С активным переходом в цифровое поле бизнес становится все более уязвимым для кибер-мошенников, то есть нас. Недополученная прибыль и потеря доверия со стороны клиентов - вот лишь малая часть неприятностей, приносимых фродом. Ну, извините, ребят, у нас работа такая.
Фрод (от англ. fraud), т.е. мошенничество (а именно мошеннические транзакции), наносят мировой экономике ущерб, измеряемый миллиардами долларов. Касается всех: от правительств и банков до рядовых граждан. Однако главный удар все же принимают на себя компании. Как в сфере e-commerce так и всевозможные сервисы.
Конечно, чем крупнее организация, тем более лакомой добычей она является для плохих парней. Но, говоря по правде, не защищен никто. Даже самый на первый взгляд неприметный интернет-магазинчик, торгующий исключительно вантузами да прокладками для труб. Под угрозой любой бизнес, вне зависимости от размера или местоположения. Хотя по статистике чаще всего атакам подвергаются производственные компании, а также компании, работающие в области здравоохранения и оказания финансовых услуг.
Еще один интересный факт: по данным IBM, чуть ли не больше половины всех кибератак осуществляется инсайдерами, то есть сотрудниками компаний. К сожалению, нас с вами это едва ли касается (иначе вы бы это не читали). Ведь по мере развития сетей и увеличения количества устройств к ним подключаемым, растет и число потенциальных источников внутренних угроз.
В основе многих (если не большинства) мошеннических действий извне лежит та или иная форма кражи личных данных через электронную почту. А это означает, что даже самый прекрасный и ответственный сотрудник представляет угрозу информационной безопасности своей компании, являясь нашей с вами потенциальной целью. Порой, чтобы получить доступ к нужным данным или системам компании, намного легче обмануть ее работника (социальную инженерию и человеческий фактор никто не отменял), чем самостоятельно взламывать надежно защищенные системы. Хотя чаще используются оба этих метода в совокупности. Ну, это для продвинутых. А так как большинство не будут лезть в дебри, а предпочтут просто повбивать стафчик, то на этом и сконцентрируемся.
Итак, фрод - это любой тип ложной или незаконной транзакции, совершенной киберпреступником. Плохой парень в интернете лишает свою жертву денег, личного имущества, процентов или конфиденциальной информации, а потом радуется.
Методов фрода бессчетное множество, вот лишь некоторые из них:
1. Мошенничество с банковскими картами или кардинг (хи-хи). Наиболее распространенный сценарий - использование чужих платежных данных для совершения онлайн-покупок. Вы все наверняка с этим знакомы не по наслышке. Владелец карты в большинстве случаев, конечно же, такую операцию будет оспаривать, но нас с вами это уже никак не касается. А вот несчастный продавец рискует потерять не только товар, но и деньги.
2. “Фейковые” возвраты. Они же рефанды (от слова refund). Требуем вернуть деньги, якобы отсылая невостребованный товар назад или утверждая что не получили его вовсе или получили с дефектом..
3. Триангуляция (Triangulation Fraud). За сложным названием скрывается такая схема:
Этот метод используется для сбора электронных и почтовых адресов, а также платежных данных. Итак, создаем страничку фейк шопа, где предлагаем популярные товары по крайне низким ценам. Ни о чем не подозревающий покупатель делает у нас заказ. Далее совершаем покупки реальном магазине, используя данные украденных банковских карт наших “клиентов”. В результате реальный продавец поставляет товары реальному заказчику. Мы же в свою очередь продолжаем совершать дополнительные покупки за счет “клиента”. Номера банковских карт и заказы в таком случае практически невозможно соединить между собой, отчего обнаружить нас крайне трудно, придется приложить немало усилий и времени. Времени, которое мы с вами можем потратить на прекрасный шоппинг.
4. Дружественное мошенничество (Friendly Fraud). Заказываем и оплачиваем товар онлайн, а затем убеждаем продавца сделать возврат денег, сетуя на то, что банковскую карточку у нас украли, ну или любой другой повод Деньги возмещаются, а сам товар при этом остается у нас. Профит. Кстати, этим грешат почти все)
5. Мошенничество с использованием личных данных продавца. Создаем учетную запись торгового представителя от имени, казалось бы, легального бизнеса и снимаем деньги с полученных банковских карт. Затем, прежде чем владельцы карт заподозрят неладное и отменят платежи, исчезаем в закат.
Зачастую плохие парни вроде нас выдают себя за законных представителей, связываются с владельцами карт и без проблем получают конфиденциальную информацию напрямую. Так, данные можно получить через электронную почту, телефонные звонки, путем отправки вредоносных программ на смартфон жертвы, через мгновенные сообщения, переадресовав трафик на левый сайт и т.п. и т.д.
По сути, в безналичных платежах, которые мы сегодня рассматриваем, присутствуют трое: покупатель, продавец и некий посредник. Сий посредник по поручению других двух товарищей осуществляет расчеты между ними.
Как можете себе представить, для осуществления таких платежей используются настоящие деньги в их безналичной форме. Инструменты типа крипты не в счет (это ж не деньги).
Итак, посмотрим на онлайн платеж наглядно:
Кто не понял что такое ЭПС, МПС, мерчант и т.д. - читайте наши предыдущие лекции, где это все разжевано.
На этой схеме отображены все участники фродовой транзакции и по сути, все, кроме холдера тут сильно страдают. Холдер ак правило издержек не понесет, кроме испорченного настроения и потраченного времени. Все же остальные - предмет репутационных и материальных потерь.
Така штука как пресловутый антфрод - есть просто рыночная необходимость. Без нее - никуда.
Разработка своего собственного антифрода для банка будет является обыденностью, в то время как для платежной системы это будет несколько проблематичнее, а вот для мерчантов это вовсе непозволительная роскошь. Ну и плюс так как он (мерчанты) как правило сидят на какой-то системе, то она, будучи сервис провайдером, представляет и услуги антифрода.
Мерчанты сильно страдают от мошенничества и средства как правило будут возвращены холдеру, а мерчант еще и оштрафован. Штрафы могут быть разными, но как правило начинаются от 10 баксов и растут в зависимости от кол-ва и частоты фродовых платежей. Если у мерчанта много фродовых операций, то его и вовсе могут отключить т наложить приличный единовременный штраф.
Самый распространенный сегодня метод дополнительной проверки это - 3-D Secure, где любая антифрод система является критической в работе бизнеса, сбой работы которой может привести к очень серьезным последствиям.
Поэтому требования к такой систему чрезвычайно высоки и пишутся они на самом высоком уровне.
Будучи мамкиными кардерами (зачеркнуто) отпетыми мошенниками с большой интернет дороги, нам надо понимать расстановку сил в онлайн транзакциях. Так, под сами штрафы налагают платёжные системы, у которых есть специальные программы по контролю уровня фрода (Global Merchant Chargeback Monitoring Program у Visa и Global Merchant Audit Program). Эти системы устанавливают допустимые уровни по количеству и объему фрода и чарджей. Если мерчант превышает и не принимает меры — получит штраф и санкции.обязанности проверки транзакции делегируются банку-эмитенту.
Больше про 3DS можете почитать в одноименных наших лекциях.
большим риском находится именно мерчант. Продавец отвечает за фрож своими собственными средствами. Либо напрямую, либо опосредствованно.
Но при этом сам по себе эффективно выявлять мошенничество он не в состоянию На сегодняшний момент этого делать и не надо: практически все платежки и платежные агрегаторы обладают своими антифрод решениями.
Однако помимо этого, у мерчанта есть и свои преимущества и плюсы. Помимо естественно непосредственно самого акта продажи (бизнеса) - у него остается информация о платеже и покупателе, которая не доступна другим участникам автопробега. Нужна ли она ему или нет, это вопрос другой.
Борьба с фродом объективно должна начинаться на стороне эмитента. Это довольно логично. Любая антифрод система должна быть максимально гибкой и настраиваемой. Единого решения для всех просто напросто не существует.
Также, любой уважающий себя кардир должен знать о стандарте или код безопасности (CVV). Можно хранить последние 4 и первые 6.PCI DSS, согласно которому мерчантам запрещено хранить локально полный номер карты (PAN)*
Есть конечно интересный момент, - в принципе хранение PAN допустимо в шифрованном виде. Когда вы храните не номер карты, а ее хеш. Согласно всяким GDPR и прочим законам о защите персональных данных, все личные данные в обязательном порядке должны храниться обезличенно. Что не всегда происходит на практике.
Также, еще одним требованием является передача платежных данных от мерчанта в ЭПС посредством защищенного канала.Теперь давайте вернемся к самой транзакции. Если речь идет об отказе платежа,то причин может быть две: либо система определила транзу как мошенническую,либо произошла ошибка заполнения платежных данных (или банально нехватка средств или регион лок).
Вне зависимости от чего либо, антифрод проверит корректность ввода данных.Это может быть например наличие как минимум 2 букв в имени и отсутствие цифрв нем же.Другой момент, где антифрод устанавливает, является ли транза фродом или нет.
Осуществляется эта проверка посредством эвристических методов. Иными словами, это - набор неких правил. Базовые из них перечисляю ниже: одна карта– много IP, и обратный случай: один IP – много карт; одна карта – много покупок/неудачных попыток; один клиент – много карт (особенно эмитированных различными банками); один клиент – много индексов, email'ов; имя клиента не совпадает с именем владельца аккаунта на сайте мерчанта (если есть); страна клиента не совпадает со страной владельца акаунта на сайте мерчанта (если есть); оплата происходит ночь (по локальному времени клиента); использование прописных букв (вместо заглавных); наличие 2-х или более цифр в названии имейла.
Шанс того, что проводимая в 2 часа ночи транзакция является незаконной возрастает в 1.5 раза, в 4 часа ночи эта вероятность увеличивается в 2 раза.Важно понимать, что все антифроды разные. Даже один и тот же провайдер на разных шопах может вести себя по разному. Причин тому несколько. Во-первых наличие гибких настроек и фильтров доступных мерчанту, а во вторых сам умный антифрод с самообучаемой эвристикой.
Ведь для провайдера антифрода важно не просто защитить бизнес от мошенничества, но и оградить его от ложных срабатываний. Найти этот баланс довольно сложно. Мы в свою очередь пытаемся втиснуться где-то посредине.
Главнм и основным фильтром в любом абсолютно антифроде это уровень первичных списков. Это всевозможные блэклисты: IP, адреса, холдеры и тд.
Тут в исследовании одном говорили, что объем фрода в нашем 2020 году будет равен 25,6 млрд долларов. Посмотрим) Почти 80% финансовых организаций становится жертвами онлайн фрода и кол-во этих организаций лишь растет.
При чем согласно статистике больше долбят именно товарку и стафф. Банки и платежные сервисы почти в 2,5 раза меньше.И хотя требования регулятора давно вступили в законную силу, в Британии,например, более 30% мерчантов как не передавало, так и не передает информацию о транзакции посредством защищенного канал...
А вообще онлайн фрод в США составляет аж 0.9% от оборота онлайн торговли. А это, ребята, огромнейшая сумма! Без интернета фрода сфера инет коммерции станет прибыльнее на 13%))
На этом сегодня все. Работайте аккуратно!
Фрод (от англ. fraud), т.е. мошенничество (а именно мошеннические транзакции), наносят мировой экономике ущерб, измеряемый миллиардами долларов. Касается всех: от правительств и банков до рядовых граждан. Однако главный удар все же принимают на себя компании. Как в сфере e-commerce так и всевозможные сервисы.
Конечно, чем крупнее организация, тем более лакомой добычей она является для плохих парней. Но, говоря по правде, не защищен никто. Даже самый на первый взгляд неприметный интернет-магазинчик, торгующий исключительно вантузами да прокладками для труб. Под угрозой любой бизнес, вне зависимости от размера или местоположения. Хотя по статистике чаще всего атакам подвергаются производственные компании, а также компании, работающие в области здравоохранения и оказания финансовых услуг.
Еще один интересный факт: по данным IBM, чуть ли не больше половины всех кибератак осуществляется инсайдерами, то есть сотрудниками компаний. К сожалению, нас с вами это едва ли касается (иначе вы бы это не читали). Ведь по мере развития сетей и увеличения количества устройств к ним подключаемым, растет и число потенциальных источников внутренних угроз.
В основе многих (если не большинства) мошеннических действий извне лежит та или иная форма кражи личных данных через электронную почту. А это означает, что даже самый прекрасный и ответственный сотрудник представляет угрозу информационной безопасности своей компании, являясь нашей с вами потенциальной целью. Порой, чтобы получить доступ к нужным данным или системам компании, намного легче обмануть ее работника (социальную инженерию и человеческий фактор никто не отменял), чем самостоятельно взламывать надежно защищенные системы. Хотя чаще используются оба этих метода в совокупности. Ну, это для продвинутых. А так как большинство не будут лезть в дебри, а предпочтут просто повбивать стафчик, то на этом и сконцентрируемся.
Итак, фрод - это любой тип ложной или незаконной транзакции, совершенной киберпреступником. Плохой парень в интернете лишает свою жертву денег, личного имущества, процентов или конфиденциальной информации, а потом радуется.
Методов фрода бессчетное множество, вот лишь некоторые из них:
1. Мошенничество с банковскими картами или кардинг (хи-хи). Наиболее распространенный сценарий - использование чужих платежных данных для совершения онлайн-покупок. Вы все наверняка с этим знакомы не по наслышке. Владелец карты в большинстве случаев, конечно же, такую операцию будет оспаривать, но нас с вами это уже никак не касается. А вот несчастный продавец рискует потерять не только товар, но и деньги.
2. “Фейковые” возвраты. Они же рефанды (от слова refund). Требуем вернуть деньги, якобы отсылая невостребованный товар назад или утверждая что не получили его вовсе или получили с дефектом..
3. Триангуляция (Triangulation Fraud). За сложным названием скрывается такая схема:
Этот метод используется для сбора электронных и почтовых адресов, а также платежных данных. Итак, создаем страничку фейк шопа, где предлагаем популярные товары по крайне низким ценам. Ни о чем не подозревающий покупатель делает у нас заказ. Далее совершаем покупки реальном магазине, используя данные украденных банковских карт наших “клиентов”. В результате реальный продавец поставляет товары реальному заказчику. Мы же в свою очередь продолжаем совершать дополнительные покупки за счет “клиента”. Номера банковских карт и заказы в таком случае практически невозможно соединить между собой, отчего обнаружить нас крайне трудно, придется приложить немало усилий и времени. Времени, которое мы с вами можем потратить на прекрасный шоппинг.
4. Дружественное мошенничество (Friendly Fraud). Заказываем и оплачиваем товар онлайн, а затем убеждаем продавца сделать возврат денег, сетуя на то, что банковскую карточку у нас украли, ну или любой другой повод Деньги возмещаются, а сам товар при этом остается у нас. Профит. Кстати, этим грешат почти все)
5. Мошенничество с использованием личных данных продавца. Создаем учетную запись торгового представителя от имени, казалось бы, легального бизнеса и снимаем деньги с полученных банковских карт. Затем, прежде чем владельцы карт заподозрят неладное и отменят платежи, исчезаем в закат.
Зачастую плохие парни вроде нас выдают себя за законных представителей, связываются с владельцами карт и без проблем получают конфиденциальную информацию напрямую. Так, данные можно получить через электронную почту, телефонные звонки, путем отправки вредоносных программ на смартфон жертвы, через мгновенные сообщения, переадресовав трафик на левый сайт и т.п. и т.д.
По сути, в безналичных платежах, которые мы сегодня рассматриваем, присутствуют трое: покупатель, продавец и некий посредник. Сий посредник по поручению других двух товарищей осуществляет расчеты между ними.
Как можете себе представить, для осуществления таких платежей используются настоящие деньги в их безналичной форме. Инструменты типа крипты не в счет (это ж не деньги).
Итак, посмотрим на онлайн платеж наглядно:
Кто не понял что такое ЭПС, МПС, мерчант и т.д. - читайте наши предыдущие лекции, где это все разжевано.
На этой схеме отображены все участники фродовой транзакции и по сути, все, кроме холдера тут сильно страдают. Холдер ак правило издержек не понесет, кроме испорченного настроения и потраченного времени. Все же остальные - предмет репутационных и материальных потерь.
Така штука как пресловутый антфрод - есть просто рыночная необходимость. Без нее - никуда.
Разработка своего собственного антифрода для банка будет является обыденностью, в то время как для платежной системы это будет несколько проблематичнее, а вот для мерчантов это вовсе непозволительная роскошь. Ну и плюс так как он (мерчанты) как правило сидят на какой-то системе, то она, будучи сервис провайдером, представляет и услуги антифрода.
Мерчанты сильно страдают от мошенничества и средства как правило будут возвращены холдеру, а мерчант еще и оштрафован. Штрафы могут быть разными, но как правило начинаются от 10 баксов и растут в зависимости от кол-ва и частоты фродовых платежей. Если у мерчанта много фродовых операций, то его и вовсе могут отключить т наложить приличный единовременный штраф.
Самый распространенный сегодня метод дополнительной проверки это - 3-D Secure, где любая антифрод система является критической в работе бизнеса, сбой работы которой может привести к очень серьезным последствиям.
Поэтому требования к такой систему чрезвычайно высоки и пишутся они на самом высоком уровне.
Будучи мамкиными кардерами (зачеркнуто) отпетыми мошенниками с большой интернет дороги, нам надо понимать расстановку сил в онлайн транзакциях. Так, под сами штрафы налагают платёжные системы, у которых есть специальные программы по контролю уровня фрода (Global Merchant Chargeback Monitoring Program у Visa и Global Merchant Audit Program). Эти системы устанавливают допустимые уровни по количеству и объему фрода и чарджей. Если мерчант превышает и не принимает меры — получит штраф и санкции.обязанности проверки транзакции делегируются банку-эмитенту.
Больше про 3DS можете почитать в одноименных наших лекциях.
большим риском находится именно мерчант. Продавец отвечает за фрож своими собственными средствами. Либо напрямую, либо опосредствованно.
Но при этом сам по себе эффективно выявлять мошенничество он не в состоянию На сегодняшний момент этого делать и не надо: практически все платежки и платежные агрегаторы обладают своими антифрод решениями.
Однако помимо этого, у мерчанта есть и свои преимущества и плюсы. Помимо естественно непосредственно самого акта продажи (бизнеса) - у него остается информация о платеже и покупателе, которая не доступна другим участникам автопробега. Нужна ли она ему или нет, это вопрос другой.
Борьба с фродом объективно должна начинаться на стороне эмитента. Это довольно логично. Любая антифрод система должна быть максимально гибкой и настраиваемой. Единого решения для всех просто напросто не существует.
Также, любой уважающий себя кардир должен знать о стандарте или код безопасности (CVV). Можно хранить последние 4 и первые 6.PCI DSS, согласно которому мерчантам запрещено хранить локально полный номер карты (PAN)*
Есть конечно интересный момент, - в принципе хранение PAN допустимо в шифрованном виде. Когда вы храните не номер карты, а ее хеш. Согласно всяким GDPR и прочим законам о защите персональных данных, все личные данные в обязательном порядке должны храниться обезличенно. Что не всегда происходит на практике.
Также, еще одним требованием является передача платежных данных от мерчанта в ЭПС посредством защищенного канала.Теперь давайте вернемся к самой транзакции. Если речь идет об отказе платежа,то причин может быть две: либо система определила транзу как мошенническую,либо произошла ошибка заполнения платежных данных (или банально нехватка средств или регион лок).
Вне зависимости от чего либо, антифрод проверит корректность ввода данных.Это может быть например наличие как минимум 2 букв в имени и отсутствие цифрв нем же.Другой момент, где антифрод устанавливает, является ли транза фродом или нет.
Осуществляется эта проверка посредством эвристических методов. Иными словами, это - набор неких правил. Базовые из них перечисляю ниже: одна карта– много IP, и обратный случай: один IP – много карт; одна карта – много покупок/неудачных попыток; один клиент – много карт (особенно эмитированных различными банками); один клиент – много индексов, email'ов; имя клиента не совпадает с именем владельца аккаунта на сайте мерчанта (если есть); страна клиента не совпадает со страной владельца акаунта на сайте мерчанта (если есть); оплата происходит ночь (по локальному времени клиента); использование прописных букв (вместо заглавных); наличие 2-х или более цифр в названии имейла.
Шанс того, что проводимая в 2 часа ночи транзакция является незаконной возрастает в 1.5 раза, в 4 часа ночи эта вероятность увеличивается в 2 раза.Важно понимать, что все антифроды разные. Даже один и тот же провайдер на разных шопах может вести себя по разному. Причин тому несколько. Во-первых наличие гибких настроек и фильтров доступных мерчанту, а во вторых сам умный антифрод с самообучаемой эвристикой.
Ведь для провайдера антифрода важно не просто защитить бизнес от мошенничества, но и оградить его от ложных срабатываний. Найти этот баланс довольно сложно. Мы в свою очередь пытаемся втиснуться где-то посредине.
Главнм и основным фильтром в любом абсолютно антифроде это уровень первичных списков. Это всевозможные блэклисты: IP, адреса, холдеры и тд.
Тут в исследовании одном говорили, что объем фрода в нашем 2020 году будет равен 25,6 млрд долларов. Посмотрим) Почти 80% финансовых организаций становится жертвами онлайн фрода и кол-во этих организаций лишь растет.
При чем согласно статистике больше долбят именно товарку и стафф. Банки и платежные сервисы почти в 2,5 раза меньше.И хотя требования регулятора давно вступили в законную силу, в Британии,например, более 30% мерчантов как не передавало, так и не передает информацию о транзакции посредством защищенного канал...
А вообще онлайн фрод в США составляет аж 0.9% от оборота онлайн торговли. А это, ребята, огромнейшая сумма! Без интернета фрода сфера инет коммерции станет прибыльнее на 13%))
На этом сегодня все. Работайте аккуратно!
Last edited:
