Между фродом и низкой конверсией

Что такое фрод и почему он неприятен интернет-магазину

Фродом (применительно к электронной коммерции) называют вид мошенничества, при котором товары и услуги приобретаются с помощью украденного (скомпрометированного) платежного средства (как правило это банковские карты, реже – электронные кошельки).

Мошенники – народ изобретательный, они знают множество способов кражи данных банковских карт граждан, и постоянно придумывают новые. В этом им помогают сами граждане – чаще всего своей беспечностью и желанием сэкономить (например, приобретая в интернете товар по неправдоподобно низкой цене, оставляя данные своих карт на фишинговых сайтах, сообщая номера карт и пароли злоумышленникам по телефону и пр.). Также преступники используют взлом баз платежных данных или покупают их у недобросовестных лиц, имеющих доступ к таким базам.

Получив данные карт, мошенники стараются как можно быстрее вывести с них средства подходящим способом, один из которых – онлайн-покупка у ничего не подозревающего честного продавца. Это и есть фрод.

Обнаружив отсутствие денег на своем счете, владелец скомпрометированной карты обращается с претензией в банк-эмитент, списавший средства, а тот, в свою очередь, через платежную систему переадресует запрос процессинговому банку интернет-магазина (банку-эквайеру). Банк-эквайер может инициировать принудительный возврат денег со счета продавца (чарджбэк) и удержать с него за это комиссию.

Здесь, конечно, надо отметить, что процент чарджбэков в России очень мал – в основном потому что держателю карты сложно доказать, что платеж был совершен без его согласия, особенно, если он по неосмотрительности сам сообщил мошенникам данные своей карты. В большинстве случаев пострадавший владелец карты останется единственной стороной, потерявшей деньги, но интернет-магазин хоть и избавится от угрозы чарджбэка, понесет репутационные потери, т.к. банк-эквайер отметит факт фрода по спорной транзакции. И если таких фактов, то есть, фродовых платежей наберется определенное количество, банк-эквайер может отказать магазину в обслуживании, потому что, в свою очередь, сам получает штрафы от платежных систем за проведение мошеннических транзакций. Никому не нужен проблемный клиент, не заботящийся о безопасности. Именно поэтому фрод – в первую очередь головная боль продавца, а не других участников рынка электронной коммерции.

Почему 3D-Secure – не панацея

Чтобы снять с себя риски потерь по мошенничеству, интернет-магазины могут применять метод двухфакторной аутентификации – 3D-Secure (в этом случае ответственность за фрод несет банк-эмитент, осуществляющий процедуру верификации клиента). Строго говоря, использование 3D-Secure является единственным способом аутентификации плательщиков, официально рекомендуемым международными платежными системами. Однако многие онлайн-компании отказываются от этого метода проверки, т.к. при высокой надежности он имеет существенный недостаток – сокращение числа успешных платежей на 7-20%. Это, во-первых, значительно больше, чем средний процент потерь по чарджбэкам, а во-вторых, трудно сознательно пойти на недополучение прибыли, если для магазина важен каждый платеж.

Кроме того, стремительный рост числа покупок со смартфонов сделал использование 3D-Secure более неудобным для покупателей, т.к. в большинстве случаев страницы авторизации не адаптированы к мобильным устройствам. Плюс ко всему недремлющие мошенники научились красть информацию о платежных средствах из смартфонов и перехватывать SMS с паролями.

Таким образом, 3D-Secure хоть и остается надежным способом верификации покупателя, но нуждается в более гибком применении, т.к. меры безопасности не должны наносить ущерб бизнесу. В перспективе (в ближайшие годы) рынок должен перейти на 3D-Secure 2.0, в основе которого лежит биометрическая система идентификации плательщика, но до его полноценного запуска пока далеко, а защищаться от мошенников необходимо прямо сейчас.

Защищаться с умом

Итак, перед магазином стоит задача: отсеять максимум фрода, принять максимум «чистых» платежей.

В качестве доступных инструментов можно использовать весь арсенал средств защиты, известный рынку – 3D-Secure, фильтры, бизнес-правила, «черные» и «белые» списки, ручная проверка, анализ профиля клиента с помощью математических моделей и пр. Самое продвинутое, что есть на сегодняшний день – интеллектуальные системы, построенные на принципах Big Data, т.к. они позволяют в автоматическом режиме уловить только действительно требующие проверки транзакции. А самая высокая точность – у ручной проверки, поскольку какой бы умной и обучаемой ни была система, в сложных случаях она не заменит опыт и интеллект эксперта. Другое дело, что эксперту на проверку одного платежа потребуется 5 минут, а системе – доли секунды.

Вопрос – как настроить политику безопасности онлайн-предприятия таким образом, чтобы это было рационально с точки зрения ресурсных и временных затрат, учитывались индивидуальные особенности бизнеса и выполнялась задача «минимум фрода, максимум конверсии»?

Для этого выделим главные критерии, которые влияют на целесообразность применения тех или иных методов проверки – это сумма платежа (S), трафик, т.е. объем обрабатываемых платежей в единицу времени (V) и время, которое проходит от авторизации до списания средств (T). Рассмотрим случаи, когда сумма может быть небольшой (условно до 1000 руб.) или значительной (условно больше или равна 1000 руб.), трафик низким (условно стремящимся к минимуму) или высоким (условно стремящимся к максимуму), а время условно равным нулю (когда списание средств происходит сразу после оплаты) или условно равным какому-то периоду t (это могут быть несколько часов или дней – как правило, такая схема применяется при предзаказе, бронировании и т.п.).

Схематично методы, применяемые во всех описываемых случаях, представлены в таблице:

A. В самом простом случае, когда у компании невысокий трафик, большинство платежей совершается на незначительные суммы и списание средств происходит не мгновенно, можно ограничиться схемой, включающей ручную проверку и набор фильтров (по суммам платежа, странам-эмитентам, IP-адресам и пр.). 3D-Secure можно не подключать.

B. Почти то же, что и вариант A, но если суммы платежей значительные, то уместно подключить 3D-Secure – при большом чеке процедура аутентификации не будет вызывать у пользователя такого раздражения, как в случаях с мелкими покупками, и больше вероятность, что он пройдет проверку. Можно использовать по желанию либо схему с фильтрами и ручной проверкой, либо 3D-Secure.

C. Если списание средств происходит сразу, то времени на ручную проверку нет, поэтому даже при незначительном трафике и низком чеке лучше применять 3D-Secure.

D. То же самое справедливо и для покупок на большие суммы – подключение 3D-Secure здесь оправдано.

E. В ситуациях с высоким трафиком риск фрода многократно возрастает, поэтому оптимальным решением будет использование комбинированных схем, сочетающих интеллектуальные системы, фильтры с различными настройками и ручную проверку по подозрительным транзакциям, поскольку для нее достаточно времени.

F. То же, что и вариант E, плюс 3D-Secure (только по подозрительным транзакциям).

G. Сильнее всего рискуют магазины с существенным объемом транзакций на маленькую сумму и мгновенным списанием средств, т.к. такое сочетание наиболее удобно для мошенников в силу того, что платежи труднее всего проверить. Здесь оптимальным будет использование интеллектуальной системы и 3D-Secure по подозрительным транзакциям.

H. В таких случаях можно просто включать проверку по 3D-Secure на все транзакции.

Отметим, что мы попытались в общих чертах описать подходы к оптимальной организации антифрод-защиты, поэтому, разумеется, предложенные схемы не претендуют на универсальность, т.к. в этом вопросе всегда необходимо учитывать все индивидуальные особенности предприятия. Именно гибкий подход с использованием различных инструментов и настроек позволяет добиться максимального числа успешных платежей при минимальных рисках.