Способи шахрайства в електронній комерції

Або чому так важливо, щоб ваш провайдер платежів мав надійну антифрод-систему і високий рівень захисту від вторгнень.

Як показують численні дослідження, обсяги й доходи електронної комерції постійно зростають у світовому масштабі. Прогнозується, що до 2024 року найбільше зростання покажуть країни Європи (+ 122% проти 2014 року) і Азії (+ 287% проти 2014 року).

Однак кількість випадків шахрайства, а також частка шахрайства з онлайн-транзакціями зростають іще швидше. The Nilsen Report 2015 на прикладі платежів за картками демонструє стрімке зростання фроду серед інтернет-платежів.

У той час як сам по собі рівень фроду не є чимось новим (вже спостерігалися періоди збільшення рівня фроду в електронній комерції починаючи з 1993 року), при цьому швидкість його зростання вражає. Кількість випадків шахрайства збільшилася на 19% порівняно з 2013 р., і вже четвертий рік поспіль зростання фроду перевищує зростання електронної комерції. Із кожних $100 в обороті, шахраї в наш час викрадають 5.7 цента. Однак, фрод пов’язаний не тільки з платежами з кредитних карток. Шахраї стають дедалі більш витонченими у використанні шкідливого ПЗ (всілякого софту) для керування логінами (рахунками) онлайн-банкінгу через телефони, планшети й комп’ютери, використовуючи вкрадені реквізити банківського рахунку, щоб здійснювати шахрайські платежі. «Альтернативні» способи оплати також приваблюють фродерів. Топ-10 найбільш поширених видів шахрайства ми розглянули далі.

Tоп-10 шахрайських атак

Аналіз шахрайства в електронній комерції (CyberSource 2016 UK eCommerce Fraud Report) показав, що найвищий рівень фроду становлять clean fraud (чисте шахрайство) та account takeover (злом акаунта), де шахраї мають у своєму розпорядженні всю необхідну інформацію, яка дає їм можливість переконливо видавати себе за справжніх клієнтів. До тих пір, поки учасники ринку не зможуть з упевненістю відрізнити шахраїв від справжніх клієнтів, буде важко мінімізувати втрати від шахрайства.

Чисте шахрайство (Clean Fraud)

Найбільш небезпечним експерти виділяють «чисте шахрайство» (clean fraud). Основним принципом clean fraud є те, що вкрадена кредитна картка використовується, щоб зробити покупку без виявлення шахрайства. Тут потрібно набагато більше зусиль і винахідливості, ніж у випадку з friendly fraud, де єдина мета полягає в тому, щоб скасувати платіж, щойно покупка була зроблена.

Для clean fraud шахраї використовують глибокий аналіз наявних систем виявлення шахрайства в поєднанні з додатковою інформацією про законних власників вкрадених кредитних карток. Потім безліч перевіреної інформації використовується при введенні даних у процесі оплати, щоб обійти всі системи виявлення шахрайства.

Перед тим як вчинити clean fraud, дуже часто проводиться тестування карток. Зазвичай із цією метою здійснюють дешеві покупки онлайн, щоб перевірити, що вкрадені дані кредитної картки працюють.

Крадіжка персональних даних, злом акаунта (Identity Theft, Account Takeover)

Згідно з результатами дослідження (The Nilsen Report 2015), найбільш поширеними видами шахрайства, які викликають максимальне занепокоєння, є крадіжки персональних даних (identity theft) – 71%, фішинг (phishing) – 66% і злом акаунта (account takeover) – 63%. Тут кредитні картки є найбільш популярним об’єктом, тому що шахрай може здійснити транзакцію без наявності картки.

Загалом при крадіжці персональних даних (identity theft), метою шахраїв є проведення транзакцій під чужою особистістю. Замість того, щоб вигадувати абсолютно нову особистість, вони просто використовують вже наявну. Зазвичай це зробити набагато швидше і простіше.

У разі вчинення крадіжки персональних даних (identity theft) метою шахраїв зазвичай є особисті дані, такі як імена, поштові адреси й адреси електронної пошти, а також дані кредитних карток або інформація про акаунт (рахунок). Це дозволяє шахраям, наприклад, замовляти товарів в інтернеті під чужим ім’ям і оплачувати їх, використовуючи чужу кредитну картку або списання коштів з чужого рахунку.

У той час як фішинг (phishing) містить у собі використання фіктивних вебсайтів, електронної пошти або текстових повідомлень для доступу до персональних даних. Є й інший метод, відомий як фармінг (pharming), коли фіктивні сторінки в браузері перенаправляють клієнтів, що нічого не підозрюють, на вебсайт шахраїв.

Найчастіше для того, щоб отримати чужі персональні дані, потрібно лише мати вкрадений пароль. Це може бути використано, щоб заволодіти наявним обліковим записом в інтернет-магазині, адже в більшості випадків дані для оплати вже зберігаються в обліковому записі. Звичайно, хакерські атаки на провайдерів послуг електронної комерції та викрадення даних про їхніх клієнтів також підпадають під цю категорію шахрайства, адже це здійснюється за допомогою шкідливих програм на комп’ютерах з метою скоєння крадіжки особистих даних (identity theft).

Найбільш поширені з них – це коли використовують взаємозв’язок між клієнтами й продавцями (або між клієнтами та банками) для того, щоб фіксувати дані для входу в систему. Також існують можливості перехоплення даних за кредитними картками через пошту або при відправленні копії кредитних карток в ресторанах, готелях або в банкоматах. При цьому очевидні справжні масштаби проблеми крадіжки особистих даних.

Дружнє шахрайство (Friendly Fraud)

Так зване дружнє шахрайство (friendly fraud) звучить більш дружньо, ніж є насправді. За допомогою цього методу клієнти-шахраї замовляють товари/послуги й оплачують їх, переважно за допомогою кредитної картки або з рахунку. Однак потім вони навмисно ініціюють повернення платежу, стверджуючи, що їхні кредитні картки або дані рахунку були вкрадені. Кошти їм відшкодовують, і при цьому у них залишається куплений товар або надана послуга.

Цей метод шахрайства особливо поширений з такими сервісами, як gambling (казино і т.д.). Friendly fraud також здійснюється в поєднанні з повторною відправкою (re-shipping). Це коли злочинці, які використовують вкрадені платіжні дані, щоб оплатити свої покупки, не хочуть, щоб вони були доставлені на їхню особисту адресу. Замість цього вони використовують посередників, дані яких вводять для здійснення покупки і які потім їх перенаправляють в інше місце доставки.

Партнерське шахрайство (Affiliate Fraud)

Існує два варіанти партнерського шахрайства (affiliate fraud), обидва з яких мають одну мету: отримати більше грошей від партнерської програми шляхом нагону фіктивного трафіку або статистики реєстрацій. Це може бути зроблено або за допомогою повністю автоматизованого процесу, або шляхом залучення реальних людей для входу на сайти продавців, використовуючи фіктивні акаунти.

Цей вид шахрайства є нейтральним з точки зору ризиків для платіжних методів, але він надзвичайно широко поширений.

Тріангуляції (Triangulation Fraud)

Під час тріангуляції (triangulation fraud), шахрайство здійснюється через три точки.

Першою з них є фіктивний інтернет-магазин, який пропонує товари з високим попитом за надзвичайно низькими цінами. У більшості випадків як додаткова заувага використовується інформація про те, що товар буде відвантажено негайно при оплаті за допомогою кредитної картки. Єдина мета фіктивного магазину – зібрати електронні та поштові адреси й дані кредитних карток.

Друга точка triangulation fraud передбачає використання даних вкрадених на попередньому кроці кредитних карток у реальному магазині та відвантаження товару або послуги до первісного замовника.

Третя точка в трикутнику шахрайства передбачає використання вкрадених даних кредитних карток, щоб зробити додаткові покупки. Дані замовлення і номери кредитних карток тепер практично неможливо поєднати, тому шахрайство зазвичай залишається нерозкритим протягом більш тривалого проміжку часу, що призводить до більших збитків.

Торговий фрод (Merchant Fraud)

Торговий фрод (merchant fraud) – це ще один із методів шахрайства, який слід відзначити. Це дуже просто: товари пропонують за низькими цінами, але ніколи не поставляють. Цей метод шахрайства існує також у гуртовому продажі. Це не має відношення до будь-якого конкретного методу оплати, але, звичайно ж, використовується там, де немає поворотного платежу після оплати (в більшості альтернативних типів платежів).

Міжнародний фрод (International Fraud або Cross borber fraud)

Продавці, які брали участь у дослідженні, в середньому ведуть бізнес у 14 країнах. 58% опитаних основною проблемою в запобіганні шахрайству називають відсутність системної інтеграції, щоб забезпечити єдине уявлення всіх своїх угод на всіх ринках. 52% також розглядають збільшення обсягів міжнародних угод відносно локальних як виклик. Майже така сама кількість (51%) мають великі труднощі в підтримці різних інструментів запобігання шахрайству в різних країнах. Мовні бар’єри, а також складнощі з підтримкою міжнародних налаштувань для окремих клієнтів створюють додаткові проблеми в галузі боротьби з шахрайством.

Різні пристрої (Different Devices)

Методи шахрайства варіюються залежно від каналу продажів, а також того факту, що більшість продавців прагнуть отримати багатоканальні продажі, що не полегшує ситуацію. 69% продавців здійснюють продажі через сторонні вебсайти, такі як Amazon, eBay або Alibaba, особливо сприйнятливі до шахрайства. За ними слідують мобільні продажі (64%), а також продажі через свої власні інтернет-магазини (55%).

Як же Fondy захищає бізнес від потенційних шахраїв?

  • Fondy підтримує 3D Secure платежі

Протоколи безпеки платіжних систем Visa і Mastercard захищають бізнес від необґрунтованих претензій з боку власників карток. Так, платіж, виконаний із введенням 3D Secure прирівнюється до операції з введенням PIN-коду і не піддається оскарженню, якщо послуги були надані платнику повною мірою. Крім цього, платіжні системи строго регламентують перенесення відповідальності за шахрайськими платежами з мерчанта на банк-емітент у разі, якщо мерчант підтримує протокол 3D Secure, а емітент або конкретна картка емітента – ні.

Також Fondy бере на себе всю претензійну роботу і пов’язані з нею бюрократичні процеси, звільняючи підприємців від зайвих витрат часу і ресурсів.

  • Antifraud-система Fondy запобігає шахрайству

Antifraud – це система, що дає змогу фільтрувати підозрілі й шахрайські операції, мінімально впливаючи на конверсію успішних платежів. Antifraud-система Fondy – це понад 200 різних правил і параметрів, що дають можливість гнучко підлаштовуватися до специфіки кожного бізнесу. Прикладом параметрів, які аналізує система, може бути:

– країна картки та IP платника
– банк платника та одержувача коштів
– кількість платежів і їхня сума в певний відрізок часу
– підтримка 3D Secure карткою або її відсутність
– телефон, імейл, адреса, паспортні дані
– будь-які атрибути покупки, такі як міста і країни перельоту за купленим квитком, факт ідентифікації клієнта
– історія попередніх покупок
– підозріла активність

  • Інфраструктура Fondy відповідає стандарту PCI DSS

Міжнародні аудитори щорічно підтверджують високий рівень безпеки технологічної платформи Fondy, що фіксується видачею сертифікату відповідності.

  • Безпечне шифрування SSL

Усі дані, в тому числі карткові, що передаються каналами зв’язку Fondy, проходять багаторівневе шифрування з використанням криптографічно стійких алгоритмів, що захищає персональні дані платників і торговців від отримання доступу сторонніми особами.

  • Система запобігання вторгнення

Платформа Fondy надійно захищена від спроб зовнішнього і внутрішнього вторгнення. Для цього використовується програмне й апаратне забезпечення платформи Amazon Web Services – світового лідера, що забезпечує хмарну інфраструктуру найбільших IT-компаній планети.

Сподобалась публікація – підписуйтесь

Отримуйте ще більше корисної інформації про онлайн-платежі та бізнес

Чат