Виявлення крадених кредитних карток вимагає старання та терпіння
Малобюджетні сайти.
Просування веб-сайту.
Виявлення крадених кредитних карток вимагає старання та терпіння
Чого Інтернет-торговці бояться найбільше, так це втратити своїх клієнтів. І все-таки є способи, що дозволяють відлякати шахраїв, які використовують чужі кредитні картки.
На загальну думку, онлайновий ринок B2C (Business-to-Customer) розвивається досить швидкими темпами, проте разом із зростанням доходів його учасників відзначається і збільшення кількості підроблених транзакцій. Незважаючи на те, що компанія Visa впровадила в 2000 р. систему CISP (Cardholder Information Security Processing), а MasterCard у 2001 р. - службу Site Data Protection Service (SDPS), згідно з даними галузевої дослідницької компанії Gartner, швидкість зростання кількості підроблених транзакцій в електронній торгівлі, як і раніше, залишається на 10% вище, ніж у традиційній торгівлі. У той час як служби CISP та SDPS орієнтовані на забезпечення мережевої безпеки (починаючи з транспортного рівня і закінчуючи фізичним захистом пристроїв), вони не вирішують проблем, пов'язаних з оплатою товарів та послуг за допомогою крадених чи згенерованих номерів кредитних карток, що лежать в основі більшості підроблених B2C -транзакцій. Щоб красти через Інтернет, шахраї потрібно лише зімітувати або добути справжній номер кредитної картки.
З фінансової точки зору розплачуватися за подібний крадіжка доводиться головним чином торговій фірмі. Відповідно до законів США за будь-яку підроблену транзакцію власник кредитної картки відповідає сумою, що не перевищує 50 дол. Що стосується компаній MasterCard та Visa, то нещодавно вони відмовилися від подібної вимоги щодо електронної торгівлі через Інтернет. Проте за підроблену транзакціювідповідальність несе не тільки торгова організація - її вартість може бути стягнута і з компанії, що емітує кредитні картки. І хоча Visa нещодавно запустила свою програму "Verified with Visa" (див. "Код верифікації кредитних карток і нові проблеми"), яка знімає з торговців частину відповідальності за підроблені транзакції, вона поки що не працює в повному обсязі.
Звичайно, щоб відшкодувати збитки, пов'язані з підробленою транзакцією, торговець може переслідувати злочинця у кримінальному порядку, але таке трапляється рідко. "До того моменту, коли торговельна фірма дійсно отримує компенсацію, доводиться менше 10% подібних судових справ. Формально цей відсоток є трохи вищим, причому зловмисникові пред'являється конкретне звинувачення, але якщо торговцю не відшкодовано всі збитки, навряд чи такий судовий розгляд можна вважати успішним", - каже Джулі Фергерсон, голова організації Fraud Protection Network (FPN, http://www.merchantfraudsquad.com), заснованої компанією-емітентом American Express. Мережа FPN надає своїм клієнтам рекомендації та ресурси, які допомагають їм боротися з шахраями, які намагаються здійснювати транзакції без пред'явлення справжньої кредитної картки (Card Not Present – CNP). Зазвичай торговцеві рекомендується позначити критерії, що визначають, які виклики сумніви замовлення слід відстежити, щоб, зібравши за ними достатню кількість інформації, звернутися до суду. До таких критеріїв відносяться сума втрат у доларах, частота повторення спроб шахрайства та обсяг наявної достовірної інформації щодо кожної такої спроби.
Звичайно, навряд чи ви зможете виявити всі шахрайські покупки, але знизити до прийнятного рівня ризик для своєї компанії зможете. Кожен торговець має визначити суму "прийнятних втрат" у доларах,включивши її у загальні витрати на ведення бізнесу. Середня величина цих втрат складатиме 0,25-1,5% від загального бюджету торгової фірми і залежить від типу бізнесу та грошових ресурсів, що виділяються на розслідування інцидентів та боротьбу з фіктивними замовленнями. За даними компанії Gartner, середні в галузі допустимі втрати становлять близько 1,1%.
Потрібно мати всі необхідні дані
Перше, що вам необхідно зробити з метою зниження ризику для вашої компанії, - це зібрати якомога більше інформації про кредитну картку та її власника. Ви повинні отримати, як мінімум, таку інформацію:
- Ім'я власника, що вказується на пластиковій картці.
- Номер картки.
- Дата закінчення терміну дії картки.
- Адреса електронної пошти власника картки.
- Ім'я отримувача товару.
Тому, якщо ви повністю не впевнені в тому, що ваша система здатна виявляти весь обсяг фіктивних транзакцій, вам доведеться аналізувати всі підозрілі транзакції, не відкидаючи їх скопом.
Якщо ви використовуєте для виявлення підлог програмне рішення третьої фірми, то для ретельного його налаштування працюйте в найтіснішому контакті з виробником. Ідея полягає в тому, щоб звести до мінімуму кількість транзакцій, що потребують додаткового аналізу, та забезпечити наявність персоналу, здатного виконувати його, не відкладаючи у довгу скриньку. Коли ви добре вивчите свою систему і будете відразу розуміти, які події вона розцінює як шахрайські, а які - як припустимі, ви можете надати їй більшу свободу прийняття рішень, що стосуються кожної транзакції.
Є низка продуктів, що дозволяють здійснити досить детальну перевірку онлайнових транзакцій щодо виявлення шахрайства. У таких інструментальнихЗасоби використовуються деякі методи, які ми обговорили вище. Вони забезпечують ще один рівень оцінки ризику, пов'язаного з інтерактивними транзакціями.
Процедура оплати онлайнової покупки в деяких системах передує застосування деякого набору правил до кожної транзакції, що здійснюється за допомогою кредитної картки. Така система може видавати відповіді різного характеру, починаючи з прийняття оплати замовлення і закінчуючи відмовою прийняти її з вимогою проведення додаткового аналізу транзакції.
Використовуються як дуже прості правила, наприклад таке: "якщо номер кредитної картки знаходиться у списку "заборонених", відкинути транзакцію", так і відносно складні, засновані на бізнес-логіці правила, що визначають пов'язаний із транзакцією ризик, зокрема: "якщо замовлення містить понад три найменування товарів вартістю понад 500 дол. кожен, провести докладний аналіз транзакції".
Заснована на правилах система є, по суті, експертною. Таку систему можна запрограмувати вручну, проте згодом модернізувати її буде дедалі складніше. Звичайно, система стане ефективною лише тією мірою, якою будуть ефективні запрограмовані в ній правила. Продавець повинен визначити, що, власне, є шахрайством, і налаштувати систему таким чином, щоб вона могла розпізнавати відповідні ситуації.
Найскладнішими системами є нейронні мережі (neural networks). Нейронна мережа може аналізувати транзакцію щодо наявності в ній певних комбінацій коду, порівнюючи їх з БД, що містить профілі та шаблони відомих типів шахрайської діяльності. Ці системи, звані також системами запобіжного статистичного моделювання, лічильниками або системами захисту від підлог, маютьвиключно високою точністю, оскільки як оцінну базу використовують достовірні історичні дані. Обсяг базових даних залежить від типу придбаної системи. Одні системи мають доступ до централізованої БД, що містить мільйони транзакцій, інші оперують виключно тими даними, які є у вашому розпорядженні.
Обмеження у функціонуванні нейронної мережі майже повністю залежить від набору використовуваних нею даних; вони повинні регулярно оновлюватись (приблизно кожні шість місяців) та базуватися на репрезентативної вибірці торгових транзакцій. Необхідне ретельне налаштування такої системи, щоб скоротити кількість транзакцій, щодо яких вона вимагатиме проведення додаткового аналізу. Стандартна нейронна мережа може відзначати як ризиковані до 10% всіх транзакцій, що здійснюються, хоча реальними спробами вчинення підробки є лише деякі з них.
Компанії ClearCommerce та HNC Software пропонують системи виявлення підлог, засновані на нейронних мережах. Компанія CyberSource використовує гібридну модель. Для аналізу мільйонів транзакцій з метою збільшення ефективності статистичного моделювання та зниження числа "хибних" випадків відбракування транзакцій у ній поєднуються експертна система та нейронна мережа.
Альтернативний підхід полягає у використанні сервісних пропозицій третіх фірм, подібних до eIDverifier компанії Equifax Secure, яка має власну службу посвідчення особи клієнта. Такий сервіс може інтегруватись із вашою системою. У процесі верифікації покупець перенаправляється на вузол сервіс-провайдера, який намагається переконатися в справжності його особи, вимагаючи від нього відповіді як на питання, що вимагають знання інформації, що міститься в його електронному гаманці, так і на запитанняособистого характеру (для відповідей на останні потрібна інформація, відсутня в електронному гаманці, але відома покупцю, якщо він є тим, за кого себе видає).
Результат оцінки ризику та відповіді, надані клієнтом, разом з інформацією, отриманою з інших галузевих джерел даних, надсилаються продавцю. Залежно від відомостей продавець може сам вирішувати, розглядати йому транзакцію як справжню і продовжувати відповідно працювати з нею, або обробляти її як помилкову з метою збору інформації про порушника, яка допоможе висунути проти нього звинувачення, або ж просто припинити транзакцію.