подписка
Подписаться
Владимир Анисимов
директор по разработке ПО, группы компаний Assist
24/04/2018

Владелец интернет-магазина не виноват в том, что на его сайте кто-то может попытаться заплатить  украденной картой. Но тем не менее, фрод зачастую становится проблемой продавца. Из-за мошенников он может потерять товар, деньги, репутацию, получить штраф от банка или платежной системы.

Интернет-магазин в этом плане всегда находится между Сциллой и Харибдой. С одной стороны – риск потерь  из-за злоумышленников, а с другой – опасность того, что из-за слишком жестких настроек безопасности вместе с мошенническими могут быть отклонены и "честные" платежи. Но проплыть между Сциллой фрода и Харибдой низкой конверсии можно, если подойти к этому вопросу с интеллектом  – человеческим и искусственным.

Чем фрод опасен интернет-магазину

Фрод, применительно к электронной коммерции, – это вид мошенничества, при котором товары и услуги приобретаются с помощью украденного (скомпрометированного) платежного средства. Как правило, это банковские карты, реже – электронные кошельки.

Мошенники – народ изобретательный. Они знают множество способов кражи данных банковских карт и постоянно придумывают новые. В этом им помогают сами граждане – своей беспечностью. Одни приобретают в интернете товар по неправдоподобно низкой цене, оставляя данные своих карт на фишинговых сайтах, другие сообщают номера карт и пароли злоумышленникам по телефону. Также преступники взламывают базы платежных данных или покупают их у недобросовестных сотрудников, имеющих доступ к таким базам.

Получив данные карты, мошенники стараются как можно быстрее вывести с нее средства. Один из из способов для этого – онлайн-покупка у ничего не подозревающего продавца. Это и есть фрод.

Что происходит дальше?

Обнаружив отсутствие денег на своем счете, владелец скомпрометированной карты обращается с претензией в банк-эмитент, списавший средства. Тот через платежную систему переадресует запрос процессинговому банку интернет-магазина (банку-эквайеру). Банк-эквайер может инициировать принудительный возврат денег со счета продавца (чарджбэк), да еще и удержать с него за это комиссию.

Надо отметить, что процент чарджбэков в России очень мал – в основном потому, что держателю карты сложно доказать, что платеж был совершен без его согласия. Особенно, если он сам сообщил мошенникам данные своей карты. В большинстве случаев пострадавший владелец карты останется единственной стороной, потерявшей деньги.  Но при этом интернет-магазин, хоть и избавляется от угрозы чарджбэка, понесет репутационные потери. Банк-эквайер отметит факт фрода по спорной транзакции. И если фродовых платежей наберется определенное количество, банк-эквайер может отказать магазину в обслуживании. Ведь он и сам получает штрафы от платежных систем за проведение мошеннических транзакций. Никому не нужен проблемный клиент, не заботящийся о безопасности. Поэтому фрод становится в первую очередь головной болью продавца, а не других участников рынка электронной коммерции.

Почему 3DSecure – не панацея

Чтобы снять с себя риски потерь по мошенничеству, интернет-магазины могут применять метод двухфакторной аутентификации – 3D-Secure. В этом случае ответственность за фрод несет банк-эмитент, осуществляющий процедуру верификации клиента. Строго говоря, использование 3D-Secure является единственным способом аутентификации плательщиков, официально рекомендуемым международными платежными системами. Однако многие онлайн-компании отказываются от этого метода проверки. При высокой надежности он имеет существенный недостаток – сокращение числа успешных платежей на 7-20%. Это, во-первых, намного больше, чем средний процент потерь по чарджбэкам, а во-вторых, трудно сознательно пойти на недополучение прибыли.

Кроме того, стремительный рост числа покупок со смартфонов сделал использование 3D-Secure еще более неудобным для покупателей. В большинстве случаев страницы авторизации не адаптированы к мобильным устройствам. Плюс ко всему, мошенники научились красть информацию о платежных средствах из смартфонов и перехватывать SMS с паролями.

3D-Secure хоть и остается надежным способом верификации покупателя, но нуждается в более гибком применении. Меры безопасности не должны наносить ущерб бизнесу. В в ближайшие годы рынок должен перейти на 3D-Secure 2.0, в основе которого лежит биометрическая система идентификации плательщика, но до его полноценного запуска пока далеко, а защищаться от мошенников необходимо прямо сейчас.

Защищаться с умом

Итак, перед  интернет-магазином стоит задача: отсеять максимум фрода, принять максимум "чистых" платежей.

В качестве доступных инструментов можно использовать весь арсенал средств защиты, известный рынку – 3D-Secure, фильтры, бизнес-правила, "черные" и "белые" списки, ручная проверка, анализ профиля клиента с помощью математических моделей и пр. Самое продвинутое, что есть на сегодняшний день – интеллектуальные системы, построенные на принципах Big Data, т.к. они позволяют в автоматическом режиме уловить только действительно требующие проверки транзакции. А самая высокая точность – у ручной проверки, поскольку какой бы умной и обучаемой ни была система, в сложных случаях она не заменит опыт и интеллект эксперта. Другое дело, что эксперту на проверку одного платежа потребуется 5 минут, а системе – доли секунды.

Вопрос – как настроить политику безопасности таким образом, чтобы это было рационально с точки зрения ресурсных и временных затрат, чтобы при этом учитывались особенности бизнеса и выполнялась задача "минимум фрода, максимум конверсии"?

Главные критерии, которые влияют на целесообразность применения тех или иных методов проверки – это сумма платежа (S), трафик, т.е. объем обрабатываемых платежей в единицу времени (V) и время, которое проходит от авторизации до списания средств (T). Рассмотрим случаи, когда сумма может быть небольшой (условно до 1000 руб.) или значительной (условно больше или равна 1000 руб.), трафик низким (условно стремящимся к минимуму) или высоким (условно стремящимся к максимуму), а время условно равным нулю (когда списание средств происходит сразу после оплаты) или условно равным какому-то периоду t. Это могут быть несколько часов или дней – как правило, такая схема применяется при предзаказе, бронировании и т.п.

Методы проверки, которые целесообразно применять в каждом из этих случаев, собраны в таблице:

 

S < 1000 руб.

S ≥ 1000 руб.

V min

T = t

A

Фильтры и правила

Ручная проверка

B

3DSecure

или

Фильтры и правила + ручная проверка

 

T = 0

C

3D-Secure

D

3D-Secure

V max

T = t

E

Интеллектуальная система

Фильтры и правила

Ручная проверка по подозрительным транзакциям или выборочно 3DSecure

F

Интеллектуальная система

Фильтры и правила

3DSecure по подозрительным транзакциям

Ручная проверка по подозрительным транзакциям

T = 0

G

Интеллектуальная система

3DSecure по подозрительным транзакциям

 

H

3D-Secure


A.
В самом простом случае, когда у магазина невысокий трафик, большинство платежей совершается на небольшие суммы и списание средств происходит не мгновенно, можно ограничиться схемой, включающей ручную проверку и набор фильтров – по суммам платежа, странам-эмитентам, IP-адресам и пр.. 3D-Secure можно не подключать.

B. Почти то же, что и вариант A. Но если суммы платежей значительные, то уместно подключить 3D-Secure. При большом чеке процедура аутентификации не будет вызывать у пользователя такого раздражения, как в случаях с мелкими покупками, и больше вероятность, что он пройдет проверку. Можно использовать по желанию либо схему с фильтрами и ручной проверкой либо 3D-Secure.

C. Если списание средств происходит сразу, то времени на ручную проверку нет. Поэтому даже при незначительном трафике и низком чеке лучше применять 3D-Secure.

D. То же самое справедливо и для покупок на большие суммы – подключение 3D-Secure здесь оправдано.

E. В ситуациях с высоким трафиком риск фрода многократно возрастает. Поэтому оптимальным решением будет использование комбинированных схем, сочетающих интеллектуальные системы, фильтры с различными настройками и ручную проверку по подозрительным транзакциям, поскольку для нее достаточно времени.

F. То же, что и вариант E, плюс 3D-Secure (только по подозрительным транзакциям).

G. Сильнее всего рискуют магазины с существенным объемом транзакций на маленькую сумму и мгновенным списанием средств. Такое сочетание наиболее удобно для мошенников в силу того, что платежи труднее всего проверить. Здесь оптимальным будет использование интеллектуальной системы и 3D-Secure по подозрительным транзакциям.

H. В таких случаях можно просто включать проверку по 3D-Secure на все транзакции.

Мы попытались в общих чертах описать подходы к оптимальной организации антифрод-защиты. Разумеется, предложенные схемы не претендуют на универсальность. В этом вопросе всегда надо учитывать особенности вашего бизнеса. Максимального числа успешных платежей при минимальных рисках позволит добиться только гибкий подход с использованием различных инструментов и настроек.

Прокомментировать
Читайте также
Александра Васильева
Практикующий юрист, Частная Практика
12/11/2020
Проверки интернет-магазинов: какие бывают и что нужно знать предпринимателю
Мало открыть интернет-магазин и начать продавать. Нужно еще исполнять все законы. Что должен знать про проверки начинающий предприниматель в онлайн-сфере?... Подробнее
Андрей У.
Управляющая интернет-магазином, Торговля (Домашняя и офисная техника, небольшая компания)
11/11/2020
Как eBay ограбил меня в пользу покупателя - обсуждение 7
Согласен с вами, неделю назад таким макаром потерял около 1000USD и Ebay совершенно безразлично на мою потерю, лишь кормят обещаниями.
Форум Ведение бизнеса Безопасность
24/04/2018
1 мая на ECOM Expo'18 заканчивается бесплатная регистрация
C 1 мая мы начинаем модерировать заявки и вводим платное посещение для сервисных компаний... Подробнее
23/04/2018
Забанили Google
Сегодня частично недоступным оказался Google Analytics, Gmail и пользовательский поиск Google... Подробнее
18/04/2018
Как бороться с блокировками: по шагам
Инструкция от правозащитной организации "Агора"... Подробнее