Высокое количество фрода что такое. Фрод — что это такое? Наглядный пример, как не надо фродить. Фрод мониторинг: защищаемся от фейковых заказов

Фрод - язва электронной коммерции. Любая компания, которая принимает платежи на своем сайте, рано или поздно сталкивается с проблемой фрода и несет от него убытки. Чтобы оградить себя от фрода нужно постоянно держать наготове защитные механизмы и процедуры, а также регулярно проверять их эффективность. Предлагаю разобраться что к чему.


По-простому, фрод (с англ. fraud, «обман») - это когда нехороший человек оплачивает услуги ворованным платежным средством. Обычно это - кредитная карта, но иногда Фрод бывает и с PayPal.

Фрод на практике

Рассмотрим практический пример Фрода:

    Степан - обычный человек. Доверчивый, немного наивный. Предложения увеличить доход на 10 сантиметров в месяц задевают Степана за больное место, и он оплачивает курс по увеличению дохода. Но он не учел, что сайт, на котором он производил оплату, - небезопасный, и данные его банковской карты перехватываются мошенником.

    Мошенник ищет способы «слить» полученные деньги, находит продавца и покупает у него продукт за $100 с украденной карты. Совет 1: всегда хорошо иметь anti-fraud систему, которая определит Мошенника и не позволит ему даже совершить оплату на сайте.

    Продавец - еще зеленый новичок, поэтому любая продажа для него - шампанское и овации. Он еще не верит во Фрод, поэтому идет к своему поставщику и покупает продукт за $80, который позже продает мошеннику, не имея ни малейшего понятия о том, что он на самом деле мошенник, а деньги ворованные. На первый взгляд, продавец заработал $20 и всё хорошо. Увы, ненадолго. Совет 2: без тщательной проверки платежа нельзя рассчитываться с партнерами.

    Прошел месяц и Степану что-то невесело - доход не увеличился, а даже наоборот - деньги с банковской карты активно пропадают. Степан нервно смотрит выписку по счету и пытается понять, куда же деваются его кровно заработанные: «Так, это $100 за курс по увеличению дохода, это $20 за ужин в ресторане… А это еще что за $100? В это время я спал, я не мог совершить этот платеж, да и не заказывал я кроссовки на Амазоне!»

    Степан в панике бежит в свой банк и слезно просит вернуть деньги.

  1. Банк удовлетворяет заявку - налицо несанкционированная активность с банковской карты их клиента. Банк запрашивает принудительный возврат средств (чарджбэк) со счета продавца ($100), а также взимает комиссию $20 за то, что произошел чарджбэк. Совет 3: в обязанность продавца входит проверка платежа на мошенничество, а если будет факт мошенничества - банк взимает штраф. Банк почти всегда удовлетворяет заявку клиента (чарджбэк).

Итоги истории:


Откуда берется фрод?

Если бы саму карточку украли - всё было бы понятно. Но как можно украсть данные карточки, которую Степан постоянно носит в кошельке?


Вот основные способы:

    Степан вводит данные своей карты на сайте с низким уровнем защиты (например, без SSL-сертификата) и их перехватывает мошенник.

    Степан переходит по ссылке и логинится в свой кошелек PayPal, но не замечает, что адрес домена - pavpai.com. Благодаря фальшивой странице, мошенник получает доступ к кошельку Степана и может им распоряжаться по своему усмотрению. Такие подставные сайты называют фишинг.

    Степан вставил свою карту в банкомат, который оборудован скимминговым устройством. Устройство считало данные его карты и теперь у мошенника полный доступ.

    Степан не позаботился о безопасности своего кошелька и в качестве пароля от интернет-банкинга установил дату своего рождения. Так как Степан - человек публичный и информация о дате его рождения общедоступна, мошеннику было несложно подобрать пароль.

  1. В интернете абсолютно свободно продаются десятки тысяч данных ворованных карт и PayPal аккаунтов. И это - в открытой сети. В Dark Net этот бизнес уже давно поставлен на поток.

Международные способы борьбы с фродом

Мы не единственная компания в мире, которая страдает от Фрода и от мошенников. Это настолько большая проблема, что ей занимаются целые государственные департаменты.
В самой основе современной финансовой индустрии лежат политики противодействия мошенничеству, отмыванию денег и финансированию терроризма.

AML

AML расшифровывается как anti-money-laundering. По-русски - противодействие отмыванию денег. Это набор процедур, законов и правил, которые нужны для того, чтобы граждане не получали доход нелегальным путем. Политики AML рекомендуют внедрять бизнесам во всем мире, как в личных интересах, так и в интересах международной борьбы с экономической преступностью.


Очень понятный и актуальный список рекомендаций придумали на съезде саммита G7 в 1989 году. Сделаю небольшую выдержку из пункта 5, которым руководствуемся мы:


В двух словах по-русски:

  • Всех новых клиентов (а в идеале еще и старых) нужно идентифицировать на подлинность.
  • В проверку входят документы, подтверждающие личность, фото кредитных карт, описание бизнеса и, в самых крайних случаях, источник доходов.
  • В международной терминологии эту процедуру принято называть Customer Due Diligence (CDD).
  • Это чтобы отпал вопрос о том, насколько законны наши действия и насколько корректно просить клиентов предоставить свои документы.

KYC

KYC (Know Your Customer), по-русски - знай своего клиента. Это часть процедуры CDD, которую должны выполнять финансовые учреждения и другие регулируемые компании. Она помогает -защититься от отмывания денег. Ее основные цели и функции:

  • сбор и анализ базовой идентификационной информации (в законодательстве США это даже названо отдельным термином «Customer Identification Program» (CIP);
  • проверка имени физического лица или бенефициаров юридического лица в базах «Politically exposed persons» (PEP);
  • определение рисков в контексте склонности клиента к отмыванию денег, финансированию терроризма или краже личных данных;
  • формирование представления о транзакционном поведении клиента;
  • мониторинг транзакций клиента на соответствие с его идентификационными данными.

В разных странах есть законодательно принятые KYC процедуры . То есть мы не просто имеем право требовать документы, а просто обязаны это делать для соблюдения закона и снижения своих финансовых рисков.

CTF

CTF (Counter-terrorist financing), по-русски - борьба с финансированием терроризма. Что это такое, думаю, и так понятно. Так как понятие терроризма в России и Украине в последнее время очень размытое и не имеет границ, жалоба может прийти буквально на любой сайт, который даже косвенно связан со терроризмом и т.п.


В случае с подобными проектами жалобы приходят сразу официальные и от правоохранительных органов нашей юрисдикции, на которые мы реагируем в соответствии с действующим законодательством.


На самом деле, в мире существует много политик и стандартов по борьбе с Фродом. В следующем разделе, я расскажу, как мы справляемся с Фродом в Unihost и какие правила мы из этой практики вывели.

Риски, связанные с фродом

Как вы уже поняли, фрод - это плохо. Давайте теперь конкретизируем это «плохо» и выделим перечень рисков, которые он несет для любой компании, а также Unihost, как для хостинг-провайдера.

Прямые потери на комиссиях за чарджбэки

Все финансовые риски за транзакцию несёт продавец, как получатель средств. А значит, ему и принимать меры для противодействия мошенничеству. И если эти меры недостаточны и продавец допустил неправомерную оплату средств, то при возврате средств банк накажет продавца штрафом в $20.


Советую ввести процедуру Customer Due Diligence для всех заказов.

Абузы

На клиентов, которые используют услуги для неправомерных целей (продажа краденых кредитных карт, фишинг, DDoS-атаки и т.д.) приходят абузы. Абузы - это официальные запросы с требованием прекратить неправомерную деятельность.


Естественно, таких ненадежных клиентов нужно блокировать и возвращать им уплаченные средства. Естественно, это негативно влияет на нашу репутацию у платежного процессинга.

Репутация у платежного процессинга

Наличие чарджбэков и возвратов средств плохо отражается на репутации у платежного процессинга. Кроме того, у любого процессинга существуют ограничения на объем рефандов в процентном показателе от месячного оборота и частоту рефандов. Превышение ограничений может привести к штрафным санкциям от платежного процессинга, вплоть до полного отказа сотрудничать. Советую лишний раз проверить клиента, чем потерять партнера - платежного процессера.

Правовые риски

Правовые риски связаны с политикой противодействия отмыванию денег (AML) и несоответствия какому-либо закону или указу. Может включать в себя что угодно: начиная от штрафов, заканчивая уголовными делами.


В современном правовом поле СНГ, этот риск минимален. Но учитывать его всё равно стоит.
Чтобы минимизировать риски, внедряйте систему верификации клиента по CDD.

Система верификации в Unihost

При обращении к нам мошенника, есть два варианта развития событий:

    Приятный вариант. Запрашиваем документы у мошенника и определяем, что его карта ворованная (либо человек просто отказывается проходить верификацию или не отвечает на наше письмо). Делаем возврат средств как можно быстрее - это избавляет нас от потенциальной жалобы со стороны банка, а соответственно и от чарджбэков.

  • Приятный и недопустимый вариант. Запрашиваем документы у мошенника, неправильно определяем их подлинность и предоставляем услугу (нашу или партнеров). Банк присылает запрос на возврат средств, мы его делаем и теряем средства. Иногда теряем еще $20, если банк не стал тратить время на официальный запрос и сделал чарджбэк. Ситуация разыгрывается по сценарию со Степаном в начале статьи - у продавца остаются одни убытки.

Чтобы максимально снизить риски, мы верифицируем сначала транзакцию, потом клиента, а потом его заказ. Первое защищает нас от уже известных мошенников, второе - от новоявленных, а третье - от абуз.

Верификация транзакции

При новом заказе от неверифицированного клиента, мы:

    Проверяем его по модулю FraudRecord. Это международная база ненадежных клиентов, мошенников и прочих нехороших.

    Проверяем количество неудачных попыток оплаты. Если их менее двух - всё ОК. Если их больше - переходим к верификации клиента и ставим метку «подозрительный».

    Проверяем, уникален ли IP клиента. Часто уже заблокированные из-за фрода клиенты создают новые аккаунты на другие имена.

  1. Проверяем соответствие гео-IP со страной биллинга. Очень многие мошенники платят картами из Европы и США, но сами находятся в СНГ или Китае.


При повторных заказах и продлениях, клиенту нужно пройти только пункт 2.

Верификация клиента

Верификация личности нужна для того, чтобы убедиться, что клиент является живым человеком и удостовериться, что платежный метод действительно принадлежит ему. Для этого мы запрашиваем у клиента документы, подтверждающие его личность.


Принимаются только документы государственного образца из следующего списка:

  • Паспорт (Passport);
  • Идентификационная карточка (Identity Card, он же ID) - аналог паспорта во многих странах;
  • Водительское удостоверение (Driving Licence) с фотографией;
  • Свидетельство о временном гражданстве (Temporary Resident Card)
  • Свидетельство о временном/постоянном виде на жительство (Residence permit)

Мы тщательно проверяем все документы на соответствие госстандартам. Хотя зачастую подделка определяется с первого взгляда. Так, один из клиентов прислал паспорт с датой рождения «30 декабря 1792 года».


Для проверки платежного метода, мы требуем фото банковской карты (с видимой лицевой стороной, но закрытым CVV) или скриншот оплаты из PayPal, где видно, что оплата была совершена на нашем сайте. Этот пункт уже привычен многим.

Верификация проекта

Мы просим описать проект при заказе сервера или VPS. Причем простые «сайт для компании» или «сайт для клиента» мы отправляем обратно с просьбой рассказать подробнее: чем занимается клиент/компания, что будет размещено на сайте. Ведь клиентом может быть сайт детского порно, а это уже проблема.


Если проект планирует рассылать письма, мы требуем доказательства того, что база данных получателей была собрана самим клиентом, а сами получатели прошли double opt-in проверку.


Список проектов, которые мы не принимаем:

  • DDoS-атаки других ресурсов;
  • сканеры портов;
  • сайты, призывающие к террористической деятельности, жестокости, насилию и т.п.;
  • детское порно, зоофилия и прочая чернуха;
  • исходящий спам;
  • фишинговые сайты.

Заключение

Нельзя сказать, что эти меры на 100% спасают от чарджбэков или абуз. Но они значительно снижают число мошенников, которые получают доступ к услугам. Поэтому, если ваша компани еще только на пути внедрения системы верификации клиентов и заказов, советую не экономить. Известно, что жадный платит всегда.


Я надеюсь, что однажды мы будем жить в мире, где можно будет принимать всё на веру. Но до тех пор, пока этот мир еще не наступил - верификация - единственный выход. Пускай это не самый красочный или популярный аспект деятельности сферы e-commerce, но это просто необходимо. Жаль, что честные клиенты также должны проходить проверку.

Теги: Добавить метки

Сначала написал как комментарий к отзыву "Незаконное увольнение", теперь решил написать как отзыв.

Сейчас в Сбере очередная фишка - борьба с ФРОДами (фиктивными продажами). Руководство вдруг прозрело. И началась охота на ведьм, то бишь МП и консультантов. Только беда в том, что учили сотрудников фиктивным продажам руководители офисов, руководителей учили региональные менеджеры, региональных менеджеров учили руководители сети офисов. Заместители управляющих по рознице прекрасно все знали и такая ситуация их вполне устраивала. Еще бы, муравьишки набивают их карман. Теперь эти горе-руководители делают вид, что были не в курсе. Во многих тербанках уже поменяли до 50% штата менеджеров и консультантов, кое-где пострадали руководители офисов. Убрали тех, кто мог потащить за собой руководителей. И все! А те, кто требовали все больше и больше продаж выдавать на гора спокойно сидят на своих местах.

Фронт-офисы в Сбере уже года два, как превратились во ФРОД-офисы. И не только в плане продаж. Фальсифицируют и работу с СУО. Сократили 2-ю линию, кажется уже дальше некуда. Но оказывается, потенциал к сокращению ещё есть. В 3 квартале грядет очередная волна сокращений. Премия сотрудников 2 линии зависит от выполнения норматива по очередям. Вот и стараются кто как может. В одном офисе клиентов держат около регистратора, в другом к окнам вызывают по несколько человек. Иначе офисы так вываливаются в красную тактику в пиковые дни, что потом до конца месяца выйти на норматив не могут. В результате премия сотрудников, и так небольшая, становится еще меньше. Вы думаете руководство, а именно замы управляющих по рознице не в курсе? Все прекрасно знают, в случае вскрытия и этих ФРОДов, руки умоют. Это сейчас выдают команды выполнять норматив по тактике любой ценой (это реальные устные распоряжения, которые операционные руководители группы офисов дают замам руководителей офисов, мотивируя тем, что сами получили такие распоряжения свыше), а потом наступит амнезия.

Регмены ставят консультантам задачу по продаже мобильных приложений и тут же учат как фальсифицировать. Типа не заморачивайся скачиванием приложения клиенту на телефон, активируй под логином клиента на своем планшете. Только много не делай, в день не больше 10 шт. По итогам месяца цифорки получаются не хилые, в таких офисах более 100 подключений на одного консультанта. Никто из руководителей не видит? Просто всех устраивает такое положение. А виноваты потом будут консультанты, в некоторых случаях руководители офисов. И наплевать горе-руководителям на риски... Зато любят порассуждать за риск-культуру. А проверить сколько активировано мобильных приложений с ID- адресов планшетов консультантов слабо?

С автопереводами тоже сплошные ФРОДы. Пришел клиент разовый перевод совершить, ему автоперевод подключили, да еще и совет дали, типа потом смс-кой отменять будете. Подключают всем подряд, даже не смотрят, что у клиента карта чужая (мамы, папы, мужа, жены и т.д.). И эти фродники получают похвалы, кубки, не говоря про премии, в пример их ставят другим. В одном офисе 100 мобильных приложений и 100 автопереводов на 1 консультанта, а в другом хорошо, если по 20 шт. Вместо того, чтобы проверить "суперэффективных" на предмет фрода, загнобят честно работающих. Ройте господа не там, где мало, а там где много. Выгрузки по нагрузке прозрачны. Выбирайте "суперэффективных" и проверяйте. Работы будет непочатый край. Только увольнять начнут муравьев, а не тех кто требует нагрузку выше, чем ЦА доводит, да придумывает акции, типа "Начни с себя". С чего вдруг консультанты стали себе и коллегам поголовно автопереводы подключать? Не потому ли, что регмены заставляли, да еще и отчет спрашивали. А теперь регмены память потеряли.

ИСУ это просто песня! Что только не творят в офисах, чтобы в хронические отклонения не вываливаться. Иначе приедет начальник управления продаж и начнет не ИСУ отрабатывать, а изгаляться над руководителем офиса. Но это уже совсем другая история...

Начинать, господину Грефу следует с верхов...

Рассказ о том, как фродер Игорь пытался получиться выплату, а получил дулю с маком.

Фрод (fraud) — в нашем случае (арбитража), это вид мошенничества, при котором не добросовестный вебмастер обманывает партнерску или интернет магазины, которые чаще всего работают по схеме «оплата на почте при получении». Как это работает, в интернет магазине вебмастер или его сообщник оставляют фрод заявку на покупку того или иного товара. Call-центр партнерки прозванивает этот лид (заказ), злоумышленник подтверждает намериение купить по телефону. Магазин отправляет заказ, а ПП оплачивает лид (привлеченного клиента) вебмастеру. Если фрод не раскрыт, плохой вебмастер получает деньги, а товар остается без выкупа и в итоге возвращается обратно в магазин. Убытки.

Пример фрода партнерки M1-shop

Наш проект всегда на стороне веба. Несколько дней назад в паблик кинули пост, в котором Игорь обвиняет M1-Shop в том, что они не выплатили ему деньги (16 тысяч рублей за 26 заявок) и забанили просто так, без причин, хотя он честный веб.

Можете ознакомиться с текстом сообщения, там больше 100 комментариев. В общем ознакамливаемся с постом и идем дальше, все комменты можете не читать, я самое ключевое приведу ниже.

Статистика лендинга от фродера

Мне изначально понравилась открытость Игоря, он написал, что готов предоставить полный доступ к статистике из Яндекс Метрики, которая была установлена на лендинге, куда шел траф.

На момент написания поста доступ к метрике все ещё был открыт, ссылка .

По утверждению Игоря, траф он покупал в тизерках.

Я посмотрел внимательно статистику, самое интересное ниже.

Все лиды были сделаны с устройства с одним разрешением экрана.

Ни одного лида не было сделано с внешнего перехода. Напомню, автор поста утверждал, что это тизерки 🙄

Записи разговоров из колл центра партнерки

M1-shop предоставили мне записи разговоров операторов колл центра всех 26 заказов. И что вы думаете? Заказчиком был один и тот же человек. Фродер Игорь заслуживает звания самого тупового фродера года 😀

У меня на руках есть записи всех 26 заказов. M1-shop попросили выложить только те, которые они прослушали лично от начала до конца. Одна запись занимает примерно 15-20 минут. Я лично прослушал все записи, на них один и тот же человек делает один и тот же заказ, но по разному.

Записи колл цетра фрод заказов https://disk.yandex.ru/d/QAlix2NJXFDuYA

Итого

Не понятно какие цели преследовал фродер Игорь, выкладывая этот посты в паблики, а потом еще давая статистику в метрике. Может он думал что на хайпе ему выплатят и перед ним извиняться?

Звание «Фродер года» уходит к Игорю))

Под термином фрод сейчас подразумевают любое мошенничество в IT. Кардингом называют любые незаконные операции с банковской картой. Мы специализируемся на предотвращении карточного фрода в электронной коммерции. Проблема в том, что начиная свой бизнес в сети, предприниматели, как правило, в первую очередь думают о стоимости приема платежей и мало знают о рисках, связанных с фродом. Самые популярные вопросы от ТСП (торгово-сервисные предприятия, интернет-магазины, мерчанты) приведены ниже.

Что такое фрод?
Карточный фрод – это то, что может затормозить развитие онлайн-бизнеса. Если товаром или услугой воспользовался мошенник, теряются и товар, и деньги. Чего как проще, купить товар на сайте, введя при оплате номер карты и другие цифры, которые напечатаны на ней. Но при этом карта будет чужая – введенные данные можно сфотографировать или подсмотреть, заполучить с помощью технологических махинаций с банкоматами или через слабо защищенные сайты других интернет-магазинов. Также не является секретом, что по сети гуляет большое количество баз данных с реквизитами ворованных карт.

Почему опасно пропустить фрод?
Потому что реальный держатель карты обязательно напишет заявление в банк о возврате списанной без его ведома суммы, т.е. инициирует процедуру chargeback. В случае прохождения несанкционированной операции по банковской карте через интернет-магазин банк-эмитент, выпустивший карту, по поручению держателя карты опротестует транзакцию и ТСП будет обязано возместить всю стоимость покупки. При возникновении спорных ситуаций, связанных с опротестованием подозрительных операций, у банка-эквайера могут возникать дополнительные издержки в размере нескольких сотен долларов за каждый случай арбитража со стороны международных платежных систем (МПС), которые банк с удовольствием уступит ТСП. Особенно болезненные потери будут возникать у низкомаржинального бизнеса . Например, при маржинальности продаж в 2-3%, ТСП потребуется реализовать несколько десятков товарных единиц только для покрытия возникшего убытка по одной мошеннической операции. При этом высокий средний чек еще более усугубляет проблему - отсюда и формируются «предпочтения» мошенников по категориям покупаемых товаров и услуг. Одни из самых горячих отраслей - путешествия и розничная торговля.

И это еще не всё. В случае, когда количество мошеннических операций достигает 1% от общего количества всех транзакций, МПС VISA и MasterCard имеют право выставить банку-эквайеру, а следовательно и ТСП, штрафные санкции. ТСП после достижения порогового значения фрода попадает в программу глобального аудита, после чего банк-эквайер должен запросить у ТСП план мероприятий по снижению уровня фрода и строго контролировать количество мошеннических операций в течение последующих месяцев. При выявлении повторных нарушений в адрес ТСП выносится предупреждение, а затем и штрафные санкции размером от 5 000 долларов, которые могут быть увеличены до весьма внушительных 200 000 долларов в особо тяжелых случаях. При этом осуществляется раздельный мониторинг операций в разрезе карт, выпущенных иностранными и домашними эмитентами, превышение порогового значение только по иностранным картам также может являться основанием для включения ТСП в программу аудита. В особо запущенных случаях ТСП может быть дисквалифицирован, что приведет к невозможности приема к оплате карт через любой банк в будущем. Стоит заметить, что серьезные финансовые последствия могут наступить и для самого банка-эквайера при плохой ситуации по всем клиентам в целом.

Мошенничество является глобальным организованным бизнесом. Нарушители объединяются в группы, и каждая из этих групп работает в своей области. Нарушители объединяются посредством социальных сетей и специализированных форумов, чтобы помогать друг другу и делиться своим опытом использования наиболее успешных схем атак, чтобы достичь максимальной производительности. Поэтому, если в интернет-магазине прошел разовый фрод, в кратчайшие сроки еще несколько групп попытаются провести мошеннические транзакции - это явление называют «снежным комом». А так как мотивация очень сильная - деньги, то скорость, с которой мошенники будут атаковать магазин, будет пропорционально увеличиваться их числу.

Что такое антифрод?
Надежный антифрод – это сервис, который не позволяет мошенникам обналичивать деньги и покупать товары по чужой банковской карте через интернет-магазин.

Кроме простейших настроек защиты, которые сможет выставить любой мерчант, таких как защита от подбора CVV и номера карт; анализ параметров карты по банку, владельцу, типу продукта, стране выпуска и географии использования; идентификация покупателя по истории покупок; ретроспективный анализ покупок; обнаружение подозрительных транзакций по отпечаткам используемого оборудования; проверка домена и IP адреса и тд, мы умеем настраивать правила и фильтры, уникальные для каждого интернет-магазина.

Наши патенты по безопасности и подтверждению подлинности платежа:

Антифрод снижает конверсию?
Да, антифрод в общем случае снижает конверсию. Наша задача состоит в том, чтобы минимизировать количество ложных срабатываний и обеспечить максимально возможный уровень конверсии при выбранном уровне риска. На конверсию плохо влияют любые грубые настройки (как правило, типовые вендорские решения на стороне банка) и стандартная реализация технологии динамической авторизации 3-D Secure для 100% обрабатываемых транзакций. Недостаток решений Verified by Visa и MasterCard SecureCode заключается в том, что по состоянию на текущий момент времени не все банки умеют корректно и удобно для держателя карты обрабатывать поступающие запросы, что в некоторых случаях приводит к невозможности подтвердить намерение совершить операцию, а значит понижает конверсию. Во многих случаях гораздо эффективнее будет избирательно применять 3DS авторизацию в отношении карт отдельных эмитентов и/или подозрительных по совокупности прочих параметров покупателей. Патенты Payture предусматривают использование собственной технологии динамической авторизации CheckCode (проверочный код), свободной от некоторых недостатков типовых решений Visa и MasterCard, о которой мы расскажем отдельно в будущих публикациях. Антифрод позволяет упростить процесс покупки для обычных покупателей, а также в режиме онлайн отслеживать и оповещать о подозрительных операциях.

Сколько стоит антифрод?
Стандартная бизнес-модель на нашем рынке: берите интернет-эквайринг, антифрод включен. Но на самом деле, мы уже давно выделили антифрод в отдельный сервис, который предоставляем как вместе с эквайрингом, так и независимо от него. Это позволяет ТСП из разных стран мира использовать наши компетенции по выявлению и предотвращению мошенничества на международных рынках, управлять рисками на локальном рынке России тем ТСП-нерезидентам, которые привязаны многолетним опытом сотрудничества к глобальным операторам по приему денежных средств, имеющим ограниченную экспертизу деятельности в нашей стране.

Стоимость услуги антифрода зависит от количества транзакций за период времени и необходимости обращения к дополнительным (платным) источникам информации по каким-либо видам бизнеса: от 0,75 рублей до 6 рублей за транзакцию. Также у нас предусмотрены различные варианты пакетных предложений, позволяющих ТСП более экономно расходовать средства при хорошем понимании своих рисков и оборотов в натуральном и стоимостном выражении.

А разве мошенники не являются в основном проблемой банков?
Так считают не только представители ТСП, но и 90% опрошенных россиян по всероссийской выборке центра НАФИ (Национальное агентство финансовых исследований). В гораздо большей степени интернет-мошенники являются проблемой предпринимателя. В соответствии со Статьей №9 ФЗ “О национальной платежной системе” оператор обязан возместить клиенту “сумму операции, совершенной без согласия клиента”, а затем по правилам МПС банк взимает эту сумму с ТСП. Да, отделы безопасности банков плотно сотрудничают с различными государственными органами. Крупные хищения чаще всего доводятся до суда, но случаи мошеннических платежей по банковским картам через интернет-магазины на сегодняшний момент в России практически не расследуются. Хотя общий объем ущерба от кардинга (мошенники - жители СНГ) составляет 680 млн долларов за 2013-2014 гг. и еженедельно компрометируется 3-6 тысяч карт российских банков.

Рынок данных банковских карт за последние 10 лет окончательно структурировался и пришел к организации массовых автоматизированных каналов сбыта в виде электронных торговых площадок. По оценке Group-IB (компания занимается расследованиями киберпреступлений и мошенничеств с использованием высоких технологий), в 2014 году только в одном таком магазине находилось 6,78 миллионов карт.

И если вы хотите принимать к оплате карты, вы должны знать, что карточный фрод - это один из самых трудно наказуемых и активно развивающихся видов мошенничества.

Почему карточный фрод популярен?
Потому что банковская карта - это удобный и самый быстро развивающийся инструмент оплаты в интернете. Количество карт, эмитированных в РФ в 2014 году составило 220 млн. В крупных городах каждый второй взрослый житель имеет две и более банковские карты. Две трети россиян пользуются банковской картой для оплаты товаров/услуг и снятия наличных практически ежедневно.

Если сравнить с оборотом электронной коммерции, который ежегодно растет в среднем на 10-15%, то количество попыток мошенничества увеличивается минимум на 25% в год. По нашим данным, в 2014 году около 10% от всех операций в интернет-магазинах составили попытки провести фродовый платеж по карте.

Как узнать, что у меня прошла мошенническая транзакция?
Без оперативного фрод-мониторинга - никак. Вы узнаете об этом только спустя какое-то время, МПС предоставляет держателям карт срок до шести месяцев с момента фактической даты оказания услуги. Это время, когда держатели карт по правилам МПС могут написать заявление на опротестование транзакции. Например, если речь идет о продаже авиабилета с вылетом через три месяца от даты заказа, то срок закрытия возможности опротестования транзакции составит до

Внутренний фрод – мошенничество, совершаемое сотрудниками благодаря занимаемому положению и доступу к телекоммуникационному оборудованию. Жертвами такого фрода может стать как сама компания, в которой работают нечистоплотные сотрудники, так и клиенты.

В англоязычных странах слово "fraud" означает любое мошенничество, в России термином фрод называют более узкую категорию преступлений – мошенничества в сфере информационных технологий. В этой сфере текут сотни и тысячи денежных рек – оплата за переговоры, Интернет-трафик, онлайн-покупки и заказы, мобильный банкинг. И у многих появляется желание путем мошенничества направить небольшой ручеек в свой личный карман.

В целом IT-фрод можно разделить на четыре большие категории:

  • Пользовательский, именуемый также абонентским фродом. К нему относят мошенничества со стороны пользователей – незаконное подключение и неоплата услуг операторов связи, звонки за чужой счет, подделка банковских карт и операции без присутствия карты.
  • Операторский фрод – всевозможные сомнительные действия уже кампаний по отношению к клиентам. К ним относят автоматическое подключение платных услуг, дорогая стоимость отписки от них, карты с возможностью уменьшения баланса в минус и т.п.
  • Межоператорский фрод – попытки операторов обмануть друг друга. К его разновидностям относят всевозможные перенаправления трафика, представление дорогих видов связи как дешевые и т.д.

Классификация и способы внутреннего фрода

В свою очередь, внутренний фрод можно подразделить на две большие категории – воровство и злоупотребление. В первом случае имеет место прямая кража денег либо других материальных ценностей, во втором извлечение материальной или нематериальной выгоды не связано с прямым хищением.

Как уже говорилось, в IT-сфере постоянно движутся огромные деньги – от клиента к банку или оператору, между клиентами, между фирмами. И некоторые сотрудники находят возможность поживиться за счет работодателя, либо клиентов.

Например, возможны случаи оказания фиктивных услуг, услуг по завышенным ценам или договора с аффилированными подрядчиками. С клиентами компании также возможны мошеннические действия. Особенно это касается мобильных операторов, где определенные суммы списываются регулярно, зачастую по несколько раз в день, и если сотрудник прибавит к ним небольшой платеж на собственный счет, клиент навряд ли заметит. А поскольку клиентов таких десятки и сотни тысяч, сумма в итоге получается внушительная.

В плане злоупотреблений информационные технологии также представляют широкое поле для деятельности. Масштаб здесь самый широкий, от подключения друзей к выгодным внутрикорпоративным тарифам и вплоть до оформления миллионных счетов за фиктивные, чаще всего информационные, т.е. нематериальные услуги.

Виды экономических преступлений: основные области риска, на что обратить внимание

Большую проблему представляет и завышение результатов. Множество фиктивных клиентов может принести сотруднику или подразделению внушительные реальные премии.

Стоит также отметить злоупотребления, связанные с доступом к оборудованию. В отличие от традиционной промышленности, где финансовые аферы являются уделом руководства и бухгалтерии, в информационной отрасли технические специалисты также способны организовать различные мошеннические схемы благодаря соответствующей настройке серверов и другого оборудования. Например, исключать из учета некоторые виды трафика, регистрировать дорогие звонки как дешевые, а затем подключать к ним отдельные номера. Выявить такие преступления очень сложно, еще труднее доказать, ведь неправильную настройку всегда можно объяснить ошибкой.

Наконец, IT-компании подвержены всем тем злоупотреблениям, что существовали задолго до расцвета информационной эры – устройство на работу фиктивных сотрудников (обычно друзей и родственников начальства), выписка завышенных премий, списание еще работоспособного оборудования с целью дальнейшей продажи, использование служебного транспорта и другого имущества в личных целях.

Кто страдает от внутреннего фрода

Объектами воздействия мошенников могут стать оборудование и программное обеспечение компании, бумажные и электронные финансовые документы, выше-, и нижестоящие сотрудники.

Сервера, маршрутизаторы и другое оборудование весьма уязвимы в силу зависимости их работы от множества выполняемых узким кругом специалистов настроек, в которых все остальные, как правило, совершенно не разбираются. Это дает инженерам и программистам широкие возможности по перенаправлению трафика, искажению отчетов о нем, заражения вредоносным ПО.

Лица, имеющие доступ к финансовым программам, могут как напрямую красть небольшие, а потому незаметные суммы со счетов множества клиентов, так и оформлять фальшивые счета, платежки, расспросы на возврат якобы ошибочно переведенных средств и т.д.

Вариантами обмана сотрудников может быть завышение показателей для получения высоких премиальных, фальшивые запросы на перевод денег, блокировку и разблокировку аккаунтов, выведывание у коллег логинов и паролей более высокого уровня доступа.

Источник угрозы

В соответствии с объектами воздействия можно выделить три основных источника внутреннего фрода в IT-сфере.

Люди имеющие криминальное прошлое легче идут на мошеннические действия. Поэтому любая компания должна осуществлять проверку кандидата до приема на работу, мониторинг его деятельности в процессе работы, поддерживать высокую корпоративную культуру и внедрять эффективные схемы мотивации, ведь достойный и стабильный официальный заработок привлекательнее временных, к тому же грозящих уголовным преследованием мошеннических схем.

Нужно подчеркнуть, что особое внимание должно уделяться работе с людьми. К категориям особого риска следует отнести людей с криминальным прошлым, системных администраторов и других сотрудников с высоким уровнем доступа, лиц, осуществляющих переводы средств. Отдельную категорию составляют увольняющиеся сотрудники, особенно в случае вынужденных сокращений либо увольнений за нарушения в работе. Движимые обидой либо в качестве компенсации они могут попытаться украсть базы данных, внести неправильные настройки в работу оборудования, заразить компьютеры зловредными программами.

Анализ риска внутреннего фрода

Внутреннему фроду уязвимы все компании в которых можно хоть чем-то поживится, это и банки, государственные органы, РЖД, нефтегазовая отрасль и прочие. Другая проблема – сложность отрасли. Зачастую сотрудникам, особенно новичкам, требуется немало времени для освоения сложных программ, при этом операции выполняются с нарушением строгих норм. А любое нарушение есть лазейка для мошенничества.

Четкая прозрачная структура с хорошим внутренним контролем оставляет мошенникам очень мало возможностей для афер.

Помимо внутреннего обязателен также регулярный внешний аудит, как техники, так и финансовых операций, позволяющий выявить неправильную настройку серверов и компьютеров, сомнительные переводы денег. Уже сама возможность раскрытия мошеннических схем заставит многих отказаться от своих планов.

Необходимо анализировать показатели эффективности, как отдельного сотрудника, так и целых подразделений. Порой их резкий рост является не следствием улучшения работы, а мошенническим завышением ради получения больших премий.

Наконец, огромное значение имеет общая корпоративная культура. При ее отсутствии, низкой трудовой дисциплине все нередко начинается с небольших злоупотреблений, на которые закрывают глаза. Безнаказанность подталкивает человека искать (и находить) более масштабные схемы, при которых компания и клиенты теряют уже миллионы.

В то же время четкая, прозрачная система, строгий контроль, включая внешний независимый аудит, осознание неотвратимости наказания заставит большинство забыть о мошеннических схемах в пользу честного заработка. Для противодействия внутреннему фроду используются DLP-системы, системы профилирования сотрудников, поведенческий анализ UEBA.