Pull to refresh
0
Rating

Эффективный антифрод: как защитить бизнес от мошенничества в интернете

Payture corporate blog Information Security *Development for e-commerce *
Всем привет! Это наш первый пост на Хабре, которым мы начинаем серию публикаций о фроде и антифрод-сервисах. Мы — Payture, а если быть точными, международная процессинговая компания, специализирующаяся на услугах в области электронной и мобильной коммерции, а также предоставляющая услуги антифрод-сервиса.



Фрод и фишинг ходят рядом (о том, где берутся данные для фрода)


Конечно, скимминг (офлайн считывание данных с карты) также применяется мошенниками для получения персональных данных, используемых во фрод-операциях, но в примере речь как раз о фишинге.

Может кто-то вспомнит, что в 2007 году клиенты Альфа-Банка, пользующиеся услугой Альфа-Клик, массово подверглись нескольким фишинг-атакам. Речь о фишинговых ссылках и письмах. После ввода клиентами Альфа-Банка своих персональных данных на фишинговых страницах, злоумышленники могли использовать полученную информацию в различных вариантах монетизации.

Здесь нас интересует случай, когда преступники оплачивают в интернете товары или услуги по украденным пластиковым картам. Вот вам и данные для фрода. После такой оплаты пострадавшим становится не только истинный держатель скомпрометированной карты, но и мерчант, который будет обязан вернуть списанные с карты средства её истинному владельцу.

Мерчант зачастую становится потерпевшим в разбирательствах по случаям фрода

Со списанием средств с украденной карты участие злоумышленников в схеме фрода заканчивается, и начинается разбирательство (после заявления держателя карты), в котором участвуют банк-эмитент (на стороне держателя карты), платежная система, банк-эквайер (на стороне мерчанта) и мерчант.

Стоит отметить, что сейчас карты российских банков не слишком популярны у мошенников, специализирующихся на фроде в силу относительно высокой защищенности.

Поэтому следующий пример, который проиллюстрирует убытки мерчанта из-за фрода, будет уже с участием скомпрометированных карт иностранного банка. Случай произошел с нашим клиентом, который реализовывал авиабилеты, как онлайн трэвел агентство. Описываемая схема мошенников стала возможна благодаря временному отсутствию у него антифрод-системы, что позволило злоумышленникам провести множественные оплаты по краденным картам иностранного банка.

Как происходит профессиональный фрод?

У мошенников каким-то образом (см. выше: фишинг, скимминг) оказались данные пластиковых карт клиентов одного иностранного банка. Затем злоумышленники на своем сайте и в соцсетях, представляясь сотрудниками авиакомпании сообщали, что у них есть возможность продавать авиабилеты за полцены. Любопытно, что покупателей на эти билеты преступники находили также заводя личные знакомства среди россиян в местах скопления туристов.

Далее, уже посредством электронной почты мошенники налаживали контакт с людьми, желающими воспользоваться заманчивым предложением купить билеты в любое место по низкой цене. Условием выписки такого билета было перечисление средств на электронный кошелек мошенников, что является безотзывной операцией.

Мошенники же в это время покупали билет самостоятельно, за полную стоимость, вводя на сайте нашего клиента, онлайн трэвел агентства (мерчанта) данные реального будущего пассажира (покупателя билета у мошенника за полцены), а также данные украденной карты клиента иностранного банка.

И тут они полетели

Покупатели получали от злоумышленников на свой e-mail электронный билет, который был официально зарегистрирован в авиакомпании. После этого ничего не подозревающие пассажиры прибывали в аэропорт, проходили регистрацию по паспорту и летели.

Основным условием такой покупки была ее небольшая глубина: сегодня покупаешь, а завтра улетаешь. За это время реальный держатель карты не успевал подать заявление в банк об опротестовании транзакции, а если и успевал, то система взыскивания чарджбеков отрабатывала с некоторой задержкой, что позволяло мошенникам и далее проводить множественные оплаты, получая с каждой транзакции половину средств от любителей дешевых билетов.

Каковы оказались последствия фрода?

Держатели скомпрометированных карт обратились в свой банк-эмитент, началось разбирательство с участием платежной системы, в ходе которого виновным оказался банк-эквайер. По договору с мерчантом банк-эквайер провел chargeback, из-за чего трэвел агентство понесло убытки равные стоимости купленных билетов.

В сухом остатке:

  1. покупатели авиабилетов за полцены успешно их использовали
  2. мошенники получили часть денег по краденным картам
  3. истинным владельцы скомпрометированных карт вернули списанные средства
  4. а у трэвел агентства проблемы только начинались

Пострадавшая компания, не подключившая систему распознавания мошенничества дополнительно выплатила штраф от международных платежных систем в размере 5000 евро. Далее был назначен аудит системы безопасности платежных решений шлюза и банка-эквайера, стоимостью 15000 евро, эти расходы также были переложены на мерчанта.

Как минимизировать потери?

Как видим, трэвел агентство понесло значительные невосполнимые потери из-за отсутствия антифрод-системы, потому что правила и алгоритмы настройки антифрод-сервиса позволили бы вычислить подобные мошеннические платежи, например по таким индикаторам:

1 — в описанном случае карта, принадлежащая банку-эмитенту не свойственна аудитории клиента (банк, выпустивший карту, допустим, находится во Франции, а аудитория клиента в основном из России)

2 — платеж был совершен за полёт, который должен был осуществиться в ближайшее время (таким операциям уделяется особое внимание, так как это достаточно редкий случай, даже если бы антифрод-система пропустила платеж, то аналитики сервиса в течение нескольких часов выявили бы его и связались с клиентом для предупреждения мошеннической операции)

3 — значительный разброс в расстояниях между локациями, где находится устройство, с которого производится оплата, пассажир, его адрес, банк-эмитент (сопоставляя эти факты можно назвать операцию подозрительной и либо не пропустить, либо перепроверить)

Именно такие “дыры”, где отсутствует защита от мошеннических операций используют для своих атак IT-мошенники.

Дыры в системах безопасности — это вирусные посты в социальных сетях мошенников

Как известно, доля попыток мошеннических операций в онлайн-торговле достигает 10%. Мошенники очень часто атакуют сайты онлайн-магазинов на предмет отсутствия антифрод-системы. И если, однажды, мошенник находит такую “дыру”, то эта информация моментально распространяется среди единомышленников.

Один случай из нашей практики прекрасно иллюстрирует такую ситуацию. По причинам, которые мы не можем разглашать, у нашего клиента отключили антифрод всего на сутки.

В результате мы наблюдали лавинообразное увеличение транзакций у этого клиента с участием карт одного британского банка, где недавно произошла утечка данных. В течение нескольких часов были попытки мошенничества, исходящие от самих мошенников, дропов и роботов. Вероятно, не все эти платежи осуществлялись для покупок, многие просто пытались узнать о наличие средств на той или иной карте, потому что выбирали предложения совершенно рандомным способом.

Мораль

Как ленты популярных соцсетей наполнены вирусными постами, так и социальные сети мошенников наполнены сообщениями о том, что обнаружена та или иная “дыра”. По этой причине, иногда действия IT-мошенников (особенно в трэвел сегменте) могут иметь катастрофические последствия, даже в течение дня.

Отдельно по спорам в терминологии: данную схему мошенничества некоторые источники описывают, как Кардинг. Но, в нашей практике принято называть её фродом. Описанный в первом примере тип фрода считается Профессиональным. Существуют также Слепой, Умный и Френдли фрод, о их особенностях напишем в следующий раз. Элементарные знания по терминологии можно почерпнуть здесь.

Готовы отвечать на практические вопросы по теме фрода, антифрод-сервисов, обеспечения транзакций, поскольку хотелось бы избежать излишней обобщенности и поверхностности. Мы по понятным причинам несколько скованы в глубине раскрытия темы, но постараемся сделать общение с нами интересным.
Tags:
Hubs:
Total votes 6: ↑4 and ↓2 +2
Views 18K
Comments Comments 3

Information

Founded
Location
Россия
Website
payture.com
Employees
11–30 employees
Registered