные сообщения, переадресовав трафик на левый сайт и т.п. и т.д.


По сути, в безналичных платежах, которые мы сегодня рассматриваем, присутствуют трое: покупатель, продавец и некий посредник. Сий посредник по поручению других двух товарищей осуществляет расчеты между ними. Как можете себе представить, для осуществеления таких платежей используются настоящие деньги в их безналичной форме. Инструменты типа крипты не в счет (это ж не деньги). Итак, посмотрим на онлайн платеж наглядно:

Кто не понял что такое ЭПС, МПС, мерчант и тд - читайте наши предыдущие лекции, где это все разжевано. На этой схеме отображены все участники фродовой транзакции и по сути, все, кроме холдера тут сильно страдают. Холдер ак правило издержек не понесет, кроме испорченного настроения и потраченного времени. Все же остальные - предмет репутационных и материальных потерь.

Така штука как пресловутый антфрод - есть просто рыночная необходимость. Без нее - никуда. Разработка своего собственного антифрода для банка будет являтся обыденностью, в то время как для платежной системы это будет несколько проблиматичнее, а вот для мерчантов это вовсе непозволительная роскошь. Ну и плюс так как он (мерчанты) как правило сидят на какой-то системе, то она, будучи сервис провайдером, представляет и услуги антфрода.

Мерчанты сильно страдают от мошенничества и средства как правило будут возвращены холдеру, а мерчант еще и оштрафован. Штрафы могут быть разными, но как правило начинаются от 10 баксов и растут в зависимости от кол-ва и частоты фродовых платежей. Если у мерчанта много фродовых операций, то его и вовсе могут отключить т наложить приличный единовременный штраф.

Самый распространенный сегодня метод дополнительной проверки это - 3-D Secure, гдеЛюбая антифрод система является критической в работе бизнеса, сбой работы которой может привести к очень серьезным последствиям. Поэтому требования к такой систему чрезвычайно высоки и пишутся они на самом высоком уровне.

Будучи мамкиными кардерами (зачеркнуто) отпетыми мошенниками с большой интернет дороги, нам надо понимать расстановку сил в оналйн транзакциях. Так, под самыШтрафы налагают платёжные системы, у которых есть специальные программы поконтролю уровня фрода (Global Merchant Chargeback Monitoring Program у Visa иGlobal Merchant Audit Program). Эти системы устанавливают допустимые уровни поколичеству и объему фрода и чарджей. Если мерчант превышает и не принимаетмеры — получит штраф и санкции.обязанности проверки транзакции делегируются банку-эмитенту.

Больше про 3DS можете почитать в одноименных наших лекциях.

большим риском находится именно мерчант. Продавец отвечает за фрож своими собственными средствами. Либо напрямую, либо опосредствованно. Но при этом сам по себе эффективно выявлять мошенничество он не в состояниию На сегодняшний момент этого делать и не надо: практически все платежки и платежные агрегаторы обладают своими антифрод решениями. Однако помимо этого, у мерчанта есть и свои преимущества и плюсы. Помимо естественно непосредственно самого акта продажи (бизнеса) - у него остается информация о платеже и покупателе, которая не доступна другим участникам автопробега. Нужна ли она ему или нет, это вопрос другой. Борьба с фродом объективно должна начинаться на стороне эмитента. Это довольно логично. Любая антифрод система должна быть максимально гибкой и настраеваемой. Единого решения для всех просто напросто не существует. Также, любой уважающий себя кардир должен знать о стандартеили код безопасности (CVV). Можно хранить последние 4 и первые 6.PCI DSS, согласнокоторому мерчантам запрещено хранить локально полный номер карты (PAN)* Есть конечно интересный момент, - в принципе хранение PAN допустимо вшифрованном виде. Когда вы храните не номер карты, а ее хеш.Согласно всяким GDPR и прочим законам о защите персональных данных, вселичные данные в обязательном порядке должны храниться обезличенно. Что невсегда происходит на практике.

Также, еще одним требованием является передача платежных данных отмерчанта в ЭПС посредством защищенного канала.Теперь давайте вернемся к самой транзакции. Если речь идет об отказе платежа,то причин может быть две: либо система определила транзу как мошенническую,либо произошла ошибка заполнения платежных данных (или банально нехваткасредств или регионлок).

Вне зависимости от чего либо, антифрод проверит корректность ввода данных.Это может быть например наличие как минимум 2 букв в имени и отсутствие цифрв нем же.Другой момент, где антифрод устанавливает, является ли транза фродом или нет.

Осуществляется эта проверка посредством эвристических методов. Инымисловами, это - набор неких правил. Базовые из них перечисляю ниже: одна карта– много IP, и обратный случай: один IP – много карт; одна карта – многопокупок/неудачных попыток; один клиент – много карт (особенно эмитированныхразличными банками); один клиент – много индексов, email'ов; имя клиента несовпадает с именем владельца аккаунта на сайте мерчанта (если есть); странаклиента не совпадает со страной владельца акаунта на сайте мерчанта (еслиесть); оплата происходит ночь (по локальному времени клиента); использованиепрописных букв (вместо заглавных); наличие 2-х или более цифр в названииимейла.

Шанс того, что проводимая в 2 часа ночи транзакция является незаконнойвозрастает в 1.5 раза, в 4 часа ночи эта вероятность увеличивается в 2 раза.Важно понимать, что все антифроды разные. Даже один и тот же провайдер наразных шопах может вести себя по разному. Причин тому несколько. Во-первыхналичие гибких настроек и фильтров доступных мерчанту, а во вторых сам умныйантифрод с самообучаемой эвристикой.

Ведь для провайдера антифрода важно не просто защитить бизнес отмошенничества, но и оградить его от ложных срабатываний. Найти этот балансдовольно сложно. Мы в свою очередь пытаемся втиснуться где-то посредине.

Главнм и основным фильтром в любом абсолютно антифроде это уровень первичных списков. Это всевозможные блэклисты: IP, адреса, холдеры и тд.

Тут в исследовании одном говорили, что объем фрода в нашем 2020 году будетравен 25,6 млрд долларов. Посмотрим)Почти 80% финансовых организаций становится жертвами онлайн фрода и кол-воэтих организаций лишь растет.

При чем согласно статистике больше долбят именно товарку и стафф. Банки иплатежные сервисы почти в 2,5 раза меньше.И хотя требования регулятора давно вступили в законную силу, в Британии,например, более 30% мерчантов как не передавало, так и не передаетинформацию о транзакции посредством защищенного канал...

А вообще онлайн фрод в США составляет аж 0.9% от оборота онлайн торговли. Аэто, ребята, огромнейшая сумма! Без интернета фрода сфера инет коммерциистанет прибыльнее на 13%))