9 секретів онлайн-платежів. Частина 7: система Fraud-моніторингу

imageЧому відхиляються платежі? Як інтернет-магазини захищаються від шахраїв? Як визначити, справжньою картою вам платять або краденою? Що забезпечує захист e-commerce від фроду? Відповіді на ці питання ви знайдете в сьомий частини серії авторських статей «9 секретів онлайн-платежів» від PayOnline.

Від карткового фроду може постраждати і інтернет-магазин, і банк, і безпосередньо сам утримувач картки. У разі витоку даних карт, зловмисники намагаються зняти максимальну суму грошей і не залишити слідів, щоб інтернет-магазини розбиралися з банками, хто ж все-таки повинен відшкодувати втрачену суму. За власниками карт встежити неможливо — інтернет-магазин не може знати, хто знаходиться по той бік екрану: зловмисник чи добропорядний клієнт. Ризик є завжди, але щоб наблизити його значення до нуля існує безліч інструментів перевірки платежів та верифікації платників. Про одну з них, системи моніторингу шахрайських операцій, або «системі антифрод», піде мова далі.

Частина 1. Налаштування 3D Secure
Частина 2. Регулярні платежі
Частина 3. Сторінка вибору способу оплати
Частина 4. Платіжна форма
Частина 5. Мобільні платежі
Частина 6. Оплата в один клік
Частина 7. Система fraud-моніторингу
Частина 8. Повернення і як їх уникнути
Частина 9. Налаштування платіжного сервісу під тип бізнесу

Що таке антифрод і як він працює
Загальна схема роботи практично будь-якого механізму фрод-моніторингу виглядає наступним чином: в момент здійснення оплати за допомогою банківської карти збирається кілька показників (у кожної антифрод системи вони різні – починаючи від IP адреси комп'ютера і закінчуючи статистикою оплат по цій карті. Кількість фільтрів може перевищувати сотню (наприклад, у системи електронних платежів PayOnline їх більше 120). Система має набір правил, тобто лімітів фільтрів безпеки. Кожен з фільтрів перевіряє користувача — його персональні та карткові дані. Мета системи — переконатися в тому, що ви є реальним власником картки, що здійснюють покупку на сайті. У разі виявлення підозрілої активності, тобто перевищення будь-якого значення параметра, фільтр автоматично блокує можливість здійснення платежу по цій карті. Розглянемо процес роботи антифрод системи покроково.

Користувач здійснять оплату на сайті. Інформація про платіж потрапляє в систему fraud-моніторингу. У цей момент антифрод володіє двома інформаційними пакетами: інформацією про даному одиничному платіж за профілем середньостатистичного платника даного інтернет-магазину. Алгоритми роботи системи fraud-моніторингу дозволяють оцінити ряд факторів, серед яких основними є:

  • Країна, з якої здійснюється платіж.
  • Країна банку, що випустив карту.
  • Розмір платежу.
  • Кількість платежів з карти.
  • Платіжна історія банківської карти.
  • Профіль середньостатистичного платника магазину.
Транзакція проходить первинний аналіз на підставі цих та інших факторів. На підставі аналізу їй присвоюється «мітка», яка характеризує спосіб обробки транзакції. Існують три типи міток. «Зелена» зазначає транзакції з низькою ймовірністю виникнення шахрайської операції. «Жовтої» міткою відзначаються транзакції, в яких шанс виникнення шахрайської операції вище середнього, і для проведення платежу потрібні додаткової уваги. «Червоної» відзначаються транзакції, які з найбільшою ймовірністю можуть опинитися шахрайськими, і при їх проведення потрібно документальне підтвердження автентичності власника карти.

«Доля» кожної мітки індивідуальна. У графічному вигляді ми представили життєвий цикл транзакцій всіх трьох типів на Малюнку 1. Далі на кількох простих прикладах ми розглянемо типові транзакції всіх «кольорів» і розповімо, які перевірки визначає транзакціях система fraud-моніторингу в залежності від рівня ризику виникнення фроду.

image
Малюнку 1. «Життєвий цикл» транзакцій з різними рівнями ризику виникнення шахрайської операції

З «зеленими» транзакціями все максимально просто: наприклад, платник здійснює оплату з Росії, картою, випущеної російським банком. Сума платежу не перевищує середнього чека магазину.

Система моніторингу присвоює транзакції «зелену» мітку. Далі транзакція відправляється на авторизацію за допомогою 3-D Secure. А якщо карта не підписана на сервіс одноразових паролів або банк-емітент ще не підтримує даний сервіс, запит на авторизацію цієї транзакції буде направлений в процесинговий центр банку-платника звичайним способом — безпосередньо.

Середній рівень ризику виникнення fraud-а визначає інший шлях перевірки оплати на легітимність. Мітка «жовтого кольору присвоюється транзакціях з середнім і вище середнього рівнями ризику виникнення шахрайських операцій. Наприклад, в російському інтернет-магазині покупка оплачується банківської картою, випущеної в Росії, але розмір середнього чека помітно перевищує середній по лікарні».

Система позначає дану транзакцію «жовтої» міткою, і для її авторизації можуть знадобитися додаткові дії платника. Якщо карта підписана на 3-D Secure, то транзакція (як і у випадку з «зеленої» міткою), буде авторизована з використанням одноразового пароля. Однак якщо платник не може скористатися цим способом авторизації платежу, то його банківська карта буде автоматично спрямована на онлайн-валідацію або ручну перевірку.

«Червону мітку система фрод-моніторингу автоматично присвоює транзакціях з високим рівень ризику вчинення шахрайських операцій. Наприклад, оплата в російському інтернет-магазині здійснюється картою, випущеної у США, а платник перебуває в Іспанії.

Якщо платежі за допомогою даної банківської картки раніше не відбувалися через PayOnline, система fraud-моніторингу позначить транзакцію «червоною міткою» і переведе її з автоматичного режиму авторизації в ручний. Такий платіж буде відправлений на ручну модерацію фахівцям департаменту ризиків. Для аутентифікації власника банківської карти потрібно документальне підтвердження — відскановане зображення банківської карти і документа, що посвідчує особу власника. Після надання коректних сканів документів операція перекладається з «червоного» в «зелений» колір і спрямовується на авторизацію в процесинговий центр банку. Сумнівні операції, які не пройшли ручну модерацію, відхиляються щоб уникнути ризику виникнення шахрайських операцій.

Таким чином, аналіз транзакцій автоматично проводиться системою fraud-моніторингу відразу на трьох рівнях: одинична банківська карта; профіль підприємства електронної комерції; загальний потік транзакцій, що обробляються IPSP. Укупі з постійно совершенствующимися алгоритмами автоматичного збору, обробки та аналізу даних про здійснені платежі багаторівневий аналіз транзакцій дозволяє системі fraud-моніторингу своєчасно змінюватися, підвищуючи рівень безпеки здійснення оплат на сайтах клієнтів і знижуючи ризики за всіма видами фроду, властивим інтернет-комерції.

Що насторожує систему фрод-моніторингу?
Що може викликати підозру у антифрод системи? Ось деякі параметри, які, швидше за все, змусять систему моніторингу шахрайських операцій.

  • Оплата по одній карті відбувається з різних пристроїв, ідентифікованих різними IP-адресами.
  • Зворотна ситуація — з одного і того ж пристрою (IP адреси) проводяться операції з допомогою великої кількості карт.
  • З однієї картки відбувається кілька невдалих спроб оплати (ймовірно, користувач не має можливості пройти процедуру підтвердження).
  • Один клієнт реєструється під кількома акаунтами, використовуючи різні адреси електронної пошти, і платить з однієї карти
  • Ім'я платника, зазначена на платіжній формі, що відрізняється від імені власника карти.
  • Різні країни реєстрації інтернет-магазину, банку-емітента картки і покупця.
Цей перелік «спірних ситуацій» може дати вам загальне уявлення про логіку роботи системи. Фахівці з ризиків та бізнес-аналітики намагаються врахувати всі нюанси, додаючи нові фільтри, що захищають бізнес інтернет-компаній від зловмисників. Варто відзначити, що в залежності від платіжного сервіс-провайдера логіка роботи системи фрод-моніторингу та її параметри змінюються.

Ручна настройка: навіщо і кому вона потрібна
Налаштування системи фрод-моніторингу розрізняються залежно від типів бізнесу. Необхідно враховувати цілий список параметрів:

  • середньостатистичний профіль платника,
  • розмір середнього чека,
  • рівень ризиків в сегменті,
  • особливості реалізованих товарів і послуг (цифрові вони або фізичні).
Іноді бізнес має дуже вузьку специфіку, і без індивідуальної настройки деякі платежі просто не зможуть пройти стандартні налаштування антифрода, хоча і не можуть бути шахрайськими.

Наприклад, обмеження по географії платежів критичні для сфери онлайн туризму: клієнту може знадобитися придбати квиток на літак, перебуваючи у відрядженні за кордоном, а система заблокує такий платіж, так як він відбувається не з тієї країни, де випущена картка платника.

У цьому випадку застосовується тонка настройка фільтрів: можна задати умови, згідно з яким платіж буде пропускатися, навіть якщо не виконується умова, географії платежу. Подібні зміни вносяться в систему тільки після аналізу можливих ризиків, під контролем фахівців і після узгодження змін з представником інтернет-магазину.

Власноручне втручання в роботу системи може призвести до великих втрат — при схваленні шахрайських операцій інтернет-магазин буде зобов'язаний повернути гроші на картку власника, навіть якщо товар був відвантажений уявному покупцеві. Більш того, на магазин може бути накладено штраф в залежності від обсягів шахрайства, а при повторенні подібних ситуацій — особливі санкції від міжнародних платіжних систем (МПС).

Плюси і мінуси системи антифрод
Плюси системи моніторингу шахрайських операцій очевидні — автоматичне відхилення сумнівних трансакцій, захист інтернет-магазину від подальших розглядів з банками, платіжними системами і реальними власниками карт. І, звичайно ж, мінімізація репутаційних і фінансових ризиків. Репутація магазину не постраждає, і користувачі будуть довіряти такому ресурсу, а значить, їх лояльність буде зростати.

Але, як і у будь-якого сервісу, системи фрод-моніторингу є свої «витрати виробництва». Відхилення платежів може призвести до втрати клієнтів, а отже, прибутку. Без належної налаштування фільтри можуть не пропускати значущі для інтернет-магазину транзакції, що точно не сподобається покупцям.

При виборі платіжного сервіс-провайдера варто звернути увагу на заявлену конверсію в успішні платежі: сервіси, які гарантують «100% успішних оплат», швидше за все, або навмисно переоцінюють свій функціонал, або піддають клієнтів ризику стати жертвою зловмисників. Наприклад, рівень конверсії в успішні платежі після «ручний» налаштування (або у стандартних інтернет-магазинів зі стандартною клієнтською аудиторією) системи електронних платежів PayOnline варіюється в межах 93-96% — і це дуже хороший показник для ринку.

Ще одним неприємним, але важливим моментом, з яким доведеться зіткнутися при розробці системи фрод-моніторингу на стороні інтернет-магазину, стане захист даних користувачів, як персональних, так і платіжних карток. Необхідно буде пройти сертифікацію на відповідність вимогам стандарту PCI DSS, а також врахувати обмеження на зберігання і обробку даних, регульовані законом. Це відноситься скоріше до тих, хто все-таки береться за самостійну розробку антифрода, тому детально вдаватися в деталі в даній статті ми не будемо.

Хто надає послуги антифрод і чому лише одиницям варто вкладати у власні розробки
Моніторинг шахрайських операцій — необхідність в сучасних реаліях електронної комерції. Для банку витрати на підтримку і розвиток антифрод-системи — це більш ніж прийнятна сума, яка багаторазово окупиться в процесі використання.

Для платіжного сервіс-провайдера система фрод-моніторингу є одним з ключових сервісів, який вона надає компаніям-клієнтам.

Для малого та середнього бізнесу розробка власного антифрода — це непідйомний і не окупається проект. Вимоги до подібних механізмів ростуть з кожним роком, вони вчаться більш тонко обробляти одержувану інформацію, враховуючи статистику і поведінкові фактори. Щоб система працювала ефективно і відповідала сучасним вимогам, необхідний штат кваліфікованих фахівців і значні технічні потужності. У переважній більшості випадків гравцям електронної комерції «не по кишені» такі постійні витрати — та моніторинг шахрайських операцій делегуються платіжним сервіс-провайдерам, які спеціалізуються на аналізі та обробці платіжних операцій. Так, наприклад, діяльність з моніторингу шахрайських платіжних операцій в PayOnline здійснює система Fraud Management System (FMS), розроблена нашими фахівцями. Вона дозволяє виконати тонку настройку безпеки по 140 фільтрів. Якщо ви зацікавлені в прийомі платежів на сайті або в мобільному додатку, захищених антифрод-системою, сміливо обращайтесь, проконсультуємо і підключимо.

В наступній частині «9 секретів онлайн-платежів» обговоримо ще одну дуже важливу для будь-якого продавця тему — чардж-бек: Що робити, якщо послуга надана або товар відвантажено, а клієнт або банк вимагають повернути гроші назад на картку платника? Як можна уникнути повернень? Які вимоги зазвичай пред'являються до сайту інтернет-магазину? Скоро в нашому блозі.
Джерело: Хабрахабр

0 коментарів

Тільки зареєстровані та авторизовані користувачі можуть залишати коментарі.