Как работает антифрод
Что такое антифрод и как он работаетАнтифрод – это система мониторинга и предотвращения мошеннических операций, которая в режиме реального времени проверяет каждый платеж, прогоняя их через десятки, а порой сотни фильтров. Механизмы антифрода работают таким образом, чтобы проследить, нет ли в платеже чего-либо «необычного». Задача системы – проверить каждую транзакцию, найти в ней «подозрительные» моменты и вынести решение – отклонить платеж или пропустить его. Система антифрода состоит из нескольких компонентов: это автоматический мониторинг транзакций, включающий в себя множество настраиваемых фильтров, механизмы аутентификации держателя карты и валидации карты, а также мониторинг транзакций в «ручном» режиме для крайних случаев.
Подобная система – крайне дорогостоящая разработка, которую могут позволить себе только банки, магазины и сервисы – гиганты рынка и специализированные сервисы (платежные агрегаторы и процессинговые центры, которые специализируются на приеме платежей). Именно поэтому большинство онлайн-сервисов и интернет-магазинов предпочитают пользоваться услугами сторонних подрядчиков для приема платежей.
Что будет, если отключить антифрод полностьюМагазин начнёт пропускать мошеннические платежи – значительно больше, чем если бы фильтры антифрода работали и проверяли каждую транзакцию. При условии использования 3-D Secure, где покупатель обязан подтвердить платеж с помощью одноразового пароля, приходящего по СМС, интернет-магазин может минимизировать потери. Однако в случае массового прохождения мошеннических операций магазин всё так же может быть отключен от платежной системы. Достаточно того, чтобы количество мошеннических транзакций достигло 1-2% от количества всех платежей на сайте за определенный период – после этого банк-эквайер уже может заблокировать проведение оплат.
В ситуации, когда 3-D Secure не используется, ситуация может оказаться более чем плачевной: конверсия в успешные платежи может стремиться к 100%, но потери от такого необдуманного шага окажутся катастрофическими для магазина. Однако, в реалиях современного рынка ситуацию с отключением всех механизмов защиты представить сложно – на таких условиях с магазином откажутся работать и процессинг, и банки-эквайеры, и платежные системы еще на этапе подключения.
Антифрод и конверсияКак видно, система мониторинга мошеннических операций требует тонкой настройки, чтобы сохранить высокий уровень безопасности, при этом не потеряв большую часть прибыли.
У себя в компании мы выделили несколько основных путей решения этой проблемы:
Для низкомаржинального бизнеса потери будут более существенными – в их случае для увеличения конверсии лучше будет не отключение фильтров, а перевод их в режим уведомления. Режим уведомления будет маркировать «подозрительные» транзакции и позволит интернет-магазину в ручном режиме на своей стороне принять решение о пропуске или отклонении платежа. В случае физической доставки товара курьер до передачи товара сможет попросить документ удостоверяющий личность и предъявить карту, с которой была проведена оплата. Возможные варианты страхования своих рисков всегда должны обсуждаться с платежным партнером.
Анти-фрод системы в сервисах Онлайн-банк
Для обеспечения безопасности операций с финансами для физических лиц в сервисах ДБО, в частности в "онлайн-банке", используются ограничения или лимиты на совершение операций, второй линии обороны входящей в комплекс фрод-мониторинговых решений:
Давайте, рассмотрим иллюстративный кейс, что бы понять как работает анти-фрод система.
Первым делом транзакция (финансовая операция) проходит первичный анализ на основании факторов, к примеру описанных выше. Далее на основании анализа ей присваивается «метка», которая характеризует способ обработки транзакции. Существуют три типа меток:
И так:
С «зелеными» транзакциями все максимально просто: например, плательщик осуществляет оплату из России, картой, выпущенной российским банком. Сумма платежа не превышает среднего чека магазина. Система мониторинга присваивает транзакции «зеленую» метку. Далее транзакция отправляется на авторизацию с помощью . А если карта не подписана на сервис одноразовых паролей или банк-эмитент еще не поддерживает данный сервис, запрос на авторизацию этой транзакции будет направлен в процессинговый центр банка-плательщика обычным способом — напрямую.
Средний уровень риска возникновения фрода определяет иной путь проверки оплаты на легитимность. Метка «желтого» цвета присваивается транзакциям со средним и выше среднего уровнями риска возникновения мошеннических операций. Например, в российском интернет-магазине покупка оплачивается банковской картой, выпущенной в России, но размер среднего чека заметно превышает средний «по больнице». Так если плательщик не может воспользоваться этим способом авторизации платежа, то его банковская карта будет автоматически направлена на онлайн-валидацию или ручную проверку.
«Красную» метку система фрод-мониторинга автоматически присваивает транзакциям с высоким уровень риска совершения мошеннических операций. Например, оплата в российском интернет-магазине осуществляется картой, выпущенной в США, а плательщик находится в Испании.
Проблемы использования анти-фрод систем
По данным портала , самый популярный с банковскими картами — это так называемый «friendly fraud» («дружеский фрод»). Как работает механизм «FF»? Владелец карты совершает покупку в Интернете, а затем требует от банка проведения чарджбэка (charge-back) — возврата средств на карту вследствие неоказания услуги. И, если магазин не может доказать необоснованность претензий плательщика, банк должен возместить владельцу карты требуемую сумму. А «косты» ложатся, естественно, на интернет-магазин. Так интернет-магазины могут пострадать от хакеров, незаконно проникающих в систему сайта, собственных сотрудников, неправомочно использующих базы данных компании, недобросовестных клиентов, указывающих неверные платежные данные с целью неоплаты, либо инициирующих возврат средств уже после отгрузки товара или оказании услуги.
Поэтому очень важным становится сбор доказательной базы и технических деталей позволяющих доказать факт фрода. Соответственно если был предварительный сговор между сотрудникам интернет-магазина и банка то скорее всего любые попытки расследования будут не успешны. Противостоять человеческому факторы анти-фрод системы еще не научились.
Так же как и у любого другого сервиса, у системы фрод-мониторинга есть свои «издержки производства». Так отклонение платежей может привести к потере клиентов, а значит, прибыли. Без должной настройки фильтры могут не пропускать значимые для интернет-магазина транзакции, что уж точно не понравится покупателям. Поэтому при выборе платежного сервис-провайдера стоит обратить внимание на заявленную конверсию в успешные платежи. Например, уровень конверсии в успешные платежи после «ручной» настройки системы электронных платежей PayOnline варьируется в рамках 93-96% — и это очень хороший показатель для рынка. Недостаток решений и заключается в том, что по состоянию на текущий момент времени не все банки умеют корректно и удобно для держателя карты обрабатывать поступающие запросы, что может приводить к невозможности подтвердить намерение совершить операцию, т.е. иными словами понижает конверсию.
Другим неприятным, но важным моментом, с которым придется столкнуться при внедрении системы фрод-мониторинга на стороне интернет-магазина, станет защита данных пользователей, как персональных, так и платежных. Необходимо будет пройти сертификацию соответствия требованием стандарта PCI DSS, а также учесть ограничения на хранение и обработку данных, регулируемые федеральным законом.
И немного инфографики в тему фрода в России
Принято считать, что от интернет-мошенничества с пластиковыми картами страдают покупатели – владельцы этих самых карт. Но на самом деле интернет-магазинам достается не меньше. Мошеннические операции, такие как фрод, грозят продавцу потерей денег, клиентов и репутации.Что такое фрод
Фрод (Fraud) – это проведение мошеннических операций, в частности, посредствам сети интернет. Существует множество видов мошенничества, большинство из них нацелены на заполучение данных банковской карты человека или самого пластика. Среди них фишинг (когда к держателю карты обращаются «сотрудники банка» по почте или телефону с просьбой назвать данные карты, либо известный сайт копируется злоумышленниками), скимминг (копирование данных карты через специальные устройства, устанавливаемые на банкоматы), и просто хакерские атаки и вирусы, присылаемые вместе со спамом по электронной почте. В данной статье речь пойдет о мошенничестве в интернете, от которого страдают интернет-магазины – именно они попали в основной фокус внимания как клиенты нашего процессингового центра.Мошенничество в интернете
Фрод в онлайн-магазинах в первую очередь опасен для самих магазинов, или ТСП (торгово-сервисных предприятий, как их ещё называют), потому что именно через них совершают мошеннические операции и именно с них будут спрашивать, если держатель карты заявит о незаконном списании денежных средств. Классическая схема работает следующим образом: в результате скимминга/фишинга или любых других противоправных действий держатель банковской карты сам того не зная передает злоумышленникам данные своей карты, достаточные для совершения покупки в интернет-магазине. Злоумышленник оформляет покупку и приобретает товар/услугу. Держатель карты, узнав о несанкционированном списании, заявляет о пропаже денег в банк, выпустивший карту. В свою очередь банк инициирует Chargeback, то есть возврат списанных средств, и возвращать эти средства должно ТСП. Если товар уже был получен злоумышленником, то ТПС «попадает» трижды: возвращает деньги держателю карты, лишается товара, за который уже заплачено поставщику, плюс может заработать штраф за то, что пропустила мошенническую транзакцию – вплоть до полного запрета принимать онлайн платежи.Что такое антифрод и как он работает
Подобная система – крайне дорогостоящая разработка, которую могут позволить себе только банки, магазины и сервисы – гиганты рынка и специализированные сервисы (платежные агрегаторы и процессинговые центры, которые специализируются на приеме платежей). Именно поэтому большинство онлайн-сервисов и интернет-магазинов предпочитают пользоваться услугами сторонних подрядчиков для приема платежей.
Какие есть фильтры
Здесь мы приведем примеры фильтров процессингового центра PayOnline – в зависимости от разработчика системы они могут быть другими.- Фильтры-валидаторы. Пример – валидатор реквизитов банковской карты. Уже в процессе ввода на платежной форме номер карты проверяется системой по алгоритму Луна – так система может понять, что покупатель не опечатался, и введенный на платежной форме номер карты является корректным.
- Географические фильтры. Например, по странам IP-адресов. Статистика показывает, что в некоторых странах Африки высок уровень скимминга и компрометации карт, и как результат платежи, совершающиеся из этих стран, с высокой долей вероятности окажутся мошенническими.
- Фильтры-стоплисты. Пример: стоплист банковских карт. Если система получает данные карты, по которой уже проходили платежи с пометкой «Фрод», либо владелец карты заявил в банк-эмитент о компрометации её данных, такая карта попадает в стоп-лист – система знает, что по ней нельзя пропускать транзакции, так как они окажутся мошенническими.
- Фильтры соответствия (совпадения) параметров. Пример: соответствие страны IP-адреса плательщика и страны эмитента банковской карты. Если платеж производится не из той страны, где была выпущена карта, а держатель карты не предупредил банк заранее о своих путешествиях, есть вероятность того, что реквизиты карты были украдены и используются злоумышленниками.
- Фильтры лимитов авторизации. Например, лимит суммы одной транзакции, количества попыток авторизации с одного IP-адреса или с одной банковской карты. Для защиты как плательщика, так и других участников процесса онлайн-оплаты существуют ограничения по количеству и сумме платежей, совершаемых в течение дня или другого периода. Для некоторых типов бизнеса особо крупный платеж, окажись он мошенническим, при возврате может значительно ударить по прибыли.
Что будет, если отключить антифрод полностью
В ситуации, когда 3-D Secure не используется, ситуация может оказаться более чем плачевной: конверсия в успешные платежи может стремиться к 100%, но потери от такого необдуманного шага окажутся катастрофическими для магазина. Однако, в реалиях современного рынка ситуацию с отключением всех механизмов защиты представить сложно – на таких условиях с магазином откажутся работать и процессинг, и банки-эквайеры, и платежные системы еще на этапе подключения.
Что будет, если включить все фильтры
Здесь ситуация обратная – при включении всех фильтров процент принятых платежей может значительно упасть. Некоторые бизнесы такая защита может просто убить: например, если мы говорим о продаже авиабилетов, ограничение по странам может негативно сказаться на продажах, ведь покупатель с картой белорусского банка может находиться в Испании и на российском сайте оплачивать авиабилет. Соответственно, при включении всех фильтров мы обеспечиваем 100% уровень безопасности, но значительно снижаем конверсию в успешные платежи – несовпадение страны банка-эмитента, сайта-продавца и страны, из которой совершается покупка – повод не пропускать платеж.Антифрод и конверсия
У себя в компании мы выделили несколько основных путей решения этой проблемы:
- Индивидуальная настройка системы под клиента – специалисты анализируют бизнес интернет-магазина, его средний чек, географию клиентской базы, и в соответствии с полученными выводами настраивают необходимые фильтры.
- Предоставление пользователю механизма «ручного одобрения» транзакций. Здесь онлайн-магазин может сам увидеть, какие транзакции показались системе подозрительными, и пропустить их вручную. Для подтверждения личности держателя карты у покупателя могут быть даже затребованы копия паспорта и банковской карты с маскированным номером (первые шесть и последние четыре цифры) и обратной стороны с подписью владельца. На основании этих документов интернет-магазин может сами принять решение о проведении платежа.
- Предоставление партнеру возможности управления частью элементов AntiFraud системы. Решение об этом принимается в индивидуальном порядке и зависит от ряда факторов.
- У интернет-магазина высокая маржа и хорошо организованная работа с покупателями в части сбора и проверки пользовательских данных, верификации, подтверждения и отслеживания заказов;
- Низкорискованные товары / услуги предполагающие в силу своей специфики невысокий уровень мошенничества (ЖКХ, городская телефонная связь, домашний интернет, госуслуги).
Для низкомаржинального бизнеса потери будут более существенными – в их случае для увеличения конверсии лучше будет не отключение фильтров, а перевод их в режим уведомления. Режим уведомления будет маркировать «подозрительные» транзакции и позволит интернет-магазину в ручном режиме на своей стороне принять решение о пропуске или отклонении платежа. В случае физической доставки товара курьер до передачи товара сможет попросить документ удостоверяющий личность и предъявить карту, с которой была проведена оплата. Возможные варианты страхования своих рисков всегда должны обсуждаться с платежным партнером.
Анти-фрод системы в сервисах Онлайн-банк
Для обеспечения безопасности операций с финансами для физических лиц в сервисах ДБО, в частности в "онлайн-банке", используются ограничения или лимиты на совершение операций, второй линии обороны входящей в комплекс фрод-мониторинговых решений:
- ограничение количества покупок по одной банковской карте или одним пользователем за определенный период времени;
- ограничение на максимальную сумму разовой покупки по одной карте или одним пользователем в определенный период времени;
- ограничение на количество банковских карт, используемых одним пользователем в определенный период времени;
- ограничение на количество пользователей, использующих одну карту;
- учёт истории покупок по банковским картам и пользователями (так называемые «черные» или «белые» списки)
Давайте, рассмотрим иллюстративный кейс, что бы понять как работает анти-фрод система.
Первым делом транзакция (финансовая операция) проходит первичный анализ на основании факторов, к примеру описанных выше. Далее на основании анализа ей присваивается «метка», которая характеризует способ обработки транзакции. Существуют три типа меток:
- «Зеленая» отмечает транзакции с низкой вероятностью возникновения мошеннической операции.
- «Желтой» меткой отмечаются транзакции, в которых шанс возникновения мошеннической операции выше среднего, и для проведения платежа потребуются дополнительного внимания.
- «Красной» отмечаются транзакции, которые с наибольшей вероятностью могут оказаться мошенническими, и при их проведении потребуется документальное подтверждение аутентичности владельца карты.
Используются простейшие настройки защиты, которые сможет выставить любой мерчант, таких как защита от подбора CVV и номера карт; анализ параметров карты по банку, владельцу, типу продукта, стране выпуска и географии использования; идентификация покупателя по истории покупок; ретроспективный анализ покупок;обнаружение подозрительных транзакций по отпечаткам используемого оборудования; проверка домена и IP адреса и т.д.
И так:
С «зелеными» транзакциями все максимально просто: например, плательщик осуществляет оплату из России, картой, выпущенной российским банком. Сумма платежа не превышает среднего чека магазина. Система мониторинга присваивает транзакции «зеленую» метку. Далее транзакция отправляется на авторизацию с помощью . А если карта не подписана на сервис одноразовых паролей или банк-эмитент еще не поддерживает данный сервис, запрос на авторизацию этой транзакции будет направлен в процессинговый центр банка-плательщика обычным способом — напрямую.
Средний уровень риска возникновения фрода определяет иной путь проверки оплаты на легитимность. Метка «желтого» цвета присваивается транзакциям со средним и выше среднего уровнями риска возникновения мошеннических операций. Например, в российском интернет-магазине покупка оплачивается банковской картой, выпущенной в России, но размер среднего чека заметно превышает средний «по больнице». Так если плательщик не может воспользоваться этим способом авторизации платежа, то его банковская карта будет автоматически направлена на онлайн-валидацию или ручную проверку.
«Красную» метку система фрод-мониторинга автоматически присваивает транзакциям с высоким уровень риска совершения мошеннических операций. Например, оплата в российском интернет-магазине осуществляется картой, выпущенной в США, а плательщик находится в Испании.
Проблемы использования анти-фрод систем
По данным портала , самый популярный с банковскими картами — это так называемый «friendly fraud» («дружеский фрод»). Как работает механизм «FF»? Владелец карты совершает покупку в Интернете, а затем требует от банка проведения чарджбэка (charge-back) — возврата средств на карту вследствие неоказания услуги. И, если магазин не может доказать необоснованность претензий плательщика, банк должен возместить владельцу карты требуемую сумму. А «косты» ложатся, естественно, на интернет-магазин. Так интернет-магазины могут пострадать от хакеров, незаконно проникающих в систему сайта, собственных сотрудников, неправомочно использующих базы данных компании, недобросовестных клиентов, указывающих неверные платежные данные с целью неоплаты, либо инициирующих возврат средств уже после отгрузки товара или оказании услуги.
Поэтому очень важным становится сбор доказательной базы и технических деталей позволяющих доказать факт фрода. Соответственно если был предварительный сговор между сотрудникам интернет-магазина и банка то скорее всего любые попытки расследования будут не успешны. Противостоять человеческому факторы анти-фрод системы еще не научились.
Так же как и у любого другого сервиса, у системы фрод-мониторинга есть свои «издержки производства». Так отклонение платежей может привести к потере клиентов, а значит, прибыли. Без должной настройки фильтры могут не пропускать значимые для интернет-магазина транзакции, что уж точно не понравится покупателям. Поэтому при выборе платежного сервис-провайдера стоит обратить внимание на заявленную конверсию в успешные платежи. Например, уровень конверсии в успешные платежи после «ручной» настройки системы электронных платежей PayOnline варьируется в рамках 93-96% — и это очень хороший показатель для рынка. Недостаток решений и заключается в том, что по состоянию на текущий момент времени не все банки умеют корректно и удобно для держателя карты обрабатывать поступающие запросы, что может приводить к невозможности подтвердить намерение совершить операцию, т.е. иными словами понижает конверсию.
Другим неприятным, но важным моментом, с которым придется столкнуться при внедрении системы фрод-мониторинга на стороне интернет-магазина, станет защита данных пользователей, как персональных, так и платежных. Необходимо будет пройти сертификацию соответствия требованием стандарта PCI DSS, а также учесть ограничения на хранение и обработку данных, регулируемые федеральным законом.
И немного инфографики в тему фрода в России