Интервью с лидером команды по борьбе с фродом компании ECOMMPAY о главных трендах фрода, 3D Secure 2.0 и оптимальном балансе между безопасностью и конверсией платежей
Лидер команды по борьбе с фродом международного платежного провайдера и прямого эквайера ECOMMPAY, Даниэль Шевский, рассказал в новом интервью PaySpace Magazine о главных трендах фрода, оценке и предотвращении рисков, оптимальном балансе между безопасностью и конверсией платежей, а также о возможном влиянии нового протокола 3D Secure 2.0 на увеличение случаев мошенничества в Европе.
Назовите главные тренды и прогнозы по фроду в Европе и мире.
У меня есть две личные гипотезы, за которыми мне интересно понаблюдать следующие 4-5 лет. Вы наверняка в курсе про изменение в законодательстве — про PSD2 и последовавшее за этим изменение протокола 3D Secure с первой версии на вторую (или EMV 3DS). В связи с этим гипотеза №1 — в ближайшее время ситуация в Европе значительно ухудшится, так как фрода станет в разы больше. Во-первых, многие эмитенты начнут вносить изменения в легаси [legacy software — PSM7.COM], часто построенном людьми, которые больше не работают в компании. В этих случаях, как правило, что-то ломается или открываются инсайды, которые потом продаются. Во-вторых, платежи с невидимой аутентификацией — пока люди научатся этим пользоваться, а эмитенты поймут какие транзакции так можно и нельзя проводить, все на какое-то время станет хуже: либо гайки закрутятся сильнее из-за чего ухудшится конверсия всего рынка, либо раскрутятся совсем, и тогда будет много мошенничества. Есть еще третий аспект. Понимая, что через пару лет ситуация стабилизируется и станет лучше (так как технология несет благо для индустрии), мошенники начнут дешевле продавать данные ворованных карточек, чтобы избавиться от товара, который вскоре станет неликвидным. Поэтому мошеннических операций станет больше. Это тренд №1.
Прогноз №2. Когда в Европе будет наведен порядок, во всем остальном мире ситуация станет значительно хуже. Потому что люди, которые до этого занимались кардингом в Европе, переключатся на международные операции за границей. Там и так очень плохо с безопасностью, особенно в развивающихся странах и давно развитой, но не в платежном смысле, Америке, где с безопасностью полный швах. Там все станет еще печальней и мы все, кто ведет операции на тех рынках, тоже начнем в значительной мере страдать. Но будем бороться.
Какие именно проблемы американского рынка вы можете назвать?
Технологии очень сильно отстали. У них запуск кредитной карты Apple воспринимается как абсолютный прорыв, «mind-blowing». Тогда как в Европе интернет-банк, который предоставляет функцию платежей, это что-то настолько привычное, что люди пальцем у виска крутят, как например, происходило года три назад, когда россияне удивлялись почему у нас [в Европе — уточнение редактора PSM7.COM] нигде нельзя заплатить смартфоном или часами. Просто в некоторые места технологии доходят с опозданием. В Америке до сих пор очень много операций совершаются через платежные чеки. Смартфон используется, чтобы сфотографировать этот чек и отправить его по почте в банк.
По вашему мнению, с чем связано такое отставание?
Им и так хорошо. В большинстве случаев технологии появляются в ответ на необходимость закрыть какую-то потребность. В Америке очень сильная партия больших компаний, которые не хотят ничего менять, им и так хорошо. Они поделили между собой рынок и им не выгодно сейчас переделывать все терминалы, переписывать свой софт, написанный в N знает каком году. Им хорошо, зачем им это? Граждане не жалуются, они привыкли. Не ищите добра от добра.
То есть подобный консерватизм не связан с регуляторами, которые, например, сейчас оказывают давление на криптовалютные проекты Facebook и Telegram?
Регуляторы в Америке — это исключительно политизированные силы, а политику в Америке решают деньги. Названные мной причины в принципе этим удовлетворяют, потому что Америка когда-то была первой, кто смотрел на операции с криптой абсолютно сквозь пальцы, и у крипты было всего два основных рынка — это Китай и Америка. Потом внезапно они запустили закон в стиле «А давайте вы будете вносить в свои ежегодные декларации любые доходы в биткоине и других криптовалютах». Сейчас Китай хочет запретить их вообще. То есть они дали первой волне абсолютно законно отмыть деньги и, я думаю, все предполагают, что, помимо случайных людей, там были очень провластные и близкие к таким организациям персоны, а теперь просто они закручивают гайки и пытаются это нормально регулировать, хотя где-то получается с перегибами.
Как вы предотвращаете фрод, как вы оцениваете риски, когда начинаете сотрудничать с новой компанией?
Мы завариваем себе кофе, выливаем всю жидкость и гадаем на кофейной гуще [улыбается]. Нет, на самом деле, конечно же, не так. При подключении торговца мы оцениваем риски согласно своей онбординг-политике, которая учитывает основные потенциально опасные направления разных индустрий. Мы пропускаем торговца через наш онлайн-скрининг, который указывает, что у него обязательно должны быть такие документы, на сайте должны обязательно быть отображены такие политики, нужно проверить бенефициаров и т.д. В плане онбординга у нас все хорошо работает. Мы не подключаем тех, о ком было бы стыдно рассказать.
Мониторинг — это немного другая стезя. Он, наверно, ближе к творчеству, потому что там больше вещей меняется: и мошенники используют новые подходы, и технологии дают отследить то, чего ты не мог раньше — например, девайс фингерпринтинг. Еще есть такой парадоксальный элемент, как интуиция. Она работает, профессиональная интуиция прокачивается, и потом, раскладывая, можно объяснить, почему человек пришел к тем или иным выводам, но сразу он этого сделать не может, он просто чувствует, что платеж плохой. Поэтому, да, сначала мы все наши входящие платежи пропускаем через антифрод-систему, которая выполняет необходимый согласованный минимум, отсекая самые подозрительные вещи, пропускает их через модуль машинного обучения, подсвечивает самые подозрительные транзакции, а потом их разбирают люди. Не все транзакции, но там, где это требуется, и дает еще дополнительные рекомендации. Все это вместе поступает торговцу и он на своей стороне проводит исследования: связывается с пользователем, смотрит внутрипроектную активность и принимает решение. Потом мы получаем информацию из платежных систем — было ли это мошенничество или нет. Мы обрабатываем все полученные результаты и выносим решения собственной эффективности, и если оно нас не устраивает, тогда решаем, что можно было бы поменять.
Какие технологии вы используете при мониторинге? Вы упомянули машинное обучение, а что насчет пассивной биометрии?
Дело в том, что мы не мерчант и не устройство. Мы не можем авторизовать пользователя. Мы о нем знаем только то, что нам сообщит о нем торговец, например, его цифровой отпечаток. Также мы знаем, если использовалась проверка авторизации в банке, как она прошла — успешно или неуспешно. Поэтому мы можем работать исключительно с транзакционной активностью. Есть методы отслеживания бихевиористских признаков. Просто биометрию мы не отслеживаем, а пассивную — нет смысла. Мы понимаем как это нужно делать, но пока наш уровень фрода и его процентное отношение к обороту не подразумевает подключение таких сложных имплементаций и методов. Они очень нагружают платежную страницу, она начинает медленней работать, а это влияет на скорость прохождения платежей. Работая в таких регионах типа Азии, например, в Китае, любая миллисекунда задержки повышает вероятность того, что платеж просто отвалится. Поэтому нужно здесь сохранять необходимый минимум.
В целом как вы считаете, насколько современные технологии (такие как блокчейн, биометрия) эффективны в борьбе с фродом?
Я отношусь к ним положительно, но никогда не забываю, что дело не в технологии, а в людях. У вас может быть самая совершенная техника, но если вы не понимаете, в какой момент нужно нажать кнопочку или как нужно настроить параметры, то она работать не будет. Правда в том, что люди к этому во многих местах просто профессионально не готовы. Блокчейн был настоящим прорывом лет пять назад — все просто сходили с ума, но сейчас почему-то весь мир еще не работает на блокчейне. Мы сейчас в 2019-м, почти в 2020-м, а количество проектов, поддерживающих эту технологию с места сильно не сдвинулось. Тоже самое можно сказать про машинное обучение. Просто мы как люди еще не готовы постоянно додумывать, а те, кто так делает, еще не готов это донести до окружающих. То есть пока порог вступления в освоении этой технологии слишком высокий и для большинства мест это просто не требуется.
Бесконтактные и онлайновые платежи упрощают или усложняют задачу для фрода?
Они, конечно же, упрощают задачу для фрода (ведь не нужно вводить никакие дополнительные пароли и достаточно просто карточкой помахать), но пока прямой корреляции, особенно с бесконтактными платежами, не замечено. Сколько я не читал отчетов большинства организаций на этот счет они не увидели пропорционального увеличения количества мошеннических операций при использовании бесконтакта. При онлайн-операциях — да, фрода стало больше, это правда. Но его стало больше исключительно из-за того, что онлайн-операций стало больше. То есть он растет в соответствии с рынком, который вытесняет оффлайн. Так что это абсолютно нормально.
Но вы не видите в этом взаимосвязи?
Нет. Логика подсказывает, что она там должна быть, а цифры пока говорят, что ее там нет. Выбирая между первым и вторым я, наверно, сейчас склонен к цифрам. К тому же мы все равно с этим ничего не можем поделать. Эта технология будет развиваться, весь вектор движения сейчас направлен на то, чтобы облегчить пользователю [проводить платежи], ведь миллениалы абсолютно не хотят напрягаться. Мы сколько угодно можем писать статьи о том, что если вы сейчас будете проверять это или перестаните проверять вот то, то все обрушится — правда в том, что ничего не обрушится. Правда в том, что предоставляя людям возможность заплатить так как им хочется, мы положительно влияем на экосистему, а изменения безопасности должны решаться на другом уровне, не за счет усложнения жизни людей. Это то, чем только сейчас занялись платежные системы. Зарегулировать как следует то, как эквайеры должны проверять транзакции, как эмитенты обязаны со своей стороны поддерживать высокие стандарты, как они сами ищут какие-то возможности обнаружить мошенничество. То есть никто не старается совсем его искоренить. Просто каждый из участников рынка (картхолдеры в этом случае, не являются участниками рынка) должен вносить свой вклад. Долгое время это было не так. Наверно, это внушает мне больший оптимизм, что люди наконец-то этим занялись.
Можно ли добиться оптимального баланса между безопасностью и конверсией платежей?
Безусловно. Тут есть два момента. Во-первых, это не какой-то трофей, который можно поставить себе на полочку, это непрерывный процесс. Его нужно все время поддерживать, все время искать возможности для улучшения, потому что если ты не улучшил сегодня, то завтра ты обнаружишь, что оно ухудшилось. Оно не остается на прежнем уровне. Во-вторых, все зависит от вашего аппетита к рискам — что вы считаете хорошим балансом. Все понимают, что зачастую приходится жертвовать конверсией в пользу безопасности или, наоборот, безопасностью в пользу конверсии. И что для одного будет 80/20, для другого будет 70/30, и оба они будут по-своему правы. Я считаю, что идеальной формулы нет. Каждый тип бизнеса требует своего решения. Если вы изначально занялись высокорисковым бизнесом, вы должны быть готовы к тому, что фрода будет много, и для того, чтобы вас не перезаполнило, необходимо очень сильно урезать конверсию, иначе никак. Либо приготовится к тому, что ваш бизнес просуществует год. Да, он заработает достаточно денег, чтобы потом открыть второй бизнес, но все равно он неизбежно прекратит свое существование. Большую империю вам так не построить.
Альтернативное решение: если вы нацелены на долговременную работу и у вас безопасные клиенты, то вы можете работать вообще без антифрода до тех пор пока показатели не начнут повышаться — тогда уже нужно разбираться и принимать меры. Я сторонник того, что бизнес и риски — не враги. Мы все работаем на одну цель, направленную на благосостояние компании. То, что люди по-разному понимают в чем это благосостояние заключается — это, скорее, недостатки коммуникации.
Есть ли универсальные советы для бизнеса касательно защиты от фрода? Например, есть ли рекомендации касательно того, какую часть бюджета стоит выделять компании на защиту от мошеннических операций?
Все зависит от ресурсов, которыми обладает онлайн-торговец, и это не только финансы, но и экспертиза. Многие крупные компании разрабатывают свою антифрод-систему. Многие, в том числе и очень крупные игроки рынка, сотрудничают с платежными провайдерами, у которых они берут не только эквайринг и альтернативные способы оплаты, но и антифрод.
Когда у компании есть свой собственный антифрод, безусловно, это плюс. Но стоит отметить, что на рынке уже есть платежные провайдеры, готовые адаптировать систему управления рисками с учетом потребностей каждого отдельно взятого бизнеса. И данная антифрод-система вполне может быть надежнее и прогрессивнее той, которую онлайн-торговец разрабатывает сам. Почему? Потому что разработка антифрод-решений является одной из специализаций финтех-рынка.
Вы говорили, что рынок США отстает в плане платежных трендов, а насколько хорошо американские платежные сервисы, такие как Visa и Mastercard, защищены от фрода?
Мне кажется, если бы Visa и Mastercard несли реальные убытки, теряя миллионы долларов, то они бы боролись с фродом активнее.
Просто, например, Mastercard — одна из тех компаний, которая внедряет поведенческую биометрию для защиты от фрода.
Разработка антифрод решений — не является их основной специализацией и источником дохода. В чем-то они просто не должны отставать от Visa, чтобы быть на уровне своего конкурента. И у них вторая проблема — их поджимают регуляторы. Сначала им выкрутили руки со строгой аутентификацией из-за чего они были вынуждены в срочном порядке запускать 3DS 2.0. Поэтому любая другая их активность она не совсем из-за того, что они с этим реально борятся. То есть, да, в процессе они чего-то достигают, но это не цель, это не компания-поставщик антифрод-решения, которая получает свой хлеб от того, сколько фрода она предотвратила. Они зарабатывают на другом и это просто их неосновное направление. Они что-то сдают в аренду эквайерам или эмитентам и тоже получают от этого свою копеечку, но это все еще не вещь первостепенной необходимости.
О чем стоит помнить обычным потребителям, чтобы избежать фрода?
У меня есть три рекомендации. Одна очень общая: быть бдительным и никогда не паниковать. Мошенники и социальная инженерия, в частности, работают на принципе, что нужно убедить пользователя всегда быстро реагировать: «Если вы не ответите на письмо в течение 5 минут, ваш аккаунт удалится!». Вы отвечаете и таким образом принимаете правила игры, что это та персона, которая может вам отдавать приказы. Или, «Отправьте код, который вы сейчас получите по телефону». И то, что в СМС написано «платеж Сбербанк на сумму такую-то» вы даже не обращаете внимание — главное, что код получен и осталось всего две минуты. Поэтому не нужно паниковать.
Вторая рекомендация — используйте виртуальные карты предоплаты. Например, я пользуюсь Revolut, и когда я не собираюсь проводить оплату (в том числе по физической карте), я ее блокирую. 99% времени моя карта заблокирована, кроме тех случаев, когда я достаю ее, чтобы заплатить. Виртуальную карту, которой я плачу в интернете, я удаляю каждый раз и потом создаю новую — это не какая-то высокая технология, все это делается в рамках одного приложения. Любой пользователь так может при желании. Ничего больше от него не требуется. Не знаю, как развито это, например, в России. По-моему, Тинькофф Банк это поддерживает. Если будут неудачные попытки списать средства по моей заблокированной карте — я их увижу и пойму, что где-то у меня утащили данные карты, но такого еще никогда не происходило. Это просто предосторожность, потому что я не хочу быть сапожником без сапог.
Третья рекомендация — не забывайте про свои права. Если вас действительно обманули, если у вас действительно что-то украли — обращайтесь в свой банк-эмитент как можно быстрее, объясняйте им ситуацию, и если карта использовалась без 3DS, то вы имеете право на компенсацию, на чарджбек. Если мошенники откуда-то узнали ваш номер вы можете спросить у банка, откуда у них данные по вашему клиентскому соглашению, нет ли утечки. То есть не спешите списывать эти деньги и считать себя виноватым — если вы попались на крючок, то якобы вы обязаны за это платить.
ЧИТАЙТЕ ТАКЖЕ:
Взлом серверов, атака ATM и кража данных: самые резонансные кибератаки на банки
Финансовые угрозы в 2020: что ждет FinTech, мобильный банкинг и e-commerce
Онлайн-фрод: как защитить свой бизнес в сети от мошенников?
Карточный фрод: как обезопасить свой интернет-бизнес
Новое AML регулирование в ЕС: какие изменения ждут криптобизнес
Что нужно знать перед открытием бизнеса в Азии: главные советы эксперта