Mutt
Professional
- Messages
- 1,056
- Reaction score
- 643
- Points
- 113
В борьбе за то, чтобы мошенники не превратили украденные кредитные карты в наличные в Интернете, розничные торговцы являются последней и лучшей защитой страны.
После того, как покупатель загрузит корзину онлайн-покупок, после того, как он передаст номер кредитной карты и адрес доставки, после того, как он нажмет кнопку «купить» - после всего этого наступает момент истины, который имеет глубокие последствия для экономики США. Это момент, когда продавец решает, отправлять заказ или нет.
Тот факт, что банк одобряет кредитную карту, не означает, что она не украдена. В обращении находятся миллионы взломанных кредитных карт, и многие из них не будут заменены, пока не станет известно о злоупотреблении ими. Поскольку правоохранительные органы перегружены этой проблемой, продавцы электронной коммерции - а не ассоциации кредитных карт и не банки - часто остаются теми, кто держит пустой мешок. Следовательно, они должны делать поспешные суждения о каждом приказе и нести ответственность за последствия.
Это точка прохода. Если вы сделаете неправильный выбор, продавец потеряет либо законную продажу, либо товар и комиссию за транзакцию. «Вы высовываете шею каждый раз, когда отправляете что-то без [получения] отпечатка и подписи», - говорит Джо Уильямс, директор по маркетингу высококлассного ритейлера Sharper Image, у которого доход от транзакций без предъявления карты составил 250 миллионов долларов ( включая Интернет, телефонные и почтовые переводы) в 2004 году.
Выбирайте правильно, и продавец сэкономил деньги и сыграл жизненно важную роль в борьбе с преступностью. Мошенничество с кредитными картами, как выразился один продавец, «это то, как преступники идут в банк». По словам Теда Крукса, вице-президента по глобальным решениям по борьбе с мошенничеством для Fair Isaac, консультанта по управлению решениями и поставщика программного обеспечения: «Самое серьезное мошенничество - это место, где преступники обнаруживаются в законной экономике. они делают каждый день ".
Расширение масштабов предотвращения и обнаружения мошенничества и кибербезопасности
Согласно опросу CyberSource, поставщика услуг по борьбе с мошенничеством, компании теряют около 1,6% онлайн-доходов из-за мошенничества. Чтобы снизить это количество, розничные торговцы обращаются к все более изощренному и автоматизированному набору средств предотвращения мошенничества. «В течение первых нескольких лет бума электронной коммерции многие продавцы были готовы просто получить продажу за счет роста мошенничества», - говорит Рене Пелегеро, бывший директор по глобальным платежам Amazon.com, ставший консультантом. «За последние два или три года ситуация начала меняться».
Но есть еще одно важное изменение, которое хотели бы произойти продавцы электронной коммерции, и это в системе разделения рисков с эмитентами кредитных карт. Торговцы страстно хотят не только предотвратить мошенничество, но и переложить часть ответственности на ассоциации кредитных карт и банки, как это сделали обычные розничные торговцы. Индустрия кредитных карт заявляет, что решает эти проблемы с помощью таких программ, как Verified by Visa и MasterCard SecureCode, но их внедрение в розничной торговле идет медленно. (Стандарт безопасности данных индустрии платежных карт, проблема, которая привлекла внимание в последнее время, представляет собой другую программу, призванную заставить продавцов повысить свою безопасность с помощью стандартизированных проверок данных, шифрования данных и других методов)
Тем временем мошенничество с кредитными картами в Интернете продолжает неумолимо расти, и, по данным исследования CyberSource, убытки в 2005 году составили 2,8 миллиарда долларов, что на 8 процентов больше, чем годом ранее.
Наследие напряженности
У торговцев никогда не было гармоничных отношений с ассоциациями кредитных карт и их банками-членами, теми, кто передал пластик в руки миллионов американцев. Однако с транзакциями, совершаемыми в физическом мире, по крайней мере, все понимали игру. Продавец согласился просмотреть каждую карточку и поставить подпись. Если владелец карты сообщал, что списание было мошенническим, банк выпускал так называемый «возвратный платеж» - по сути, банк забирал деньги и передавал их держателю карты. Если продавец затем представил подпись держателя карты, ему не нужно было оплачивать возвратный платеж. Это была проблема банка.
Если продавцы не соблюдают правила или собирают слишком много возвратных платежей, карточные ассоциации могут запретить им принимать кредитные карты. Но если продавцы не были довольны правилами карточных ассоциаций, они могли бы прекратить принимать кредитные карты.
Потом появился Интернет. Внезапно количество транзакций без предъявления карты - когда-то это была сфера деятельности розничных продавцов по каталогам - резко возросло до такой степени, что в прошедшем рождественском сезоне Visa сообщила, что около 10 процентов всех расходов по картам Visa приходилось на онлайн-покупки. Проблема в том, что принимать кредитную карту онлайн более рискованно, чем принимать ее лично. У продавцов нет надежного способа проверить, что лицо, владеющее картой, действительно владеет картой. Они не могут получить обычную подпись и опасаются вносить в процесс оформления заказа что-либо, что замедляет транзакцию.
В результате продавцы электронной коммерции должны нести ответственность за мошеннические покупки. Возврат платежа не оспаривается.
Сторонники точки зрения торговцев считают, что это чрезмерные обвинения. «Если продавец отправляет [мошеннический] заказ, он теряет товар, теряет комиссию за транзакцию, теряет плату за доставку и получает комиссию за возврат», - говорит Дэн Клементс, генеральный директор CardCops, которая отслеживает в Интернете украденные номера кредитных карт от имени. как продавцов, так и частных лиц. «Они проигрывают, проигрывают, проигрывают, проигрывают, а банк-эмитент и банк-эквайер разделяют комиссию за возвратный платеж как доход».
Честно говоря, банки выделяют значительные ресурсы на мониторинг счетов на предмет подозрительной активности и блокировку мошеннических платежей (хотя они не хотят обсуждать это). Но продавцы знают своих клиентов и продукты лучше, чем кто-либо, и поэтому имеют отличную возможность обнаруживать подозрительные заказы до того, как возникнет модель злоупотребления на отдельной учетной записи. Это означает, что продавцы, ведущие бизнес в Интернете, вынуждены вкладывать средства в средства защиты от мошенничества - как технологические, так и человеческие - как никогда раньше.
Предотвращение мошенничества 101
Независимо от того, понимает это клиент или нет, большинство онлайн-транзакций включает две основные меры по борьбе с мошенничеством. Первый подтверждает платежный адрес; второй пытается проверить физическое присутствие кредитной карты.
Адрес для выставления счетов используется для службы проверки адреса (AVS), которая позволяет продавцу узнать, совпадает ли адрес для выставления счетов, предоставленный клиентом, с адресом в записях банка. Хотя этот метод не идеален, 75 процентов интернет-магазинов используют его, что делает его наиболее широко используемым инструментом, согласно исследованию CyberSource.
Для физического подтверждения розничные продавцы часто запрашивают проверочный номер карты (CVN, иногда называемый CID или CVV). Это трех- или четырехзначный код, который напечатан на кредитной карте, но не включен в переписку или на магнитную полосу карты. К концу 2006 года CyberSource прогнозирует, что этот метод будет почти так же распространен, как проверка адреса.
Трейси Браун, сопредседатель Merchant Risk Council, торговой группы, основанной для помощи розничным торговцам в борьбе с мошенничеством, говорит, что CVN была попыткой перевести онлайн-транзакции по кредитным картам с однофакторной на двухфакторную аутентификацию. «Идея заключалась в том, что, возможно, вы получили номер моей кредитной карты из базы данных или украли мою выписку по счету, но CID или CVV не хранились в этих местах», - говорит Браун, директор по информационной безопасности компании American Eagle Outfitters. . Это означало, что для онлайн-транзакций по кредитным картам требовалось не только то, что покупатель знал (номер кредитной карты), но и то, что у него было (настоящая кредитная карта).
Проблема, по словам Брауна, в том, что этот метод на самом деле не является двухфакторной аутентификацией. «Тот факт, что у вас есть два [типа информации], не делает его двухфакторным. Это тот же метод: это информация, которую вы вводите в систему, которая хранится где-то в базе данных. Любой вид однофакторной аутентификации будет иметь срок годности до того, как он будет скомпрометирован ".
Так и случилось. Фактически, если когда-либо был пример того, как 10-футовый забор просто вдохновляет преступников на строительство 11-футовой лестницы, то это он. Мошенники переходят на CVN так же быстро, как и продавцы. Клементс из CardCops говорит, что теперь, когда он видит, что воры рекламируют украденные кредитные карты с «полной информацией», это означает, что информация включает не только имя держателя карты, адрес выставления счета, номер кредитной карты и дату истечения срока действия, но и CVN.
Как мошенники получают информацию? Некоторые схемы фишинга требуют этого. Кроме того, несмотря на правила, запрещающие продавцам хранить номер, некоторые из них это сделали, что делает нарушения безопасности еще более опасными. Эксперты также опасаются, что мошенники вычисляют CVN с помощью грубой силы или, что еще хуже, их реинжиниринга.
«Если у вас достаточно карт и достаточно вычислительной мощности, не так уж сложно понять, что это за алгоритм», - говорит Пелегеро, бывший руководитель Amazon.com, который сейчас является президентом и управляющим директором Retail Payments Global Consulting Group. «Если у меня есть 100 карт из Первого банка из ниоткуда с действующим CVN, я могу придумать, как сгенерировать дополнительные CVN».
Все это является причиной того, что предотвращение мошенничества с кредитными картами намного сложнее, чем можно было бы указать в упрощенном процессе оформления заказа.
Расширенные исследования транзакций
Каждый день тысячи людей заходят на ShopNBC.com, быстрорастущий торговец ювелирными изделиями и электроникой, который в 2004 году принес материнской компании Valuevision Media около 127 миллионов долларов продаж. Джоан Радтке, кредитный директор, хочет убедиться, что, как только клиенты воспользуются их тележки, процесс оформления заказа эффективен. Но Радтке также хочет убедиться, что уровень входящего мошенничества, который, по ее словам, близок к среднему по отрасли (около 3 процентов или около того, согласно CyberSource), не приведет к неприемлемому уровню возвратных платежей. (Ставки ниже 1 процента обычно считаются приемлемыми, хотя стандарты различаются в зависимости от отрасли розничной торговли.) Поэтому после того, как покупатель завершает свой заказ, срабатывают собственные системы ShopNBC, чтобы оценить заказ на предмет подозрительного поведения.
Radtke's - это типичный набор инструментов, информацию о котором предоставляют несколько внешних источников. Если есть юридически допустимая причина подозревать мошенничество, компания может проверить информацию о клиенте в одном из кредитных бюро, чтобы узнать, например, если клиент поставил на свой счет предупреждение о мошенничестве. Компания также может сверяться с общедоступными записями, собранными LexisNexis. (Указан ли клиент как умерший? Это не является обнадеживающим признаком.) И компания может свериться с базой данных Службы почтовой инспекции США, которая содержит адреса, причастные к мошенническим действиям.
ShopNBC.com также имеет свои собственные инструменты для обнаружения аномального поведения, например геолокации IP. Если IP-адрес компьютера, на котором был размещен заказ, географически не находится рядом с адресом доставки или почтовым адресом, заказ может быть подозрительным. «Это конкретное правило помогает при иностранном мошенничестве», - говорит Радтке.
Фактически, мошенничество, исходящее из-за пределов Соединенных Штатов, является такой проблемой, что, по словам Джозефа ЛаРокка из Национальной федерации розничной торговли, многие торговцы ввели правила, запрещающие отправлять товары в определенные страны и не проводить транзакции с физическими лицами из определенных стран. ShopNBC отправляет заказы только в пределах Соединенных Штатов, что устраняет необходимость в правилах для отдельных стран.
Еще один распространенный инструмент, который использует ShopNBC, - это так называемая «проверка скорости», ищущая несколько заказов, которые имеют общие характеристики, такие как адрес доставки, адрес электронной почты или геолокация. Продавцы не разглашают подробностей о своих проверках скорости, но концепция проста. Объясняет ЛаРокка, вице-президент торговой группы по предотвращению убытков: «Люди, которые действительно хорошо разбираются в мошенничестве с кредитными картами, которое приводит к значительным возвратным платежам, - это те, кто может совершать мошенничество с кредитными картами и многократно умножать эту рутину". Проверка скорости помогает остановить кровопускание.
Как и в случае с большинством розничных продавцов, у которых есть сложные системы защиты от мошенничества, процессы в ShopNBC в значительной степени автоматизированы. Каждый заказ проходит через сложное собственное дерево решений. В любой момент приказ может быть отменен, отправлен на дополнительную проверку или помечен как подозрительный и отправлен группе из 20 следователей. Затем следователи могут связаться с клиентом или попросить банк связаться с держателем карты, чтобы подтвердить законность продажи.
Правила постоянно меняются, чтобы попытаться опередить новейшие уловки мошенников. «Самое сложное в мошенничестве - это его динамичность», - говорит Лаура Лайвли, менеджер по расследованию кредитных операций ShopNBC. «То, что мы преследуем сегодня, - это не то, что мы будем преследовать через шесть месяцев. Всплывают схемы мошенничества, и они проверяют ваш периметр. Они всплывают; они уходят; они появляются; они уходят». Около 8% заказов поступают к исследователям, и большинство из этих заказов затем проходят очистку для отправки, как правило, без ведома покупателя о том, что была проведена дополнительная проверка.
И так у торговцев по всей стране. Момент за моментом, решение за решением, день за днем.
«Все дело в том, чтобы проанализировать как можно больше параметров», - говорит Браун из Merchant Risk Council. «Наличие списка мошенников, в отношении которых, как вы знаете, были произведены возвратные платежи, так же важно, как знать, что учетная запись электронной почты использовалась для мошенничества или что клиент только что попытался купить 20 пар джинсовой ткани в том же порядке. Каждый предмет информации имеет ценность. Не существует единой серебряной пули, позволяющей отделить хороший заказ от плохого ".
ShopNBC решил строить свои системы собственными силами, как это делают многие крупные розничные сети. Но поставщики услуг, такие как CyberSource, eFunds и Retail Decisions, продают аналогичные системы.
Постоянная проблема для розничных торговцев, независимо от того, строят они или покупают, - это управление инструментами. Это означает изменение правил. Постоянно. «Это искусство, - говорит Браун, - потому что, если вы установите [планку] слишком высоко, вы просматриваете слишком много заказов и теряете хороших клиентов и теряете хорошие деньги. Если вы установите слишком низкую планку, мошенники выяснят, где ваши пороги установлены и пытаются атаковать вас другим способом».
Игра в ответственность
CompUSA предлагает множество мер защиты от мошенничества, как собственных, так и приобретенных. К ним относятся AVS, проверка заказов, а также внутренняя система заказов и ранжирования. Компания также использует геолокацию по IP, которая является частью контракта с CyberSource. Но частный крупный розничный продавец электроники попался на удочку новых услуг, предлагаемых отдельно Visa (около трех лет назад) и MasterCard (около года назад), которые призваны сделать электронную коммерцию менее рискованной для всех.
По отдельности эти программы известны как Verified by Visa и MasterCard SecureCode. Идея состоит в том, что владелец карты подписывается на услугу защиты карты в компании-эмитенте кредитной карты, выбирая дополнительный пароль для аутентификации в Интернете. Затем, когда она завершает транзакцию с онлайн-продавцом, который также подписался на услугу, сторонний аутентификатор запрашивает пароль в идеале, что является неотъемлемой частью процесса оформления заказа.
«Если вы не знаете пароль, вы не сможете использовать карту», - говорит Стив Джавери, директор CompUSA по электронной коммерции, разработке и интеграции.
Это работает с помощью программного пакета под названием 3D Secure, который подключается к обработке заказов продавца и выполняет подтверждение для обеих программ. Джавери - довольно хороший, хотя и неофициальный представитель Visa. Он говорит, что стоимость внедрения была низкой. «Всего одному разработчику потребовалось меньше пары недель, чтобы установить, запустить, протестировать и развернуть», - говорит он, отмечая, что система окупилась за «короткие сроки» и не увеличила количество покупателей, которые отказались от нее. их тележки для покупок.
Выгода, помимо снижения уровня мошенничества, - это именно то, о чем продавцы добивались годами. Согласно Visa, розничные торговцы, которые подписываются на Verified by Visa, получают от 5 до 10 процентов снижение ставки, которую они платят за обработку всех транзакций Visa, связанных с потребительской кредитной или дебетовой картой. (MasterCard отклонила запросы на собеседование.) Более того, если клиент вводит пароль, проверенный Visa, ответственность за эту транзакцию перекладывается на банк, выпустивший карту, если она оказывается мошеннической.
Сразу после праздников MasterCard объявила о подобных стимулах; Продавцы, поддерживающие SecureCode, будут иметь право на ставки, которые компания описывает как «сопоставимые со ставками для личных транзакций» или до 16% ниже, чем предыдущие ставки.
Авива Литан, вице-президент и директор по исследованиям Gartner, наблюдала за ситуацией в течение многих лет и воодушевлена тем, что карточные ассоциации берут на себя больший риск. «Раньше, когда дело касалось борьбы с мошенничеством в онлайн-торговле, каждый интернет-магазин был сам по себе, и все они дублировали свои усилия», - говорит Литан. «Это было чрезвычайно децентрализовано и крайне неэффективно. Но такие места, как Citibank и Bank One, потратили сотни миллионов долларов на защиту от мошенничества за последние годы, и они действительно хорошо в этом преуспели. но если вы можете передать его кому-то, кто сможет эффективно бороться с ним, нам будет намного лучше».
Тем не менее, сейчас это не происходит в больших масштабах. Почему нет?
Широкое распространение должно было начаться с торговцев. Банки не спешат ускорять внедрение, так как это увеличивает их ответственность. Потребители, у которых есть нулевая защита от мошенничества с кредитными картами, мало заинтересованы в регистрации в программе. Но розничные торговцы, у которых есть стимул, просто не подписываются.
Майкл Якель, вице-президент Visa, который руководит программой Verified by Visa, пытается порадовать цифры, отмечая, что программа увеличилась на 150 процентов по сравнению с прошлым годом. Но только около 10 процентов объема электронной коммерции поступает от продавцов, которые его поддерживают, и гораздо меньший процент этого объема аутентифицируется с помощью программы.
«Хотелось бы, чтобы было больше, - говорит Якель, - но мы над этим работаем».
Проблемы со стимулом
Отвечая на вопрос, продавцы винят медленную скорость внедрения в несколько неустойчивом старте. В первую очередь были опасения по поводу того, как работает технология. Но теперь, когда некоторые из этих проблем были решены, торговцы поднимают другую. Передавая ответственность за онлайн-транзакции, они также должны передать контроль над частью процесса оформления заказа. Боясь потерять продажи, они просто не хотят подписываться, пока не узнают, что потребители будут на борту. В ShopNBC Радтке говорит, что рентабельности инвестиций пока нет, потому что «мы не видим достаточного количества клиентов, использующих его».
По иронии судьбы, момент, когда достаточное количество розничных продавцов, таких как ShopNBC, видит рентабельность инвестиций в программу, может быть моментом, когда он перестает иметь ее. Принцип 10-футового забора, безусловно, работает: были сообщения о мошенниках, пытающихся зарегистрировать украденные кредитные карты, использовать фишинговые фишки для дополнительных паролей или украсть их с помощью троянов, незаконно установленных на компьютерах клиентов.
Проблема в том, что, хотя Verified by Visa и MasterCard SecureCode являются улучшениями, они по-прежнему представляют собой информацию об однофакторной аутентификации, которую вводит клиент, и которая сопоставляется с какой-либо базой данных. И у этой информации, как отмечает Браун, есть срок годности. «К тому времени, когда отрасль полностью воспользуется им, фишинговые атаки сделают его неэффективным», - мрачно говорит она.
Основная проблема может заключаться в том, что, к удивлению, люди все еще чувствуют себя в безопасности, делая покупки в Интернете. Интернет-магазины - жертвы собственного успеха. «Карточные ассоциации проделали блестящую работу, убедив потребителей, что карты безопасны и что они не несут ответственности», - говорит Пелегеро. Таким образом, до тех пор, пока продавцы не почувствуют больше боли от возвратного платежа за мошенничество или большей выгоды от передачи ответственности, кажется неизбежным, что они будут продолжать заниматься проблемой, пытаясь устранить мошенничество там, где они могут, и списать его там, где они должны.
В конце концов, есть только одна вещь, которая хуже для интернет-магазинов, чем прибытие в момент истины, в тот момент, когда покупатель загружает онлайн-корзину для покупок, после того, как он передает номер кредитной карты и адрес доставки, после того, как он нажимает кнопку «купить». "и продавец должен решить, отправлять заказ или нет.
Это вообще не наступает в тот момент.
После того, как покупатель загрузит корзину онлайн-покупок, после того, как он передаст номер кредитной карты и адрес доставки, после того, как он нажмет кнопку «купить» - после всего этого наступает момент истины, который имеет глубокие последствия для экономики США. Это момент, когда продавец решает, отправлять заказ или нет.
Тот факт, что банк одобряет кредитную карту, не означает, что она не украдена. В обращении находятся миллионы взломанных кредитных карт, и многие из них не будут заменены, пока не станет известно о злоупотреблении ими. Поскольку правоохранительные органы перегружены этой проблемой, продавцы электронной коммерции - а не ассоциации кредитных карт и не банки - часто остаются теми, кто держит пустой мешок. Следовательно, они должны делать поспешные суждения о каждом приказе и нести ответственность за последствия.
Это точка прохода. Если вы сделаете неправильный выбор, продавец потеряет либо законную продажу, либо товар и комиссию за транзакцию. «Вы высовываете шею каждый раз, когда отправляете что-то без [получения] отпечатка и подписи», - говорит Джо Уильямс, директор по маркетингу высококлассного ритейлера Sharper Image, у которого доход от транзакций без предъявления карты составил 250 миллионов долларов ( включая Интернет, телефонные и почтовые переводы) в 2004 году.
Выбирайте правильно, и продавец сэкономил деньги и сыграл жизненно важную роль в борьбе с преступностью. Мошенничество с кредитными картами, как выразился один продавец, «это то, как преступники идут в банк». По словам Теда Крукса, вице-президента по глобальным решениям по борьбе с мошенничеством для Fair Isaac, консультанта по управлению решениями и поставщика программного обеспечения: «Самое серьезное мошенничество - это место, где преступники обнаруживаются в законной экономике. они делают каждый день ".
Расширение масштабов предотвращения и обнаружения мошенничества и кибербезопасности
Согласно опросу CyberSource, поставщика услуг по борьбе с мошенничеством, компании теряют около 1,6% онлайн-доходов из-за мошенничества. Чтобы снизить это количество, розничные торговцы обращаются к все более изощренному и автоматизированному набору средств предотвращения мошенничества. «В течение первых нескольких лет бума электронной коммерции многие продавцы были готовы просто получить продажу за счет роста мошенничества», - говорит Рене Пелегеро, бывший директор по глобальным платежам Amazon.com, ставший консультантом. «За последние два или три года ситуация начала меняться».
Но есть еще одно важное изменение, которое хотели бы произойти продавцы электронной коммерции, и это в системе разделения рисков с эмитентами кредитных карт. Торговцы страстно хотят не только предотвратить мошенничество, но и переложить часть ответственности на ассоциации кредитных карт и банки, как это сделали обычные розничные торговцы. Индустрия кредитных карт заявляет, что решает эти проблемы с помощью таких программ, как Verified by Visa и MasterCard SecureCode, но их внедрение в розничной торговле идет медленно. (Стандарт безопасности данных индустрии платежных карт, проблема, которая привлекла внимание в последнее время, представляет собой другую программу, призванную заставить продавцов повысить свою безопасность с помощью стандартизированных проверок данных, шифрования данных и других методов)
Тем временем мошенничество с кредитными картами в Интернете продолжает неумолимо расти, и, по данным исследования CyberSource, убытки в 2005 году составили 2,8 миллиарда долларов, что на 8 процентов больше, чем годом ранее.
Наследие напряженности
У торговцев никогда не было гармоничных отношений с ассоциациями кредитных карт и их банками-членами, теми, кто передал пластик в руки миллионов американцев. Однако с транзакциями, совершаемыми в физическом мире, по крайней мере, все понимали игру. Продавец согласился просмотреть каждую карточку и поставить подпись. Если владелец карты сообщал, что списание было мошенническим, банк выпускал так называемый «возвратный платеж» - по сути, банк забирал деньги и передавал их держателю карты. Если продавец затем представил подпись держателя карты, ему не нужно было оплачивать возвратный платеж. Это была проблема банка.
Если продавцы не соблюдают правила или собирают слишком много возвратных платежей, карточные ассоциации могут запретить им принимать кредитные карты. Но если продавцы не были довольны правилами карточных ассоциаций, они могли бы прекратить принимать кредитные карты.
Потом появился Интернет. Внезапно количество транзакций без предъявления карты - когда-то это была сфера деятельности розничных продавцов по каталогам - резко возросло до такой степени, что в прошедшем рождественском сезоне Visa сообщила, что около 10 процентов всех расходов по картам Visa приходилось на онлайн-покупки. Проблема в том, что принимать кредитную карту онлайн более рискованно, чем принимать ее лично. У продавцов нет надежного способа проверить, что лицо, владеющее картой, действительно владеет картой. Они не могут получить обычную подпись и опасаются вносить в процесс оформления заказа что-либо, что замедляет транзакцию.
В результате продавцы электронной коммерции должны нести ответственность за мошеннические покупки. Возврат платежа не оспаривается.
Сторонники точки зрения торговцев считают, что это чрезмерные обвинения. «Если продавец отправляет [мошеннический] заказ, он теряет товар, теряет комиссию за транзакцию, теряет плату за доставку и получает комиссию за возврат», - говорит Дэн Клементс, генеральный директор CardCops, которая отслеживает в Интернете украденные номера кредитных карт от имени. как продавцов, так и частных лиц. «Они проигрывают, проигрывают, проигрывают, проигрывают, а банк-эмитент и банк-эквайер разделяют комиссию за возвратный платеж как доход».
Честно говоря, банки выделяют значительные ресурсы на мониторинг счетов на предмет подозрительной активности и блокировку мошеннических платежей (хотя они не хотят обсуждать это). Но продавцы знают своих клиентов и продукты лучше, чем кто-либо, и поэтому имеют отличную возможность обнаруживать подозрительные заказы до того, как возникнет модель злоупотребления на отдельной учетной записи. Это означает, что продавцы, ведущие бизнес в Интернете, вынуждены вкладывать средства в средства защиты от мошенничества - как технологические, так и человеческие - как никогда раньше.
Предотвращение мошенничества 101
Независимо от того, понимает это клиент или нет, большинство онлайн-транзакций включает две основные меры по борьбе с мошенничеством. Первый подтверждает платежный адрес; второй пытается проверить физическое присутствие кредитной карты.
Адрес для выставления счетов используется для службы проверки адреса (AVS), которая позволяет продавцу узнать, совпадает ли адрес для выставления счетов, предоставленный клиентом, с адресом в записях банка. Хотя этот метод не идеален, 75 процентов интернет-магазинов используют его, что делает его наиболее широко используемым инструментом, согласно исследованию CyberSource.
Для физического подтверждения розничные продавцы часто запрашивают проверочный номер карты (CVN, иногда называемый CID или CVV). Это трех- или четырехзначный код, который напечатан на кредитной карте, но не включен в переписку или на магнитную полосу карты. К концу 2006 года CyberSource прогнозирует, что этот метод будет почти так же распространен, как проверка адреса.
Трейси Браун, сопредседатель Merchant Risk Council, торговой группы, основанной для помощи розничным торговцам в борьбе с мошенничеством, говорит, что CVN была попыткой перевести онлайн-транзакции по кредитным картам с однофакторной на двухфакторную аутентификацию. «Идея заключалась в том, что, возможно, вы получили номер моей кредитной карты из базы данных или украли мою выписку по счету, но CID или CVV не хранились в этих местах», - говорит Браун, директор по информационной безопасности компании American Eagle Outfitters. . Это означало, что для онлайн-транзакций по кредитным картам требовалось не только то, что покупатель знал (номер кредитной карты), но и то, что у него было (настоящая кредитная карта).
Проблема, по словам Брауна, в том, что этот метод на самом деле не является двухфакторной аутентификацией. «Тот факт, что у вас есть два [типа информации], не делает его двухфакторным. Это тот же метод: это информация, которую вы вводите в систему, которая хранится где-то в базе данных. Любой вид однофакторной аутентификации будет иметь срок годности до того, как он будет скомпрометирован ".
Так и случилось. Фактически, если когда-либо был пример того, как 10-футовый забор просто вдохновляет преступников на строительство 11-футовой лестницы, то это он. Мошенники переходят на CVN так же быстро, как и продавцы. Клементс из CardCops говорит, что теперь, когда он видит, что воры рекламируют украденные кредитные карты с «полной информацией», это означает, что информация включает не только имя держателя карты, адрес выставления счета, номер кредитной карты и дату истечения срока действия, но и CVN.
Как мошенники получают информацию? Некоторые схемы фишинга требуют этого. Кроме того, несмотря на правила, запрещающие продавцам хранить номер, некоторые из них это сделали, что делает нарушения безопасности еще более опасными. Эксперты также опасаются, что мошенники вычисляют CVN с помощью грубой силы или, что еще хуже, их реинжиниринга.
«Если у вас достаточно карт и достаточно вычислительной мощности, не так уж сложно понять, что это за алгоритм», - говорит Пелегеро, бывший руководитель Amazon.com, который сейчас является президентом и управляющим директором Retail Payments Global Consulting Group. «Если у меня есть 100 карт из Первого банка из ниоткуда с действующим CVN, я могу придумать, как сгенерировать дополнительные CVN».
Все это является причиной того, что предотвращение мошенничества с кредитными картами намного сложнее, чем можно было бы указать в упрощенном процессе оформления заказа.
Расширенные исследования транзакций
Каждый день тысячи людей заходят на ShopNBC.com, быстрорастущий торговец ювелирными изделиями и электроникой, который в 2004 году принес материнской компании Valuevision Media около 127 миллионов долларов продаж. Джоан Радтке, кредитный директор, хочет убедиться, что, как только клиенты воспользуются их тележки, процесс оформления заказа эффективен. Но Радтке также хочет убедиться, что уровень входящего мошенничества, который, по ее словам, близок к среднему по отрасли (около 3 процентов или около того, согласно CyberSource), не приведет к неприемлемому уровню возвратных платежей. (Ставки ниже 1 процента обычно считаются приемлемыми, хотя стандарты различаются в зависимости от отрасли розничной торговли.) Поэтому после того, как покупатель завершает свой заказ, срабатывают собственные системы ShopNBC, чтобы оценить заказ на предмет подозрительного поведения.
Radtke's - это типичный набор инструментов, информацию о котором предоставляют несколько внешних источников. Если есть юридически допустимая причина подозревать мошенничество, компания может проверить информацию о клиенте в одном из кредитных бюро, чтобы узнать, например, если клиент поставил на свой счет предупреждение о мошенничестве. Компания также может сверяться с общедоступными записями, собранными LexisNexis. (Указан ли клиент как умерший? Это не является обнадеживающим признаком.) И компания может свериться с базой данных Службы почтовой инспекции США, которая содержит адреса, причастные к мошенническим действиям.
ShopNBC.com также имеет свои собственные инструменты для обнаружения аномального поведения, например геолокации IP. Если IP-адрес компьютера, на котором был размещен заказ, географически не находится рядом с адресом доставки или почтовым адресом, заказ может быть подозрительным. «Это конкретное правило помогает при иностранном мошенничестве», - говорит Радтке.
Фактически, мошенничество, исходящее из-за пределов Соединенных Штатов, является такой проблемой, что, по словам Джозефа ЛаРокка из Национальной федерации розничной торговли, многие торговцы ввели правила, запрещающие отправлять товары в определенные страны и не проводить транзакции с физическими лицами из определенных стран. ShopNBC отправляет заказы только в пределах Соединенных Штатов, что устраняет необходимость в правилах для отдельных стран.
Еще один распространенный инструмент, который использует ShopNBC, - это так называемая «проверка скорости», ищущая несколько заказов, которые имеют общие характеристики, такие как адрес доставки, адрес электронной почты или геолокация. Продавцы не разглашают подробностей о своих проверках скорости, но концепция проста. Объясняет ЛаРокка, вице-президент торговой группы по предотвращению убытков: «Люди, которые действительно хорошо разбираются в мошенничестве с кредитными картами, которое приводит к значительным возвратным платежам, - это те, кто может совершать мошенничество с кредитными картами и многократно умножать эту рутину". Проверка скорости помогает остановить кровопускание.
Как и в случае с большинством розничных продавцов, у которых есть сложные системы защиты от мошенничества, процессы в ShopNBC в значительной степени автоматизированы. Каждый заказ проходит через сложное собственное дерево решений. В любой момент приказ может быть отменен, отправлен на дополнительную проверку или помечен как подозрительный и отправлен группе из 20 следователей. Затем следователи могут связаться с клиентом или попросить банк связаться с держателем карты, чтобы подтвердить законность продажи.
Правила постоянно меняются, чтобы попытаться опередить новейшие уловки мошенников. «Самое сложное в мошенничестве - это его динамичность», - говорит Лаура Лайвли, менеджер по расследованию кредитных операций ShopNBC. «То, что мы преследуем сегодня, - это не то, что мы будем преследовать через шесть месяцев. Всплывают схемы мошенничества, и они проверяют ваш периметр. Они всплывают; они уходят; они появляются; они уходят». Около 8% заказов поступают к исследователям, и большинство из этих заказов затем проходят очистку для отправки, как правило, без ведома покупателя о том, что была проведена дополнительная проверка.
И так у торговцев по всей стране. Момент за моментом, решение за решением, день за днем.
«Все дело в том, чтобы проанализировать как можно больше параметров», - говорит Браун из Merchant Risk Council. «Наличие списка мошенников, в отношении которых, как вы знаете, были произведены возвратные платежи, так же важно, как знать, что учетная запись электронной почты использовалась для мошенничества или что клиент только что попытался купить 20 пар джинсовой ткани в том же порядке. Каждый предмет информации имеет ценность. Не существует единой серебряной пули, позволяющей отделить хороший заказ от плохого ".
ShopNBC решил строить свои системы собственными силами, как это делают многие крупные розничные сети. Но поставщики услуг, такие как CyberSource, eFunds и Retail Decisions, продают аналогичные системы.
Постоянная проблема для розничных торговцев, независимо от того, строят они или покупают, - это управление инструментами. Это означает изменение правил. Постоянно. «Это искусство, - говорит Браун, - потому что, если вы установите [планку] слишком высоко, вы просматриваете слишком много заказов и теряете хороших клиентов и теряете хорошие деньги. Если вы установите слишком низкую планку, мошенники выяснят, где ваши пороги установлены и пытаются атаковать вас другим способом».
Игра в ответственность
CompUSA предлагает множество мер защиты от мошенничества, как собственных, так и приобретенных. К ним относятся AVS, проверка заказов, а также внутренняя система заказов и ранжирования. Компания также использует геолокацию по IP, которая является частью контракта с CyberSource. Но частный крупный розничный продавец электроники попался на удочку новых услуг, предлагаемых отдельно Visa (около трех лет назад) и MasterCard (около года назад), которые призваны сделать электронную коммерцию менее рискованной для всех.
По отдельности эти программы известны как Verified by Visa и MasterCard SecureCode. Идея состоит в том, что владелец карты подписывается на услугу защиты карты в компании-эмитенте кредитной карты, выбирая дополнительный пароль для аутентификации в Интернете. Затем, когда она завершает транзакцию с онлайн-продавцом, который также подписался на услугу, сторонний аутентификатор запрашивает пароль в идеале, что является неотъемлемой частью процесса оформления заказа.
«Если вы не знаете пароль, вы не сможете использовать карту», - говорит Стив Джавери, директор CompUSA по электронной коммерции, разработке и интеграции.
Это работает с помощью программного пакета под названием 3D Secure, который подключается к обработке заказов продавца и выполняет подтверждение для обеих программ. Джавери - довольно хороший, хотя и неофициальный представитель Visa. Он говорит, что стоимость внедрения была низкой. «Всего одному разработчику потребовалось меньше пары недель, чтобы установить, запустить, протестировать и развернуть», - говорит он, отмечая, что система окупилась за «короткие сроки» и не увеличила количество покупателей, которые отказались от нее. их тележки для покупок.
Выгода, помимо снижения уровня мошенничества, - это именно то, о чем продавцы добивались годами. Согласно Visa, розничные торговцы, которые подписываются на Verified by Visa, получают от 5 до 10 процентов снижение ставки, которую они платят за обработку всех транзакций Visa, связанных с потребительской кредитной или дебетовой картой. (MasterCard отклонила запросы на собеседование.) Более того, если клиент вводит пароль, проверенный Visa, ответственность за эту транзакцию перекладывается на банк, выпустивший карту, если она оказывается мошеннической.
Сразу после праздников MasterCard объявила о подобных стимулах; Продавцы, поддерживающие SecureCode, будут иметь право на ставки, которые компания описывает как «сопоставимые со ставками для личных транзакций» или до 16% ниже, чем предыдущие ставки.
Авива Литан, вице-президент и директор по исследованиям Gartner, наблюдала за ситуацией в течение многих лет и воодушевлена тем, что карточные ассоциации берут на себя больший риск. «Раньше, когда дело касалось борьбы с мошенничеством в онлайн-торговле, каждый интернет-магазин был сам по себе, и все они дублировали свои усилия», - говорит Литан. «Это было чрезвычайно децентрализовано и крайне неэффективно. Но такие места, как Citibank и Bank One, потратили сотни миллионов долларов на защиту от мошенничества за последние годы, и они действительно хорошо в этом преуспели. но если вы можете передать его кому-то, кто сможет эффективно бороться с ним, нам будет намного лучше».
Тем не менее, сейчас это не происходит в больших масштабах. Почему нет?
Широкое распространение должно было начаться с торговцев. Банки не спешат ускорять внедрение, так как это увеличивает их ответственность. Потребители, у которых есть нулевая защита от мошенничества с кредитными картами, мало заинтересованы в регистрации в программе. Но розничные торговцы, у которых есть стимул, просто не подписываются.
Майкл Якель, вице-президент Visa, который руководит программой Verified by Visa, пытается порадовать цифры, отмечая, что программа увеличилась на 150 процентов по сравнению с прошлым годом. Но только около 10 процентов объема электронной коммерции поступает от продавцов, которые его поддерживают, и гораздо меньший процент этого объема аутентифицируется с помощью программы.
«Хотелось бы, чтобы было больше, - говорит Якель, - но мы над этим работаем».
Проблемы со стимулом
Отвечая на вопрос, продавцы винят медленную скорость внедрения в несколько неустойчивом старте. В первую очередь были опасения по поводу того, как работает технология. Но теперь, когда некоторые из этих проблем были решены, торговцы поднимают другую. Передавая ответственность за онлайн-транзакции, они также должны передать контроль над частью процесса оформления заказа. Боясь потерять продажи, они просто не хотят подписываться, пока не узнают, что потребители будут на борту. В ShopNBC Радтке говорит, что рентабельности инвестиций пока нет, потому что «мы не видим достаточного количества клиентов, использующих его».
По иронии судьбы, момент, когда достаточное количество розничных продавцов, таких как ShopNBC, видит рентабельность инвестиций в программу, может быть моментом, когда он перестает иметь ее. Принцип 10-футового забора, безусловно, работает: были сообщения о мошенниках, пытающихся зарегистрировать украденные кредитные карты, использовать фишинговые фишки для дополнительных паролей или украсть их с помощью троянов, незаконно установленных на компьютерах клиентов.
Проблема в том, что, хотя Verified by Visa и MasterCard SecureCode являются улучшениями, они по-прежнему представляют собой информацию об однофакторной аутентификации, которую вводит клиент, и которая сопоставляется с какой-либо базой данных. И у этой информации, как отмечает Браун, есть срок годности. «К тому времени, когда отрасль полностью воспользуется им, фишинговые атаки сделают его неэффективным», - мрачно говорит она.
Основная проблема может заключаться в том, что, к удивлению, люди все еще чувствуют себя в безопасности, делая покупки в Интернете. Интернет-магазины - жертвы собственного успеха. «Карточные ассоциации проделали блестящую работу, убедив потребителей, что карты безопасны и что они не несут ответственности», - говорит Пелегеро. Таким образом, до тех пор, пока продавцы не почувствуют больше боли от возвратного платежа за мошенничество или большей выгоды от передачи ответственности, кажется неизбежным, что они будут продолжать заниматься проблемой, пытаясь устранить мошенничество там, где они могут, и списать его там, где они должны.
В конце концов, есть только одна вещь, которая хуже для интернет-магазинов, чем прибытие в момент истины, в тот момент, когда покупатель загружает онлайн-корзину для покупок, после того, как он передает номер кредитной карты и адрес доставки, после того, как он нажимает кнопку «купить». "и продавец должен решить, отправлять заказ или нет.
Это вообще не наступает в тот момент.
