Риски в электронной коммерции

Для того, чтобы рассмотреть основные риски, необходимо сначала определиться с пониманием того, что вкладывать в понятие «риск».

Риском мы будем считать некое событие, которое влечет за собой негативные последствия, выражающиеся в той или иной форме. У этого понятия есть две характеристики: вероятность наступления, или просто вероятность и последствие. По поводу вероятности: для общего понимания исключим углубление в понятие вероятностного пространства и другие строгие термины теории вероятности. Последствие будет измеряться непосредственно тем негативным результатом, которое исходит от события.

Схематически основные риски можно представить на рис. 1.

Рис. 1

1.1. Финансовые риски

Пальму первенства среди финансовых убытков занимают потери от чарджбэков. Чарджбэк (от английского «chargeback») – это процедура возврата средств по совершенной ранее транзакции в пользу держателя банковской карты. По сути, это возврат средств. Следует признать, что большинство людей, в том числе и экономически активных, которые имеют и пользуются несколькими банковскими картами, не имеют представления о чарджбэке. Это связано в первую очередь с тем, что ни одному из участников платежей не выгодна реклама этой процедуры. Эквайеру и мерчантам это не выгодно из-за объективных и прямых причин – в случае получения чарджбэка, сначала данная сумма удерживается с эквайера, который в свою очередь в соответствии с договором эквайринга перекладывает эти издержки на мерчанта. То есть проигранный спор по чарджбэку – это прямой убыток мерчанта, а в случае невозможности возмещения этого убытка эквайеру, то и прямой убыток последнего. Более того чарджбэки портят статистику, так как платежными системами установлены предельно допустимые уровни, после чего участник, превысивший этот уровень попадает в специальную программу, которая не сулит ему ничего хорошего. Подробнее этот вопрос будет рассмотрен в 4-й главе.

Эмитентам, кроме как улучшения лояльности клиентов процедура оспаривания транзакций также не несет ничего хорошего, так как это лишние трудовые затраты и различные комиссии. Например, в случае выхода спора на арбитраж платежной системы проигравшая сторона платит дополнительную комиссию в размере 500 долларов или евро. Если кардхолдер оспаривает несколько транзакций, комиссия будет оплачиваться за каждый случай арбитража.

В зависимости от причины недовольства клиентом оказанной услугой или товаром применяется специальный код чарджбэка, который лучше подходит в той или иной ситуации. Также держатель карты может сказать, что операцию осуществлял не он, даже если это не правда, эмитент все равно обязан начать процедуру возврата средств, если его клиент прямо не нарушил условия договора обслуживания карты.

Дополнительно, существуют различные комиссии и пени от платежных систем за нарушение правил.

Особенно стоит выделить штрафы за незаконную или запрещенную деятельность: Business Risk Assessment and Mitigation Program (BRAM) и Visa Integrity Risk Program (VIRP). В зависимости от типа нарушения правил штрафы за BRAM или VRIP составляют от 25000 до 200 000 долларов, а в некоторых случаях возможна дисквалификация участника. Более подробно эти две программы будут рассмотрены в 3-й главе.

1.2. Регулятивные риски

Этот вид риска включает в себя все возможные негативные последствия, исходящие от различных регуляторов в виде центрального банка, платежных систем, контролирующих государственных органов, силовых структур и так далее.

Классический пример, когда платежный фасилитатор для осуществления возможности приема платежей получает лицензию от федеральной службы по финансовым рынкам, но не может выполнить условия соответствия политике противодействия отмыванию денег и финансирования терроризма. Помимо прямого риска лишиться лицензии существует множество непрямых методов негативного воздействия на процесс организации приема платежей.

В случае получения большого количества фрод репортов незамедлительно будет увеличиваться нагрузка на взаимодействие с банками, полицией, регулятором, так как каждый из них будет запрашивать информацию по мошенническим инцидентам с целью получить все детали по транзакции для проведения собственного расследования. Также будут обращаться и сами потерпевшие, платежные реквизиты которых были скомпрометированы злоумышленниками.

1.3. Правовые риски

Все участники платежного рынка взаимодействуют между собой на основании договоров. Любой человек, открывая себе электронный кошелек, соглашается с условиями, прописанными в оферте. Поставленная галочка в момент регистрации личного кабинета означает автоматическое принятие (акцепт) оферты. Компания, предоставляющая услугу пополнения этого электронного кошелька с помощью банковской карты, имеет договор эквайринга с банком. Банк, в свою очередь, имеет договорные взаимоотношения с международными платежными системами. А у электронного кошелька существует множество различных платежных инструментов, как на ввод, так и на вывод средств, и каждый платежный метод – это отдельный договор. Каждый отдельный договор несет риск его невыполнения одной из сторон, начиная от банальной халатности, заканчивая прямым умыслом на мошенничество.

Например, банки-эквайеры зачастую, к сожалению, явно злоупотребляют своим положением посредника между международной платежной системой и мерчантом и нарушают права последнего на законное ведение претензионной работы по отстаиванию своей позиции по чарджбэкам, штрафам, комиссиям и просто владению информацией. Распространены случаи, когда на мерчанта накладывается солидного размера штраф, например 25000 евро за мискодинг без предоставления какой-либо доказательной базы, ссылаясь на то, что эта информация закрытая и, по сути, вынуждая просто поверить на слово. Такие отношения и ситуация в целом недопустимы.

1.4. Репутационные риски

Любая компания дорожит своей репутацией и все вышеуказанные риски и их последствия напрямую негативно влияют на репутацию. Не стоит недооценивать опасность плохой репутации, один негативный отзыв может отпугнуть десятки, если не сотни потенциальных клиентов, что ведет к недополученной прибыли. Для компаний, работающих в финтех сфере очень важно внушать доверие своим клиентам, что их деньги в безопасности.

Даже если клиент очевидно нарушил правила владения своим электронным кошельком или передал данные своей карты третьему лицу, вследствие чего лишился своих денег, существенная часть его негатива обрушится на банк, электронный кошелек или иную компанию, которая предоставляет ему соответствующий продукт или услугу, и он искренне будет писать негативный отзыв, прикрепляя снимки экрана и другие доказательства того, что «злостная» компания нарушила его права и обманула. Такова человеческая натура – искать виноватого в своих собственных ошибках. Поэтому наряду с иными мерами минимизации рисков так важно уделять внимание защите своих клиентов от фишинга и в целом повышать их грамотность при использовании финансовых продуктов.

Помимо репутации в глазах клиентов – физических лиц, не менее важно держать марку перед компаниями из B2B сегмента. Платежный мир достаточно узок, репутация бежит впереди компании.

В этой и последующих двух главах будут показаны более детальные риски, исходящие от различных участников платежей. Данная глава начнется с рассмотрения клиентов – физических лиц. Итак, разберем подробней какие риски исходят от них.

2.1. Использование платежных реквизитов третьих лиц

Сюда входит и использование банковских карт, которые не принадлежат клиенту и взлом электронных кошельков или личного кабинета с хранящимися там денежными средствами, в том числе криптовалютой. Основная цель мошенников в этом случае заключается в незаконном обогащении с помощью чужих средств.

Для того чтобы понимать какие меры противодействия следует применять для минимизации этого вида риска следует более подробно рассмотреть природу его возникновения. Каким образом злоумышленник получает необходимые для совершения платежей данные? Основных пути два: фишинг и использование вредоносного программного обеспечения.

2.1.1. Фишинг, особенности использования

Фишинг (от англ. Fishing – рыбная ловля) – это собирательное определение, которое представляет собой разновидность социальной инженерии, другими словами, это получение критичной и значимой информации незаконным способом с целью получения последующей выгоды или прямого денежного обогащения за счет жертвы фишинга. Впервые данная техника сбора данных проявила себя в середине 90-х годов прошлого века и в настоящее время техника фишинга постоянно улучшается.

За какими данными чаще всего охотятся мошенники? Прежде всего это:

– данные банковских карт;

– логин и пароли для входа в различные личные кабинеты, в том числе в банковские и электронные кошельки;

– данные, необходимые для идентификации, паспортные данные, ФИО, дата рождения и другие;

– различные базы данных.

Существует великое множество способов получения информации, ниже будут рассмотрены наиболее популярные.

2.1.2. Электронная рассылка писем

Одна из самых ранних форм. Заключается в рассылке информации, побуждающей клиента предоставить в том или ином виде критичную информацию. Стоит отметить, что рассылка писем по электронной почте на сегодняшний день не является единственным способом коммуникации мошенника с жертвой, все чаще используются социальные сети и мессенджеры. Сложно предугадать какие новые методы и техники будут использоваться в будущем, но основы рассылки остаются всегда неизменными и состоят в следующем:

1. Привлечение внимания. В зависимости от метода исполнения используется разный подход. В электронной рассылке это, несомненно, тема письма. Название темы в стиле «Срочно», «Важно» или «Ваш счет взломан» стали давно уже не работающими, клиент становится более разборчивым и необходимо придумывать новые формулировки. Если используются социальные сети или мессенджеры, то зачастую злоумышленники стараются сперва взломать чей-то аккаунт, чтобы далее от имени знакомого или друга пройтись рассылкой по всему контактному листу. Уровень доверия знакомому или другу всегда значительно выше, чем постороннему лицу, на это и делается расчет. В данном случае начало общения может начинаться с банального «привет, как дела?» или же сразу по делу «помоги, я попал в беду». Однако, второй вариант также уходит в прошлое, мошенники стараются действовать нешаблонно и беседовать индивидуально с каждым человеком.

2. Непосредственно сам фишинг. Здесь происходит воздействие на клиента с целью получения критичных данных. Сценариев существует масса, начиная от просьб и заканчивая угрозами и шантажом. Наиболее частые из них: обращение со стороны правоохранительных органов, сотрудников финансовых организаций, организаторов различного рода лотерей и иных инвестиционно-привлекательных мероприятий. В данном случае мошенники используют знание человеческих слабостей, таких как жажда наживы и легких денег. Также применяются знания элементарной психологии, попытка внушить жертве чувство опасения за свои финансы. Независимо от сценария сам текст содержит мотивирующую к передаче данных информацию. Следует отличать рассылку текста с целью получения данных незамедлительно или вступить в переписку от рассылки текста с целью заставить клиента перейти по ссылке, скачать файл или сделать любое другое действие, способствующее скачиванию вредоносного файла. В данном пункте мы рассматриваем именно коммуникацию между мошенником и потенциальной жертвой.

Возможен вариант прикрепления к телу письма ссылки на сторонний ресурс, где от клиента требуется ввести какие-либо данные.

3. Получение данных и дальнейшее их использование в корыстных целях. Необходимо понимать, что в большинстве случаев преступники имеют четкое распределение по типу деятельности: одна группа занимается исключительно получением данных, которые можно продать. Другая занимается их применением, например покупкой с помощью ворованных данных банковских карт определенных товаров или услуг. Третья группа мошенников ответственна за реализацию и обеление средств. И, как правило, данный бизнес является международным. Кража данных может быть совершена у гражданина США лицами, проживающими на территории Румынии, а обналичивание средств будет осуществляться с предоплаченных карт на территории Германии. Еще более сложной может быть схема с использованием цифровых денег, в том числе криптовалюты.

Теперь рассмотрим основные характерные черты фишинг-письма:

– адрес отправителя содержит нелогический набор символов;

– доменное имя адреса с первого взгляда напоминает общеизвестный мировой бренд или крупную компанию, но в адресе изменена или добавлена лишняя буква или цифра;

– нестандартная доменная зона отправителя письма, принадлежность доменной зоны к какой-либо иной стране;

– отсутствие подписи или имени отправителя;

– обращение от государственных или правительственных органов с негосударственных доменных зон;

– грамматические, стилистические или синтаксические ошибки в тексте письма;

– письмо содержит файлы с нестандартным или неизвестным расширением;

– письмо отправлено от имени компании, но почта используется не корпоративная, а общедоступная (gmail, yahoo и др.);

– некачественный дизайн письма, ощущение, что письмо составили «на коленке»;

– текст на иностранном языке, чаще всего на английском, так как рассылка может быть сделана по разным странам.

Некоторые характерные фишингу признаки по содержанию письма:

– предлагается бесплатное участие в какой-либо лотерее, требуется только заполнить данные об участнике, включая персональные данные;

– обращение от старого знакомого или друга, с которым вы давно не поддерживаете никаких отношений с нестандартной просьбой, например, одолжить денег или помочь в беде;

– сообщение о том, что ваш аккаунт временно заблокирован;

– обращения от правоохранительных органов c целью заставить получателя выполнить любые действия;

– сообщение о подозрительных транзакциях с карты или со счета с принуждением совершения дальнейших действий;

– вы выиграли приз/получили наследство/стали победителем викторины или конкурса.

2.1.3. Голосовая коммуникация

В данном случае используется обычный телефон или интернет-телефония. Этот вид взаимодействия с клиентом является самым популярным ввиду его максимального охвата среди населения. Особенно эффективно работает данный метод с людьми пожилого возраста, которые в силу привычки не всегда используют интернет, но, тем не менее, имеют обычный телефон. Также эта группа людей в силу возраста является более доверчивой и менее информированной в области финансов, современных технологий и их использования.

Этапы взаимодействия с клиентом являются точно такими же, как и при электронной рассылке, но при живом взаимодействии есть, несомненно, своя специфика общения. В первую очередь основной упор делается на решение ситуации здесь и сейчас. Мошенники в данном виде фишинга являются хорошими психологами и актерами, тонко знающими специфику взаимодействия с человеком. Клиента пытаются держать в напряжении с самого начала разговора и до момента передачи данных. Основными участниками ведения разговора со стороны мошенников также являются псевдо сотрудники правоохранительных органов, банков, государственных и социальных служб. В частых случаях клиент будет общаться с человеком на том конце провода с наличием внешнего фона, например сопутствующих звуках call-центра, или отвлечения говорящего на уточнение информации у «коллег». Очень часто клиента якобы переводят на другой отдел или организовывают видимость последующего звонка от другого сотрудника. Например, изначально звонок может поступать от псевдо полицейского, который просит сообщить некоторые детали в рамках расследования уголовного дела напрямую никак не связанного с жертвой. Более того «полицейский» сам будет настоятельно предупреждать, что никакую информацию касательно банковской карты, паспортных или персональных данных никому, в том числе и ему сообщать нельзя ни в коем случае. Тем самым повышая уровень доверия к себе. Далее возможен сценарий предупреждения жертвы, что его счет, личный кабинет или данные банковской карты также могли быть скомпрометированы. Некоторые люди после этого самостоятельно проявляют инициативу и пытаются наладить взаимодействие с преступником с целью обеспечения сохранности своих средств. Если этого не происходит, мошенник с помощью непрямых вопросов пытается спровоцировать клиента на предоставление данных. Очень часто работает метод ошибочного предположения. Клиенту задают вопрос: «Согласно нашим данным у вас на счете находится 31 013 рублей, верно?» «Нет, вы ошибаетесь, я вчера проверял, должно быть 150 тысяч, я коплю на подарок дочке на совершеннолетие…» – отвечает клиент. Такая уловка часто используется и с 3DS паролем, мошенник также называет любые 4 цифры, мол, проверьте код вам пришел на телефон, клиент проверяет и говорит: «Нет, вы не правы тут совсем другие цифры и, как правило, называет их».

Возможны и другие сценарии, например, попытка узнать карточные данные для того чтобы перевести деньги за услугу или товар по размещенному клиентом объявлению. Как правило, мошенник даже не интересуется деталями товара или услуги, методами его получения, не просит предварительно посмотреть товар вживую.

2.1.4. Фишинг на сторонних ресурсах

При данной атаке клиент самостоятельно проявляет инициативу и заходит на какой-либо сайт, который был создан с нуля со своим собственным дизайном и легендой. На данном сайте может разыгрываться какой-либо приз, и от пользователя требуется заполнить свои данные для участия в лотерее. Или сделать платеж на небольшую сумму, чтобы выманить у него данные банковской карты. Может быть создан мошеннический сайт, точно повторяющий дизайн оригинального сайта.

Заслуженно несправедлива ситуация, когда при поиске какой-либо государственной службы в первых строчках поиска появляется сайт-клон, где от получателя просят вводить разные данные в том числе и паспортные, которые затем уходят злоумышленникам.

Поисковые системы не всегда следят за теми сайтами, которые всплывают в первых строчках, особенно если этот сайт платит поисковой системе за рекламу.

Государственные службы информационного надзора в области цифровых коммуникаций также зачастую пропускают такие сайты в силу своей некомпетентности или иных причин. Поэтому не стоит полагаться на тот факт, что в первой строчке выдачи поисковой системы не может появиться мошеннический сайт, еще как может.

Основные черты мошеннического сайта:

– отсутствует SSL-сертификат, в адресной строке сайта вместо аббревиатуры https можно заметить http. Также большинство современных браузеров выдает предупреждение об опасности в таком случае или как минимум подсвечивают безопасные сайты значком навесного замка;

– некачественный дизайн или верстка страниц;

– нестандартное или подозрительное название сайта;

– попытка подделки названия известного домена. Это можно сделать с помощью дополнительного или, наоборот, пропуска всего лишь одного символа, регистрации домена в другой доменной зоне;

– отсутствие контактной информации или откровенно ложные контакты.

Стоит упомянуть отдельно про способы борьбы с сайтами-клонами.

В случае обнаружения вашего логотипа, бренда, коммерческого названия или иных атрибутов компании, на которые имеются авторские права, следует незамедлительно отправить жалобу-претензию регистратору доменного имени и хостинг-провайдеру. Чаще всего, этого бывает достаточно для блокировки сайта-клона. Чем больше информации указать в жалобе, в том числе доказывающей, что обращается легитимный владелец авторских прав, тем с большей долей вероятности можно рассчитывать на быстрый положительный результат.

В данном случае обращение в правоохранительные органы, прокуратуру или попытка закрыть сайт через решение суда ввиду громоздкости и бюрократизированности всей правовой системы выглядит крайне неэффективным способом. Потратив уйму времени и средств, можно добиться принудительного решения от суда сайт заблокировать, но если регистратор или хостинг-провайдер находится в другой юрисдикции, как обычно и бывает, то цена этому решению невелика. В любом случае на это уходят месяцы, за это время сайт-клон все свои поставленные мошеннические задачи уже выполнит и закроется сам.

2.1.5. Типы поиска клиентов

По типу поиска клиентов фишинг разделяется на две группы: массовый и целевой.

Массовый фишинг не отличается какими-либо специальными настройками рассылки или обзвона клиентов. Звонки и рассылка осуществляются наугад. Конверсия успешных исходов в пользу мошенников при данном способе наименьшая. В то же время себестоимость такой атаки также минимальная. Достаточно купить актуальную базу телефонов или адресов электронной почты, придумать шаблон обращения или письма и осуществлять рассылку или обзвон клиентов.

Совершенно иная картина складывается при целевых атаках. Сейчас можно купить практически любую информацию о любом человеке. В даркнете открыто продаются различные базы данных: паспортные, персональные данные с актуальными номерами телефонов и e-mail адресами, различная информация о человеке, идентифицирующая его в государственных и социальных службах, например СНИЛС, ИНН, номер страхового полиса, информация о недвижимом и движимом имуществе. Эта информация добывается злоумышленниками разными способами, но основные из них – это должностное преступление и использование вредоносного программного обеспечения. Причем если использования разного софта, как правило, собирает информацию о человеке общего характера, то злоупотребление служебным положением дает очень узкоспециализированную и детальную информацию.

Например, количество открытых счетов по клиенту в банке и актуальные суммы средств на них на определенную дату. Хотите узнать детализацию звонков по конкретному человеку? Геоданные по местам передвижения абонента? Пожалуйста. Также можно приобрести готовые идентифицированные профили клиентов на различных крипто площадках или электронных кошельках для последующего вывода ворованных средств.

В государственных структурах, пенсионном фонде, правоохранительных и смежных органах, различных ведомствах, операторах связи, интернет-провайдерах, банках, data-центрах работают миллионы человек. Среди них всегда найдутся недобросовестные сотрудники, которые ввиду халатности, некомпетентности, человеческого фактора или с целью незаконного заработка допускают утечки данных. Вся эта информация стоит денег, поэтому целевой фишинг разумен для обработки состоятельных клиентов.

Существует и комбинированная схема, когда среди выявленных и готовых к сотрудничеству клиентов, полученных с помощью массового фишинга, применяется дополнительная точечная покупка необходимой информации. Также существует масса открытых государственных ресурсов, где можно проверить, вводя данные о человеке различную информацию: наличие долгов, участие в судопроизводстве, штрафы и т. д. Все это позволяет создавать сотни сценариев для голосового или электронного фишинга индивидуально под каждого клиента.

Даже если человек достаточно образован и опытен в финансовой сфере звонок, скажем, от его страхового агента, у которого есть абсолютно вся информацию по его профилю и данным может сильно ввести в заблуждение и расположить этого человека к звонящему. А дальше дело техники, под каким предлогом и какие данные выудить. В большинстве случаев, когда жертва слышит, что звонящему известны паспортные и контактные данные, она сама готова делится любой недостающей информацией, включая доступы к личным кабинетам финансовых институтов, номера банковских карт, входящие sms с паролями. Уловка сверки паспортных и контактных данных применяется довольно часто, мошенник просит сверить их актуальность и сам диктует абсолютно корректные и правильные данные. Данная подача на фоне шума «работающего call-центра» убеждают самого последнего скептика, что ему действительно звонит легитимный сотрудник.

2.1.6. Использование вредоносного программного обеспечения

Данный вид получения критичных данных клиентов не менее распространен, но более коварен, потому что происходит без ведома самого клиента. Мы не будем уделять большое внимание этой проблематике в книге, так как данный аспект лежит больше в плоскости информационной безопасности. Тем не менее, стоит упомянуть основные меры предосторожности:

1. Использование лицензионного программного обеспечения, в том числе систем антивирусной защиты. Поддержка их в актуальном состоянии.

2. Для всех критичных учетных записей обязательно использование двухфакторной аутентификации. Последние исследования в области информационной безопасности показали, как просто перехватить SMS сообщение с кодом подтверждения, которое доступно практически всему миру, так как передается посредством протокола SS7. По сути, к любой системе можно получить доступ через SMS с кодом подтверждения, даже при включенной двухфакторной аутентификации.

Как защититься:

– откажитесь от двухфакторной аутентификации с помощью SMS, когда код подтверждения приходит в текстовом сообщении. Лучше использовать приложение для генерации.

3. Публичные Wi-FI сети.

Элементарная атака с переустановкой ключа приводит к тому, что роутер подключается к сети хакеров. Все данные, загруженные или переданные при подключении к сети, включая приватные ключи, становятся доступны хакерам. Особенно это актуально в аэропортах, отелях и других общественных местах с большим скоплением людей.

Также любой человек с мобильным телефоном или ноутбуком может раздать свою сеть, сделать ее свободной и с помощью нехитрых манипуляций собирать многие данные, включая критичные, такие как номера карт, реквизиты документов, пароли и так далее. Например, в аэропорту Стамбула злоумышленник может переименовать свою личную сеть в «Istanbul_Wi-Fi_Free» и раздавать ее бесплатно. Многие люди будут подключаться к ней, не задумываясь о каких-либо мерах безопасности.

Как защититься:

– никогда не проводите критичные действия используя сети публичного Wi-Fi, особенно если эта сеть не запаролена;

– регулярно обновляйте прошивку своего собственного роутера, так как производители постоянно выпускают обновления для усиления защиты от подмены ключа.

4. Использование различных ботов в мессенджерах, в том числе по денежным переводам или покупке-продаже криптовалюты.

Чаще всего такой бот уведомляет пользователя о проблеме с его криптоактивами, пытаясь заставить пользователя перейти по ссылке и ввести приватный ключ, тем самым владелец навсегда потеряет свои средства.

Как защититься:

– игнорируйте активность ботов, обдумывайте каждое свое ответное действие на предложение;

– защищайте свой канал в мессенджере с помощью антивирусного программного обеспечения;

– жалуйтесь администраторам на любую подозрительную активность.

5. Различные плагины и расширения в браузере.

Современные браузеры предлагают различные решения пользователю для более комфортной работы. И проблема не только в том, что расширения могут читать все, что вы печатаете, пока пользуетесь интернетом, большинство из них написаны на языке JavaScript, который особенно подвержен кибератакам.

Как защититься:

– не скачивайте никакие сторонние расширения;

– используйте только лицензированные официальные браузеры.

6. Фальшивые приложения.

Жертвами часто становятся владельцы Android устройств, которые не используют двухфакторную аутентификацию, так как она требует не только имени и пароля, а также дополнительную информацию, известную только пользователю.

Как защититься:

– не устанавливайте незнакомые мобильные приложения без особой необходимости;

– включите двухфакторную аутентификацию для всех приложений в вашем смартфоне;

– обязательно проверяйте ссылку на приложение на официальном сайте.

7. Неизвестные флеш-карты или иные носители информации.

Не секрет, что во многих организациях вообще отсутствуют какие-либо устройства ввода или вывода информации, связанные с возможностью записи или ввода информации с внешних носителей. Имеются в виду всевозможные разъемы для дискет, флеш-карты, иных носителей. Но такие требования применяются не везде и связаны в основном с режимными объектами или государственными структурами. Многие финансовые учреждения такую практику не имеют. Злоумышленник может заказать изготовление, например, нескольких флеш-карт с логотипом какого-либо известного банка и в разных отделениях незаметно их оставить. Расчет на то, что какой-либо сотрудник примет эту флеш-карту за корпоративную и попробует посмотреть, что там. На самом носителе можно разместить вредоносное программное обеспечение, замаскированное под какой-нибудь похожий на служебный файл, например простой документ с названием «Стратегия развития Компании на текущий год». Или «Зарплаты сотрудников Департамента информационной безопасности». Расчет сделан на человеческий интерес. Есть вероятность, что кто-то из сотрудников откроет файл.

Как защититься:

– если политика Компании не ограничивает ввод-вывод данных с компьютеров сотрудников, то необходимо подобные примеры включать в обязательное ежегодное обучение персонала.

Отдельное внимание заслуживает тема отличий и особенности мошенничества с использованием криптокошельков. Приватный ключ можно скомпрометировать любым способом, указанным выше. Для мошенников взлом кошелька и перевод криптовалюты является более привлекательным ввиду нескольких причин:

1. Приватный ключ возможно восстановить не у всех типов кошельков, в случае его утери вы можете не восстановить доступ к средствам на вашем кошельке никогда.

2. Доказать кражу средств с криптокошелька крайне сложно, большинство владельцев заводят себе кошельки без прохождения какой-либо идентификации. Когда воровство денег происходит с карты там можно однозначно доказать, в том числе с приложением официальной банковской выписки по счету, факт перевода средств и их принадлежность вам как клиенту банка. С криптокошельками это сделать сложнее, и с доказательствами такого рода правоохранительные органы и суды работают неохотно. Особенно если такой документ выдала нелицензированная криптобиржа или обменник, расположенный в другой стране. Во многих случаях так и бывает.

3. Все платежи, произведенные с помощью технологии блокчейн являются окончательными и невозвратными. Платежи, совершенные по ошибке или несанкционированно, вернуть нельзя. Также в отличие от банковской карты вы не сможете пойти в банк и написать заявление на возврат средств в связи мошенничеством (chargeback).

4. Подача заявления в полицию в данном случае не является действием, которое может увеличить шансы вернуть ваши средства по нижеуказанным причинам:

– правовой статус криптовалюты во многих странах еще не закреплен;

– доказать принадлежность взломанного кошелька бывает затруднительно, а в части случаев невозможно (см. пункт 2 выше);

– найти получателя также не предоставляется возможным, если по всем фиатным переводам можно сделать запрос в банк или иную кредитную организацию, ибо все переводы с использованием электронных средств платежа регулируются, то в случае с криптовалютой регулирование в большинстве стран отсутствует;

– доказать сам факт принуждения или несанкционированного перевода ваших средств будет практически невозможно.

2.2. Отмывание средств, полученных незаконным путем и финансирование терроризма

Когда речь идет про отмывание средств, чаще всего возникает ассоциация с компанией, юридическим лицом или даже группой компаний. Тем не менее, данный риск исходит и от физических лиц. Ниже будут рассмотрены основные схемы и методы противодействия им.

Учитывая факт того, что есть и комбинированные схемы, имеет смысл не описывать эти риски отдельно для компаний и физических лиц, а рассмотреть их комплексно.

Следующие критерии однозначно должны обращать на себя повышенное внимание и исследоваться дополнительно:

1. Страна карты, по которой происходит платеж, является высокорисковой. Для каждого бизнеса список высокорисковых стран будет отличаться. Тем не менее есть официальная градация стран по рискам в организации под названием FATF – Financial Action Task Force. Как минимум при составлении списка высокорисковых или запрещенных стран следует ориентироваться на правила и рекомендации этой организации.

2. Перебор одних и тех же параметров в разных транзакциях. Под данным критерием имеются в виду те случаи, когда с использованием одного и того же параметра, например IP-адреса, осуществляется множество операций с разными уникальными идентификаторами, такими как e-mail адрес, номер банковской карты, номер кошелька, криптоадрес и так далее. Безусловно, у человека может быть два email, пять карт или три номера телефона. Или с одного IP-адреса или одного устройства могут в течение часа осуществить транзакции три родственника или несколько коллег и друзей. Тем не менее, эти ситуации являются редкими, а для мошенников такие модели поведения, напротив, являются весьма распространенными.

3. Использование большого количества карт. Очень часто встречающийся сценарий. Несмотря на большое количество виртуальных одноразовых карт, львиная доля пользователей не имеют более 3—4 карт. Стоит также учитывать временной промежуток, в течение которого произошел перебор карт. Чем он меньше, тем более подозрительным выглядит поведение пользователя. В данном случае, безусловно, имеет смысл обращать внимание и на другие факторы: карты одной страны или разных, принадлежат ли все карты одному банку или даже BIN, какие карты используются, виртуальные или нет и т. д.

4. Попытки маскировки своего профиля в аккаунте. Например, отсутствие информации в некоторых полях, или заполнение тестовых или явно не имеющих смысла и значения данных в тех полях, которые обязательны к заполнению. Примерами такого заполнения могут быть: 111111111, rfiejhvwserhuji и т. д.

5. Попытки пользователя скрыть свое местоположение путем использования различных инструментов. Имеется в виду использование прокси-серверов, временных виртуальных телефонных номеров или адресов электронной почты для регистрации аккаунта, указание неверной страны проживания и т. п. То есть это не прямая фальсификация данных, это вполне законная попытка скрыть информацию по геолокации, а также все следы, которые могут быть использованы правоохранительными органами в случае необходимости установления личности клиента и его истинного местоположения.

6. Большой всплеск транзакций по клиенту за короткий промежуток времени без видимой и логически обоснованной причины. Особенно если это не соответствует изначально заявленному обороту при онбординге клиента.

7. Проверка поведенческих факторов пользователя. Нестандартное проведение клиента, например, когда он отказывается от более выгодного предложения, покупает сразу несколько однотипных моделей телефонов или иных легких к сбыту товаров, покупает большое количество различных туристических путевок на разных людей и т. д. Все подобные отклонения необходимо просчитывать и описывать в логике работы антифрод системы.

8. Использование поддельных или недействительных документов для идентификации пользователя. Собственно, этот пункт скорее не из разряда подозрительных критериев, а прямых нарушений. После чего клиента следует блокировать незамедлительно. Однако и здесь есть свои нюансы. Бывает, что человек пытается пройти идентификацию с недействительным по сроку документом, например загранпаспортом или муж регистрирует аккаунт на жену, присылает документы на ее имя и не проходит идентификацию на стадии проверки селфи. Здесь не всегда прослеживается злой умысел, такой случай может быть вполне стандартно-бытовым. А в случае попытки прислать поддельный документ или нарисованный, или на абсолютно не связанного родственными связями человека – здесь, безусловно, нужно рассматривать такие случаи как попытки мошенничества.

9. Подозрение на фальсификацию карточных данных с помощью использования фоторедакторов. Не всегда удается с точностью определить, что предоставленное фото карты является поддельным. Особенно сложно это выявлять при получении снимков экрана с данными виртуальной карты, в данном случае использование фоторедактора становится практически незаметным для проверяющего. Легче всего проверяются эмбоссированные карты из-за объемности вдавленных символов или цифр. Более сложны для выявления, но, тем не менее, тоже подходят для проверки физические карты, выполненные не эмбоссированным способом, а просто с напечатанной на карте информацией. На таких картах нет вдавленных символов.

10. Дробление платежей с целью легализации (отмывания) доходов, полученных преступным путем. В каждой стране существуют свои лимиты, ограничения и набор критериев для определения подозрительных и подлежащих обязательному контролю операций. Также есть общепризнанные международные стандарты и критерии. Мошенники используют как простые схемы обхода лимитов, так и более изощренные. К простым способам относится классическое дробление платежей, с целью непревышения максимально допустимой суммы, подлежащей обязательному контролю. Например, существует ограничение на максимальную сумму проведения операция в 40 000 евро в месяц. При превышении данного лимита клиент согласно политике AML должен предоставить дополнительные документы и сведения и пройти углубленную проверку – EDD (Enhanced Due Diligence). Необходимо вывести 500 000 евро, полученных преступным путем и/или, которые будут направлены на финансирование терроризма. Самый простой способ каждый месяц совершать операции, не превышающие установленный лимит. Но на это потребуется более года, более того есть вероятность все-таки попасть на углубленную проверку, если у финансового института установлен не только месячный лимит, но и лимит за более продолжительное время, например, квартальный. Более эффективно не просто дробить платежи, а создать фейковые аккаунты под управлением того самого клиента, что владеет основной суммой или же создать реальные профили клиентов (дропов), которые будут тем не менее также подчиняться, за определенные комиссионные, основному владельцу средств. Однако, такой путь требует значительно больших затрат от преступника.

11. Частая хаотичная смена IP-адреса, номера телефона и (или) иного идентификатора устройства, с которого пользователь получает доступ в свой аккаунт. Это может происходить и в обычной жизни, когда злоумышленники получают доступ к почте или телефону, после чего клиент хочет заменить скомпрометированные данные. Тем не менее это тоже должно насторожить, так как это говорит о небрежном отношении клиента к своим логинам и паролям. Также мошенники могут сменить почту или телефон с целью замести следы или запутать следствие, например, зарегистрироваться на свои собственные данные, потом попытаться сменить их на вымышленные.

12. Неоправданные задержки в предоставлении клиентом документов и информации, которую невозможно проверить. Зачастую подозрения вызывают те документы, которые предоставляются крайне быстро или, наоборот, крайне долго. В первом случае это может свидетельствовать о том, что клиент использует шаблонные документы и меняет лишь некоторые данные в фоторедакторе. Предположим, что существует группа мошенников, которые используют подставных лиц для отмывания средств с их банковских карт. Все карты однотипны, как правило, даже одного или двух банков. Для вывода средств используется несколько шаблонов – выписок с банковского счета и снимок экрана с виртуальной неименной картой. За снимок экрана можно выдать сделанную картинку с реквизитами карты в любом графическом редакторе. Гораздо сложнее подделать фотографию экрана устройства, на котором изображена карта или ее данные. Стоит это учитывать при проверке.

Вернемся к дропам. При запросе у них выписки со счета и фотографии карты они могут прислать это очень быстро, буквально в течение 5—10 минут, так как за шаблон используется готовая банковская выписка, в которой меняются лишь ФИО клиента и его номер карты. Также обстоят дела и с подделкой виртуальной карты. Учитывая факт того, что счетов создается много, а занимается этим один или несколько человек, им хочется поставить предоставление запрашиваемых документов на поток и не выжидать специально час или даже более, как это требуется для среднестатистического клиента.

Обратная сторона медали заключается в неоправданно долгом предоставлении документов, что может также говорить о том, что клиент пытается найти способ как подделать документ, особенно если при этом его поведение говорит о том, что он спешит совершить транзакцию. Или это может быть отказ прислать селфи с документом, мотивируя это различными причинами, порой самыми нелепыми. Например, отказ прислать селфи, потому что клиентка заявляет, что не накрашена. Долгое предоставление договора между двумя юридическими лицами, или несколькими подобными компаниями тоже должно насторожить проверяющего, как правило, подобные договора хранятся структурировано, и не составляет большого труда их отсканировать, особенно если при этом сам клиент проявляет спешку или нервозность при общении с поддержкой.

13. История взаимодействия с пользователем в рамках одного аккаунта. Безусловно, клиент с историей заслуживает большего доверия чем вновь прибывший. Тем не менее, распространены случаи, когда, например, мерчант открывает счет, подключается к эквайрингу, делает небольшие обороты в течение года, после чего подмешивает или подменяет незаконный или запрещенный трафик. Ошибкой проверяющего в данном случае будет предвзятое отношение к проведению углубленной проверки ввиду того, что мерчант уже работает с их организацией целый год и никаких проблем или фрод репортов по нему не поступало.

14. Несоответствие операций, проводимых клиентом его изначально заявленным целям и виду деятельности. Клиент может заявить, что его компания занимается легальным белым и не рисковым бизнесом, а в действительности осуществлять запрещенные или высокорисковые транзакции, которые или стоят дороже по интерченджу (комиссия за транзакцию), или несут прямой риск получения штрафов от международных платежных систем, регуляторов или иных контролирующих институтов. Также согласно AML политике необходимо оценивать риски по каждому клиенту максимально корректно, и это не бюрократическое требование. Оно в реальности помогает не только зарабатывать больше, но и одновременно снижать риски.

15. Большое количество тестовых операций, которые не могут быть объяснены здравым смыслом или простой логикой. По тестовым транзакциям с самого начала можно сложить представление о предстоящем трафике. Очевидно, что подозрительным будут попытки тестирования платежей из тех стран, которые или закрыты вовсе, или были заявлены клиентом как ненужные для его бизнеса. Также встречаются случаи, когда транзакции на одну и ту же сумму, например 55 долларов, мерчант выдает за тестовые, стараясь обосновать ситуацию с такими платежами, а по факту это может быть продажа запрещенного или рецептурного медицинского препарата именно такой стоимости. Применительно к физическим лицам, на этапах тестирования можно заметить многочисленные попытки расплатиться картами, выпущенными на чужие имена, или получить банковские переводы от различных отправителей. Это может быть подготовкой и тестированием системы на дальнейший прием платежей, связанных с отмыванием дохода или попыткой вывода средств с сомнительным происхождением.

16. Чрезмерная настойчивость клиента в попытке использования вашего сервиса. У вас не самые выгодные условия на рынке? В вашей сфере полно конкурентов, но при этом клиент настойчиво просится именно к вам? Это тоже является красным флагом.

17. Отсутствие интересов клиента в отстаивании своих прав в диспутной работе в соответствии с правилами международных платежных систем. Что имеется в виду. Когда мерчант получает чарджбэк с любым кодом, он крайне заинтересован выиграть данный диспут. Для этого он активно участвует в формировании пакета с документами, доказывающих его правоту и всестороннее оказание услуги плательщику. Обратную картину можно видеть, если мерчант торгует чем-то нелегальным, например это нелицензионный гемблинг или продажа наркотических средств. При таком сценарии мерчант пытается любыми способами урегулировать конфликт не доводя диспут до арбитража и более детального изучения со стороны платежных систем. Также мерчант не хочет злить клиента, провоцировать его обращаться в правоохранительные органы или писать различные жалобы в интернете, тем самым раскрывая истинную деятельность. Для таких случаев характерно необоснованное количество возвратов по любому поводу, независимо от того оказана ли услуга или доставлен товар, правило простое: есть жалоба – делаем возврат. Это можно выявлять соответствующими лимитами, установленными на количество рефандов в абсолютном и относительном к обороту значениям.

2.3. Friendly или Family фрод

Дружественным или семейным данный вид мошеннических транзакций называется ввиду того, что для самого простого объяснения приводится случай, когда клиент случайно или умышленно оплатил покупку по карте друга или члена семьи, который впоследствии заявил, что не совершал данных транзакций. На практике в подавляющем большинстве речь идет об умышленных случаях обмана эмитентов законными держателями карт. То есть они сами авторизовали транзакцию, а позже, с целью незаконного обогащения пытаются обмануть свой банк. Это применимо не только к банковской карте, к любому типу платежа, будь то банковский перевод или электронный кошелек. Но больше всего распространен данный способ именно на банковских картах, так как эмитент обязан принять от своего держателя заявление о фроде, завести его в систему и отправить эквайеру, а в случае необходимости оспорить данную транзакцию, инициировав процедуру chargeback. На последнее и рассчитывают мошенники. Причем, данный фрод зачастую имеет успешный конечный результат для мошенника, и эти причины стоит рассмотреть подробней:

1. Некомпетентность сотрудников в области риск менеджмента или AML. Иногда встречаются проблемы с оценкой реальных рисков, а не потенциальных. Например, получен recall (по сути, заявка на возврат средств) от банка-отправителя платежа с мотивировкой, что законный отправитель не отправлял деньги и это мошенническая транзакция. В ходе проверки может выявиться факт того, что имя отправителя не совпадает с именем получателя, хотя согласно описанию от банка-отправителя сама услуга подразумевала перевод собственных средств, соответственно услуга не была оказана, или была оказана с нарушениями регуляторных требований в области идентификации клиента. Комментарий от банка-отправителя может быть любой, в том числе и не соответствующий реальной действительности, потому что банк заинтересован в удовлетворении своего клиента, поэтому он и сам может способствовать мошенникам.

Предположим, что после проверки данного случая выясняется, что связей с другими транзакциями нет, пересечения с другими клиентами отсутствуют, клиент прошел идентификацию, был проверен по спискам на принадлежность к PEP (Politically exposed person – политически значимое лицо), санкциям и так далее. Какой есть риск в данной ситуации для компании-получателя в случае отказа возвращать средства отправителю? Никакой. Можно пофантазировать, конечно, над потенциальными рисками, особенно если пользователь жалуется в центробанк, грозит пойти в суд, полицию, чтобы те возбудили уголовное дело и так далее. Тем не менее, очень часто встречаются такие случаи возвратов, связанные с некомпетентностью сотрудников и/или незнании своих собственных процессов в компании.

2. Мошенничество со стороны банка эмитента. Клиент оплачивает товар или услугу по карте на сайте, который не поддерживает использование протокола 3DS, и услугу или товар не получает. Далее он приходит в банк и заявляет, что ему не доставили товар. Банковский сотрудник видит, что транзакция прошла без 3DS, соответственно, ответственность за фродовые чарджбэки будет нести мерчант. Вероятность выиграть такой чарджбэк и успешно вернуть своему клиенту деньги гораздо выше, чем использовать код для оспаривания, связанный с недоставкой товара. Эмитент сознательно идет на это и заявляет транзакцию мошеннической.

3. Неиспользование протокола 3DS. В пользу лучшей конверсии некоторые мерчанты сознательно открывают терминал без поддержки 3DS. В целом такая концепция была бы вполне работоспособной, если бы не мошенники, которые специализируются исключительно на этом виде фрода. Они постоянно ищут таких мерчантов, прогоняют через них карты без использования 3DS после чего заявляют о фроде, выигрывают чарджбэк и незаконно обогащаются. Предположим, мерчант из сферы Forex дает оборот на non-3DS терминале в 10 миллионов долларов в месяц. Заработать на комиссии от эквайринга можно пусть 1%. Получается 100 тысяч в месяц. Достаточно нескольких клиентов с оборотом по карте в 30 тысяч, которые в итоге будут оспорены как мошеннические, чтобы не только перекрыть всю прибыль, но и попасть в программу платежной системы по превышению пороговых значений по фроду. А для кардеров это просто золотая жила, можно за раз заработать столько, сколько среднестатистический гражданин зарабатывает за целый год. Поэтому отказ от 3DS в сфере high risk мерчантов всегда несет в себе подобный риск, который следует учитывать, а при возможности и суметь рассчитать, при построении такой модели приема платежей.