Carding Forum
Professional
- Messages
- 2,788
- Reaction score
- 1,223
- Points
- 113
Как продавец электронной коммерции, насколько вы подготовлены к тому, чтобы справиться с расходами на потерянные товары и их стоимость доставки, комиссию за возврат платежа, снижение имиджа вашего бренда и возможную потерю вашей учетной записи?
Онлайн-транзакции влекут за собой передачу и хранение личной информации (финансовая информация, информация для аутентификации, пароли и т. д.), А неправильное использование этой информации приводит к множеству мошенничества и мошенничества, причем мошенничество с кредитными картами является одной из основных угроз. Это может привести к дальнейшим преступлениям, таким как кража личных данных.
По прогнозам, убытки от мошенничества в связи с отсутствием карты (физическая карта отсутствует во время транзакции) увеличится с 5,3 млрд долларов США в 2017 году до 7,2 млрд долларов США в 2020 году (источник: Aite Group). Последствия этой потери сказываются не только на голиафах мира, таких как Walmart или Tesco, но и имеют более сильное негативное влияние на малый бизнес.
Согласно отчету ACFE за 2016 год, «средний убыток, понесенный небольшими организациями (имеющими менее 100 сотрудников), был таким же, как и убытки крупнейших организаций (имеющих более 10 000 сотрудников). Однако этот тип потерь, вероятно, будет иметь гораздо большее влияние на более мелкие организации ».
Так как же малому бизнесу защитить себя от этой угрозы?
Сара Грейсон из группы веб-безопасности McAfee считает: «Один из лучших способов защитить свой бизнес от киберпреступников - это многоуровневая безопасность. Начните с брандмауэров, которые являются важным аспектом в остановке злоумышленников, прежде чем они смогут проникнуть в вашу сеть и получить доступ к вашей важной личной информации. Добавьте дополнительные уровни безопасности на веб-сайт и в приложения, такие как контактные формы, поля входа и поисковые запросы. Это обеспечит защиту вашей среды электронной коммерции от атак на уровне приложений, таких как инъекции SQL (язык структурированных запросов) и межсайтовые сценарии (XSS) ».
Одним из таких уровней безопасности является ваш платежный шлюз, который гарантирует отсутствие уязвимостей при обработке платежей благодаря своим методам и инструментам обнаружения мошенничества с кредитными картами.
В этом посте мы попытаемся объяснить, что мошенничество с кредитными картами может повлиять на ваш бизнес, и как ваш платежный шлюз может предоставить вам инструменты защиты от мошенничества для обнаружения и предотвращения мошенничества с онлайн-картами. Но сначала давайте начнем с того, как выглядит мошенничество с кредитными картами. Если вы хотите перейти к списку абсолютно необходимых инструментов предотвращения мошенничества, щелкните здесь.
Что такое мошенничество с кредитными картами?
Начиная с основ, мошенничество с кредитными картами имеет место, когда кредитная карта держателя карты потеряна или украдена, или когда личная информация держателя карты (номер кредитной карты или пин-код) используется для совершения несанкционированных транзакций.
Даже для обработки таких транзакций предприятиям необходимо оплачивать обменные курсы, оценочные сборы и наценки, а также сталкиваться с другими последствиями, такими как:
Инструменты безопасности для обнаружения мошенничества с кредитными картами
Ключевым моментом является внедрение платежного шлюза, в котором используются самые эффективные методы борьбы с мошенничеством с платежами по кредитным картам, минимизации потерь и защиты вашего бизнеса от вышеупомянутых угроз.
Давайте подробно рассмотрим основные инструменты мошенничества:
Верификация
Ниже упоминаются некоторые инструменты безопасности, которые помогут вам, как продавцу, оценить подлинность пользователя путем сопоставления введенной информации с информацией, содержащейся в базе данных клиента, банка или отрасли. Транзакции, не прошедшие эти тесты, могут быть помечены или заблокированы в зависимости от предварительно определенных настроек платежного шлюза.
Включение фильтра службы проверки адреса (AVS)
Проверка адреса проводится путем сравнения платежного адреса и почтового индекса транзакции с данными, хранящимися в файле банка-эмитента. AVS отвечает кодом, который поможет вам понять, совпадают ли адрес выставления счета и почтовый индекс (полное совпадение AVS), совпадает ли один из них (частичное совпадение AVS) или ни одно из двух совпадений (нет совпадения). Если полного соответствия AVS нет, банк пометит транзакцию. В таких случаях вы можете либо продолжить расследование, проверив CVV (значение для проверки карты), адрес электронной почты и IP-адрес, либо просто разрешить своему платежному шлюзу отклонить транзакцию.
Коды значения проверки карты захвата (CVV)
CVV (или код проверки карты) - это трех- или четырехзначный код, который печатается на обратной стороне каждой кредитной или дебетовой карты, и не должен храниться в базе данных продавца для любых транзакций. При обработке транзакции без предъявления карты (CNP) (онлайн, электронная почта или телефонные заказы) вы получаете от клиента необходимую информацию о карте для проверки. Если коды CVV не совпадают, разрешите платежному шлюзу отклонить транзакцию. Хотя это не полностью устранит мошенничество с онлайн-картами, вы сведете к минимуму риск возникновения возвратных платежей.
Экран с идентификацией устройства
Идентификация устройства анализирует компьютер, а не человека, который посещает ваш сайт. Он профилирует операционную систему, подключение к Интернету и браузер, чтобы определить, должна ли транзакция быть одобрена, помечена или отклонена. Все устройства (телефоны, компьютеры, планшеты и т. д.) Имеют уникальный отпечаток пальца устройства (аналогичный отпечатку пальца человека), который помогает идентифицировать шаблоны мошеннических транзакций и оценивать риски, если таковые имеются.
Такие компании, как ThreatMatrix, отслеживают идентификатор устройства, используя его в качестве ориентира, чтобы узнать, помечали ли другие люди его как подозрительные или мошеннические транзакции или действия в прошлом. Мошенники не могут выдавать себя за уникальную личность компьютера, что делает его отличным вариантом для защиты вашего бизнеса от онлайн-мошенничества.
Создать черные списки
Черные списки или черные списки предотвращения мошенничества содержат все детали заказа, такие как информация о кредитной карте, имена клиентов, адреса электронной почты, физические адреса, а иногда и страны, которые компании определили как мошеннические или рискованные.
Вам придется внимательно следить за заказами, сделанными из стран, которые считаются «высокорисковыми». Согласно Руководству по онлайн-мошенничеству, некоторые из стран с самым высоким уровнем онлайн-мошенничества - это Израиль, Малайзия, Египет, Пакистан, Украина, Россия, Болгария, Румыния, Литва, Нигерия и Югославия. Перед отправкой товаров в эти страны установите более строгие ограничения, отметив соответствующие заказы для дальнейшего рассмотрения и обработав их только после того, как эти клиенты подтвердят свою личность.
Черные списки ограничены по своей природе, поскольку мошенники постоянно меняют свои данные при размещении заказа в Интернете. Поэтому, если вы добавляете клиентов в этот список, когда они не проходят фильтр безопасности, вы можете иногда блокировать законные транзакции.
Мониторинг аномалий
Следующие инструменты безопасности помогают идентифицировать транзакции, которые не соответствуют определенным установленным правилам и содержат возможность мошенничества. В зависимости от стандартных и настраиваемых настроек вашего платежного шлюза такие транзакции помечаются или блокируются.
Отметить крупные транзакции
С украденной информацией о карте мошенники обычно предпринимают попытки совершить крупные транзакции до того, как карта будет заблокирована. Это нанесет ущерб вашему бизнесу (большому или малому), и вам придется нести расходы, связанные с разрешением этого. Это может даже привести к тому, что платежный шлюз заблокирует вашу учетную запись. Вы можете ограничить крупные транзакции, указав фиксированную сумму в долларах (максимальную сумму для транзакции), чтобы избежать возвратных платежей. В дополнение к этому вы можете ограничить количество неудачных транзакций от клиента, которые проходят через ваш платежный шлюз.
Проведите проверки скорости
Скоростная атака - это когда мошенники используют программное обеспечение для создания сотен последовательностей номеров карт и запускают их на вашем веб-сайте до тех пор, пока не будет найден действительный номер карты. Проверка скорости путем определения порогового значения количества попыток транзакции у клиента поможет выявить такие высокоскоростные атаки. Помимо этого, у вас также есть механизм блокировки, который представляет собой тип меры по предотвращению мошенничества, предназначенный для блокировки мошенников, использующих программы автоматического генератора номеров карт. Он работает, блокируя транзакции с определенного IP-адреса, при этом большое количество транзакций по кредитным картам отклонено в течение установленного времени.
Аутентификация пользователя
Наличие дополнительного уровня безопасности для проверки личности пользователя и подтверждения того, являются ли они теми, кем они себя называют при транзакциях с кредитными картами в Интернете, укрепит ваши аргументы в пользу обнаружения и предотвращения мошенничества с кредитными картами.
Безопасные онлайн-транзакции с аутентификацией плательщика (3-D Secure)
Аутентификация плательщика, именуемая проверенной Visa (VeB) для карт Visa и SecureCode для мастер-карт, является мерой аутентификации держателя карты, которая обеспечивает безопасность онлайн-транзакций для клиентов. Это позволяет им создавать ПИН-код (безопасный код), который можно использовать во время оформления заказа для подтверждения личности пользователя. Если введен неправильный PIN-код, транзакция блокируется, что сокращает количество транзакций, которые необходимо вручную проверять вам (как продавцу).
Реализуя это, вы обеспечите защиту от возвратных платежей и более низкую скорость обмена, что сделает его одним из самых востребованных инструментов предотвращения мошенничества.
Оценивайте с помощью скоринга рисков
Этот инструмент использует методы машинного обучения для изучения различных компонентов онлайн-транзакции по кредитной карте, чтобы определить вероятность того, что она является мошеннической. Вам нужно будет оценить результаты их инструментов проверки транзакций, таких как AVS, CVV, идентификатор устройства и т. д., а также то, что пользователь покупает и куда пользователь хочет отправить товар. (Источник: Burlington Bank Card). Чем выше оценка мошенничества, тем больше причин для отклонения транзакции.
Оценка рисков обеспечит индивидуальную оценку и пометит транзакции на основе выбранных вами правил, таких как проверка отказа AVS, диапазон IP-адресов, использование анонимных адресов электронной почты, проверка платежного адреса и другие. Алгоритмы прогнозирующего машинного обучения могут учиться на предыдущих данных и оценивать вероятность мошеннической транзакции по кредитной карте.
Что дальше?
Чтобы защитить свой бизнес от мошенничества с картами и связанных с этим потерь, интегрируйтесь с платежным шлюзом, который имеет встроенные инструменты предотвращения мошенничества. Таким образом, вам придется вручную проверять только отмеченные транзакции, и на кону будет гораздо меньше.
Но во многих случаях применение негибких мер безопасности приводит к тому, что большой объем законных транзакций отклоняется на основании подозрения в мошенничестве. Эти ложные срабатывания оттолкнут этих клиентов от покупки у вас снова. Чтобы уберечь себя от ненужных проблем, вы можете использовать биометрическую авторизацию (сканирование отпечатков пальцев, распознавание голоса или лица, цифровые подписи) или двухфакторную аутентификацию (двухэтапная проверка) для держателей карт, чтобы подтвердить свою личность. Что касается устройств чтения карт, настоятельно рекомендуется использовать считыватель чипов EMV, поскольку данные, зашифрованные на чипах EMV, постоянно меняются и их невозможно воспроизвести.
Если смотреть на это с реалистичной точки зрения, вы должны выйти за рамки оснащения своего бизнеса всего несколькими инструментами безопасности и в то же время добавить гибкости для утверждения транзакций.
Онлайн-транзакции влекут за собой передачу и хранение личной информации (финансовая информация, информация для аутентификации, пароли и т. д.), А неправильное использование этой информации приводит к множеству мошенничества и мошенничества, причем мошенничество с кредитными картами является одной из основных угроз. Это может привести к дальнейшим преступлениям, таким как кража личных данных.
По прогнозам, убытки от мошенничества в связи с отсутствием карты (физическая карта отсутствует во время транзакции) увеличится с 5,3 млрд долларов США в 2017 году до 7,2 млрд долларов США в 2020 году (источник: Aite Group). Последствия этой потери сказываются не только на голиафах мира, таких как Walmart или Tesco, но и имеют более сильное негативное влияние на малый бизнес.
Согласно отчету ACFE за 2016 год, «средний убыток, понесенный небольшими организациями (имеющими менее 100 сотрудников), был таким же, как и убытки крупнейших организаций (имеющих более 10 000 сотрудников). Однако этот тип потерь, вероятно, будет иметь гораздо большее влияние на более мелкие организации ».
Так как же малому бизнесу защитить себя от этой угрозы?
Сара Грейсон из группы веб-безопасности McAfee считает: «Один из лучших способов защитить свой бизнес от киберпреступников - это многоуровневая безопасность. Начните с брандмауэров, которые являются важным аспектом в остановке злоумышленников, прежде чем они смогут проникнуть в вашу сеть и получить доступ к вашей важной личной информации. Добавьте дополнительные уровни безопасности на веб-сайт и в приложения, такие как контактные формы, поля входа и поисковые запросы. Это обеспечит защиту вашей среды электронной коммерции от атак на уровне приложений, таких как инъекции SQL (язык структурированных запросов) и межсайтовые сценарии (XSS) ».
Одним из таких уровней безопасности является ваш платежный шлюз, который гарантирует отсутствие уязвимостей при обработке платежей благодаря своим методам и инструментам обнаружения мошенничества с кредитными картами.
В этом посте мы попытаемся объяснить, что мошенничество с кредитными картами может повлиять на ваш бизнес, и как ваш платежный шлюз может предоставить вам инструменты защиты от мошенничества для обнаружения и предотвращения мошенничества с онлайн-картами. Но сначала давайте начнем с того, как выглядит мошенничество с кредитными картами. Если вы хотите перейти к списку абсолютно необходимых инструментов предотвращения мошенничества, щелкните здесь.
Что такое мошенничество с кредитными картами?
Начиная с основ, мошенничество с кредитными картами имеет место, когда кредитная карта держателя карты потеряна или украдена, или когда личная информация держателя карты (номер кредитной карты или пин-код) используется для совершения несанкционированных транзакций.
Даже для обработки таких транзакций предприятиям необходимо оплачивать обменные курсы, оценочные сборы и наценки, а также сталкиваться с другими последствиями, такими как:
- Упущенная выгода и ресурсы: вам придется нести расходы по доставке в дополнение к потере товара, когда для этих транзакций производится онлайн-платеж. Если вы решите проверить подозрительные транзакции, связавшись с соответствующими клиентами с внутренней или внешней командой, это также увеличит ваши затраты, время и усилия.
- Возвратный платеж: вам придется платить банку определенную комиссию за каждую спорную или мошенническую транзакцию.
- Возможное прекращение действия вашей учетной записи: если процент возвратных платежей превышает обработанный доход на определенное значение в течение нескольких месяцев подряд, вы можете потерять свою учетную запись продавца. Обычно карточные сети ожидают, что продавцы будут удерживать ставки возвратных платежей в пределах 1-2%.
Инструменты безопасности для обнаружения мошенничества с кредитными картами
Ключевым моментом является внедрение платежного шлюза, в котором используются самые эффективные методы борьбы с мошенничеством с платежами по кредитным картам, минимизации потерь и защиты вашего бизнеса от вышеупомянутых угроз.
Давайте подробно рассмотрим основные инструменты мошенничества:
Верификация
Ниже упоминаются некоторые инструменты безопасности, которые помогут вам, как продавцу, оценить подлинность пользователя путем сопоставления введенной информации с информацией, содержащейся в базе данных клиента, банка или отрасли. Транзакции, не прошедшие эти тесты, могут быть помечены или заблокированы в зависимости от предварительно определенных настроек платежного шлюза.
Включение фильтра службы проверки адреса (AVS)
Проверка адреса проводится путем сравнения платежного адреса и почтового индекса транзакции с данными, хранящимися в файле банка-эмитента. AVS отвечает кодом, который поможет вам понять, совпадают ли адрес выставления счета и почтовый индекс (полное совпадение AVS), совпадает ли один из них (частичное совпадение AVS) или ни одно из двух совпадений (нет совпадения). Если полного соответствия AVS нет, банк пометит транзакцию. В таких случаях вы можете либо продолжить расследование, проверив CVV (значение для проверки карты), адрес электронной почты и IP-адрес, либо просто разрешить своему платежному шлюзу отклонить транзакцию.
Коды значения проверки карты захвата (CVV)
CVV (или код проверки карты) - это трех- или четырехзначный код, который печатается на обратной стороне каждой кредитной или дебетовой карты, и не должен храниться в базе данных продавца для любых транзакций. При обработке транзакции без предъявления карты (CNP) (онлайн, электронная почта или телефонные заказы) вы получаете от клиента необходимую информацию о карте для проверки. Если коды CVV не совпадают, разрешите платежному шлюзу отклонить транзакцию. Хотя это не полностью устранит мошенничество с онлайн-картами, вы сведете к минимуму риск возникновения возвратных платежей.
Экран с идентификацией устройства
Идентификация устройства анализирует компьютер, а не человека, который посещает ваш сайт. Он профилирует операционную систему, подключение к Интернету и браузер, чтобы определить, должна ли транзакция быть одобрена, помечена или отклонена. Все устройства (телефоны, компьютеры, планшеты и т. д.) Имеют уникальный отпечаток пальца устройства (аналогичный отпечатку пальца человека), который помогает идентифицировать шаблоны мошеннических транзакций и оценивать риски, если таковые имеются.
Такие компании, как ThreatMatrix, отслеживают идентификатор устройства, используя его в качестве ориентира, чтобы узнать, помечали ли другие люди его как подозрительные или мошеннические транзакции или действия в прошлом. Мошенники не могут выдавать себя за уникальную личность компьютера, что делает его отличным вариантом для защиты вашего бизнеса от онлайн-мошенничества.
Создать черные списки
Черные списки или черные списки предотвращения мошенничества содержат все детали заказа, такие как информация о кредитной карте, имена клиентов, адреса электронной почты, физические адреса, а иногда и страны, которые компании определили как мошеннические или рискованные.
Вам придется внимательно следить за заказами, сделанными из стран, которые считаются «высокорисковыми». Согласно Руководству по онлайн-мошенничеству, некоторые из стран с самым высоким уровнем онлайн-мошенничества - это Израиль, Малайзия, Египет, Пакистан, Украина, Россия, Болгария, Румыния, Литва, Нигерия и Югославия. Перед отправкой товаров в эти страны установите более строгие ограничения, отметив соответствующие заказы для дальнейшего рассмотрения и обработав их только после того, как эти клиенты подтвердят свою личность.
Черные списки ограничены по своей природе, поскольку мошенники постоянно меняют свои данные при размещении заказа в Интернете. Поэтому, если вы добавляете клиентов в этот список, когда они не проходят фильтр безопасности, вы можете иногда блокировать законные транзакции.
Мониторинг аномалий
Следующие инструменты безопасности помогают идентифицировать транзакции, которые не соответствуют определенным установленным правилам и содержат возможность мошенничества. В зависимости от стандартных и настраиваемых настроек вашего платежного шлюза такие транзакции помечаются или блокируются.
Отметить крупные транзакции
С украденной информацией о карте мошенники обычно предпринимают попытки совершить крупные транзакции до того, как карта будет заблокирована. Это нанесет ущерб вашему бизнесу (большому или малому), и вам придется нести расходы, связанные с разрешением этого. Это может даже привести к тому, что платежный шлюз заблокирует вашу учетную запись. Вы можете ограничить крупные транзакции, указав фиксированную сумму в долларах (максимальную сумму для транзакции), чтобы избежать возвратных платежей. В дополнение к этому вы можете ограничить количество неудачных транзакций от клиента, которые проходят через ваш платежный шлюз.
Проведите проверки скорости
Скоростная атака - это когда мошенники используют программное обеспечение для создания сотен последовательностей номеров карт и запускают их на вашем веб-сайте до тех пор, пока не будет найден действительный номер карты. Проверка скорости путем определения порогового значения количества попыток транзакции у клиента поможет выявить такие высокоскоростные атаки. Помимо этого, у вас также есть механизм блокировки, который представляет собой тип меры по предотвращению мошенничества, предназначенный для блокировки мошенников, использующих программы автоматического генератора номеров карт. Он работает, блокируя транзакции с определенного IP-адреса, при этом большое количество транзакций по кредитным картам отклонено в течение установленного времени.
Аутентификация пользователя
Наличие дополнительного уровня безопасности для проверки личности пользователя и подтверждения того, являются ли они теми, кем они себя называют при транзакциях с кредитными картами в Интернете, укрепит ваши аргументы в пользу обнаружения и предотвращения мошенничества с кредитными картами.
Безопасные онлайн-транзакции с аутентификацией плательщика (3-D Secure)
Аутентификация плательщика, именуемая проверенной Visa (VeB) для карт Visa и SecureCode для мастер-карт, является мерой аутентификации держателя карты, которая обеспечивает безопасность онлайн-транзакций для клиентов. Это позволяет им создавать ПИН-код (безопасный код), который можно использовать во время оформления заказа для подтверждения личности пользователя. Если введен неправильный PIN-код, транзакция блокируется, что сокращает количество транзакций, которые необходимо вручную проверять вам (как продавцу).
Реализуя это, вы обеспечите защиту от возвратных платежей и более низкую скорость обмена, что сделает его одним из самых востребованных инструментов предотвращения мошенничества.
Оценивайте с помощью скоринга рисков
Этот инструмент использует методы машинного обучения для изучения различных компонентов онлайн-транзакции по кредитной карте, чтобы определить вероятность того, что она является мошеннической. Вам нужно будет оценить результаты их инструментов проверки транзакций, таких как AVS, CVV, идентификатор устройства и т. д., а также то, что пользователь покупает и куда пользователь хочет отправить товар. (Источник: Burlington Bank Card). Чем выше оценка мошенничества, тем больше причин для отклонения транзакции.
Оценка рисков обеспечит индивидуальную оценку и пометит транзакции на основе выбранных вами правил, таких как проверка отказа AVS, диапазон IP-адресов, использование анонимных адресов электронной почты, проверка платежного адреса и другие. Алгоритмы прогнозирующего машинного обучения могут учиться на предыдущих данных и оценивать вероятность мошеннической транзакции по кредитной карте.
Что дальше?
Чтобы защитить свой бизнес от мошенничества с картами и связанных с этим потерь, интегрируйтесь с платежным шлюзом, который имеет встроенные инструменты предотвращения мошенничества. Таким образом, вам придется вручную проверять только отмеченные транзакции, и на кону будет гораздо меньше.
Но во многих случаях применение негибких мер безопасности приводит к тому, что большой объем законных транзакций отклоняется на основании подозрения в мошенничестве. Эти ложные срабатывания оттолкнут этих клиентов от покупки у вас снова. Чтобы уберечь себя от ненужных проблем, вы можете использовать биометрическую авторизацию (сканирование отпечатков пальцев, распознавание голоса или лица, цифровые подписи) или двухфакторную аутентификацию (двухэтапная проверка) для держателей карт, чтобы подтвердить свою личность. Что касается устройств чтения карт, настоятельно рекомендуется использовать считыватель чипов EMV, поскольку данные, зашифрованные на чипах EMV, постоянно меняются и их невозможно воспроизвести.
Если смотреть на это с реалистичной точки зрения, вы должны выйти за рамки оснащения своего бизнеса всего несколькими инструментами безопасности и в то же время добавить гибкости для утверждения транзакций.
