Карточный фрод: как обезопасить свой интернет-бизнес

payture_ceoМногие из тех, кто начинает свой бизнес в сети, или является опытным интернет-предпринимателем, знакомы с проблемой карточного фрода. Этот вид мошенничества может затормозить развитие онлайн-бизнеса. Что такое карточный фрод и чем он опасен для интернет-предприятий? Насколько эта проблема популярна в мире и как ей противостоять? Об этом мы расспросили у Романа Хафизова, генерального директора процессингового центра Payture.

Что такое карточный фрод и чем он опасен для интернет-бизнеса?

Карточный фрод и ответственность за него регулируется международными платежными системами, что закреплено на договорном уровне с партнерами МПС. Регулирование фрода сводится к правилам переноса ответственности за чарджбэки либо на банк-эквайер, либо на банк, выпустивший карту. Несмотря на это, банки в договорах с интернет-магазинами прописывают перенос на них финансовой ответственности перед МПС и возмещают свои убытки с оборота магазина. Учитывая, что маржинальность интернет-бизнеса зачастую не превышает 2-3%, можно легко посчитать, что для покрытия убытка от чарджбэка предприятию придется «в ноль», а фактически в убыток, продать товар или услугу на сумму в 30-50 раз суммы чарджбэка. Эта проблема решается за счет применения технологии 3-D Secure, когда ответственность за фрод переносится на эмитента карты и далее на держателя. Но у платежных систем есть еще система штрафов за большой уровень чарджбэков, которая имеет ряд негативных для интернет-бизнеса моментов, включая финансовые штрафы от 5000 долларов и вплоть до запрета на эквайринг данного предприятия в принципе. Т.е. крайней точкой последствий от фрода может стать серьезный штраф в десятки тысяч долларов США и запрет на возможность принимать карты на своем сайте.

Почему карточный фрод популярен в мире? Приведите, пожалуйста, примеры проблем крупных международных компаний из разных отраслей.

Карточный фрод является очень привлекательным видом мошенничества потому, что он возникает удаленно. Сам мошенник может находиться даже в другой стране в отличие от интернет-магазина и покупателя и использовать ворованную или даже свою карту, а впоследствие отказаться от оплаты, сказав, что он не платил. Доказать факт оплаты держателем фактически невозможно и убытки понесет именно магазин. Возможность выявить и наказать мошенника очень слабая в силу особенностей международного права и нерезультативного взаимодействия правоохранительных органов не только внутри стран, но и между странами. Очень привлекательны для таких махинаций сайты или бизнес, который оказывает услугу удаленно (пополнение кошелька, предоставление контента или доступа к играм, электронные авиабилеты или билеты на зрелища). Указать конкретные предприятия я не могу в силу серьезного эффекта на репутацию компании при публикации таких данных.

Кто несет ответственность за мошенничество с картами?

В зависимости от факта применения технологии 3-D Secure ответственность будет переложена либо на эквайера и далее на магазин (если нет попытки проверки по 3-D Secure), или на держателя карты. Но в любом случае каждый чарджбэк «копит» негативную статистику, которая может привести к штрафам.

Как противостоять карточному фроду?

Обычно это достаточно сложный процесс, который требует постоянного мониторинга платежного трафика на предмет необычных платежей или наличия подозрительных атрибутов в платежах. Для этого крупные компании применяют специально разработанные технологии от профессиональных поставщиков. Такие технологии позволяют выявить потенциальное мошенничество еще на этапе попытки оплаты до списания средств с карты и, тем самым, предотвратить чарджбэк. Алгоритмы таких технологий построены на использовании ранее накопленного опыта и информации BigData для выявления подозрительных платежей. Но такие технологии все равно не позволяют избавиться от мошенничества, а только снизить его уровень. Мошенники постоянно улучшают свои приемы по использованию ворованных карт в ходе оплаты. Интернет-магазинам приходится часто быть в роли догоняющих. Здесь помогают процедуры распознавания мошенничества уже после списания, но до оказания услуги. В этом случае проводится возврат, услуга или отгрузка товара отменяется. Здесь важна оперативность действий персонала подразделения безопасности.

Что такое технология 3-D Secure? Почему она нужна (или не нужна)?

Технология 3-D Secure в основе своей — это возможность при попытке платежа запросить непосредственно банк-эмитент идентифицировать своего клиента. Соответственно, если эмитент подтвердил идентификацию или отказался от нее, то вся ответственность за мошенничество лежит на нем. В обратном случае ответственность переносится на банк-эквайер и интернет-магазин. Сама по себе технология 3-D Secure хороша как идея, но ее реализация очень неудобна, т.к. требуется доработка на стороне каждого эмитента карты, возникает еще дополнительная нагрузка в виде перенаправления держателя карты для проверки на сайте эмитента. Часто это не нравится держателю карты, нередко бывает, что при перенаправлении клиент «теряется» и не попадает на нужную страницу. Возможны случаи, когда сам банк не поддерживает технологию 3-D Secure и просто отказывается проводить платеж. Это вызывает негатив и раздражение пользователей, приводит к снижению их лояльности к сайту магазина, а также снижает конверсию в явном виде. Выходит, что интернет-магазин оказывается между двух зол — проблемами с фродом или низким уровнем продаж. Причем эти две проблемы очень трудно посчитать.

Как применение 3-D Secure влияет на показатель уровня фрода?

Я уже оговорился, что 3-D Secure требует прямой идентификации эмитентов держателя карты по алгоритму самого эмитента — это отпугивает мошенников, но в основном непрофессиональных. На черном рынке сейчас продаются ворованные карты с привязанными дубликатами сим-карт или списками 3-D Secure паролей. Мошеннику не составит труда купить услугу или товар с прохождением 3-D Secure авторизации. Отличие больше в том, что ответственность за фрод ляжет на держателя карты, который не сможет себе уже вернуть средства. Т.е. частично выиграет интернет-магазин, который не будет оплачивать чарджбэки. Но попустительское отношение к наличию фрода на своем сайте все равно грозит штрафами.

Как ваша компания помогает бизнесу противостоять мошенничеству? Дайте, пожалуйста, несколько советов предпринимателям, как минимизировать уровень возвратов.

Наша компания имеет уникальный опыт, накопленный на протяжении длительного времени эксклюзивной работы с крупнейшей в России социальной сетью, с одним из лидирующих сайтов по продаже авиабилетов. Мы также успешно боремся с фродом на ряде проектов mail.ru group, помогаем зарубежным клиентам и, конечно же, постоянно совершенствуем свои технологии, среди которых и уникальные собственные патентованные разработки и стандартно применяющиеся фильтры. Наши аналитики регулярно актуализируют «портрет» мошенника и подстраивают работу антифрод-сервиса, а также формируют требования на его программную доработку. Благодаря собственной разработке и отсутствию вендорских решений, мы оперативно адаптируем свой сервис под меняющееся поведение мошенников. Мы научились распознавать и предотвращать как детское мошенничество, когда дети используют «втихаря» карты родителей, так и действия профессиональных мошенников и их сообществ. Среди наших предложений есть как предоставление сервиса в свободное пользование, когда все настройки делают представители магазина, а мы лишь обеспечиваем стабильность его работы, так и полная защита от чарджбэков с привлечением наших профессионалов-аналитиков.

Что касается простых правил защиты от мошенничества, то в обязательном порядке надо элементарно ежедневно проверять список платежей на предмент внезапного роста продаж с одного IP, с редкой страны, по одной карте или внезапное количество отказов или просто попыток в единицу времени. Как правило, бизнес знает свою целевую аудиторию и может легко отличить ее необычное поведение. Здесь главное не жадничать, не идти на поводу у плательщиков, а элементарно запросить помощь в представителей банка или сервис-провайдера, которые уже имеют хороший опыт мониторинга фрода. Ну и не стоит стремиться объять весь мир своими продажами. Если вы понимаете, что доля продаж заграницей (Европа, США, Африка) ничтожно мала, так скорее всего вполне стоит задуматься о тех рисках, которые можно понести при трансграничном фроде и вообще отказаться от возможности оплаты картами банков этих стран. Не стоит и также доверять скан копиям документов, присылаемым покупателями в доказательство легитимности платежа. Мошенники умеют очень хорошо подделывать документы, они хорошие психологи и провести вас им будет очень легко.

Материалы по теме