Анти-фрод системы в отечественных компаниях за последние несколько лет набирают все большую популярность. В свете последних событий и ужесточения требований Банка России к защите платежных систем, использование анти-фрод комплексов становится не просто рекомендуем, но теперь и обязательным. В связи с этим рынок решений анти-фрод систем динамично растет, компании-интеграторы и разработчики ИБ предполагают новые виды сервисов и специализированных программых решений для защиты от мошенничества.
Введение
Крупные хищения денежных средств со счетов клиентов чаще всего доводятся до суда, но случаи мошеннических платежей по банковским картам через интернет-магазины на сегодняшний момент в России практически не расследуются. По информации размещенной в одной публикации на Хабре, общий объем ущерба от кардинга (мошенники - жители СНГ) составляет 680 млн долларов за 2013-2014 гг. и еженедельно компрометируется 3-6 тысяч карт российских банков. Более подробно о данных инцидентах можно почитать на форуме bankir.ru
Сейчас на доработке находится законопроект, усиливающий уголовную ответственность за киберпреступления. В частности, он вводит в статью 158 УК пункт о краже с банковского счета и электронных денежных средств, а в статью 183 УК - пункт о незаконном сборе информации путем злоупотребления доверием.
По мимо этого Банк России определился с концепцией регулирования краудфандинга . "При этом безусловным приоритетом будет защита прав потребителей" . - поясняет заместитель начальника ГУБиЗИ Артем Сычев . Основные риски краудфанддинга, по мнению ЦБ, связаны с непрозрачностью площадок и возможностью использования мошеннических схем вплоть до создания финансовых пирамид. Кроме того, возможен риск невозврата средств в случае, если проект не наберет требуемую сумму для запуска.
Анти-фрод системы
И так давайте же попробуем чуть-чуть заглянуть к ним внутрь и разобраться как работают эти системы, на сколько они действительно могут защитить от фрода .
1. Принципы работы
Не смотря на различные алгоритмы реализованные тем или иным вендором в каждом продукте, общие принципы на которых работает анти-фрод система остаются неизменными. Прежде сего это поиск аномалий (нетипичных событий, действий, бухгалтерских проводок) в часто повторяющихся операциях с большим массивом данных. Большинство систем по умолчанию "из коробки" будут иметь типовой набор антипичных действия,который далее нужно адаптировать под каждый частный случай.
Основной флаг для опознавания - неоднородные данные и не типичное действие
2. Анализируемые данные
В каждом отдельном конкретном случае набор анализируемых данных для анти-фрод системы будет разным. Выбор прежде всего зависит от специфики работы самой компании в которой установлена система, так для банка это один набор данных, для телеком-оператора другой, для депозитария или клиринговый центра третий. В целом эти данные собираются из множества финансово-значимых систем, к примеру, АБС для банка, базы дынных по транзакциям для платежных систем и т.д. Так же будут варьироваться и критерии отбора, так для для SAP систем будут значимы операции и действия отображаемые в главной книге, для операторов связи это трафик и действия ведущие к изменению баланса счетауслуг клиента и т.д.
3. Архитектура
Анти-фрод системы как полноценный ИБ-продукт для крупных компаний будут ориентированы в строну клиент-серверного построения. Технические особенности во многом будут сильно зависть от дизайна конкретного разработчика продукта и ИТ-инфраструктуры в которую он внедряется. Но в целом система всегда будет содердать такие компоненты как:
- ядро системы
- база данных
- клиентские модули
- сервера (консоли) управления
К примеру для телеком-оператора это может выглядеть так:
Машинное обучение и BigData в анти-фрод системах
Интеллектуальные антифрод-системы , установленные в промышленных дата-центрах или серверных помещения внутри собственной ИТ-инфраструктуры банков внутри своих алгоритмов используют математические модели "типичного рабочего дня" , то время как формирование частных (т.е. заточенных под бизнес-процессы конкретного клиента) моделей поведения происходит на основе технологии машинного обучения с получением данных из больших массивов информации, получивших название BigData . Самообучение системы с учётом накопления данных позволяют со временем снижать вероятность возникновения ошибок первого (ложная тревога) и второго (пропуск реальной атаки) родов, что положительно сказывается на их эффективности.
Тем не менее, риск пропуска атак все же сохраняется, так как киберпреступники придумывают всё более изощрённые способы атак. Более того, при целевой атаке , даже если антифрод-система выявит подозрительную транзакцию, киберпреступник, к примеру, может заранее узнать номер телефона клиента, на который будет звонить банк для подтверждения транзакции, и перенаправить вызов на свой телефон. О том, что перенаправление звонков вполне возможно и не является чем-то фантастическим, писалось в блоге компании PT на Хабре.
Мнения экспертов
Подавляющее большинство хищений денег (свыше 90 процентов) с использованием удаленных каналов обслуживания происходит с помощью методов "социальной инженерии". Это не требует каких-то специальных средств: потерпевший либо сам переводит деньги, либо выдает преступникам все реквизиты карт, контрольную информацию и так далее. Многие клиенты так глубоко попадают под обаяние мошенников, что подтверждают правомерность операций даже после того, как к ним обращается служба безопасности банка
, - рассказывает представитель Сбербанка Евгений Калинин
.
Для обеспечения безопасности операций с финансами для физических лиц в сервисах ДБО, в частности в "онлайн-банке", используются ограничения или лимиты на совершение операций, второй линии обороны входящей в комплекс фрод-мониторинговых решений:
- ограничение количества покупок по одной банковской карте или одним пользователем за определенный период времени;
- ограничение на максимальную сумму разовой покупки по одной карте или одним пользователем в определенный период времени;
- ограничение на количество банковских карт, используемых одним пользователем в определенный период времени;
- ограничение на количество пользователей, использующих одну карту;
- учёт истории покупок по банковским картам и пользователями (так называемые «черные» или «белые» списки)
Давайте, рассмотрим иллюстративный кейс, что бы понять как работает анти-фрод система.
Первым делом транзакция (финансовая операция) проходит первичный анализ на основании факторов, к примеру описанных выше. Далее на основании анализа ей присваивается «метка» , которая характеризует способ обработки транзакции. Существуют три типа меток:
- «Зеленая» отмечает транзакции с низкой вероятностью возникновения мошеннической операции.
- «Желтой» меткой отмечаются транзакции, в которых шанс возникновения мошеннической операции выше среднего, и для проведения платежа потребуются дополнительного внимания.
- «Красной» отмечаются транзакции, которые с наибольшей вероятностью могут оказаться мошенническими, и при их проведении потребуется документальное подтверждение аутентичности владельца карты.
Используются простейшие настройки защиты, которые сможет выставить любой мерчант, таких как защита от подбора CVV и номера карт; анализ параметров карты по банку, владельцу, типу продукта, стране выпуска и географии использования; идентификация покупателя по истории покупок; ретроспективный анализ покупок;обнаружение подозрительных транзакций по отпечаткам используемого оборудования; проверка домена и IP адреса и т.д.
С «зелеными» транзакциями все максимально просто: например, плательщик осуществляет оплату из России, картой, выпущенной российским банком. Сумма платежа не превышает среднего чека магазина. Система мониторинга присваивает транзакции «зеленую» метку. Далее транзакция отправляется на авторизацию с помощью 3-D Secure . А если карта не подписана на сервис одноразовых паролей или банк-эмитент еще не поддерживает данный сервис, запрос на авторизацию этой транзакции будет направлен в процессинговый центр банка-плательщика обычным способом - напрямую.
Средний уровень риска возникновения фрода определяет иной путь проверки оплаты на легитимность. Метка «желтого» цвета присваивается транзакциям со средним и выше среднего уровнями риска возникновения мошеннических операций. Например, в российском интернет-магазине покупка оплачивается банковской картой, выпущенной в России, но размер среднего чека заметно превышает средний «по больнице». Так если плательщик не может воспользоваться этим способом авторизации платежа, то его банковская карта будет автоматически направлена на онлайн-валидацию или ручную проверку.
«Красную» метку
система фрод-мониторинга автоматически присваивает транзакциям с высоким уровень риска совершения мошеннических операций. Например, оплата в российском интернет-магазине осуществляется картой, выпущенной в США, а плательщик находится в Испании.
Проблемы использования анти-фрод систем
По данным портала www.banki.ru , самый популярный тип мошенничества с банковскими картами - это так называемый «friendly fraud» («дружеский фрод») . Как работает механизм «FF»? Владелец карты совершает покупку в Интернете, а затем требует от банка проведения чарджбэка (charge-back) - возврата средств на карту вследствие неоказания услуги. И, если магазин не может доказать необоснованность претензий плательщика, банк должен возместить владельцу карты требуемую сумму. А «косты» ложатся, естественно, на интернет-магазин. Так интернет-магазины могут пострадать от хакеров, незаконно проникающих в систему сайта, собственных сотрудников, неправомочно использующих базы данных компании, недобросовестных клиентов, указывающих неверные платежные данные с целью неоплаты, либо инициирующих возврат средств уже после отгрузки товара или оказании услуги.
Поэтому очень важным становится сбор доказательной базы и технических деталей позволяющих доказать факт фрода . Соответственно если был предварительный сговор между сотрудникам интернет-магазина и банка то скорее всего любые попытки расследования будут не успешны. Противостоять человеческому факторы анти-фрод системы еще не научились.
Так же как и у любого другого сервиса, у системы фрод-мониторинга есть свои «издержки производства» . Так отклонение платежей может привести к потере клиентов, а значит, прибыли. Без должной настройки фильтры могут не пропускать значимые для интернет-магазина транзакции, что уж точно не понравится покупателям. Поэтому при выборе платежного сервис-провайдера стоит обратить внимание на заявленную конверсию в успешные платежи. Например, уровень конверсии в успешные платежи после «ручной» настройки системы электронных платежей PayOnline варьируется в рамках 93-96% - и это очень хороший показатель для рынка. Недостаток решений Verified by Visa и MasterCard SecureCode заключается в том, что по состоянию на текущий момент времени не все банки умеют корректно и удобно для держателя карты обрабатывать поступающие запросы, что может приводить к невозможности подтвердить намерение совершить операцию, т.е. иными словами понижает конверсию.
Другим неприятным, но важным моментом, с которым придется столкнуться при внедрении системы фрод-мониторинга на стороне интернет-магазина, станет защита данных пользователей , как персональных, так и платежных. Необходимо будет пройти сертификацию соответствия требованием стандарта PCI DSS , а также учесть ограничения на хранение и обработку данных, регулируемые федеральным законом.
И немного инфографики в тему фрода в России
Внутренний фрод – мошенничество, совершаемое сотрудниками благодаря занимаемому положению и доступу к телекоммуникационному оборудованию. Жертвами такого фрода может стать как сама компания, в которой работают нечистоплотные сотрудники, так и клиенты.
В англоязычных странах слово "fraud" означает любое мошенничество, в России термином фрод называют более узкую категорию преступлений – мошенничества в сфере информационных технологий. В этой сфере текут сотни и тысячи денежных рек – оплата за переговоры, Интернет-трафик, онлайн-покупки и заказы, мобильный банкинг. И у многих появляется желание путем мошенничества направить небольшой ручеек в свой личный карман.
В целом IT-фрод можно разделить на четыре большие категории:
- Пользовательский, именуемый также абонентским фродом. К нему относят мошенничества со стороны пользователей – незаконное подключение и неоплата услуг операторов связи, звонки за чужой счет, подделка банковских карт и операции без присутствия карты.
- Операторский фрод – всевозможные сомнительные действия уже кампаний по отношению к клиентам. К ним относят автоматическое подключение платных услуг, дорогая стоимость отписки от них, карты с возможностью уменьшения баланса в минус и т.п.
- Межоператорский фрод – попытки операторов обмануть друг друга. К его разновидностям относят всевозможные перенаправления трафика, представление дорогих видов связи как дешевые и т.д.
Классификация и способы внутреннего фрода
В свою очередь, внутренний фрод можно подразделить на две большие категории – воровство и злоупотребление. В первом случае имеет место прямая кража денег либо других материальных ценностей, во втором извлечение материальной или нематериальной выгоды не связано с прямым хищением.
Как уже говорилось, в IT-сфере постоянно движутся огромные деньги – от клиента к банку или оператору, между клиентами, между фирмами. И некоторые сотрудники находят возможность поживиться за счет работодателя, либо клиентов.
Например, возможны случаи оказания фиктивных услуг, услуг по завышенным ценам или договора с аффилированными подрядчиками. С клиентами компании также возможны мошеннические действия. Особенно это касается мобильных операторов, где определенные суммы списываются регулярно, зачастую по несколько раз в день, и если сотрудник прибавит к ним небольшой платеж на собственный счет, клиент навряд ли заметит. А поскольку клиентов таких десятки и сотни тысяч, сумма в итоге получается внушительная.
В плане злоупотреблений информационные технологии также представляют широкое поле для деятельности. Масштаб здесь самый широкий, от подключения друзей к выгодным внутрикорпоративным тарифам и вплоть до оформления миллионных счетов за фиктивные, чаще всего информационные, т.е. нематериальные услуги.
Виды экономических преступлений: основные области риска, на что обратить внимание
Большую проблему представляет и завышение результатов. Множество фиктивных клиентов может принести сотруднику или подразделению внушительные реальные премии.
Стоит также отметить злоупотребления, связанные с доступом к оборудованию. В отличие от традиционной промышленности, где финансовые аферы являются уделом руководства и бухгалтерии, в информационной отрасли технические специалисты также способны организовать различные мошеннические схемы благодаря соответствующей настройке серверов и другого оборудования. Например, исключать из учета некоторые виды трафика, регистрировать дорогие звонки как дешевые, а затем подключать к ним отдельные номера. Выявить такие преступления очень сложно, еще труднее доказать, ведь неправильную настройку всегда можно объяснить ошибкой.
Наконец, IT-компании подвержены всем тем злоупотреблениям, что существовали задолго до расцвета информационной эры – устройство на работу фиктивных сотрудников (обычно друзей и родственников начальства), выписка завышенных премий, списание еще работоспособного оборудования с целью дальнейшей продажи, использование служебного транспорта и другого имущества в личных целях.
Кто страдает от внутреннего фрода
Объектами воздействия мошенников могут стать оборудование и программное обеспечение компании, бумажные и электронные финансовые документы, выше-, и нижестоящие сотрудники.
Сервера, маршрутизаторы и другое оборудование весьма уязвимы в силу зависимости их работы от множества выполняемых узким кругом специалистов настроек, в которых все остальные, как правило, совершенно не разбираются. Это дает инженерам и программистам широкие возможности по перенаправлению трафика, искажению отчетов о нем, заражения вредоносным ПО.
Лица, имеющие доступ к финансовым программам, могут как напрямую красть небольшие, а потому незаметные суммы со счетов множества клиентов, так и оформлять фальшивые счета, платежки, расспросы на возврат якобы ошибочно переведенных средств и т.д.
Вариантами обмана сотрудников может быть завышение показателей для получения высоких премиальных, фальшивые запросы на перевод денег, блокировку и разблокировку аккаунтов, выведывание у коллег логинов и паролей более высокого уровня доступа.
Источник угрозы
В соответствии с объектами воздействия можно выделить три основных источника внутреннего фрода в IT-сфере.
Люди имеющие криминальное прошлое легче идут на мошеннические действия. Поэтому любая компания должна осуществлять проверку кандидата до приема на работу, мониторинг его деятельности в процессе работы, поддерживать высокую корпоративную культуру и внедрять эффективные схемы мотивации, ведь достойный и стабильный официальный заработок привлекательнее временных, к тому же грозящих уголовным преследованием мошеннических схем.
Нужно подчеркнуть, что особое внимание должно уделяться работе с людьми. К категориям особого риска следует отнести людей с криминальным прошлым, системных администраторов и других сотрудников с высоким уровнем доступа, лиц, осуществляющих переводы средств. Отдельную категорию составляют увольняющиеся сотрудники, особенно в случае вынужденных сокращений либо увольнений за нарушения в работе. Движимые обидой либо в качестве компенсации они могут попытаться украсть базы данных, внести неправильные настройки в работу оборудования, заразить компьютеры зловредными программами.
Анализ риска внутреннего фрода
Внутреннему фроду уязвимы все компании в которых можно хоть чем-то поживится, это и банки, государственные органы, РЖД, нефтегазовая отрасль и прочие. Другая проблема – сложность отрасли. Зачастую сотрудникам, особенно новичкам, требуется немало времени для освоения сложных программ, при этом операции выполняются с нарушением строгих норм. А любое нарушение есть лазейка для мошенничества.
Четкая прозрачная структура с хорошим внутренним контролем оставляет мошенникам очень мало возможностей для афер.
Помимо внутреннего обязателен также регулярный внешний аудит, как техники, так и финансовых операций, позволяющий выявить неправильную настройку серверов и компьютеров, сомнительные переводы денег. Уже сама возможность раскрытия мошеннических схем заставит многих отказаться от своих планов.
Необходимо анализировать показатели эффективности, как отдельного сотрудника, так и целых подразделений. Порой их резкий рост является не следствием улучшения работы, а мошенническим завышением ради получения больших премий.
Наконец, огромное значение имеет общая корпоративная культура. При ее отсутствии, низкой трудовой дисциплине все нередко начинается с небольших злоупотреблений, на которые закрывают глаза. Безнаказанность подталкивает человека искать (и находить) более масштабные схемы, при которых компания и клиенты теряют уже миллионы.
В то же время четкая, прозрачная система, строгий контроль, включая внешний независимый аудит, осознание неотвратимости наказания заставит большинство забыть о мошеннических схемах в пользу честного заработка. Для противодействия внутреннему фроду используются DLP-системы, системы профилирования сотрудников, поведенческий анализ UEBA.
ПЛАС : В начале нашей беседы не могли бы вы представить общую оценку современной ситуации с фродом в платежной сфере? Какие виды мошенничества наиболее распространены в настоящий момент?
А. Голенищев
: Не побоюсь повторить фразу, в последние годы ставшую традиционной для моих коллег: «мошенничество в сфере платежных технологий по уровню своей организованности, масштабам и географическому охвату уже давно превратилось в некую глобальную криминальную индустрию». Почему это произошло? Банковский бизнес развивается стремительно, причем развивается прежде всего за счет интеграции каналов доступа, иными словами, за счет привязки основных розничных продуктов к удаленным средствам доступа к счету, к услугам, к платежным картам, которые в свою очередь также являются средством доступа к счету и возможностям того или иного продукта. Соответственно, на все эти высокотехнологичные каналы направлено сегодня основное внимание преступников, которые ищут уязвимые места в данных направлениях. И здесь на первый план встает вопрос цены хищения информации: любое мошенничество направлено на извлечение прибыли, по своей сути являясь бизнесом, хотя и криминальным, и, как любой бизнес, оно имеет свои затратные статьи. Поэтому, если мошенники видят, что в данный момент определенный канал банковских услуг недостаточно сильно защищен и его использование для кражи данных несложно и не слишком затратно, они акцентируют свои усилия на взломе именно этого канала. В принципе, высокопрофессионально похитить почти любые данные для мошенников не проблема - но в ряде случаев они просто не предпринимают усилий в направлении конкретных хорошо защищенных каналов, если на данный момент это финансово нецелесообразно, поскольку связано с высокими расходами, и при этом существуют более дешевые с точки зрения взлома варианты. Среди некоторых специалистов по информационной безопасности даже бытует такое мнение: «Вы думаете, у вас не украли деньги, потому что у вас их нельзя украсть? На самом деле до вас просто не дошла очередь». В понятие «очередь» в данном случае вкладывается сложность получения несанкционированного доступа, стоимость атаки и т. д.
Нельзя также забывать, что грань между потребностями бизнеса и необходимостью обеспечения безопасности сама по себе очень тонка. Да, в настоящее время у банков достаточно средств и возможностей, как финансовых, так и технологических, выстроить систему безопасности на высочайшем уровне. Однако такая система безопасности, помимо того, что окажется крайне дорогостоящей и громоздкой, просто-напросто разрушит розничный бизнес банка, поскольку любое ужесточение средств безопасности подразумевает достаточно большие «пользовательские» неудобства для клиентов за счет дополнительных процедур идентификации, аутентификации и т. п. Соответственно, чем больше надежность такой системы будет приближаться к максимуму, тем более трудоемким и сложным будет становиться процесс пользования банковскими услугами для клиентов банка. Хотя современные потребители более продвинуты с точки зрения понимания безопасности, чем это было еще каких-нибудь пять лет назад, вопрос «юзабилити» для них по-прежнему остается приоритетным при выборе банка. На этом фоне финансовым учреждениям очень важно соблюсти грань между простотой и понятностью канала предоставления услуг для розничного клиента и вопросами безопасности. Рассматривая текущую ситуацию с мошенничеством на платежном рынке, начнем с банковских карт. Ключевым методом атаки на здесь по-прежнему является скимминг, позволяющий скомпрометировать данные магнитной полосы. При этом наиболее популярен у преступников банкоматный скимминг. Банкоматы используются и как точки компрометации данных реальных карт, и для снятия наличных по поддельным картам, изготовленным с использованием похищенных данных. Это объясняется тем, что скимминг с использованием POS-терминалов более трудоемок: помимо персонализации «белого пластика», достаточного для использования в банкомате, в случае использования поддельной карты в торгово-сервисной сети преступникам необходимо изготовить карту, максимально похожую внешне на настоящую. Несмотря на то, что сейчас широко распространены недорогие цветные принтеры, с помощью которых можно напечатать практически все что угодно, а сама необходимость имитации защитной голограммы также перестала быть останавливающим фактором, это достаточно затратное производство. Кроме того, присутствует риск, что кассир в магазине, куда придет мошенник или так называемый дроп с фальшивой картой, распознает подделку, вызовет охрану и преступник будет задержан.
ПЛАС : Не могли бы вы рассказать подробнее о современных трендах банкоматного мошенничества?
А. Голенищев
: Картина с банкоматным мошенничеством совершенно иная: на сегодняшний день здесь, к сожалению, практически отсутствуют сдерживающие факторы. АТМ-фрод давно уже превратился в прекрасно отлаженный международный преступный бизнес. Скимминговые устройства, которые могут копировать данные магнитной полосы, или всевозможные устройства вроде видеокамер или накладок на клавиатуру для компрометации ПИН-кода сегодня стоят копейки, при этом риск при их установке на уличные банкоматы практически отсутствует.
Вспомним, например, случаи установки таких накладок на банкоматы одного известного производителя. Само скимминговое устройство устанавливалось на ATM одним движением руки, удерживаясь с помощью двустороннего прозрачного скотча, а после завершения скимминговых операций точно так же легко снималось.
Налицо тенденция, когда мошенники, определяя по номеру скомпрометированной карты ее эмитента, стараются снимать деньги по изготовленному с использованием похищенных реквизитов «белого пластика» именно в банкоматах банка, выпустившего реальную карту. Известно, что для своих клиентов у кредитно-финансового учреждения лимиты снятия наличных зачастую выше, а система мониторинга транзакций настроена мягче, чем для клиентов «с улицы», что дает преступникам возможность с меньшим риском обналичить более крупные суммы, чем это было бы возможно сделать в АТМ сторонних банков.
Также существует тенденция, когда с использованием данных реальной карты, которые незаконно копируются с помощью скимминговых устройств в одной стране, изготавливается «белый пластик» и затем снимаются денежные средства в других странах. В данном случае отчетливо наблюдается сильная миграция мошенничества в те регионы, которые еще не перешли полностью на чиповые карты. И если Европа на 99,9% уже завершила EMV-миграцию, то в ряде стран, например, в США - на крупнейшем мировом карточном рынке, ситуация просто плачевная. Американские эквайеры планируют полностью перевести свои POS-терминальные и банкоматные сети на обслуживание EMV-карт по чипу только в 2015 г. При этом к программе переноса ответственности по мошенническим операциям Chip Liability Shift для сетей АТМ и POS Соединенные Штаты присоединятся лишь в 2016 г., причем это объявила пока толькоMasterCard. Таким образом, эмитент скомпрометированной чиповой карты, данные магнитной полосы которой были похищены в результате скимминга в Европе, а средства по которой были незаконно сняты в банкомате в США, не сможет оспорить такую транзакцию и понесет потери от фрода, несмотря на то, что вложил огромные средства в EMV-миграцию своей карточной программы. И поэтому в данном случае огромную роль играет качество системы мониторинга банка-эмитента. Не секрет, что определенные подозрительные операции по картам в конкретно взятых странах с конкретным рисунком активности довольно легко выявляются эффективной системой фрод-мониторинга. Но для предотвращения мошенничества системе недостаточно обнаружить подозрительную транзакцию: банку необходимы механизмы, которые быстро проанализируют полученную информацию и позволят в режиме реального времени принять решение о дальнейших действиях, будь то мгновенная блокировка карты, мгновенное уведомление клиента о попытке проведения подозрительной транзакции и т. д. Чем быстрее эта цепочка сможет срабатывать, тем меньше потерь понесет банк. Разумеется, можно очень «жестко» настраивать системы, использующие популярные технологии нейронных сетей и т. п. , но тут мы возвращаемся к вопросу баланса бизнеса и безопасности. Излишне жесткие настройки системы усложняют не только работу мошенникам, но и использование карты клиентом. Необходимо избегать и слишком грубой настройки закладываемых в систему правил о срабатывании неких определенных банком-эмитентом условий за рубежом, ведь любые настроенные условия достаточно формализованы под какую-то поведенческую структуру. В результате законный держатель карты, инициировавший транзакцию, случайно подпавшую под действие правила (что, как показывает практика, чаще и случается), получит серьезные проблемы при оплате покупки по карте, да еще находясь при этом в чужой стране, вплоть до риска задержания с препровождением в полицейский участок. Следствие такого инцидента для банка - потеря лояльности клиента и нанесение значительного ущерба собственной репутации. Неудивительно, что кредитно-финансовые учреждения, понимающие последствия таких репутационных рисков, готовы скорее потерять деньги в результате мошеннической транзакции, чем утратить лояльность клиента. Особенно с учетом современных каналов обмена информацией, таких как социальные сети, где любые негативные отзывы распространяются мгновенно, увеличивая неблагоприятные последствия для банка.
ПЛАС : Возвращаясь к проблеме скимминга: какие варианты противодействия данному виду мошенничества вы видите наиболее эффективными?
А. Голенищев
: На рынке представлено сегодня множество различных видов средств защиты от скимминга. Сначала финансовые учреждения массово устанавливали на банкоматы пассивные антискимминговые решения: всевозможные накладки на слот картридера в виде полушарий, клювов и т. д. Цель размещения на АТМ таких устройств заключалась в том, чтобы затруднить злоумышленникам установку своих «скиммеров». Но, как показала практика, данные средства защиты дают больше негативный, чем положительный эффект. Огромное многообразие пассивных антискимминговых устройств и промышленное качество производимых сегодня скиммеров, убедительно копирующих их дизайн, привело к тому, что не только клиенты, но уже сами сотрудники банка не всегда понимают, что за накладка установлена на АТМ - скимминговая или антискимминговая. К тому же некоторые антискимминговые устройства портят внешний вид банкоматов.
Справедливости ради надо отметить, что пока еще далеко не все банки отказались от пассивных средств защиты от скимминга. Например, недавно один крупный российский банк заказал большую партию пассивных антискимминговых устройств уникального дизайна. Однако, полагаю, этот «положительный эффект» не более чем вопрос времени: при «целевой задаче» мошенники смогут изготовить специальную скимминговую накладку под особенности дизайна именно этих устройств. Поэтому панацеи я здесь не вижу.
Решение данной проблемы в той или иной степени лежит сейчас, скорее всего, несколько в иной плоскости. Уже достаточно давно появились активные антискимминговые устройства, создающие электромагнитные помехи непосредственно в зоне потенциального размещения скиммингового модуля, которые препятствуют корректному копированию данных магнитной полосы карты. Эти решения приобретаются и устанавливаются сегодня многими крупными банками, включая Альфа-Банк. Они представляют собой своего рода рамки вокруг слота картоприемника, работающие следующим образом: когда держатель помещает карту в картоприемник, срабатывает датчик и включается устройство, генерирующее достаточно мощное электромагнитное излучение, направленное на область картоприемника. В результате на запись данных магнитной полосы карты (осуществляемой с помощью магнитной головки предполагаемого скиммингового устройства) накладываются электромагнитные помехи, исключающие возможность корректного считывания данных скиммером, карта же затягивается дальше в банкомат, в устройство штатного картридера. Стоимость подобного устройства составляет порядка 500–2000 долларов. Сегодня некоторые производители банкоматов уже предлагают свои системы активного антискимминга в качестве опции.
Казалось бы, проблема скимминга практически решена. Однако в последнее время здесь появляется новая опасность - стереоскимминг. В России уже выявлено несколько случаев применения данного вида мошенничества, пришедшего к нам из Европы. Принцип работы стереоскимминга следующий. Как правило, скимминговое устройство копирует данные со второй из трех дорожек магнитной полосы карты. Практически по всему миру банки-эмитенты записывают данные держателя карты на первую и вторую дорожки, оставляя третью дорожку пустой. Так вот, одна дорожка магнитной головки стереоскиммера копирует информацию со второй дорожки магнитной полосы и помехи активного антискиммингового устройства. Вторая дорожка головки скиммингового модуля «записывает» данные третьей, пустой дорожки магнитной полосы, вместо отсутствующих данных которой и «записывается» тот шум, который наводит устройство активного антискимминга. Впоследствии с помощью несложных процедур производится несложная операция вычитывания записи электромагнитных помех из записи, содержащей полезную для преступника информацию с данными держателя карты. Отмечу, что некоторые последние модели известных поставщиков активных антискимминговых решений предотвращают и возможность стереоскимминга, но, к сожалению, пока далеко не все. Поэтому стереоскимминг все еще остается популярным. В качестве решения данной проблемы можно предложить банкам-эмитентам записывать некую информацию и на третью дорожку магнитной полосы, например какие-либо случайные данные, или продублировать первую или вторую дорожку.
Очередным новшеством в области несанкционированного получения конфиденциальной информации стал звуковой скимминг. Случаи применения данного метода мошенничества уже были зафиксированы в Норвегии, во Франции и Германии. В отличие от классического скимминга при звуковом скимминге считывающее устройство не устанавливается на приемное окно картридера АТМ. Мошенник, например, снимает у банкомата фальш-панель, за которую обычно вставляются рекламные листовки, и встраивает в нее антенну, после чего устанавливает ее назад. Данный направленный приемник улавливает электромагнитные волны в звуковом диапазоне, исходящие при считывании информации с магнитной полосы карты магнитной головкой картридера банкомата. Впоследствии эти колебания оцифровываются для получения данных держателя карты. Препятствовать работе звуковых скиммеров могут активные антискимминговые устройства, как и в случае обычных скиммеров с магнитными головками.
Говоря о новинках скимминга, могу еще отметить: недавно проводились лабораторные исследования возможностей так называемого температурного скимминга (thermal-skimming). Температурный скимминг применяется как механизм копирования ПИН-кода и основывается на том, что клавиши клавиатуры банкомата, которых касается клиент при наборе ПИН-кода, нагреты более интенсивно, причем каждая из них - более или менее, в зависимости от очередности их касания. Термальные камеры скиммингового устройства могут «сфотографировать» в инфракрасном диапазоне уровень нагрева клавиш и, исходя из полученных данных, вычислить ПИН-код. Однако здесь необходимо учитывать, что держатель карты может набирать помимо ПИН-кода еще ряд комбинаций - например, сумму к получению, а также тот факт, что в очереди к банкомату может оказаться значительное число клиентов, каждый из которых своими действиями при снятии денег дополнительно нагревает клавиатуру АТМ. Поэтому я полагаю, что дальше лабораторного тестирования этот вид мошенничества не продвинется. Тем более что при «промышленном» использовании данного метода копирования ПИН-кода мошеннику придется каждый раз после клиента подходить (причем достаточно быстро) к банкомату для проведения съемки, а это, согласитесь, более трудоемкая и рисковая «логистика», чем разовая установка поддельных клавиатур или видеокамер.
ПЛАС : В России недавно было выявлено несколько случаев использования поддельных банкоматов. Вы оцениваете их как некий новый способ мошенничества или, вспоминая эпизоды выявления поддельных банкоматов в Европе в конце 1980-х - начале 1990-х гг., как хорошо забытое старое?
А. Голенищев
: Поддельные банкоматы - этот тренд действительно далеко не нов. Когда в 1995 г. я пришел в банк и впервые окунулся в проблемы безопасности, мне рассказывали про один харизматичный случай. В одном из американских городов на улице стоял поддельный банкомат, по сути, представляющий собой просто корпус АТМ. Внутри этого банкомата сидел негритенок, который «работал» картридером - т. е. втягивал внутрь карты клиентов, желающих снять наличные, каким-то образом подсматривал набираемый ПИН-код, после чего передавал карту кому-то из своих подельников, который тут уже снимал с нее деньги в реальном банкомате за углом. Не знаю, анекдот это или нет, но в начале 2011 г. имел место один нашумевший случай, когда поддельный банкомат обнаружили в торговом центре в Киеве. АТМ был установлен очень грамотно, в одном ряду с банкоматами различных банков, и привлекал потенциальных жертв рекламой снятия наличных без комиссионных. Клиент подходил, вставлял в банкомат карту, набирал ПИН-код и желаемую сумму. На все операции банкомат давал отказ и возвращал карту, предварительно скопировав с нее конфиденциальную информацию. Незаконно полученные данные держателя карты, включая ПИН-код, направлялись на установленный внутри поддельного банкомата 3G-модем, который в режиме реального времени пересылал эти данные мошенникам через мобильный интернет. Учитывая, что фальшивый банкомат простоял в торговом центре не один день, от действий злоумышленников понесло ущерб значительное количество банковских клиентов.
Ряд случаев выявления поддельных банкоматов был зафиксирован буквально пару месяцев назад в Москве. Один из них, брендированный логотипом ранее существовавшего Внешинвестбанка, был установлен в торговом центре на Охотном Ряду, еще несколько фальшивых АТМ были обнаружены в столичных аэропортах, а также в городах Чувашской республики и в Сочи.
Возвращаясь к банкоматному мошенничеству, необходимо упомянуть еще одну тенденцию, которая пришла в Россию в 2012 году, - но если раньше это были разовые случаи, то сейчас такого рода инциденты происходят все чаще. Речь идет о траппинге - т. е. о захвате карты при вводе ее в слот картридера (кард-траппинг (card-trapping) либо захвате наличных в момент их выдачи банкоматом (кэш-траппинг (cash-trapping).
Захват карты не представляет собой столь серьезной угрозы по сравнению со скиммингом, поскольку это все-таки разовые, хотя и повторяющиеся атаки. На зону картридера мошенниками устанавливаются специальные механические накладки (не путать с так называемыми ливанскими петлями), которые «захватывают» карту, когда держатель вводит ее в картоприемник АТМ. Зачастую рядом с жертвой оказывается мошенник, советующий держателю карты, находящемуся в явно стрессовой ситуации, повторно ввести ПИН-код, чтобы банкомат выдал карту обратно. Разумеется, после ввода ПИН-кода свою карту держатель не получает, но при этом зоркий злоумышленник уже владеет информацией о ПИН-коде, которой он может воспользоваться для снятия наличных с захваченной карты. Последнюю преступник вытащит из снятого с банкомата «захватывающего устройства» сразу после ухода законного держателя. Однако повторюсь, такие атаки являются одиночными и не несут системного риска для бизнеса, так как данные карт массово не компрометируются.
Кэш-траппинг представляет собой более серьезную опасность. Данный способ хищения наличных бывает двух видов. В первом случае кэш-траппинг является разовой кражей денег непосредственно у клиента: на зону презентера АТМ устанавливается специальная ловушка (это механические зажимы разных конструкций и устройства с супервязким клеем), которая захватывает денежные средства в момент выдачи их банкоматом. Второй вариант кэш-траппинга более сложный и является уже атакой как против клиента, так и против банка. Злоумышленник использует для хищения денег специальное механическое устройство, так называемую вилку, или «рогатку», которая устанавливается внутрь механизма выдачи наличных банкомата. Схема такова: мошенник самостоятельно производит операцию снятия по карте денежных средств на небольшую сумму в АТМ, в момент получения денег он механически отжимает шторку презентера банкомата и вставляет ловушку («рогатку»), после чего шторка закрывается. Последующая операция снятия наличных тем или иным добросовестным держателем карты заканчивается захватом денег - купюры упираются в специальный ступор «рогатки» и остаются внутри банкомата. Клиент, не получив денег, уходит, преступник возвращается, выламывает шторку презентера и вынимает ловушку с попавшими в нее денежными средствами. Такого рода атака также носит разовый характер, однако в дальнейшем мошенники стали использовать более продвинутую схему, так называемый Transaction Reversal Fraud (TRF) - мошенничество, связанное со снятием наличных денежных средств в банкомате.
Для применения этого метода мошенничества злоумышленник открывает в банке карту на дропа или на себя и кладет на депозит некую денежную сумму - например, 50 тыс. рублей. После чего, установив по вышеописанной схеме ловушку в банкомат при снятии небольшой суммы со своей карты, он проводит операцию снятия наличных на всю сумму остатка. Банкомат не может корректно завершить операцию по выдаче и «оценивает» ситуацию как сбой, о котором в банк, процессинговый центр (хост) поступает соответствующая информация с «командой» проведения операции reversal (онлайн-отмены операции выдачи наличных), в результате чего деньги, заблокированные ранее при операции снятия наличных, возвращаются на счет (снимается «холд»), а мошенник описанным выше способом забирает деньги из ловушки. А поскольку снятые средства вновь «вернулись» на счет, мошенник таким же способом снимает их уже в другом банкомате. Т. е. все происходит по принципу сказочного «неразменного пятака». И такие манипуляции могут быть осуществлены многократно, пока банк не выявит эти действия и не заблокирует карту. Подобные случаи какое-то время назад были очень популярны в России, сейчас волна TRF немного спала, но этот метод продолжает практиковаться ввиду дешевизны изготовления самой ловушки и принципа использования.
В качестве противодействия данному виду мошенничества производители банкоматов предлагают различные технические решения - от установки системы сигнализации, реагирующей на взлом шторок презентера, до усиленных бронированных шторок, которые невозможно сломать. Но опять же - это достаточно дорого, при желании же сломать можно все. Но согласно практике, в защите от данного вида мошенничества наиболее эффективно показала себя настроенная система фрод-мониторинга и комплекса противодействия, в результате чего мошенники сами оказывались в «ущербе» и не могли снять с карты даже изначально внесенные на них средства.
Как я уже отмечал, и в случае с активным и пассивным антискиммингом, нельзя забывать, что в принципе можно надежно защитить любую систему, но если это сделает ее сложной в использовании, недовольство со стороны клиента не заставит себя ждать. В то же время правильно настроенная система мониторинга с грамотно настроенными политиками и правилами, а также организационно-технологическими мероприятиями позволяет решать достаточно много проблем, не беспокоя клиентов понапрасну и не причиняя им неудобств.
ПЛАС : Какие виды мошенничества злоумышленники практикуют сегодня для атак на POS-терминалы?
А. Голенищев
: В сфере POS-терминального оборудования, конечно, также существует опасность хищения данных карты. В Европе уже зафиксировано несколько случаев задержания с так называемыми шимминговыми устройствами (chip shimming device). В «шимминге» используется очень тонкая, гибкая плата - шим, или так называемая прокладка, которая устанавливается в чиповый картридер POS-терминала. Шим представляет собой некий фрагмент аналога платежной карты с элементом, имитирующим контактную группу чипа, к которому подключен программный модуль управления. Эта «прокладка» вставляется в чип-ридер POS-терминала. Далее, когда законный держатель расплачивается своей картой через POS-терминал, «прокладка» оказывается между контактной группой чипа карты и чип-ридером терминала, что позволяет устройству перехватить конфиденциальную информацию в момент «коммуникации» чипа карты и чип-ридера POS-терминала.
Хотя документально в официальных источниках информация по шимминговым атакам пока отсутствует, однако следует иметь в виду данный риск, и, возможно, к нему стоит готовиться.
Не остались без внимания мошенников и мобильные, или mPOS-терминалы. Это простейшие устройства - картридеры, которые, как правило, вставляются в разъем аудиовыхода смартфона и позволяют считывать данные платежной карты с помощью специального мобильного приложения. Очевидно, что с точки зрения безопасности такого рода устройства вызывают массу вопросов.
В США mPOS-терминалы Square уже охватили огромный рынок с многомиллионными оборотами, в Европе наибольшей популярностью пользуются мобильные терминалы iZettle, поскольку они работают только с чиповыми картами.
В 2013 году аналогичные мобильные устройства для приема платежей (Pay-Me , 2can, LifePay и др.) были запущены в России. Альфа-Банк первым разработал устройство, которое стало работать как мобильный mPOS-терминал, передающий считанные с магнитной полосы данные в формате 3DES. Кодирование информации магнитной полосы карты идет непосредственно в самой магнитной головке, после чего считанная информация в зашифрованном виде отправляется на хост. Соответственно, пересылаемые данные невозможно скомпрометировать, поскольку при шифровании используются ключи банка, что обеспечивает конфиденциальной информации высокий уровень защиты.
Разумеется, в этом случае также существуют риски, поскольку областью применения mPOS-терминалов является малый и средний бизнес. В частности, это могут быть мелкие предприниматели, которым гипотетически за определенную долю может быть предложено участие в криминальном бизнесе с хищением карточных данных при помощи, например, поддельных мобильных терминалов. Поэтому здесь очень важен строгий контроль деятельности предприятий и частных предпринимателей, которым передаются mPOS-терминалы для приема платежей, со стороны банков-эквайеров, а также некая настройка самих этих мобильных устройств - лимиты на суммы платежа, ограничение количества операций в течение определенного временного периода и т. д. Соответственно, в рамках политики безопасности банка необходимо настраивать mPOS-терминал с учетом среднего чека, частоты операций, оборота, доверия к конкретной компании и т. д.
Однако в настоящее время я не вижу явно выраженного тренда, подтверждающего, что у бизнеса mPOS-терминалов в России огромное будущее. Потому что по своей сути мобильный терминал является неким «транспортом», который подключается к сотовому телефону. В большинстве случаев он позволяет лишь заменить ручной ввод данных карты считыванием магнитной полосы или чипа. Сейчас мобильный телефон стал настолько распространенным и многофункциональным устройством, что, по моему мнению, mPOS-терминалы вскоре будут заменены мобильными приложениями в телефоне без каких-либо дополнительных внешних устройств.
Тем не менее нельзя забывать, что банковский терминал - это банковское оборудование с определенным уровнем доверия. Когда же мы говорим о телефоне, то это уже не банковское оборудование, и «уровень доверия» здесь почти отсутствует, несмотря на «рекламируемую» защищенность/закрытость операционных средств. В настоящее время уже наблюдается выявлено довольно много случаев взлома операционных систем и приложений смартфонов с «заражением» специальными троянскими программами. Я предполагаю, что в дальнейшем вредоносные программы для сотовых телефонов станут серьезным трендом в сфере мошеннической деятельности, к которому необходимо готовиться - в частности, разрабатывать антивирусное ПО для телефонов, отделять модуль NFC от SIM-карты, защищать внутренние коммуникации и т. д. И поскольку сейчас банки активно продвигаются в область мобильной коммерции с точки зрения торговых эквайринговых сегментов и банковских сервисов, то уделять пристальное внимание безопасности нужно именно на этапе разработки новых продуктов и приложений. Приводя в пример наш банк, отмечу, что разработка всех продуктов Альфа-Банка, связанных с дистанционными сервисами, с эквайрингом и с электронной коммерцией, уже на этапе формирования ТУ происходит с привлечением специалистов по безопасности. Как показывает практика, увеличение при таком подходе сроков и сложности, а также, возможно, стоимости разработки компенсируется тем, что на выходе продукта у нас уже сняты основные риски, и сформировано четкое понимание, какие остаточные риски и угрозы можно получить с его запуском, а также предусмотрена определенная защита с учетом существования данных рисков. Поскольку борьба с негативными последствиями уже запущенного без такого подхода бизнеса, как известно, требует существенных финансовых затрат, очень много интересных коммерческих продуктов в разных компаниях было в свое время свернуто ввиду того, что обеспечить их безопасность оказалось практически нереально.
К сожалению, зачастую мошенники на шаг опережают разработчиков новых финансовых сервисов, и предвосхитить их действия трудно и недешево. Конечно же, банки с их финансовыми возможностями могут и делают многое от них зависящее в области безопасности. В большинстве банков технологии, продукты и каналы максимально защищены. Но нужно учитывать, что им при этом часто приходится использовать сервисы и каналы сторонних компаний, интернет-провайдеров, сотовых операторов и т. д. , на уровень и технологии защиты которых банкам влиять сложно, что создает дополнительные риски.
Я уже упоминал, что стопроцентной защиты от преступной деятельности не существует. Поэтому, помимо всего прочего, особое внимание необходимо уделять мониторингу (причем именно в формате онлайн): по сути, он является оптимальным и эффективным решением, которое позволяет, не перегружая бизнес различными дополнительными технологиями - регистрации, аутентификации, авторизации и т. п. , - выявлять и предотвращать фрод, минимизируя финансовые и репутационные потери банка от мошеннических операций, при этом не снижая пользовательского удобства и привлекательности продуктов и сервисов для клиентов.
Под термином фрод сейчас подразумевают любое мошенничество в IT. Кардингом называют любые незаконные операции с банковской картой. Мы специализируемся на предотвращении карточного фрода в электронной коммерции. Проблема в том, что начиная свой бизнес в сети, предприниматели, как правило, в первую очередь думают о стоимости приема платежей и мало знают о рисках, связанных с фродом. Самые популярные вопросы от ТСП (торгово-сервисные предприятия, интернет-магазины, мерчанты) приведены ниже.
Что такое фрод?
Карточный фрод – это то, что может затормозить развитие онлайн-бизнеса. Если товаром или услугой воспользовался мошенник, теряются и товар, и деньги. Чего как проще, купить товар на сайте, введя при оплате номер карты и другие цифры, которые напечатаны на ней. Но при этом карта будет чужая – введенные данные можно сфотографировать или подсмотреть, заполучить с помощью технологических махинаций с банкоматами или через слабо защищенные сайты других интернет-магазинов. Также не является секретом, что по сети гуляет большое количество баз данных с реквизитами ворованных карт.
Почему опасно пропустить фрод?
Потому что реальный держатель карты обязательно напишет заявление в банк о возврате списанной без его ведома суммы, т.е. инициирует процедуру chargeback. В случае прохождения несанкционированной операции по банковской карте через интернет-магазин банк-эмитент, выпустивший карту, по поручению держателя карты опротестует транзакцию и ТСП будет обязано возместить всю стоимость покупки. При возникновении спорных ситуаций, связанных с опротестованием подозрительных операций, у банка-эквайера могут возникать дополнительные издержки в размере нескольких сотен долларов за каждый случай арбитража со стороны международных платежных систем (МПС), которые банк с удовольствием уступит ТСП. Особенно болезненные потери будут возникать у низкомаржинального бизнеса
. Например, при маржинальности продаж в 2-3%, ТСП потребуется реализовать несколько десятков товарных единиц только для покрытия возникшего убытка по одной мошеннической операции. При этом высокий средний чек еще более усугубляет проблему - отсюда и формируются «предпочтения» мошенников по категориям покупаемых товаров и услуг. Одни из самых горячих отраслей - путешествия и розничная торговля.
И это еще не всё. В случае, когда количество мошеннических операций достигает 1% от общего количества всех транзакций, МПС VISA и MasterCard имеют право выставить банку-эквайеру, а следовательно и ТСП, штрафные санкции. ТСП после достижения порогового значения фрода попадает в программу глобального аудита, после чего банк-эквайер должен запросить у ТСП план мероприятий по снижению уровня фрода и строго контролировать количество мошеннических операций в течение последующих месяцев. При выявлении повторных нарушений в адрес ТСП выносится предупреждение, а затем и штрафные санкции размером от 5 000 долларов, которые могут быть увеличены до весьма внушительных 200 000 долларов в особо тяжелых случаях. При этом осуществляется раздельный мониторинг операций в разрезе карт, выпущенных иностранными и домашними эмитентами, превышение порогового значение только по иностранным картам также может являться основанием для включения ТСП в программу аудита. В особо запущенных случаях ТСП может быть дисквалифицирован, что приведет к невозможности приема к оплате карт через любой банк в будущем. Стоит заметить, что серьезные финансовые последствия могут наступить и для самого банка-эквайера при плохой ситуации по всем клиентам в целом.
Мошенничество является глобальным организованным бизнесом. Нарушители объединяются в группы, и каждая из этих групп работает в своей области. Нарушители объединяются посредством социальных сетей и специализированных форумов, чтобы помогать друг другу и делиться своим опытом использования наиболее успешных схем атак, чтобы достичь максимальной производительности. Поэтому, если в интернет-магазине прошел разовый фрод, в кратчайшие сроки еще несколько групп попытаются провести мошеннические транзакции - это явление называют «снежным комом». А так как мотивация очень сильная - деньги, то скорость, с которой мошенники будут атаковать магазин, будет пропорционально увеличиваться их числу.
Что такое антифрод?
Надежный антифрод – это сервис, который не позволяет мошенникам обналичивать деньги и покупать товары по чужой банковской карте через интернет-магазин.
Кроме простейших настроек защиты, которые сможет выставить любой мерчант, таких как защита от подбора CVV и номера карт; анализ параметров карты по банку, владельцу, типу продукта, стране выпуска и географии использования; идентификация покупателя по истории покупок; ретроспективный анализ покупок; обнаружение подозрительных транзакций по отпечаткам используемого оборудования; проверка домена и IP адреса и тд, мы умеем настраивать правила и фильтры, уникальные для каждого интернет-магазина.
Наши патенты по безопасности и подтверждению подлинности платежа:
Антифрод снижает конверсию?
Да, антифрод в общем случае снижает конверсию. Наша задача состоит в том, чтобы минимизировать количество ложных срабатываний и обеспечить максимально возможный уровень конверсии при выбранном уровне риска. На конверсию плохо влияют любые грубые настройки (как правило, типовые вендорские решения на стороне банка) и стандартная реализация технологии динамической авторизации 3-D Secure для 100% обрабатываемых транзакций. Недостаток решений Verified by Visa и MasterCard SecureCode заключается в том, что по состоянию на текущий момент времени не все банки умеют корректно и удобно для держателя карты обрабатывать поступающие запросы, что в некоторых случаях приводит к невозможности подтвердить намерение совершить операцию, а значит понижает конверсию. Во многих случаях гораздо эффективнее будет избирательно применять 3DS авторизацию в отношении карт отдельных эмитентов и/или подозрительных по совокупности прочих параметров покупателей. Патенты Payture предусматривают использование собственной технологии динамической авторизации CheckCode (проверочный код), свободной от некоторых недостатков типовых решений Visa и MasterCard, о которой мы расскажем отдельно в будущих публикациях. Антифрод позволяет упростить процесс покупки для обычных покупателей, а также в режиме онлайн отслеживать и оповещать о подозрительных операциях.
Сколько стоит антифрод?
Стандартная бизнес-модель на нашем рынке: берите интернет-эквайринг, антифрод включен. Но на самом деле, мы уже давно выделили антифрод в отдельный сервис, который предоставляем как вместе с эквайрингом, так и независимо от него. Это позволяет ТСП из разных стран мира использовать наши компетенции по выявлению и предотвращению мошенничества на международных рынках, управлять рисками на локальном рынке России тем ТСП-нерезидентам, которые привязаны многолетним опытом сотрудничества к глобальным операторам по приему денежных средств, имеющим ограниченную экспертизу деятельности в нашей стране.
Стоимость услуги антифрода зависит от количества транзакций за период времени и необходимости обращения к дополнительным (платным) источникам информации по каким-либо видам бизнеса: от 0,75 рублей до 6 рублей за транзакцию. Также у нас предусмотрены различные варианты пакетных предложений, позволяющих ТСП более экономно расходовать средства при хорошем понимании своих рисков и оборотов в натуральном и стоимостном выражении.
А разве мошенники не являются в основном проблемой банков?
Так считают не только представители ТСП, но и 90% опрошенных россиян по всероссийской выборке центра НАФИ (Национальное агентство финансовых исследований). В гораздо большей степени интернет-мошенники являются проблемой предпринимателя. В соответствии со Статьей №9 ФЗ “О национальной платежной системе” оператор обязан возместить клиенту “сумму операции, совершенной без согласия клиента”, а затем по правилам МПС банк взимает эту сумму с ТСП. Да, отделы безопасности банков плотно сотрудничают с различными государственными органами. Крупные хищения чаще всего доводятся до суда, но случаи мошеннических платежей по банковским картам через интернет-магазины на сегодняшний момент в России практически не расследуются. Хотя общий объем ущерба от кардинга (мошенники - жители СНГ) составляет 680 млн долларов за 2013-2014 гг. и еженедельно компрометируется 3-6 тысяч карт российских банков.
Рынок данных банковских карт за последние 10 лет окончательно структурировался и пришел к организации массовых автоматизированных каналов сбыта в виде электронных торговых площадок. По оценке Group-IB (компания занимается расследованиями киберпреступлений и мошенничеств с использованием высоких технологий), в 2014 году только в одном таком магазине находилось 6,78 миллионов карт.
И если вы хотите принимать к оплате карты, вы должны знать, что карточный фрод - это один из самых трудно наказуемых и активно развивающихся видов мошенничества.
Почему карточный фрод популярен?
Потому что банковская карта - это удобный и самый быстро развивающийся инструмент оплаты в интернете. Количество карт, эмитированных в РФ в 2014 году составило 220 млн. В крупных городах каждый второй взрослый житель имеет две и более банковские карты. Две трети россиян пользуются банковской картой для оплаты товаров/услуг и снятия наличных практически ежедневно. 
Если сравнить с оборотом электронной коммерции, который ежегодно растет в среднем на 10-15%, то количество попыток мошенничества увеличивается минимум на 25% в год. По нашим данным, в 2014 году около 10% от всех операций в интернет-магазинах составили попытки провести фродовый платеж по карте.
Как узнать, что у меня прошла мошенническая транзакция?
Без оперативного фрод-мониторинга - никак. Вы узнаете об этом только спустя какое-то время, МПС предоставляет держателям карт срок до шести месяцев с момента фактической даты оказания услуги. Это время, когда держатели карт по правилам МПС могут написать заявление на опротестование транзакции. Например, если речь идет о продаже авиабилета с вылетом через три месяца от даты заказа, то срок закрытия возможности опротестования транзакции составит до