Фрод та як від нього захиститися: все, що потрібно знати власникам eСommerce

За прогнозами експертів, у майбутньому схеми фроду стануть все більш витонченими, тому бізнесам варто вже зараз посилити безпеку корпоративних ресурсів. Безпечні транзакції — одна з обов’язкових складових безпечної електронної комерції. Разом з платіжною системою Cascad ми розкажемо, що вам варто знати про «фрод», аби убезпечити бізнес та клієнтів.

Найпоширеніші види шахрайства, з якими стикаються ecommerce

Хоча інтернет-шахраї використовують безліч схем, все ж існує кілька «стратегій», яким вони віддають перевагу найчастіше. Ці «стратегії» успішно використовуються як для атак проти дрібних, так і проти великих веб-сайтів, які приймають оплати онлайн.

Чисте шахрайство

«Чистим» шахрайством називається сценарій, за якого шахрай використовує викрадені дані кредитних карток для здійснення несанкціонованих покупок. Заволодіти платіжними даними він може декількома шляхами. За найбільш розповсюдженою схемою, шахраї переконують кліентів інтернет-магазину здійснити покупку на підробленій (фішинговій) веб-сторінці, або потайки замінюють реальну веб-сторінку на фішингову під час здійснення користувачем оплати. Крім того, дані банківської картки також можна придбати у даркнеті.

За такої махінації шахраї докладають всіх зусиль, аби їхні дії залишилися непоміченими. Крім даних кредитних карток, вони збирають якомога більше інформації про систему безпеки онлайн-магазину, аби обійти її. Наприклад, крім даних банківських карток шахраї можуть збирати відбиток браузера (cookie та fingerprint) — так, транзакції виглядають «чистими» та не блокуються фрод-фільтрами.

Проте навіть якщо підозрілу транзакцію не розпізнає онлайн-магазин, списання з картки помічає справжній власник картки, після чого банк повертає йому втрачені кошти за процедурою чарджбеку, а інтернет-магазин компенсує збитки банку.

Як захиститися: Щоб захиститися від цього виду шахрайства, інтернет-магазинам необхідно в режимі реального часу моніторити та аналізувати транзакції за низкою параметрів: кількість неуспішних оплат у клієнта, зміни сум операції, fingerprint і cookie браузера тощо. Проаналізувати кожну транзакцію за сотнею параметрів власними силами інтернет-магазину надзвичайно важко, тому є сенс звернутися до платіжного провайдера.

Захоплення облікового запису

В результаті атаки із захопленням облікового запису зловмисник отримує повний контроль над профілем людини в Інтернеті, а також збереженими в ньому даними. Зазвичай після успішної авторизації зловмисник змінює всю можливу інформацію акаунту, аби справжній власник не дізнався, що ним користується хтось інший. Після цього він використовує чужу особистість для проведення онлайн-оплат, що в деяких випадках можливо завдяки технології «рекурентних платежів», або якщо йде мова про електронні гаманці.

Цей вид шахрайства відрізняється від інших тим, що основною ціллю шахраїв є клієнт, а не онлайн-магазин. Однак це не означає, що він є менш небезпечним для онлайн-магазину, оскільки як тільки обман буде викрито, власник інтернет-магазину отримає заявку на чарджбек і буде вимушений повернути гроші постраждалому клієнту.

Як захиститися: Просте встановлення порогових значень для невдалих спроб входу в систему, а також відправка сповіщень про незвичайні спроби входу може значно убезпечити облікові записи ваших клієнтів від несанкціонованого доступу. Проте чи не найефективнішим способом запобігти діям шахраїв залишається двофакторна автентифікація. Причому вона не обмежується однією лише відправкою коду текстовим повідомленням. Існує чимало інших способів, якими можна підтвердити факт володіння обліковим записом, зокрема push-сповіщення, програми для автентифікації, програмні маркери тощо.

Шахрайство з чеками

Такого роду шахрайство популярне на маркетплейсах та дошках для оголошень. У цьому випадку шахраю потрібне тільки вміння користуватися фотошопом і довірливий продавець, який надає покупцям можливість оплатити товар за реквізитами.

Справа в тім, що оплата за реквізитами не завжди передбачає online-оплату. По-перше, все ще існує такий фактор як «не банківський день», в рамках якого банк не проводить касові операції. По-друге, клієнт може скористатися послугами платіжного терміналу (принаймні зробити вигляд) і нарікати на затримку у надходженні коштів.

За обох сценаріїв покупцеві-шахраю нічого не заважає підробити квитанцію та відправити її як підтвердження факту оплати.

Як захиститися: Оплата за реквізитами — небезпечний спосіб оплати для обох сторін, що укладають угоду. Єдине рішення, що допоможе убезпечитися — приймати оплати та оплачувати покупки тільки через форму оплати на сайті. Більшість маркетплейсів та дощок оголошень вже пропонують продавцям рішення під назвою «Безпечна угода», яке гарантує, що продавець отримає гроші за товар, а покупець — сам товар.

Синтетична особистість

Найчастіше з цим видом шахрайства стикаються сервіси, які надають мікропозики. За словами фахівців, одне з чотирнадцяти звернень за мікропозикою надходить саме від шахраїв. Чому це працює?

Організація з видачі онлайн-кредитів може не визначити «синтетичного клієнта» і, як результат, надати йому кредит на шахрайську картку, який ніколи не буде повернено. За такого сценарію проблеми має не лише сервіс з мікрозаймів, бо він втрачає кошти, а й реальна людина, чиї дані використовувалися для отримання позики. Як результат, постраждалій особі доведеться довго доводити, що її даними скористалися шахраї. Якщо ж їй не вдасться цього зробити, вона ризикує отримати погану кредитну історію.

Як захиститися: Синтетична крадіжка особистих даних — один із найскладніших видів шахрайства, особливо для його виявлення та захисту. Єдиний вихід — використовувати фільтри, що можуть виявити у покупця обмежену кредитну історію.

Як захистити бізнес від шахраїв?

Запобігти шахрайським операціям під час здійснення електронних угод може антифрод-система. Антифрод — система моніторингу, яка в режимі реального часу перевіряє кожну транзакцію за певними критеріями. Якщо та чи інша транзакція не пройде перевірку хоча б за одним фільтром, система проведе більш ретельну перевірку, після чого або відхилить платіж, або дозволить його.

Розробка подібної системи коштує вкрай дорого, тому більшість онлайн-сервісів та інтернет-магазинів вважають за краще користуватися послугами сторонніх підрядників для прийому платежів, що вже мають подібні системи.

Розкажемо, як це працює, на прикладі Cascad. Антифрод-система Cascad містить дві сотні різноманітних фільтрів, які підбираються в залежності від сфери діяльності бізнесу: чим вона більша, тим більш схильна до шахрайських операцій і тим більше фільтрів будуть застосовуватися для аналізу транзакцій. До параметрів, за якими аналізується кожна оплата, входять:

• сума та валюта платежу;

• дата та час платежу;

• унікальні токени банківських карток;

• цифровий відбиток пальця користувача і файли cookie його браузера;

• IP-адреса та MAC-адреса пристрою, який використовується для оплати;

• історія та періодичність покупок;

• підтримка карткою протоколу безпеки 3D Secure;

• наявність картки в блеклистах;

• історія відмов та успішних попередніх оплат тощо.

Щоб кожен бізнес зберігав високий рівень безпеки і водночас не втрачав прибутку, в Cascad зробили систему гнучкою до налаштування. Після аналізу особливостей онлайн-бізнесу, середнього чека, а також географії клієнтської бази фахівці платіжної системи налаштовують необхідні фільтри відповідно до отриманої інформації. Залежно від налаштувань, у разі виявлення підозрілої активності антифрод-система Cascad також може надати торговцю рекомендації щодо тієї чи іншої підозрілої транзакції.

Висновок

Коли мова заходить про безпеку електронної комерції, завдання № 1 для всіх онлайн-торговців — забезпечити безпечне зберігання, обробку та передачу платіжних даних своїх клієнтів. Незалежно від того, працюєте ви зі стороннім постачальником, покладаєтеся на власні сили або поєднуєте обидва ці методи, ваша система захисту повинна ефективно функціонувати на всіх цих рівнях. В іншому випадку зловмисник зможе скористатися вразливістю та реалізувати ту чи іншу атаку на ресурси вашого онлайн-магазину.