Эффективный антифрод: как защитить бизнес от мошенничества в интернете

    Всем привет! Это наш первый пост на Хабре, которым мы начинаем серию публикаций о фроде и антифрод-сервисах. Мы — Payture, а если быть точными, международная процессинговая компания, специализирующаяся на услугах в области электронной и мобильной коммерции, а также предоставляющая услуги антифрод-сервиса.



    Фрод и фишинг ходят рядом (о том, где берутся данные для фрода)


    Конечно, скимминг (офлайн считывание данных с карты) также применяется мошенниками для получения персональных данных, используемых во фрод-операциях, но в примере речь как раз о фишинге.

    Может кто-то вспомнит, что в 2007 году клиенты Альфа-Банка, пользующиеся услугой Альфа-Клик, массово подверглись нескольким фишинг-атакам. Речь о фишинговых ссылках и письмах. После ввода клиентами Альфа-Банка своих персональных данных на фишинговых страницах, злоумышленники могли использовать полученную информацию в различных вариантах монетизации.

    Здесь нас интересует случай, когда преступники оплачивают в интернете товары или услуги по украденным пластиковым картам. Вот вам и данные для фрода. После такой оплаты пострадавшим становится не только истинный держатель скомпрометированной карты, но и мерчант, который будет обязан вернуть списанные с карты средства её истинному владельцу.

    Мерчант зачастую становится потерпевшим в разбирательствах по случаям фрода

    Со списанием средств с украденной карты участие злоумышленников в схеме фрода заканчивается, и начинается разбирательство (после заявления держателя карты), в котором участвуют банк-эмитент (на стороне держателя карты), платежная система, банк-эквайер (на стороне мерчанта) и мерчант.

    Стоит отметить, что сейчас карты российских банков не слишком популярны у мошенников, специализирующихся на фроде в силу относительно высокой защищенности.

    Поэтому следующий пример, который проиллюстрирует убытки мерчанта из-за фрода, будет уже с участием скомпрометированных карт иностранного банка. Случай произошел с нашим клиентом, который реализовывал авиабилеты, как онлайн трэвел агентство. Описываемая схема мошенников стала возможна благодаря временному отсутствию у него антифрод-системы, что позволило злоумышленникам провести множественные оплаты по краденным картам иностранного банка.

    Как происходит профессиональный фрод?

    У мошенников каким-то образом (см. выше: фишинг, скимминг) оказались данные пластиковых карт клиентов одного иностранного банка. Затем злоумышленники на своем сайте и в соцсетях, представляясь сотрудниками авиакомпании сообщали, что у них есть возможность продавать авиабилеты за полцены. Любопытно, что покупателей на эти билеты преступники находили также заводя личные знакомства среди россиян в местах скопления туристов.

    Далее, уже посредством электронной почты мошенники налаживали контакт с людьми, желающими воспользоваться заманчивым предложением купить билеты в любое место по низкой цене. Условием выписки такого билета было перечисление средств на электронный кошелек мошенников, что является безотзывной операцией.

    Мошенники же в это время покупали билет самостоятельно, за полную стоимость, вводя на сайте нашего клиента, онлайн трэвел агентства (мерчанта) данные реального будущего пассажира (покупателя билета у мошенника за полцены), а также данные украденной карты клиента иностранного банка.

    И тут они полетели

    Покупатели получали от злоумышленников на свой e-mail электронный билет, который был официально зарегистрирован в авиакомпании. После этого ничего не подозревающие пассажиры прибывали в аэропорт, проходили регистрацию по паспорту и летели.

    Основным условием такой покупки была ее небольшая глубина: сегодня покупаешь, а завтра улетаешь. За это время реальный держатель карты не успевал подать заявление в банк об опротестовании транзакции, а если и успевал, то система взыскивания чарджбеков отрабатывала с некоторой задержкой, что позволяло мошенникам и далее проводить множественные оплаты, получая с каждой транзакции половину средств от любителей дешевых билетов.

    Каковы оказались последствия фрода?

    Держатели скомпрометированных карт обратились в свой банк-эмитент, началось разбирательство с участием платежной системы, в ходе которого виновным оказался банк-эквайер. По договору с мерчантом банк-эквайер провел chargeback, из-за чего трэвел агентство понесло убытки равные стоимости купленных билетов.

    В сухом остатке:

    1. покупатели авиабилетов за полцены успешно их использовали
    2. мошенники получили часть денег по краденным картам
    3. истинным владельцы скомпрометированных карт вернули списанные средства
    4. а у трэвел агентства проблемы только начинались

    Пострадавшая компания, не подключившая систему распознавания мошенничества дополнительно выплатила штраф от международных платежных систем в размере 5000 евро. Далее был назначен аудит системы безопасности платежных решений шлюза и банка-эквайера, стоимостью 15000 евро, эти расходы также были переложены на мерчанта.

    Как минимизировать потери?

    Как видим, трэвел агентство понесло значительные невосполнимые потери из-за отсутствия антифрод-системы, потому что правила и алгоритмы настройки антифрод-сервиса позволили бы вычислить подобные мошеннические платежи, например по таким индикаторам:

    1 — в описанном случае карта, принадлежащая банку-эмитенту не свойственна аудитории клиента (банк, выпустивший карту, допустим, находится во Франции, а аудитория клиента в основном из России)

    2 — платеж был совершен за полёт, который должен был осуществиться в ближайшее время (таким операциям уделяется особое внимание, так как это достаточно редкий случай, даже если бы антифрод-система пропустила платеж, то аналитики сервиса в течение нескольких часов выявили бы его и связались с клиентом для предупреждения мошеннической операции)

    3 — значительный разброс в расстояниях между локациями, где находится устройство, с которого производится оплата, пассажир, его адрес, банк-эмитент (сопоставляя эти факты можно назвать операцию подозрительной и либо не пропустить, либо перепроверить)

    Именно такие “дыры”, где отсутствует защита от мошеннических операций используют для своих атак IT-мошенники.

    Дыры в системах безопасности — это вирусные посты в социальных сетях мошенников

    Как известно, доля попыток мошеннических операций в онлайн-торговле достигает 10%. Мошенники очень часто атакуют сайты онлайн-магазинов на предмет отсутствия антифрод-системы. И если, однажды, мошенник находит такую “дыру”, то эта информация моментально распространяется среди единомышленников.

    Один случай из нашей практики прекрасно иллюстрирует такую ситуацию. По причинам, которые мы не можем разглашать, у нашего клиента отключили антифрод всего на сутки.

    В результате мы наблюдали лавинообразное увеличение транзакций у этого клиента с участием карт одного британского банка, где недавно произошла утечка данных. В течение нескольких часов были попытки мошенничества, исходящие от самих мошенников, дропов и роботов. Вероятно, не все эти платежи осуществлялись для покупок, многие просто пытались узнать о наличие средств на той или иной карте, потому что выбирали предложения совершенно рандомным способом.

    Мораль

    Как ленты популярных соцсетей наполнены вирусными постами, так и социальные сети мошенников наполнены сообщениями о том, что обнаружена та или иная “дыра”. По этой причине, иногда действия IT-мошенников (особенно в трэвел сегменте) могут иметь катастрофические последствия, даже в течение дня.

    Отдельно по спорам в терминологии: данную схему мошенничества некоторые источники описывают, как Кардинг. Но, в нашей практике принято называть её фродом. Описанный в первом примере тип фрода считается Профессиональным. Существуют также Слепой, Умный и Френдли фрод, о их особенностях напишем в следующий раз. Элементарные знания по терминологии можно почерпнуть здесь.

    Готовы отвечать на практические вопросы по теме фрода, антифрод-сервисов, обеспечения транзакций, поскольку хотелось бы избежать излишней обобщенности и поверхностности. Мы по понятным причинам несколько скованы в глубине раскрытия темы, но постараемся сделать общение с нами интересным.
    Payture
    Company
    AdBlock has stolen the banner, but banners are not teeth — they will be back

    More
    Ads

    Comments 3

      0
      Хм, вот уж кого не ожидал здесь увидеть.
      Вы с QIWI всё ещё сотрудничаете, или уже завязали?
        0
        С QIWI сотрудничали и сотрудничаем.
        А почему такое удивление нашему появлению, почему не ожидали?
        … просто у нас велосипеда не было…
          0
          Ну 10% это вы конечно сгустили краски.
          И да — авиаперевозчики за счет описанной схемы монетизации (она одна из самых быстрых — максимальные суммы за короткие строки) — очень рисковый бизнес. Мерчантами с небольшими средними чеками мошенники практически не интересуются — на маленьких чеках накладных на монетизацию возникает даже больше чем эта монетизация приносит.

          Only users with full accounts can post comments. Log in, please.