подписка
Подписаться
Юлия Чевела , ASSIST
22/03/2013

Банковские карты и фрод: как выбрать надежного провайдера интернет-платежей?

защита данных

Вопрос, который волнует всех владельцев интернет-магазинов: защищены ли карточные данные клиентов настолько, что их попросту невозможно украсть?

Ответ "да" – либо ложь, либо заблуждение. Сколько существуют банковские карты, столько существует и мошенничество с ними – фрод (в более широком смысле фрод – это вообще мошенничество в области информационных технологий).

Сегодня мы расскажем об основных видах фрода и о том, как выбрать надежного провайдера интернет-платежей, чтобы свести риск для своих клиентов к минимуму.


Больше всего случаев мошенничества по пластиковым картам (до 45% от общего их числа) происходит при проведении платежей в Интернете. Так что магазины, предлагающие интернет-эквайринг клиентам, ведут постоянную борьбу с мошенниками. Следует отметить, что объем фродовых операций зависит и от отрасли, в рамках которой существует интернет-предприятие: показатели фрода у маленького магазина бижутерии будут существенно отличаться от показателей фрода у дистрибьютора крупной бытовой техники.


Кто может пострадать?

По стандартам международных платежных систем ни в коем случае не должен страдать клиент; в случае выявления мошеннической операции с картой возмещать ущерб должен банк-эмитент. В России, к сожалению, это правило соблюдается не всегда.

Кроме денежного ущерба, мошенничество с картой, разумеется, наносит репутационный удар по банку или провайдеру платежа. Но главный пострадавший – это, конечно, интернет-магазин, при покупке с которого у клиента "улетучились" данные банковской карты. Всем известно, что недовольный клиент рассказывает о своем опыте как минимум десяти другим людям, а довольный – лишь двум. А теперь представьте себе ситуацию, когда интернет-магазин столкнулся с кражей личных данных или мошенничеством по картам. Недовольные клиенты и сами уйдут (предварительно заклеймив интернет-магазин как невероятно опасный для всех владельцев карт), и с собой часть лояльной клиентской аудитории прихватят. Для крупного интернет-предприятия этот факт, может, и не станет смертельным, а для небольшого – точно превратится в реальную проблему.



Как исчезают деньги с карты?


Способов мошенничества с картами придумано множество. Перечислим несколько основных видов хищения данных с банковских карт в Интернете.

  1. Взлом баз данных.Мошенники взламывают сервер платежного оператора или банка, на котором хранится база данных по пластиковым картам. Взломать сервер с базами данных – очень трудная задача, это мошенникам удается редко, но может принести колоссальную прибыль. При взломе с сервера могут "уйти" данные десятков тысяч банковских карт. Причем информацию о таких случаях, как правило, найти невозможно. Пострадавшие стороны предпочитают умалчивать о взломе, чтобы не потерять доверие клиентов.

  2. Фишинг – обманные действия, в результате которых злоумышленники получают данные непосредственно от владельца карты. Классический вариант: мошенники создают клон известного интернет-ресурса или придумывают свой ресурс и начинают "продавать" какой-либо товар или услугу. Такой вид мошенничества, надо сказать, может сильно подорвать репутацию того интернет-магазина, клон которого создают преступники.

    Владелец карты переходит на фейковый сайт, выбирает товар и оформляет заказ. Далее он вводит свои карточные данные и, ничего не подозревая, отправляет их прямо в руки злоумышленникам. Для того чтобы привлечь новых "клиентов", могут использоваться sms или e-mail-рассылки и активная рекламная компания в Интернете.

  3. Атака "Человек посередине" ("Man in the middle"). В такой ситуации мошенник-хакер "встает" между клиентом и сервером (банка или провайдера). Он может удалить, исказить информацию или запустить ложную. При этом клиент видит мошенника как сервер, а сервер видит мошенника как клиента. Клиент совершает платеж, и его средства утекают на мнимый сервер – к злоумышленнику.

  4. Атака "Человек в браузере", или "Man in the browser". Мошенник путем введения вредоносного ПО в браузер получает возможность менять параметры транзакции в режиме реального времени.


Как выбрать надежного провайдера?

Чтобы обезопасить своих клиентов от мошенничества, нужно очень тщательно выбирать своего провайдера интернет-платежей. Безусловно, банк или провайдера, который будет обеспечивать интернет-эквайринг, мы выбираем сразу по многим показателям. И в первую очередь, наверное, исходя из того, какую комиссию он берет за свои услуги. Но и уровень защиты от фрода – это тоже важный фактор.

Стандартная антифродовая система основывается на различных фильтрах и лимитах. С одной стороны, такая система позволяет реально ограничить объем подозрительных платежей – она их просто не пропускает, обрезает. Но, с другой стороны, такая нарезка зачастую не дает честному пользователю, вышедшему за ограничения системы, совершить оплату. Вот пример. У оператора сотовой связи существуют лимиты: оплата не более двух тысяч рублей в день с одной карты, не более двух платежей. В такой ситуации мошенники не смогут украсть с карты клиента больше двух тысяч рублей. Но что делать, если необходимо оплатить счет на сумму выше двух тысяч? Что делать, если необходимо оплатить счета себе, маме и другу? Редкий клиент будет ждать следующего дня; он просто оплатит счета с помощью другого оператора. И вряд ли когда-нибудь вернется к первому оператору. С точки зрения бизнеса: да, защита на высоте, но клиента вы все-таки потеряли.


Что тут можно посоветовать?

Выбирайте провайдера, который сможет вам гарантировать безопасность не словами "платежи с нами – самые безопасные и качественные на свете", а делом. При этом провайдер не должен существенно ограничивать трафик платежей, ведь от него напрямую зависит прибыль интернет-магазина.

Большой плюс для провайдера – наличие собственной статистической базы успешных и фродовых транзакций.

В системе анализа транзакций должны работать не только автоматические инструменты, но и "живые" специалисты-аналитики по фрод-мониторингу. Аналитики смогут вникнуть в суть транзакции в режиме реального времени и при необходимости предотвратить мошенническую операцию.

Также провайдер должен постоянно совершенствовать свою антифродовую систему: это достигается за счет включения в систему самообучающейся математической модели и постоянного совершенствования программного обеспечения. Провайдеры, покупающие готовые "коробочные" решения, скорее всего, не смогут оперативно противостоять новым видам фрода и их модификациям.

Итак, прежде чем остановить свой выбор на конкретном провайдере, задайте ему следующие вопросы:

  1. На чем основана ваша система фрод-мониторинга (только ли на фильтрах и ограничениях)?

  2. Насколько сильно ограничивает ваша антифродовая система успешные платежи?

  3. Существует ли у вас собственная статистическая база по транзакциям?

  4. Используете ли вы человеческий ресурс в системе фрод-мониторинга?

  5. Совершенствуете ли вы свою антифродовую систему? Или предлагаете "коробочное" решение?

  6. Сможете ли вы подстроить систему фрод-мониторинга под наши требования?

Завершим статью выводом от Капитана Очевидность: на самом деле, ни один провайдер не в состоянии гарантировать вам стопроцентную защиту от фрода. Мошенники всегда найдут способ обойти любой фильтр. При этом провайдер, гарантирующий полную защиту, скорее всего, урежет трафик так, что будет проходить только 40-50% успешных платежей. Вряд ли вам захочется терять половину заслуженных платежей из-за провайдера, верно?

Прокомментировать
Форматирование текста
Читайте также
western
22/05/2013
Проверка ООО до подписания договора о сотрудничестве. 2
Было бы неплохо еще снять копии учредительных документиов, ЕГРЮЛ, документы подтверждающие полномочия лица представляющего поставщика, ИНН, проверить реален ли юр. адрес.
Еще
Форум Ведение бизнеса Безопасность
Юрий Устинов, исполнительный директор хостинг-провайдера "Русоникс"
26/03/2013
DDoS-атаки: скрытая угроза
Кто и зачем может атаковать ваш сайт? И главное - как с этим бороться? Читайте в статье Юрия Устинова - исполнительного директора хостинг-провайдера "Русоникс" ... Подробнее
18/03/2013
Закончено еще одно дело о нападении на курьеров интернет-магазинов
15 марта 2013 г. Тушинский районный суд г.Москвы вынес обвинительный приговор по нападениям на курьеров интернет-магазинов... Подробнее