Банковские карты и фрод: как выбрать надежного провайдера интернет-платежей?

Вопрос, который волнует всех владельцев интернет-магазинов: защищены ли карточные данные клиентов настолько, что их попросту невозможно украсть?

Ответ "да" – либо ложь, либо заблуждение. Сколько существуют банковские карты, столько существует и мошенничество с ними – фрод (в более широком смысле фрод – это вообще мошенничество в области информационных технологий).

Сегодня мы расскажем об основных видах фрода и о том, как выбрать надежного провайдера интернет-платежей, чтобы свести риск для своих клиентов к минимуму.

Больше всего случаев мошенничества по пластиковым картам (до 45% от общего их числа) происходит при проведении платежей в Интернете. Так что магазины, предлагающие интернет-эквайринг клиентам, ведут постоянную борьбу с мошенниками. Следует отметить, что объем фродовых операций зависит и от отрасли, в рамках которой существует интернет-предприятие: показатели фрода у маленького магазина бижутерии будут существенно отличаться от показателей фрода у дистрибьютора крупной бытовой техники.

Кто может пострадать?

По стандартам международных платежных систем ни в коем случае не должен страдать клиент; в случае выявления мошеннической операции с картой возмещать ущерб должен банк-эмитент. В России, к сожалению, это правило соблюдается не всегда.

Кроме денежного ущерба, мошенничество с картой, разумеется, наносит репутационный удар по банку или провайдеру платежа. Но главный пострадавший – это, конечно, интернет-магазин, при покупке с которого у клиента "улетучились" данные банковской карты. Всем известно, что недовольный клиент рассказывает о своем опыте как минимум десяти другим людям, а довольный – лишь двум. А теперь представьте себе ситуацию, когда интернет-магазин столкнулся с кражей личных данных или мошенничеством по картам. Недовольные клиенты и сами уйдут (предварительно заклеймив интернет-магазин как невероятно опасный для всех владельцев карт), и с собой часть лояльной клиентской аудитории прихватят. Для крупного интернет-предприятия этот факт, может, и не станет смертельным, а для небольшого – точно превратится в реальную проблему.

Как исчезают деньги с карты?

Способов мошенничества с картами придумано множество. Перечислим несколько основных видов хищения данных с банковских карт в Интернете.

1. Взлом баз данных.Мошенники взламывают сервер платежного оператора или банка, на котором хранится база данных по пластиковым картам. Взломать сервер с базами данных – очень трудная задача, это мошенникам удается редко, но может принести колоссальную прибыль. При взломе с сервера могут "уйти" данные десятков тысяч банковских карт. Причем информацию о таких случаях, как правило, найти невозможно. Пострадавшие стороны предпочитают умалчивать о взломе, чтобы не потерять доверие клиентов.
   

2. Фишинг – обманные действия, в результате которых злоумышленники получают данные непосредственно от владельца карты. Классический вариант: мошенники создают клон известного интернет-ресурса или придумывают свой ресурс и начинают "продавать" какой-либо товар или услугу. Такой вид мошенничества, надо сказать, может сильно подорвать репутацию того интернет-магазина, клон которого создают преступники.
   

   Владелец карты переходит на фейковый сайт, выбирает товар и оформляет заказ. Далее он вводит свои карточные данные и, ничего не подозревая, отправляет их прямо в руки злоумышленникам. Для того чтобы привлечь новых "клиентов", могут использоваться sms или e-mail-рассылки и активная рекламная компания в Интернете.
   

3. Атака "Человек посередине" ("Man in the middle"). В такой ситуации мошенник-хакер "встает" между клиентом и сервером (банка или провайдера). Он может удалить, исказить информацию или запустить ложную. При этом клиент видит мошенника как сервер, а сервер видит мошенника как клиента. Клиент совершает платеж, и его средства утекают на мнимый сервер – к злоумышленнику.
   

4. Атака "Человек в браузере", или "Man in the browser". Мошенник путем введения вредоносного ПО в браузер получает возможность менять параметры транзакции в режиме реального времени.

Как выбрать надежного провайдера?

Чтобы обезопасить своих клиентов от мошенничества, нужно очень тщательно выбирать своего провайдера интернет-платежей. Безусловно, банк или провайдера, который будет обеспечивать интернет-эквайринг, мы выбираем сразу по многим показателям. И в первую очередь, наверное, исходя из того, какую комиссию он берет за свои услуги. Но и уровень защиты от фрода – это тоже важный фактор.

Стандартная антифродовая система основывается на различных фильтрах и лимитах. С одной стороны, такая система позволяет реально ограничить объем подозрительных платежей – она их просто не пропускает, обрезает. Но, с другой стороны, такая нарезка зачастую не дает честному пользователю, вышедшему за ограничения системы, совершить оплату. Вот пример. У оператора сотовой связи существуют лимиты: оплата не более двух тысяч рублей в день с одной карты, не более двух платежей. В такой ситуации мошенники не смогут украсть с карты клиента больше двух тысяч рублей. Но что делать, если необходимо оплатить счет на сумму выше двух тысяч? Что делать, если необходимо оплатить счета себе, маме и другу? Редкий клиент будет ждать следующего дня; он просто оплатит счета с помощью другого оператора. И вряд ли когда-нибудь вернется к первому оператору. С точки зрения бизнеса: да, защита на высоте, но клиента вы все-таки потеряли.

Что тут можно посоветовать?

Выбирайте провайдера, который сможет вам гарантировать безопасность не словами "платежи с нами – самые безопасные и качественные на свете", а делом. При этом провайдер не должен существенно ограничивать трафик платежей, ведь от него напрямую зависит прибыль интернет-магазина.

Большой плюс для провайдера – наличие собственной статистической базы успешных и фродовых транзакций.

В системе анализа транзакций должны работать не только автоматические инструменты, но и "живые" специалисты-аналитики по фрод-мониторингу. Аналитики смогут вникнуть в суть транзакции в режиме реального времени и при необходимости предотвратить мошенническую операцию.

Также провайдер должен постоянно совершенствовать свою антифродовую систему: это достигается за счет включения в систему самообучающейся математической модели и постоянного совершенствования программного обеспечения. Провайдеры, покупающие готовые "коробочные" решения, скорее всего, не смогут оперативно противостоять новым видам фрода и их модификациям.

Итак, прежде чем остановить свой выбор на конкретном провайдере, задайте ему следующие вопросы:

1. На чем основана ваша система фрод-мониторинга (только ли на фильтрах и ограничениях)?
   

2. Насколько сильно ограничивает ваша антифродовая система успешные платежи?
   

3. Существует ли у вас собственная статистическая база по транзакциям?
   

4. Используете ли вы человеческий ресурс в системе фрод-мониторинга?
   

5. Совершенствуете ли вы свою антифродовую систему? Или предлагаете "коробочное" решение?
   

6. Сможете ли вы подстроить систему фрод-мониторинга под наши требования?

Завершим статью выводом от Капитана Очевидность: на самом деле, ни один провайдер не в состоянии гарантировать вам стопроцентную защиту от фрода. Мошенники всегда найдут способ обойти любой фильтр. При этом провайдер, гарантирующий полную защиту, скорее всего, урежет трафик так, что будет проходить только 40-50% успешных платежей. Вряд ли вам захочется терять половину заслуженных платежей из-за провайдера, верно?