Рассказ о том, как фродер Игорь пытался получиться выплату, а получил дулю с маком.
Фрод (fraud) — в нашем случае (арбитража), это вид мошенничества, при котором не добросовестный вебмастер обманывает партнерску или интернет магазины, которые чаще всего работают по схеме «оплата на почте при получении». Как это работает, в интернет магазине вебмастер или его сообщник оставляют фрод заявку на покупку того или иного товара. Call-центр партнерки прозванивает этот лид (заказ), злоумышленник подтверждает намериение купить по телефону. Магазин отправляет заказ, а ПП оплачивает лид (привлеченного клиента) вебмастеру. Если фрод не раскрыт, плохой вебмастер получает деньги, а товар остается без выкупа и в итоге возвращается обратно в магазин. Убытки.
Пример фрода партнерки M1-shop
Наш проект всегда на стороне веба. Несколько дней назад в паблик кинули пост, в котором Игорь обвиняет M1-Shop в том, что они не выплатили ему деньги (16 тысяч рублей за 26 заявок) и забанили просто так, без причин, хотя он честный веб.
Можете ознакомиться с текстом сообщения, там больше 100 комментариев. В общем ознакамливаемся с постом и идем дальше, все комменты можете не читать, я самое ключевое приведу ниже.
Статистика лендинга от фродера
Мне изначально понравилась открытость Игоря, он написал, что готов предоставить полный доступ к статистике из Яндекс Метрики, которая была установлена на лендинге, куда шел траф.
На момент написания поста доступ к метрике все ещё был открыт, ссылка .
По утверждению Игоря, траф он покупал в тизерках.
Я посмотрел внимательно статистику, самое интересное ниже.
Все лиды были сделаны с устройства с одним разрешением экрана.
Ни одного лида не было сделано с внешнего перехода. Напомню, автор поста утверждал, что это тизерки 🙄
Записи разговоров из колл центра партнерки
M1-shop предоставили мне записи разговоров операторов колл центра всех 26 заказов. И что вы думаете? Заказчиком был один и тот же человек. Фродер Игорь заслуживает звания самого тупового фродера года 😀
У меня на руках есть записи всех 26 заказов. M1-shop попросили выложить только те, которые они прослушали лично от начала до конца. Одна запись занимает примерно 15-20 минут. Я лично прослушал все записи, на них один и тот же человек делает один и тот же заказ, но по разному.
Записи колл цетра фрод заказов https://disk.yandex.ru/d/QAlix2NJXFDuYA
Итого
Не понятно какие цели преследовал фродер Игорь, выкладывая этот посты в паблики, а потом еще давая статистику в метрике. Может он думал что на хайпе ему выплатят и перед ним извиняться?
Звание «Фродер года» уходит к Игорю))
Фрод - язва электронной коммерции. Любая компания, которая принимает платежи на своем сайте, рано или поздно сталкивается с проблемой фрода и несет от него убытки. Чтобы оградить себя от фрода нужно постоянно держать наготове защитные механизмы и процедуры, а также регулярно проверять их эффективность. Предлагаю разобраться что к чему.
По-простому, фрод (с англ. fraud, «обман») - это когда нехороший человек оплачивает услуги ворованным платежным средством. Обычно это - кредитная карта, но иногда Фрод бывает и с PayPal.
Фрод на практике
Рассмотрим практический пример Фрода:
- Банк удовлетворяет заявку - налицо несанкционированная активность с банковской карты их клиента. Банк запрашивает принудительный возврат средств (чарджбэк) со счета продавца ($100), а также взимает комиссию $20 за то, что произошел чарджбэк. Совет 3: в обязанность продавца входит проверка платежа на мошенничество, а если будет факт мошенничества - банк взимает штраф. Банк почти всегда удовлетворяет заявку клиента (чарджбэк).
Степан - обычный человек. Доверчивый, немного наивный. Предложения увеличить доход на 10 сантиметров в месяц задевают Степана за больное место, и он оплачивает курс по увеличению дохода. Но он не учел, что сайт, на котором он производил оплату, - небезопасный, и данные его банковской карты перехватываются мошенником.
Мошенник ищет способы «слить» полученные деньги, находит продавца и покупает у него продукт за $100 с украденной карты. Совет 1: всегда хорошо иметь anti-fraud систему, которая определит Мошенника и не позволит ему даже совершить оплату на сайте.
Продавец - еще зеленый новичок, поэтому любая продажа для него - шампанское и овации. Он еще не верит во Фрод, поэтому идет к своему поставщику и покупает продукт за $80, который позже продает мошеннику, не имея ни малейшего понятия о том, что он на самом деле мошенник, а деньги ворованные. На первый взгляд, продавец заработал $20 и всё хорошо. Увы, ненадолго. Совет 2: без тщательной проверки платежа нельзя рассчитываться с партнерами.
Прошел месяц и Степану что-то невесело - доход не увеличился, а даже наоборот - деньги с банковской карты активно пропадают. Степан нервно смотрит выписку по счету и пытается понять, куда же деваются его кровно заработанные: «Так, это $100 за курс по увеличению дохода, это $20 за ужин в ресторане… А это еще что за $100? В это время я спал, я не мог совершить этот платеж, да и не заказывал я кроссовки на Амазоне!»
Степан в панике бежит в свой банк и слезно просит вернуть деньги.
Итоги истории:
Откуда берется фрод?
Если бы саму карточку украли - всё было бы понятно. Но как можно украсть данные карточки, которую Степан постоянно носит в кошельке?
Вот основные способы:
- В интернете абсолютно свободно продаются десятки тысяч данных ворованных карт и PayPal аккаунтов. И это - в открытой сети. В Dark Net этот бизнес уже давно поставлен на поток.
Степан вводит данные своей карты на сайте с низким уровнем защиты (например, без SSL-сертификата) и их перехватывает мошенник.
Степан переходит по ссылке и логинится в свой кошелек PayPal, но не замечает, что адрес домена - pavpai.com. Благодаря фальшивой странице, мошенник получает доступ к кошельку Степана и может им распоряжаться по своему усмотрению. Такие подставные сайты называют фишинг.
Степан вставил свою карту в банкомат, который оборудован скимминговым устройством. Устройство считало данные его карты и теперь у мошенника полный доступ.
Степан не позаботился о безопасности своего кошелька и в качестве пароля от интернет-банкинга установил дату своего рождения. Так как Степан - человек публичный и информация о дате его рождения общедоступна, мошеннику было несложно подобрать пароль.
Международные способы борьбы с фродом
Мы не единственная компания в мире, которая страдает от Фрода и от мошенников. Это настолько большая проблема, что ей занимаются целые государственные департаменты.
В самой основе современной финансовой индустрии лежат политики противодействия мошенничеству, отмыванию денег и финансированию терроризма.
AML
AML расшифровывается как anti-money-laundering. По-русски - противодействие отмыванию денег. Это набор процедур, законов и правил, которые нужны для того, чтобы граждане не получали доход нелегальным путем. Политики AML рекомендуют внедрять бизнесам во всем мире, как в личных интересах, так и в интересах международной борьбы с экономической преступностью.
Очень понятный и актуальный список рекомендаций придумали на съезде саммита G7 в 1989 году. Сделаю небольшую выдержку из пункта 5, которым руководствуемся мы:
В двух словах по-русски:
- Всех новых клиентов (а в идеале еще и старых) нужно идентифицировать на подлинность.
- В проверку входят документы, подтверждающие личность, фото кредитных карт, описание бизнеса и, в самых крайних случаях, источник доходов.
- В международной терминологии эту процедуру принято называть Customer Due Diligence (CDD).
- Это чтобы отпал вопрос о том, насколько законны наши действия и насколько корректно просить клиентов предоставить свои документы.
KYC
KYC (Know Your Customer), по-русски - знай своего клиента. Это часть процедуры CDD, которую должны выполнять финансовые учреждения и другие регулируемые компании. Она помогает -защититься от отмывания денег. Ее основные цели и функции:
- сбор и анализ базовой идентификационной информации (в законодательстве США это даже названо отдельным термином «Customer Identification Program» (CIP);
- проверка имени физического лица или бенефициаров юридического лица в базах «Politically exposed persons» (PEP);
- определение рисков в контексте склонности клиента к отмыванию денег, финансированию терроризма или краже личных данных;
- формирование представления о транзакционном поведении клиента;
- мониторинг транзакций клиента на соответствие с его идентификационными данными.
В разных странах есть законодательно принятые KYC процедуры . То есть мы не просто имеем право требовать документы, а просто обязаны это делать для соблюдения закона и снижения своих финансовых рисков.
CTF
CTF (Counter-terrorist financing), по-русски - борьба с финансированием терроризма. Что это такое, думаю, и так понятно. Так как понятие терроризма в России и Украине в последнее время очень размытое и не имеет границ, жалоба может прийти буквально на любой сайт, который даже косвенно связан со терроризмом и т.п.
В случае с подобными проектами жалобы приходят сразу официальные и от правоохранительных органов нашей юрисдикции, на которые мы реагируем в соответствии с действующим законодательством.
На самом деле, в мире существует много политик и стандартов по борьбе с Фродом. В следующем разделе, я расскажу, как мы справляемся с Фродом в Unihost и какие правила мы из этой практики вывели.
Риски, связанные с фродом
Как вы уже поняли, фрод - это плохо. Давайте теперь конкретизируем это «плохо» и выделим перечень рисков, которые он несет для любой компании, а также Unihost, как для хостинг-провайдера.
Прямые потери на комиссиях за чарджбэки
Все финансовые риски за транзакцию несёт продавец, как получатель средств. А значит, ему и принимать меры для противодействия мошенничеству. И если эти меры недостаточны и продавец допустил неправомерную оплату средств, то при возврате средств банк накажет продавца штрафом в $20.
Советую ввести процедуру Customer Due Diligence для всех заказов.
Абузы
На клиентов, которые используют услуги для неправомерных целей (продажа краденых кредитных карт, фишинг, DDoS-атаки и т.д.) приходят абузы. Абузы - это официальные запросы с требованием прекратить неправомерную деятельность.
Естественно, таких ненадежных клиентов нужно блокировать и возвращать им уплаченные средства. Естественно, это негативно влияет на нашу репутацию у платежного процессинга.
Репутация у платежного процессинга
Наличие чарджбэков и возвратов средств плохо отражается на репутации у платежного процессинга. Кроме того, у любого процессинга существуют ограничения на объем рефандов в процентном показателе от месячного оборота и частоту рефандов. Превышение ограничений может привести к штрафным санкциям от платежного процессинга, вплоть до полного отказа сотрудничать. Советую лишний раз проверить клиента, чем потерять партнера - платежного процессера.
Правовые риски
Правовые риски связаны с политикой противодействия отмыванию денег (AML) и несоответствия какому-либо закону или указу. Может включать в себя что угодно: начиная от штрафов, заканчивая уголовными делами.
В современном правовом поле СНГ, этот риск минимален. Но учитывать его всё равно стоит.
Чтобы минимизировать риски, внедряйте систему верификации клиента по CDD.
Система верификации в Unihost
При обращении к нам мошенника, есть два варианта развития событий:
- Приятный и недопустимый вариант. Запрашиваем документы у мошенника, неправильно определяем их подлинность и предоставляем услугу (нашу или партнеров). Банк присылает запрос на возврат средств, мы его делаем и теряем средства. Иногда теряем еще $20, если банк не стал тратить время на официальный запрос и сделал чарджбэк. Ситуация разыгрывается по сценарию со Степаном в начале статьи - у продавца остаются одни убытки.
Приятный вариант. Запрашиваем документы у мошенника и определяем, что его карта ворованная (либо человек просто отказывается проходить верификацию или не отвечает на наше письмо). Делаем возврат средств как можно быстрее - это избавляет нас от потенциальной жалобы со стороны банка, а соответственно и от чарджбэков.
Чтобы максимально снизить риски, мы верифицируем сначала транзакцию, потом клиента, а потом его заказ. Первое защищает нас от уже известных мошенников, второе - от новоявленных, а третье - от абуз.
Верификация транзакции
При новом заказе от неверифицированного клиента, мы:
- Проверяем соответствие гео-IP со страной биллинга. Очень многие мошенники платят картами из Европы и США, но сами находятся в СНГ или Китае.
Проверяем его по модулю FraudRecord. Это международная база ненадежных клиентов, мошенников и прочих нехороших.
Проверяем количество неудачных попыток оплаты. Если их менее двух - всё ОК. Если их больше - переходим к верификации клиента и ставим метку «подозрительный».
Проверяем, уникален ли IP клиента. Часто уже заблокированные из-за фрода клиенты создают новые аккаунты на другие имена.
При повторных заказах и продлениях, клиенту нужно пройти только пункт 2.
Верификация клиента
Верификация личности нужна для того, чтобы убедиться, что клиент является живым человеком и удостовериться, что платежный метод действительно принадлежит ему. Для этого мы запрашиваем у клиента документы, подтверждающие его личность.
Принимаются только документы государственного образца из следующего списка:
- Паспорт (Passport);
- Идентификационная карточка (Identity Card, он же ID) - аналог паспорта во многих странах;
- Водительское удостоверение (Driving Licence) с фотографией;
- Свидетельство о временном гражданстве (Temporary Resident Card)
- Свидетельство о временном/постоянном виде на жительство (Residence permit)
Мы тщательно проверяем все документы на соответствие госстандартам. Хотя зачастую подделка определяется с первого взгляда. Так, один из клиентов прислал паспорт с датой рождения «30 декабря 1792 года».
Для проверки платежного метода, мы требуем фото банковской карты (с видимой лицевой стороной, но закрытым CVV) или скриншот оплаты из PayPal, где видно, что оплата была совершена на нашем сайте. Этот пункт уже привычен многим.
Верификация проекта
Мы просим описать проект при заказе сервера или VPS. Причем простые «сайт для компании» или «сайт для клиента» мы отправляем обратно с просьбой рассказать подробнее: чем занимается клиент/компания, что будет размещено на сайте. Ведь клиентом может быть сайт детского порно, а это уже проблема.
Если проект планирует рассылать письма, мы требуем доказательства того, что база данных получателей была собрана самим клиентом, а сами получатели прошли double opt-in проверку.
Список проектов, которые мы не принимаем:
- DDoS-атаки других ресурсов;
- сканеры портов;
- сайты, призывающие к террористической деятельности, жестокости, насилию и т.п.;
- детское порно, зоофилия и прочая чернуха;
- исходящий спам;
- фишинговые сайты.
Заключение
Нельзя сказать, что эти меры на 100% спасают от чарджбэков или абуз. Но они значительно снижают число мошенников, которые получают доступ к услугам. Поэтому, если ваша компани еще только на пути внедрения системы верификации клиентов и заказов, советую не экономить. Известно, что жадный платит всегда.
Я надеюсь, что однажды мы будем жить в мире, где можно будет принимать всё на веру. Но до тех пор, пока этот мир еще не наступил - верификация - единственный выход. Пускай это не самый красочный или популярный аспект деятельности сферы e-commerce, но это просто необходимо. Жаль, что честные клиенты также должны проходить проверку.
Теги: Добавить метки
Анти-фрод системы в отечественных компаниях за последние несколько лет набирают все большую популярность. В свете
Анти-фрод системы в сервисах Онлайн-банкДля обеспечения безопасности операций с финансами для физических лиц в сервисах ДБО, в частности в "онлайн-банке", используются ограничения или лимиты на совершение операций, второй линии обороны входящей в комплекс фрод-мониторинговых решений:
- ограничение количества покупок по одной банковской карте или одним пользователем за определенный период времени;
- ограничение на максимальную сумму разовой покупки по одной карте или одним пользователем в определенный период времени;
- ограничение на количество банковских карт, используемых одним пользователем в определенный период времени;
- ограничение на количество пользователей, использующих одну карту;
- учёт истории покупок по банковским картам и пользователями (так называемые «черные» или «белые» списки)
Давайте, рассмотрим иллюстративный кейс, что бы понять как работает анти-фрод система.
Первым делом транзакция (финансовая операция) проходит первичный анализ на основании факторов, к примеру описанных выше. Далее на основании анализа ей присваивается «метка» , которая характеризует способ обработки транзакции. Существуют три типа меток:
- «Зеленая» отмечает транзакции с низкой вероятностью возникновения мошеннической операции.
- «Желтой» меткой отмечаются транзакции, в которых шанс возникновения мошеннической операции выше среднего, и для проведения платежа потребуются дополнительного внимания.
- «Красной» отмечаются транзакции, которые с наибольшей вероятностью могут оказаться мошенническими, и при их проведении потребуется документальное подтверждение аутентичности владельца карты.
Используются простейшие настройки защиты, которые сможет выставить любой мерчант, таких как защита от подбора CVV и номера карт; анализ параметров карты по банку, владельцу, типу продукта, стране выпуска и географии использования; идентификация покупателя по истории покупок; ретроспективный анализ покупок;обнаружение подозрительных транзакций по отпечаткам используемого оборудования; проверка домена и IP адреса и т.д.
С «зелеными» транзакциями все максимально просто: например, плательщик осуществляет оплату из России, картой, выпущенной российским банком. Сумма платежа не превышает среднего чека магазина. Система мониторинга присваивает транзакции «зеленую» метку. Далее транзакция отправляется на авторизацию с помощью 3-D Secure . А если карта не подписана на сервис одноразовых паролей или банк-эмитент еще не поддерживает данный сервис, запрос на авторизацию этой транзакции будет направлен в процессинговый центр банка-плательщика обычным способом - напрямую.
Средний уровень риска возникновения фрода определяет иной путь проверки оплаты на легитимность. Метка «желтого» цвета присваивается транзакциям со средним и выше среднего уровнями риска возникновения мошеннических операций. Например, в российском интернет-магазине покупка оплачивается банковской картой, выпущенной в России, но размер среднего чека заметно превышает средний «по больнице». Так если плательщик не может воспользоваться этим способом авторизации платежа, то его банковская карта будет автоматически направлена на онлайн-валидацию или ручную проверку.
«Красную» метку
система фрод-мониторинга автоматически присваивает транзакциям с высоким уровень риска совершения мошеннических операций. Например, оплата в российском интернет-магазине осуществляется картой, выпущенной в США, а плательщик находится в Испании.
Проблемы использования анти-фрод систем
По данным портала www.banki.ru , самый популярный тип мошенничества с банковскими картами - это так называемый «friendly fraud» («дружеский фрод») . Как работает механизм «FF»? Владелец карты совершает покупку в Интернете, а затем требует от банка проведения чарджбэка (charge-back) - возврата средств на карту вследствие неоказания услуги. И, если магазин не может доказать необоснованность претензий плательщика, банк должен возместить владельцу карты требуемую сумму. А «косты» ложатся, естественно, на интернет-магазин. Так интернет-магазины могут пострадать от хакеров, незаконно проникающих в систему сайта, собственных сотрудников, неправомочно использующих базы данных компании, недобросовестных клиентов, указывающих неверные платежные данные с целью неоплаты, либо инициирующих возврат средств уже после отгрузки товара или оказании услуги.
Поэтому очень важным становится сбор доказательной базы и технических деталей позволяющих доказать факт фрода . Соответственно если был предварительный сговор между сотрудникам интернет-магазина и банка то скорее всего любые попытки расследования будут не успешны. Противостоять человеческому факторы анти-фрод системы еще не научились.
Так же как и у любого другого сервиса, у системы фрод-мониторинга есть свои «издержки производства» . Так отклонение платежей может привести к потере клиентов, а значит, прибыли. Без должной настройки фильтры могут не пропускать значимые для интернет-магазина транзакции, что уж точно не понравится покупателям. Поэтому при выборе платежного сервис-провайдера стоит обратить внимание на заявленную конверсию в успешные платежи. Например, уровень конверсии в успешные платежи после «ручной» настройки системы электронных платежей PayOnline варьируется в рамках 93-96% - и это очень хороший показатель для рынка. Недостаток решений Verified by Visa и MasterCard SecureCode заключается в том, что по состоянию на текущий момент времени не все банки умеют корректно и удобно для держателя карты обрабатывать поступающие запросы, что может приводить к невозможности подтвердить намерение совершить операцию, т.е. иными словами понижает конверсию.
Другим неприятным, но важным моментом, с которым придется столкнуться при внедрении системы фрод-мониторинга на стороне интернет-магазина, станет защита данных пользователей , как персональных, так и платежных. Необходимо будет пройти сертификацию соответствия требованием стандарта PCI DSS , а также учесть ограничения на хранение и обработку данных, регулируемые федеральным законом.
И немного инфографики в тему фрода в России
Сейчас в Сбере очередная фишка - борьба с ФРОДами (фиктивными продажами). Руководство вдруг прозрело. И началась охота на ведьм, то бишь МП и консультантов. Только беда в том, что учили сотрудников фиктивным продажам руководители офисов, руководителей учили региональные менеджеры, региональных менеджеров учили руководители сети офисов. Заместители управляющих по рознице прекрасно все знали и такая ситуация их вполне устраивала. Еще бы, муравьишки набивают их карман. Теперь эти горе-руководители делают вид, что были не в курсе. Во многих тербанках уже поменяли до 50% штата менеджеров и консультантов, кое-где пострадали руководители офисов. Убрали тех, кто мог потащить за собой руководителей. И все! А те, кто требовали все больше и больше продаж выдавать на гора спокойно сидят на своих местах.
Фронт-офисы в Сбере уже года два, как превратились во ФРОД-офисы. И не только в плане продаж. Фальсифицируют и работу с СУО. Сократили 2-ю линию, кажется уже дальше некуда. Но оказывается, потенциал к сокращению ещё есть. В 3 квартале грядет очередная волна сокращений. Премия сотрудников 2 линии зависит от выполнения норматива по очередям. Вот и стараются кто как может. В одном офисе клиентов держат около регистратора, в другом к окнам вызывают по несколько человек. Иначе офисы так вываливаются в красную тактику в пиковые дни, что потом до конца месяца выйти на норматив не могут. В результате премия сотрудников, и так небольшая, становится еще меньше. Вы думаете руководство, а именно замы управляющих по рознице не в курсе? Все прекрасно знают, в случае вскрытия и этих ФРОДов, руки умоют. Это сейчас выдают команды выполнять норматив по тактике любой ценой (это реальные устные распоряжения, которые операционные руководители группы офисов дают замам руководителей офисов, мотивируя тем, что сами получили такие распоряжения свыше), а потом наступит амнезия.
Регмены ставят консультантам задачу по продаже мобильных приложений и тут же учат как фальсифицировать. Типа не заморачивайся скачиванием приложения клиенту на телефон, активируй под логином клиента на своем планшете. Только много не делай, в день не больше 10 шт. По итогам месяца цифорки получаются не хилые, в таких офисах более 100 подключений на одного консультанта. Никто из руководителей не видит? Просто всех устраивает такое положение. А виноваты потом будут консультанты, в некоторых случаях руководители офисов. И наплевать горе-руководителям на риски... Зато любят порассуждать за риск-культуру. А проверить сколько активировано мобильных приложений с ID- адресов планшетов консультантов слабо?
С автопереводами тоже сплошные ФРОДы. Пришел клиент разовый перевод совершить, ему автоперевод подключили, да еще и совет дали, типа потом смс-кой отменять будете. Подключают всем подряд, даже не смотрят, что у клиента карта чужая (мамы, папы, мужа, жены и т.д.). И эти фродники получают похвалы, кубки, не говоря про премии, в пример их ставят другим. В одном офисе 100 мобильных приложений и 100 автопереводов на 1 консультанта, а в другом хорошо, если по 20 шт. Вместо того, чтобы проверить "суперэффективных" на предмет фрода, загнобят честно работающих. Ройте господа не там, где мало, а там где много. Выгрузки по нагрузке прозрачны. Выбирайте "суперэффективных" и проверяйте. Работы будет непочатый край. Только увольнять начнут муравьев, а не тех кто требует нагрузку выше, чем ЦА доводит, да придумывает акции, типа "Начни с себя". С чего вдруг консультанты стали себе и коллегам поголовно автопереводы подключать? Не потому ли, что регмены заставляли, да еще и отчет спрашивали. А теперь регмены память потеряли.
ИСУ это просто песня! Что только не творят в офисах, чтобы в хронические отклонения не вываливаться. Иначе приедет начальник управления продаж и начнет не ИСУ отрабатывать, а изгаляться над руководителем офиса. Но это уже совсем другая история...
Начинать, господину Грефу следует с верхов...
