Николай Бочаров
Риски в электронной коммерции

Полная версия

Как защититься:

– если политика Компании не ограничивает ввод-вывод данных с компьютеров сотрудников, то необходимо подобные примеры включать в обязательное ежегодное обучение персонала.

Отдельное внимание заслуживает тема отличий и особенности мошенничества с использованием криптокошельков. Приватный ключ можно скомпрометировать любым способом, указанным выше. Для мошенников взлом кошелька и перевод криптовалюты является более привлекательным ввиду нескольких причин:

1. Приватный ключ возможно восстановить не у всех типов кошельков, в случае его утери вы можете не восстановить доступ к средствам на вашем кошельке никогда.

2. Доказать кражу средств с криптокошелька крайне сложно, большинство владельцев заводят себе кошельки без прохождения какой-либо идентификации. Когда воровство денег происходит с карты там можно однозначно доказать, в том числе с приложением официальной банковской выписки по счету, факт перевода средств и их принадлежность вам как клиенту банка. С криптокошельками это сделать сложнее, и с доказательствами такого рода правоохранительные органы и суды работают неохотно. Особенно если такой документ выдала нелицензированная криптобиржа или обменник, расположенный в другой стране. Во многих случаях так и бывает.

3. Все платежи, произведенные с помощью технологии блокчейн являются окончательными и невозвратными. Платежи, совершенные по ошибке или несанкционированно, вернуть нельзя. Также в отличие от банковской карты вы не сможете пойти в банк и написать заявление на возврат средств в связи мошенничеством (chargeback).

4. Подача заявления в полицию в данном случае не является действием, которое может увеличить шансы вернуть ваши средства по нижеуказанным причинам:

– правовой статус криптовалюты во многих странах еще не закреплен;

– доказать принадлежность взломанного кошелька бывает затруднительно, а в части случаев невозможно (см. пункт 2 выше);

– найти получателя также не предоставляется возможным, если по всем фиатным переводам можно сделать запрос в банк или иную кредитную организацию, ибо все переводы с использованием электронных средств платежа регулируются, то в случае с криптовалютой регулирование в большинстве стран отсутствует;

– доказать сам факт принуждения или несанкционированного перевода ваших средств будет практически невозможно.

2.2. Отмывание средств, полученных незаконным путем и финансирование терроризма

Когда речь идет про отмывание средств, чаще всего возникает ассоциация с компанией, юридическим лицом или даже группой компаний. Тем не менее, данный риск исходит и от физических лиц. Ниже будут рассмотрены основные схемы и методы противодействия им.

Учитывая факт того, что есть и комбинированные схемы, имеет смысл не описывать эти риски отдельно для компаний и физических лиц, а рассмотреть их комплексно.

Следующие критерии однозначно должны обращать на себя повышенное внимание и исследоваться дополнительно:

1. Страна карты, по которой происходит платеж, является высокорисковой. Для каждого бизнеса список высокорисковых стран будет отличаться. Тем не менее есть официальная градация стран по рискам в организации под названием FATF – Financial Action Task Force. Как минимум при составлении списка высокорисковых или запрещенных стран следует ориентироваться на правила и рекомендации этой организации.

2. Перебор одних и тех же параметров в разных транзакциях. Под данным критерием имеются в виду те случаи, когда с использованием одного и того же параметра, например IP-адреса, осуществляется множество операций с разными уникальными идентификаторами, такими как e-mail адрес, номер банковской карты, номер кошелька, криптоадрес и так далее. Безусловно, у человека может быть два email, пять карт или три номера телефона. Или с одного IP-адреса или одного устройства могут в течение часа осуществить транзакции три родственника или несколько коллег и друзей. Тем не менее, эти ситуации являются редкими, а для мошенников такие модели поведения, напротив, являются весьма распространенными.

3. Использование большого количества карт. Очень часто встречающийся сценарий. Несмотря на большое количество виртуальных одноразовых карт, львиная доля пользователей не имеют более 3—4 карт. Стоит также учитывать временной промежуток, в течение которого произошел перебор карт. Чем он меньше, тем более подозрительным выглядит поведение пользователя. В данном случае, безусловно, имеет смысл обращать внимание и на другие факторы: карты одной страны или разных, принадлежат ли все карты одному банку или даже BIN, какие карты используются, виртуальные или нет и т. д.

4. Попытки маскировки своего профиля в аккаунте. Например, отсутствие информации в некоторых полях, или заполнение тестовых или явно не имеющих смысла и значения данных в тех полях, которые обязательны к заполнению. Примерами такого заполнения могут быть: 111111111, rfiejhvwserhuji и т. д.

5. Попытки пользователя скрыть свое местоположение путем использования различных инструментов. Имеется в виду использование прокси-серверов, временных виртуальных телефонных номеров или адресов электронной почты для регистрации аккаунта, указание неверной страны проживания и т. п. То есть это не прямая фальсификация данных, это вполне законная попытка скрыть информацию по геолокации, а также все следы, которые могут быть использованы правоохранительными органами в случае необходимости установления личности клиента и его истинного местоположения.

6. Большой всплеск транзакций по клиенту за короткий промежуток времени без видимой и логически обоснованной причины. Особенно если это не соответствует изначально заявленному обороту при онбординге клиента.

7. Проверка поведенческих факторов пользователя. Нестандартное проведение клиента, например, когда он отказывается от более выгодного предложения, покупает сразу несколько однотипных моделей телефонов или иных легких к сбыту товаров, покупает большое количество различных туристических путевок на разных людей и т. д. Все подобные отклонения необходимо просчитывать и описывать в логике работы антифрод системы.

8. Использование поддельных или недействительных документов для идентификации пользователя. Собственно, этот пункт скорее не из разряда подозрительных критериев, а прямых нарушений. После чего клиента следует блокировать незамедлительно. Однако и здесь есть свои нюансы. Бывает, что человек пытается пройти идентификацию с недействительным по сроку документом, например загранпаспортом или муж регистрирует аккаунт на жену, присылает документы на ее имя и не проходит идентификацию на стадии проверки селфи. Здесь не всегда прослеживается злой умысел, такой случай может быть вполне стандартно-бытовым. А в случае попытки прислать поддельный документ или нарисованный, или на абсолютно не связанного родственными связями человека – здесь, безусловно, нужно рассматривать такие случаи как попытки мошенничества.

9. Подозрение на фальсификацию карточных данных с помощью использования фоторедакторов. Не всегда удается с точностью определить, что предоставленное фото карты является поддельным. Особенно сложно это выявлять при получении снимков экрана с данными виртуальной карты, в данном случае использование фоторедактора становится практически незаметным для проверяющего. Легче всего проверяются эмбоссированные карты из-за объемности вдавленных символов или цифр. Более сложны для выявления, но, тем не менее, тоже подходят для проверки физические карты, выполненные не эмбоссированным способом, а просто с напечатанной на карте информацией. На таких картах нет вдавленных символов.

10. Дробление платежей с целью легализации (отмывания) доходов, полученных преступным путем. В каждой стране существуют свои лимиты, ограничения и набор критериев для определения подозрительных и подлежащих обязательному контролю операций. Также есть общепризнанные международные стандарты и критерии. Мошенники используют как простые схемы обхода лимитов, так и более изощренные. К простым способам относится классическое дробление платежей, с целью непревышения максимально допустимой суммы, подлежащей обязательному контролю. Например, существует ограничение на максимальную сумму проведения операция в 40 000 евро в месяц. При превышении данного лимита клиент согласно политике AML должен предоставить дополнительные документы и сведения и пройти углубленную проверку – EDD (Enhanced Due Diligence). Необходимо вывести 500 000 евро, полученных преступным путем и/или, которые будут направлены на финансирование терроризма. Самый простой способ каждый месяц совершать операции, не превышающие установленный лимит. Но на это потребуется более года, более того есть вероятность все-таки попасть на углубленную проверку, если у финансового института установлен не только месячный лимит, но и лимит за более продолжительное время, например, квартальный. Более эффективно не просто дробить платежи, а создать фейковые аккаунты под управлением того самого клиента, что владеет основной суммой или же создать реальные профили клиентов (дропов), которые будут тем не менее также подчиняться, за определенные комиссионные, основному владельцу средств. Однако, такой путь требует значительно больших затрат от преступника.

11. Частая хаотичная смена IP-адреса, номера телефона и (или) иного идентификатора устройства, с которого пользователь получает доступ в свой аккаунт. Это может происходить и в обычной жизни, когда злоумышленники получают доступ к почте или телефону, после чего клиент хочет заменить скомпрометированные данные. Тем не менее это тоже должно насторожить, так как это говорит о небрежном отношении клиента к своим логинам и паролям. Также мошенники могут сменить почту или телефон с целью замести следы или запутать следствие, например, зарегистрироваться на свои собственные данные, потом попытаться сменить их на вымышленные.

12. Неоправданные задержки в предоставлении клиентом документов и информации, которую невозможно проверить. Зачастую подозрения вызывают те документы, которые предоставляются крайне быстро или, наоборот, крайне долго. В первом случае это может свидетельствовать о том, что клиент использует шаблонные документы и меняет лишь некоторые данные в фоторедакторе. Предположим, что существует группа мошенников, которые используют подставных лиц для отмывания средств с их банковских карт. Все карты однотипны, как правило, даже одного или двух банков. Для вывода средств используется несколько шаблонов – выписок с банковского счета и снимок экрана с виртуальной неименной картой. За снимок экрана можно выдать сделанную картинку с реквизитами карты в любом графическом редакторе. Гораздо сложнее подделать фотографию экрана устройства, на котором изображена карта или ее данные. Стоит это учитывать при проверке.

Вернемся к дропам. При запросе у них выписки со счета и фотографии карты они могут прислать это очень быстро, буквально в течение 5—10 минут, так как за шаблон используется готовая банковская выписка, в которой меняются лишь ФИО клиента и его номер карты. Также обстоят дела и с подделкой виртуальной карты. Учитывая факт того, что счетов создается много, а занимается этим один или несколько человек, им хочется поставить предоставление запрашиваемых документов на поток и не выжидать специально час или даже более, как это требуется для среднестатистического клиента.

Обратная сторона медали заключается в неоправданно долгом предоставлении документов, что может также говорить о том, что клиент пытается найти способ как подделать документ, особенно если при этом его поведение говорит о том, что он спешит совершить транзакцию. Или это может быть отказ прислать селфи с документом, мотивируя это различными причинами, порой самыми нелепыми. Например, отказ прислать селфи, потому что клиентка заявляет, что не накрашена. Долгое предоставление договора между двумя юридическими лицами, или несколькими подобными компаниями тоже должно насторожить проверяющего, как правило, подобные договора хранятся структурировано, и не составляет большого труда их отсканировать, особенно если при этом сам клиент проявляет спешку или нервозность при общении с поддержкой.

13. История взаимодействия с пользователем в рамках одного аккаунта. Безусловно, клиент с историей заслуживает большего доверия чем вновь прибывший. Тем не менее, распространены случаи, когда, например, мерчант открывает счет, подключается к эквайрингу, делает небольшие обороты в течение года, после чего подмешивает или подменяет незаконный или запрещенный трафик. Ошибкой проверяющего в данном случае будет предвзятое отношение к проведению углубленной проверки ввиду того, что мерчант уже работает с их организацией целый год и никаких проблем или фрод репортов по нему не поступало.

14. Несоответствие операций, проводимых клиентом его изначально заявленным целям и виду деятельности. Клиент может заявить, что его компания занимается легальным белым и не рисковым бизнесом, а в действительности осуществлять запрещенные или высокорисковые транзакции, которые или стоят дороже по интерченджу (комиссия за транзакцию), или несут прямой риск получения штрафов от международных платежных систем, регуляторов или иных контролирующих институтов. Также согласно AML политике необходимо оценивать риски по каждому клиенту максимально корректно, и это не бюрократическое требование. Оно в реальности помогает не только зарабатывать больше, но и одновременно снижать риски.

15. Большое количество тестовых операций, которые не могут быть объяснены здравым смыслом или простой логикой. По тестовым транзакциям с самого начала можно сложить представление о предстоящем трафике. Очевидно, что подозрительным будут попытки тестирования платежей из тех стран, которые или закрыты вовсе, или были заявлены клиентом как ненужные для его бизнеса. Также встречаются случаи, когда транзакции на одну и ту же сумму, например 55 долларов, мерчант выдает за тестовые, стараясь обосновать ситуацию с такими платежами, а по факту это может быть продажа запрещенного или рецептурного медицинского препарата именно такой стоимости. Применительно к физическим лицам, на этапах тестирования можно заметить многочисленные попытки расплатиться картами, выпущенными на чужие имена, или получить банковские переводы от различных отправителей. Это может быть подготовкой и тестированием системы на дальнейший прием платежей, связанных с отмыванием дохода или попыткой вывода средств с сомнительным происхождением.

16. Чрезмерная настойчивость клиента в попытке использования вашего сервиса. У вас не самые выгодные условия на рынке? В вашей сфере полно конкурентов, но при этом клиент настойчиво просится именно к вам? Это тоже является красным флагом.

17. Отсутствие интересов клиента в отстаивании своих прав в диспутной работе в соответствии с правилами международных платежных систем. Что имеется в виду. Когда мерчант получает чарджбэк с любым кодом, он крайне заинтересован выиграть данный диспут. Для этого он активно участвует в формировании пакета с документами, доказывающих его правоту и всестороннее оказание услуги плательщику. Обратную картину можно видеть, если мерчант торгует чем-то нелегальным, например это нелицензионный гемблинг или продажа наркотических средств. При таком сценарии мерчант пытается любыми способами урегулировать конфликт не доводя диспут до арбитража и более детального изучения со стороны платежных систем. Также мерчант не хочет злить клиента, провоцировать его обращаться в правоохранительные органы или писать различные жалобы в интернете, тем самым раскрывая истинную деятельность. Для таких случаев характерно необоснованное количество возвратов по любому поводу, независимо от того оказана ли услуга или доставлен товар, правило простое: есть жалоба – делаем возврат. Это можно выявлять соответствующими лимитами, установленными на количество рефандов в абсолютном и относительном к обороту значениям.

2.3. Friendly или Family фрод

Дружественным или семейным данный вид мошеннических транзакций называется ввиду того, что для самого простого объяснения приводится случай, когда клиент случайно или умышленно оплатил покупку по карте друга или члена семьи, который впоследствии заявил, что не совершал данных транзакций. На практике в подавляющем большинстве речь идет об умышленных случаях обмана эмитентов законными держателями карт. То есть они сами авторизовали транзакцию, а позже, с целью незаконного обогащения пытаются обмануть свой банк. Это применимо не только к банковской карте, к любому типу платежа, будь то банковский перевод или электронный кошелек. Но больше всего распространен данный способ именно на банковских картах, так как эмитент обязан принять от своего держателя заявление о фроде, завести его в систему и отправить эквайеру, а в случае необходимости оспорить данную транзакцию, инициировав процедуру chargeback. На последнее и рассчитывают мошенники. Причем, данный фрод зачастую имеет успешный конечный результат для мошенника, и эти причины стоит рассмотреть подробней:

1. Некомпетентность сотрудников в области риск менеджмента или AML. Иногда встречаются проблемы с оценкой реальных рисков, а не потенциальных. Например, получен recall (по сути, заявка на возврат средств) от банка-отправителя платежа с мотивировкой, что законный отправитель не отправлял деньги и это мошенническая транзакция. В ходе проверки может выявиться факт того, что имя отправителя не совпадает с именем получателя, хотя согласно описанию от банка-отправителя сама услуга подразумевала перевод собственных средств, соответственно услуга не была оказана, или была оказана с нарушениями регуляторных требований в области идентификации клиента. Комментарий от банка-отправителя может быть любой, в том числе и не соответствующий реальной действительности, потому что банк заинтересован в удовлетворении своего клиента, поэтому он и сам может способствовать мошенникам.

Предположим, что после проверки данного случая выясняется, что связей с другими транзакциями нет, пересечения с другими клиентами отсутствуют, клиент прошел идентификацию, был проверен по спискам на принадлежность к PEP (Politically exposed person – политически значимое лицо), санкциям и так далее. Какой есть риск в данной ситуации для компании-получателя в случае отказа возвращать средства отправителю? Никакой. Можно пофантазировать, конечно, над потенциальными рисками, особенно если пользователь жалуется в центробанк, грозит пойти в суд, полицию, чтобы те возбудили уголовное дело и так далее. Тем не менее, очень часто встречаются такие случаи возвратов, связанные с некомпетентностью сотрудников и/или незнании своих собственных процессов в компании.

2. Мошенничество со стороны банка эмитента. Клиент оплачивает товар или услугу по карте на сайте, который не поддерживает использование протокола 3DS, и услугу или товар не получает. Далее он приходит в банк и заявляет, что ему не доставили товар. Банковский сотрудник видит, что транзакция прошла без 3DS, соответственно, ответственность за фродовые чарджбэки будет нести мерчант. Вероятность выиграть такой чарджбэк и успешно вернуть своему клиенту деньги гораздо выше, чем использовать код для оспаривания, связанный с недоставкой товара. Эмитент сознательно идет на это и заявляет транзакцию мошеннической.

3. Неиспользование протокола 3DS. В пользу лучшей конверсии некоторые мерчанты сознательно открывают терминал без поддержки 3DS. В целом такая концепция была бы вполне работоспособной, если бы не мошенники, которые специализируются исключительно на этом виде фрода. Они постоянно ищут таких мерчантов, прогоняют через них карты без использования 3DS после чего заявляют о фроде, выигрывают чарджбэк и незаконно обогащаются. Предположим, мерчант из сферы Forex дает оборот на non-3DS терминале в 10 миллионов долларов в месяц. Заработать на комиссии от эквайринга можно пусть 1%. Получается 100 тысяч в месяц. Достаточно нескольких клиентов с оборотом по карте в 30 тысяч, которые в итоге будут оспорены как мошеннические, чтобы не только перекрыть всю прибыль, но и попасть в программу платежной системы по превышению пороговых значений по фроду. А для кардеров это просто золотая жила, можно за раз заработать столько, сколько среднестатистический гражданин зарабатывает за целый год. Поэтому отказ от 3DS в сфере high risk мерчантов всегда несет в себе подобный риск, который следует учитывать, а при возможности и суметь рассчитать, при построении такой модели приема платежей.

Проблема выявления семейного фрода

Данный вид фрода выявить в результате мониторинга или при использовании автоматической антифрод системы очень сложно. Причина кроется в самой природе этого вида мошенничества: люди, как правило, сами совершают покупку, а значит, все их поведенческие факторы не будут вызывать никаких подозрений. Они используют свой ip адрес, емейл, телефон, идентификационные данные. Ни одна система противодействия мошенничеству не умеет читать мысли или намерения человека, особенно если на момент транзакции он даже и не думал о том, что через какое-то время он решит оспорить эту операцию как фродовую. Также нет связей с другими мошенническими транзакциями, так как для семейного фрода не характерен сговор. Тем не менее, после получения первых фрод репортов и подозрений принадлежности их к family fraud, необходимо искать характерные признаки и вносить изменения в настройки антифрод системы.