Прежде чем перейти к статье, хочу вам представить, экономическую онлайн игру Brave Knights, в которой вы можете играть и зарабатывать. Регистируйтесь, играйте и зарабатывайте!
Фрод — язва электронной коммерции. Любая компания, которая принимает платежи на своем сайте, рано или поздно сталкивается с проблемой фрода и несет от него убытки. Чтобы оградить себя от фрода нужно постоянно держать наготове защитные механизмы и процедуры, а также регулярно проверять их эффективность. Предлагаю разобраться что к чему.
По-простому, фрод (с англ. fraud, «обман») — это когда нехороший человек оплачивает услуги ворованным платежным средством. Обычно это — кредитная карта, но иногда Фрод бывает и с PayPal.
Фрод на практике
Рассмотрим практический пример Фрода:
Степан — обычный человек. Доверчивый, немного наивный. Предложения увеличить доход на 10 сантиметров в месяц задевают Степана за больное место, и он оплачивает курс по увеличению дохода. Но он не учел, что сайт, на котором он производил оплату, — небезопасный, и данные его банковской карты перехватываются мошенником.
Мошенник ищет способы «слить» полученные деньги, находит продавца и покупает у него продукт за $100 с украденной карты. Совет 1: всегда хорошо иметь anti-fraud систему, которая определит Мошенника и не позволит ему даже совершить оплату на сайте.
Продавец — еще зеленый новичок, поэтому любая продажа для него — шампанское и овации. Он еще не верит во Фрод, поэтому идет к своему поставщику и покупает продукт за $80, который позже продает мошеннику, не имея ни малейшего понятия о том, что он на самом деле мошенник, а деньги ворованные. На первый взгляд, продавец заработал $20 и всё хорошо. Увы, ненадолго. Совет 2: без тщательной проверки платежа нельзя рассчитываться с партнерами.
Прошел месяц и Степану что-то невесело — доход не увеличился, а даже наоборот — деньги с банковской карты активно пропадают. Степан нервно смотрит выписку по счету и пытается понять, куда же деваются его кровно заработанные: «Так, это $100 за курс по увеличению дохода, это $20 за ужин в ресторане… А это еще что за $100? В это время я спал, я не мог совершить этот платеж, да и не заказывал я кроссовки на Амазоне!»
Степан в панике бежит в свой банк и слезно просит вернуть деньги.
Банк удовлетворяет заявку — налицо несанкционированная активность с банковской карты их клиента. Банк запрашивает принудительный возврат средств (чарджбэк) со счета продавца ($100), а также взимает комиссию $20 за то, что произошел чарджбэк. Совет 3: в обязанность продавца входит проверка платежа на мошенничество, а если будет факт мошенничества — банк взимает штраф. Банк почти всегда удовлетворяет заявку клиента (чарджбэк).
Итоги истории:
Степан счастлив, потому что получил свои деньги назад и может найти новый курс для увеличения дохода.
Банк выполнил заявку клиента, повысил свою репутацию в его глазах и выполнил требования AML/KYC/CIF политик (см. ниже).
Платежный процессинг сделал себе пометку о том, что продавец, которого он обслуживает, допускает мошеннические платежи и может быть сам замешан в мошенничестве. Через N подобных случаев платежный процессинг просто откажется предоставлять услуги этому продавцу.
Поставщик заработал денег на заказе продавца, он не обязан делать возврат. Защита от мошенничества — проблема продавца.
Мошенник получил возможность получить продукт бесплатно (то есть, за чужие деньги).
Ну а продавец несет $200 убытка ($80 поставщику, $100 вернулись Степану и $20 — штраф банка). В целом, продавец в этой истории выглядит примерно так:
Откуда берется фрод?
Если бы саму карточку украли — всё было бы понятно. Но как можно украсть данные карточки, которую Степан постоянно носит в кошельке?
Вот основные способы:
Степан вводит данные своей карты на сайте с низким уровнем защиты (например, без SSL-сертификата) и их перехватывает мошенник.
Степан переходит по ссылке и логинится в свой кошелек PayPal, но не замечает, что адрес домена — pavpai.com. Благодаря фальшивой странице, мошенник получает доступ к кошельку Степана и может им распоряжаться по своему усмотрению. Такие подставные сайты называют фишинг.
Степан вставил свою карту в банкомат, который оборудован скимминговым устройством. Устройство считало данные его карты и теперь у мошенника полный доступ.
Степан не позаботился о безопасности своего кошелька и в качестве пароля от интернет-банкинга установил дату своего рождения. Так как Степан — человек публичный и информация о дате его рождения общедоступна, мошеннику было несложно подобрать пароль.
В интернете абсолютно свободно продаются десятки тысяч данных ворованных карт и PayPal аккаунтов. И это — в открытой сети. В Dark Net этот бизнес уже давно поставлен на поток.
Международные способы борьбы с фродом
Мы не единственная компания в мире, которая страдает от Фрода и от мошенников. Это настолько большая проблема, что ей занимаются целые государственные департаменты.
В самой основе современной финансовой индустрии лежат политики противодействия мошенничеству, отмыванию денег и финансированию терроризма.
AML
AML расшифровывается как anti-money-laundering. По-русски — противодействие отмыванию денег. Это набор процедур, законов и правил, которые нужны для того, чтобы граждане не получали доход нелегальным путем. Политики AML рекомендуют внедрять бизнесам во всем мире, как в личных интересах, так и в интересах международной борьбы с экономической преступностью.
Очень понятный и актуальный список рекомендаций придумали на съезде саммита G7 в 1989 году. Сделаю небольшую выдержку из пункта 5, которым руководствуемся мы:
В двух словах по-русски:
Всех новых клиентов (а в идеале еще и старых) нужно идентифицировать на подлинность.
В проверку входят документы, подтверждающие личность, фото кредитных карт, описание бизнеса и, в самых крайних случаях, источник доходов.
В международной терминологии эту процедуру принято называть Customer Due Diligence (CDD).
Это чтобы отпал вопрос о том, насколько законны наши действия и насколько корректно просить клиентов предоставить свои документы.
KYC
KYC (Know Your Customer), по-русски — знай своего клиента. Это часть процедуры CDD, которую должны выполнять финансовые учреждения и другие регулируемые компании. Она помогает -защититься от отмывания денег. Ее основные цели и функции:
сбор и анализ базовой идентификационной информации (в законодательстве США это даже названо отдельным термином «Customer Identification Program» (CIP);
проверка имени физического лица или бенефициаров юридического лица в базах «Politically exposed persons» (PEP);
определение рисков в контексте склонности клиента к отмыванию денег, финансированию терроризма или краже личных данных;
формирование представления о транзакционном поведении клиента;
мониторинг транзакций клиента на соответствие с его идентификационными данными.
В разных странах есть законодательно принятые KYC процедуры. То есть мы не просто имеем право требовать документы, а просто обязаны это делать для соблюдения закона и снижения своих финансовых рисков.
CTF
CTF (Counter-terrorist financing), по-русски — борьба с финансированием терроризма. Что это такое, думаю, и так понятно. Так как понятие терроризма в России и Украине в последнее время очень размытое и не имеет границ, жалоба может прийти буквально на любой сайт, который даже косвенно связан со терроризмом и т.п.
В случае с подобными проектами жалобы приходят сразу официальные и от правоохранительных органов нашей юрисдикции, на которые мы реагируем в соответствии с действующим законодательством.
На самом деле, в мире существует много политик и стандартов по борьбе с Фродом. В следующем разделе, я расскажу, как мы справляемся с Фродом в Unihost и какие правила мы из этой практики вывели.
Риски, связанные с фродом
Как вы уже поняли, фрод — это плохо. Давайте теперь конкретизируем это «плохо» и выделим перечень рисков, которые он несет для любой компании, а также Unihost, как для хостинг-провайдера.
Прямые потери на комиссиях за чарджбэки
Все финансовые риски за транзакцию несёт продавец, как получатель средств. А значит, ему и принимать меры для противодействия мошенничеству. И если эти меры недостаточны и продавец допустил неправомерную оплату средств, то при возврате средств банк накажет продавца штрафом в $20.
Советую ввести процедуру Customer Due Diligence для всех заказов.
Абузы
На клиентов, которые используют услуги для неправомерных целей (продажа краденых кредитных карт, фишинг, DDoS-атаки и т.д.) приходят абузы. Абузы — это официальные запросы с требованием прекратить неправомерную деятельность.
Естественно, таких ненадежных клиентов нужно блокировать и возвращать им уплаченные средства. Естественно, это негативно влияет на нашу репутацию у платежного процессинга.
Репутация у платежного процессинга
Наличие чарджбэков и возвратов средств плохо отражается на репутации у платежного процессинга. Кроме того, у любого процессинга существуют ограничения на объем рефандов в процентном показателе от месячного оборота и частоту рефандов. Превышение ограничений может привести к штрафным санкциям от платежного процессинга, вплоть до полного отказа сотрудничать. Советую лишний раз проверить клиента, чем потерять партнера — платежного процессера.
Правовые риски
Правовые риски связаны с политикой противодействия отмыванию денег (AML) и несоответствия какому-либо закону или указу. Может включать в себя что угодно: начиная от штрафов, заканчивая уголовными делами.
В современном правовом поле СНГ, этот риск минимален. Но учитывать его всё равно стоит.
Чтобы минимизировать риски, внедряйте систему верификации клиента по CDD.
Система верификации в Unihost
При обращении к нам мошенника, есть два варианта развития событий:
Приятный вариант. Запрашиваем документы у мошенника и определяем, что его карта ворованная (либо человек просто отказывается проходить верификацию или не отвечает на наше письмо). Делаем возврат средств как можно быстрее — это избавляет нас от потенциальной жалобы со стороны банка, а соответственно и от чарджбэков.
Приятный и недопустимый вариант. Запрашиваем документы у мошенника, неправильно определяем их подлинность и предоставляем услугу (нашу или партнеров). Банк присылает запрос на возврат средств, мы его делаем и теряем средства. Иногда теряем еще $20, если банк не стал тратить время на официальный запрос и сделал чарджбэк. Ситуация разыгрывается по сценарию со Степаном в начале статьи — у продавца остаются одни убытки.
Чтобы максимально снизить риски, мы верифицируем сначала транзакцию, потом клиента, а потом его заказ. Первое защищает нас от уже известных мошенников, второе — от новоявленных, а третье — от абуз.
Верификация транзакции
При новом заказе от неверифицированного клиента, мы:
Проверяем его по модулю FraudRecord. Это международная база ненадежных клиентов, мошенников и прочих нехороших.
Проверяем количество неудачных попыток оплаты. Если их менее двух — всё ОК. Если их больше — переходим к верификации клиента и ставим метку «подозрительный».
Проверяем, уникален ли IP клиента. Часто уже заблокированные из-за фрода клиенты создают новые аккаунты на другие имена.
Проверяем соответствие гео-IP со страной биллинга. Очень многие мошенники платят картами из Европы и США, но сами находятся в СНГ или Китае.
При повторных заказах и продлениях, клиенту нужно пройти только пункт 2.
Верификация клиента
Верификация личности нужна для того, чтобы убедиться, что клиент является живым человеком и удостовериться, что платежный метод действительно принадлежит ему. Для этого мы запрашиваем у клиента документы, подтверждающие его личность.
Принимаются только документы государственного образца из следующего списка:
Паспорт (Passport);
Идентификационная карточка (Identity Card, он же ID) — аналог паспорта во многих странах;
Водительское удостоверение (Driving Licence) с фотографией;
Свидетельство о временном гражданстве (Temporary Resident Card)
Свидетельство о временном/постоянном виде на жительство (Residence permit)
Мы тщательно проверяем все документы на соответствие госстандартам. Хотя зачастую подделка определяется с первого взгляда. Так, один из клиентов прислал паспорт с датой рождения «30 декабря 1792 года».
Для проверки платежного метода, мы требуем фото банковской карты (с видимой лицевой стороной, но закрытым CVV) или скриншот оплаты из PayPal, где видно, что оплата была совершена на нашем сайте. Этот пункт уже привычен многим.
Верификация проекта
Мы просим описать проект при заказе сервера или VPS. Причем простые «сайт для компании» или «сайт для клиента» мы отправляем обратно с просьбой рассказать подробнее: чем занимается клиент/компания, что будет размещено на сайте. Ведь клиентом может быть сайт детского порно, а это уже проблема.
Если проект планирует рассылать письма, мы требуем доказательства того, что база данных получателей была собрана самим клиентом, а сами получатели прошли double opt-in проверку.
Список проектов, которые мы не принимаем:
DDoS-атаки других ресурсов;
сканеры портов;
сайты, призывающие к террористической деятельности, жестокости, насилию и т.п.;
детское порно, зоофилия и прочая чернуха;
исходящий спам;
фишинговые сайты.
Заключение
Нельзя сказать, что эти меры на 100% спасают от чарджбэков или абуз. Но они значительно снижают число мошенников, которые получают доступ к услугам. Поэтому, если ваша компани еще только на пути внедрения системы верификации клиентов и заказов, советую не экономить. Известно, что жадный платит всегда.
Я надеюсь, что однажды мы будем жить в мире, где можно будет принимать всё на веру. Но до тех пор, пока этот мир еще не наступил — верификация — единственный выход. Пускай это не самый красочный или популярный аспект деятельности сферы e-commerce, но это просто необходимо. Жаль, что честные клиенты также должны проходить проверку.