По прогнозам экспертов, в будущем схемы фрода станут все более изощренными, поэтому бизнесам уже сейчас стоит усилить безопасность корпоративных ресурсов. Безопасные транзакции — одна из обязательных составляющих безопасной электронной коммерции. Вместе с платежной системой Cascad мы расскажем, что вам следует знать о «фроде», чтобы обезопасить бизнес и клиентов.
Самые распространенные виды мошенничества, с которыми сталкиваются ecommerce
Хотя интернет-мошенники используют множество схем, все же существует несколько «стратегий», которым они отдают предпочтение чаще всего. Эти стратегии успешно используются как для атак против мелких, так и против крупных веб-сайтов, использующих электронную коммерцию как платежное решение.
Чистое мошенничество
«Чистым» мошенничеством называется сценарий, при котором мошенник использует похищенные данные кредитных карт для совершения несанкционированных покупок. Завладеть платежными данными он может несколькими путями. По наиболее распространенной схеме, мошенники убеждают клиентов интернет-магазина совершить покупку на поддельной (фишинговой) веб-странице, или тайком заменяют реальную веб-страницу на фишинговую в момент совершения пользователем оплаты. Кроме того, данные банковской карты также можно приобрести в даркнете.
При такой махинации мошенники прилагают все усилия, чтобы их действия остались незамеченными: кроме данных кредитных карт, они собирают как можно больше информации о системе безопасности онлайн-магазина, чтобы обойти ее. Например, кроме данных банковских карт мошенники могут собирать отпечаток браузера (cookie и fingerprint) — так, транзакции выглядят чистыми и не блокируются фрод-фильтрами.
Однако даже если подозрительную транзакцию не распознает онлайн-магазин, списание с карты замечает ее настоящий владелец, после чего банк возвращает ему утраченные средства по процедуре чарджбека, а интернет-магазин компенсирует убытки банка.
Как защититься: Чтобы защититься от этого вида мошенничества, интернет-магазинам необходимо в режиме реального времени мониторить и анализировать транзакции по ряду параметров: количество неуспешных оплат у клиента, изменения сумм сделки, fingerprint и cookie браузера
Захват аккаунта
Атака с захватом учетной записи — это тип мошенничества с кражей личных данных, при котором злоумышленник получает полный контроль над учетной записью человека в Интернете, а также над его сохраненными данными. Обычно после успешной авторизации злоумышленник изменяет всю возможную информацию аккаунта, в том числе пароль и даже настройки уведомлений, чтобы его настоящий владелец не узнал, что его аккаунтом пользуется кто-то другой. После этого он использует чужую личность для проведения онлайн-оплат, что в некоторых случаях возможно благодаря технологии «рекуррентных платежей» или если речь идет об электронных кошельках.
Этот вид мошенничества отличается от других тем, что основной целью мошенников является клиент, а не онлайн-магазин. Однако это не означает, что он менее опасен для онлайн-магазина, поскольку как только обман будет раскрыт, владелец интернет-магазина получит заявку на чарджбек и будет вынужден вернуть деньги пострадавшему клиенту.
Как защититься: Простая установка пороговых значений для неудачных попыток входа в систему, а также отправка уведомлений о необычных попытках входа может значительно обезопасить учетные записи ваших клиентов от несанкционированного доступа. Однако самым эффективным способом предотвратить взлом аккаунтов остается двухфакторная аутентификация. Причем она не ограничивается одной только отправкой кода текстовым сообщением. Существует множество других способов, которыми можно подтвердить факт владения учетной записью — push-уведомления, программы для проверки подлинности, программные маркеры
Мошенничество с чеками
Такого рода мошенничество популярно на маркетплейсах и досках для объявлений. В этом случае мошеннику нужно только умение пользоваться фотошопом и доверчивый продавец, предоставляющий покупателям возможность оплатить товар по реквизитам.
Дело в том, что оплата по реквизитам не всегда предполагает online-оплату. Во-первых, все еще существует такой фактор, как «не банковский день», в рамках которого банк не проводит кассовые операции. Во-вторых, клиент может воспользоваться услугами платежного терминала (по крайней мере, сделать вид, что он это сделал) и сетовать на задержку в поступлении средств.
При обоих сценариях покупателю-мошеннику ничего не мешает подделать квитанцию и отправить ее в качестве подтверждения факта оплаты.
Как защититься: Оплата по реквизитам — опасный способ оплаты для обеих сторон сделки. Единственное решение, которое поможет обезопасить бизнес — принимать оплаты и оплачивать покупки только через форму оплаты на сайте. Большинство маркетплейсов и досок объявлений уже предлагают продавцам решение под названием «Безопасная сделка», которая гарантирует, что продавец получит деньги за товар, а покупатель — сам товар.
Синтетическая личность
Чаще всего с этим видом мошенничества сталкиваются сервисы, которые выдают микрозаймы. По словам специалистов, одно из четырнадцати обращений за микрокредитом поступает именно от мошенников. Почему это работает?
Организация по выдаче онлайн-кредитов может не определить «синтетического клиента» и, как результат, выдать ему кредит на мошенническую карту, которая никогда не будет возвращена. При таком сценарии проблемы появляются не только у сервиса по микрозаймам, потому что он теряет средства, но и у реального человека, чьи данные использовались для получения займа. Как результат, пострадавшему человеку придется долго доказывать, что его данными воспользовались мошенники. Если же ему не удастся это сделать, он рискует получить плохую кредитную историю.
Как защититься: Синтетическая кража личных данных — один из самых сложных видов мошенничества, особенно для его обнаружения и защиты. Единственный выход — использовать фильтры, которые могут обнаружить у покупателя ограниченную кредитную историю.
Как защитить бизнес от мошенников?
Предотвратить мошеннические операции при совершении электронных соглашений может антифрод-система. Антифрод — система мониторинга, которая в режиме реального времени проверяет каждую транзакцию по определенным критериям. Если та или иная транзакция не пройдет проверку по одному фильтру, система проведет более тщательную проверку, после чего-либо отклонит платеж, либо подтвердит его.
Разработка подобной системы стоит крайне дорого, поэтому большинство онлайн-сервисов и интернет-магазинов предпочитают пользоваться услугами сторонних подрядчиков для приема платежей, уже имеющих подобные системы.
Расскажем, как это работает на примере Cascad. Антифрод-система Cascad содержит две сотни разнообразных фильтров, которые подбираются в зависимости от сферы деятельности бизнеса: чем она больше, тем более склонна к мошенническим операциям и тем больше фильтров будут применяться для анализа транзакций. В список параметров, по которым анализируется каждая оплата, входят следующие:
-
сумма и валюта платежа;
-
дата и время платежа;
-
уникальные токены банковских карт;
-
цифровой отпечаток пальца пользователя и файлы cookie его браузера;
-
IP-адрес и MAC-адрес устройства, используемого для оплаты;
-
история и периодичность покупок;
-
поддержка картой протокола безопасности 3D Secure;
-
наличие карты в блеклистах;
-
история отказов и успешных предварительных оплат
и т. д.
Чтобы каждый бизнес сохранял высокий уровень безопасности и не терял прибыли, в Cascad сделали систему гибкой к настройке. После анализа особенностей онлайн-бизнеса, среднего чека, а также географии клиентской базы специалисты платежного сервиса настраивают необходимые фильтры в соответствии с полученной информацией. В зависимости от настроек, в случае обнаружения подозрительной активности антифрод-система Cascad также может дать торговцу рекомендации касательно той или иной подозрительной транзакции.
Вывод
Когда речь заходит о безопасности электронной коммерции, задача № 1 для всех онлайн-торговцев — обеспечить безопасное хранение, обработку и передачу платежных данных своих клиентов. Независимо от того, работаете вы со сторонним поставщиком, полагаетесь на собственные силы или совмещаете оба этих метода, ваша система защиты должна эффективно функционировать на всех этих уровнях. В противном случае злоумышленник сможет воспользоваться уязвимостью и реализовать ту или иную атаку на ресурсы вашего онлайн магазина.