Заставим данные работать

Автор Екатерина Старостина , Владимир Анисимов

Появление метода 3-D Secure позволило бизнесу резко снизить расходы на компенсацию ущерба от мошеннических операций.

Международные платежные системы и Интернет предоставили бизнесу уникальную возможность принимать платежи по банковским картам 24 часа в сутки из любой точки планеты.

Новый толчок росту онлайн-продаж дало широкое распространение мобильных устройств: владелец смартфона может оплатить товар или услугу откуда угодно, пользуясь Интернетом, предоставленным мобильным оператором или по Wi-Fi. Но принцип глобальности, лежащий в основе этого канала продаж, кардинально меняет подход к обеспечению его безопасности.

Плательщик, совершающий платеж в Сети, по сути является анонимным: для проведения операции ему достаточно ввести номер карты, срок ее действия и CVV-код. Никакой возможности убедиться, что карта действительно принадлежит держателю, не существует. Риски, связанные с электронной коммерцией, хорошо осознаются банками – участниками международных платежных систем, которые соглашаются на проведение транзакций электронной коммерции только при условии, что торговая точка берет на себя обязательства по возмещению ущерба от мошенничества по банковским картам.

3-D Secure

VISA и вслед за ней остальные международные платежные системы предприняли попытку обеспечить безопасность интернет-платежей, предложив метод многофакторной идентификации клиента. Протокол безопасности 3-D Secure направлен на защиту держателя банковской карты. Клиент, пользующийся картой в Интернете, защищен секретным кодом 3-D Secure, получаемым от банка. Чаще всего это одноразовый пароль, высылаемый на телефон клиента. Бизнесу протокол 3-D Secure позволяет разумно распределить ответственность за мошеннические платежи между банками – участниками международных платежных систем и торговыми точками. Банк или торговая точка вправе не поддерживать 3-D Secure, но в этом случае ответственность лежит на том, кто не обеспечил требуемую протоколом верификацию клиента.

Появление метода 3-D Secure позволило бизнесу резко снизить расходы на компенсацию ущерба от мошеннических операций. В конкурентной борьбе за качество обслуживания большинство карт, эмитируемых сейчас российскими банками, вовлечены в программу 3-D Secure. При этом торговые точки нередко полностью или частично отказываются от применения этого метода верификации, сознательно беря мошеннические риски на себя. Основная причина кроется в том, что технология 3-D Secure, как и все методы многофакторной идентификации, вносит существенное усложнение в процесс оплаты и отрицательно сказывается на продажах. Практика показала, что в результате применения 3-D Secure бизнес теряет от 7 до 20% платежей – это значительно превышает процент средних потерь от мошенничества.

Платежные шлюзы

Другими словами, вопрос обеспечения безопасности платежей в Интернете нельзя рассматривать отдельно от его влияния на сокращение объемов продаж. Онлайн-компаниям нужен метод, который при допустимом риске будет минимально сокращать время продажи. Необходимость такого инструмента в первую очередь осознали платежные шлюзы, предоставляющие предприятиям услугу проведения платежей онлайн. Для них наличие гибкой и настраиваемой под потребности конкретного бизнеса платежей системы предотвращения и мониторинга мошенничества – серьезное конкурентное преимущество.

В качестве средств защиты платежные шлюзы широко применяют бизнес-правила, которые позволяют ограничить мошенническую активность, проверяя отдельные параметры платежа. Также используются фильтры по IP-адресам, спискам стран банков-эмитентов, ограничения на количество и сумму покупок с одной карты за определенный период времени. Такого рода правила устанавливают ограничения на платежи клиентов, выходящие, с точки зрения бизнеса, за рамки пользовательской аудитории, на которую рассчитан продукт или услуга. Поэтому потерять их нестрашно и рисковать по ним незачем. Например, если магазин поставляет товар только по России, логично принимать платежи только по банковским картам, выпущенным в России и СНГ. Это позволяет исключить из оборота карты наиболее рисковых регионов, не сократив при этом продажи. Однако следует иметь в виду, что фильтры подходят далеко не всем компаниям. Скажем, применение фильтров по странам банков не работает для бизнеса, предоставляющего услуги, востребованные во всем мире. Онлайн-игры, программные утилиты, бронирование отелей и авиабилетов предполагают покупателей далеко за пределами домашнего региона.

Платежные шлюзы не ограничиваются только автоматизированными методами предотвращения мошенничества. Проведенные платежи дополнительно проверяются специализированными подразделениями фрод-мониторинга. Специалисты этих подразделений вручную анализируют различные параметры платежа на предмет их разумного соответствия и приостанавливают отгрузку товара или предоставление услуги в случае, если замечают подозрительные факторы. Именно поэтому мы порой вынуждены вбивать в платежных формах такие данные, как название страны банка-эмитента, название банка, имя держателя карты и т. п. К счастью для покупателей (и мошенников), общая тенденция такова, что в погоне за увеличением продаж бизнес старается максимально упростить процесс оплаты. Этому сильно способствует распространение мобильных устройств. Когда человек оплачивает покупку с планшета или смартфона, он невольно отдает предпочтение сайтам и приложениям, предоставляющим самый простой и быстрый способ заполнения платежной формы. В результате сегодня на многих платежных страницах убраны все поля, кроме данных карты, необходимых для передачи транзакции в платежную систему, что значительно снижает эффективность ручного мониторинга мошенничества.

Математические модели

Ряд платежных шлюзов и специализированных компаний дополнительно к описанному классическому набору методов обеспечения безопасности предлагает применение математических моделей оценки вероятности мошенничества. Прикладная математика уже достаточно давно имеет в своем арсенале методы построения интеллектуальных систем, способных на основании статистики корректных и некорректных сочетаний параметров отбраковывать дефектные объекты. Эти методы применяются в компаниях, производящих сложное технологическое оборудование. Задача определения мошеннических транзакций им также по силам.

Платежный шлюз, имея данные по корректным и мошенническим транзакциям за несколько лет, может использовать эти данные для настройки математических моделей. Построенные таким образом модели в состоянии за доли секунды сопоставить новую транзакцию со всем объемом ранее проведенных операций и определить вероятность того, что она мошенническая. В отличие от эксперта группы фрод-мониторинга, модели анализируют не ряд ключевых критериев, а тысячи параметров, характеризующих профиль клиента, его поведение на сайте, платежную историю и данные конкретного заказа.

Другое важное свойство таких моделей – возможность производить индивидуальную настройку под конкретные задачи. Для этого модель обучается на транзакциях требуемого типа бизнеса. Так, если необходимо фильтровать мошеннический трафик в онлайн-играх, модель может быть обучена именно на таких транзакциях. Это позволяет производить настройку системы обеспечения безопасности с учетом особенностей поведения мошенников, характерного, например, для онлайн-игр.

Отметим, что использование математических моделей отнюдь не ограничивает применение фильтров и ручного мониторинга, но усиливает их работу. Современная система предотвращения и мониторинга мошенничества должна использовать все ранее перечисленные средства, применяя их оптимальным для бизнеса образом с целью обеспечить максимальные продажи при минимальном уровне рисков.

Сканирование и анализ профиля

На рисунке показан принцип работы системы предотвращения интернет-мошенничества по банковским картам комплексно применяющей описанные методы. В первую очередь сканируется профиль клиента. Цель сканирования – собрать максимально возможное количество прямых и косвенных данных о клиенте в тот момент, когда он формирует заказ и заполняет платежную форму. На этом этапе широко применяется Device Finger Printing. Отпечаток устройства клиента определяется при помощи скрытых на платежной странице скриптов, которые собирают множество различных настроек девайса. На этапе сканирования также отслеживаются поведенческие характеристики клиента, например время заполнения им платежной формы.

Рисунок. «Схема анализа платежа системой предотвращения мошенничества»

Собранные в результате сканирования данные проверяются в черных списках карт, адресов электронной почты, IP-адресов, телефонов и т. д. Если плательщик проходит проверку по черным спискам, запускается процесс математического анализа профиля клиента. Перед тем как его данные будут отданы на обработку математической модели, они дополняются данными заказа и платежной историей покупателя. После того как все данные собраны и выявлены различные зависимости между ними, по заданному алгоритму формируется числовой профиль клиента, который отдается на анализ математической модели.

Математическая модель определяет статистическую вероятность мошенничества, после чего в работу вступают бизнес-правила конкретной торговой организации. В зависимости от них платеж с определенной вероятностью мошенничества может быть:

· отклонен как подозрительный;

· подвергнут дополнительной проверке с помощью метода 3-D Secure, специфичных для конкретного бизнеса фильтров или группой фрод-мониторинга;

· отправлен на обработку в банк.

Такой подход, основанный на использовании статистики мошеннических платежей, позволяет сфокусировать внимание на действительно подозрительных транзакциях, применив к ним весь арсенал существующих методов верификации клиента без риска сократить при этом продажи.

Следует отметить, что использование математических моделей может значительно повысить и эффективность ручного мониторинга. Хорошо известен факт, что из 100 транзакций, поступающих на рассмотрение экспертам, только 20 признаются мошенническими. Таким образом, использование группы фрод-мониторинга позволяет увеличить продажи. Но эксперту на анализ транзакции требуется около пяти минут, то есть за час он может проверить только 12 транзакций. При современных объемах платежей (а в крупных торговых точках они могут составлять тысячи транзакций в час) крайне важно сосредоточить внимание экспертов на небольшом объеме подозрительных транзакций. Возможность же анализировать отпечаток устройства и сопоставлять его с платежной историей клиента позволяет обеспечить максимальную эффективность работы специалистов, не прибегая к усложняющим интерфейс дополнительным полям. Такая возможность обеспечивается применением комплексных систем безопасности, описанных в этой статье.

***

Мы попытались представить весь существующий арсенал подходов к обеспечению безопасности онлайн-бизнеса с точки зрения провайдера электронных платежей. Выбор конкретного набора средств всегда остается на усмотрение предпринимателя. Кроме технической стороны вопроса, важную роль играют опыт работы провайдера, его возможность гибко интегрироваться с бизнес-процессами компании-клиента, наличие квалифицированного персонала и качество технической поддержки. Хотим лишь отметить, что зачастую привлечение более дорогостоящих и сложных средств обеспечения безопасности в конечном итоге обходится бизнесу дешевле, чем возможные потери от мошенничества при удешевлении способов защиты.

Журнал IT Manager

Опубликовано 23.10.2015

Безопасность

Предыдущая
DDoS-атаки стали мощнее, но короче

Следующая
Игра в защите

Новостная лента

Главное за неделю

Нажимая на кнопку, я принимаю условия соглашения.

Соглашение об использовании сайта

Внимательно прочитайте настоящее Соглашение, прежде чем начать пользоваться Сайтом. Вы обязаны соблюдать условия настоящего Соглашения, заходя на Сайт и используя сервисы, предлагаемые на Сайте. В случае, если Вы не согласны с условиями Соглашения, Вы не можете пользоваться Сайтом или использовать любые сервисы, предлагаемые на Сайте, а также посещать страницы, размещенные в доменной зоне Сайта. Начало использования Сайта означает надлежащее заключение настоящего Соглашения и Ваше полное согласие со всеми его условиями.

1. Термины и определения

1.1. Компания - Общество с ограниченной ответственностью «ИТ Медиа» (ООО «ИТ Медиа»).

1.2. Пользователь - лицо, получающее доступ к сервисам и информации, размещенным на Сайте.

1.3. Сайт – веб-сайт Компании, размещенный в сети Интернет по адресу https://www.it-world.ru.

1.4. Соглашение - настоящее Соглашение между Пользователем и Компанией, устанавливающее правила использования Сайта, включая графические изображения, элементы дизайна и средства индивидуализации, текстовую информацию и документацию, программы для ЭВМ и файлы для скачивания, любые иные произведения, объекты и материалы Сайта, а также условия и правила размещения Пользователем информации и материалов в соответствующих открытых разделах Сайта.

2. Общие положения и условия

2.1. Любые материалы, файлы и сервисы, содержащиеся на Сайте, не могут быть воспроизведены в какой-либо форме, каким-либо способом, полностью или частично без предварительного письменного разрешения Компании, за исключением случаев, указанных в настоящем Соглашении. При воспроизведении Пользователем материалов Сайта ссылка на Сайт обязательна, при этом текст указанной ссылки не должен содержать ложную, вводящую в заблуждение, уничижительную или оскорбительную информацию. Перевод, переработка (модификация), любое изменение материалов Сайта, а также любые иные действия, в том числе удаление, изменение малозаметной информации и сведений об авторских правах и правообладателях, не допускается.

2.2. Действующая редакция настоящего Соглашения размещена в сети Интернет на Сайте по адресу: https://www.it-world.ru/about/agreement.php. Компания вправе в любое время в одностороннем порядке изменять условия настоящего Соглашения. Такие изменения вступают в силу по истечении 2 (двух) дней с момента размещения новой версии Соглашения в сети Интернет на Сайте. При несогласии Пользователя с внесенными изменениями он обязан удалить все имеющиеся у него материалы Сайта, после чего прекратить использование материалов и сервисов Сайта. Ваше регулярное посещение данного Сайта считается вашим убедительным принятием измененного соглашения, поэтому Вы обязаны регулярно просматривать настоящее Соглашение и дополнительные условия или уведомления, размещенные на Сайте.

3. Обязательства Пользователя

3.1. Пользователь обязуется не предпринимать действий, которые могут рассматриваться как нарушающие российское законодательство или нормы международного права, в том числе в сфере интеллектуальной собственности, авторских и/или смежных правах, а также любых действий, которые приводят или могут привести к нарушению нормальной работы Сайта и сервисов Сайта.

3.2. Любые средства индивидуализации, в том числе товарные знаки и знаки обслуживания, а равно логотипы и эмблемы, содержащиеся на страницах Сайта, являются интеллектуальной собственностью их правообладателей. Пользователю Сайта запрещено воспроизводить или иным способом использовать указанные средства индивидуализации и/или их элементы без предварительного письменного разрешения соответствующих правообладателей.

3.3. Компания стремится обеспечить, однако не контролирует и не гарантирует конфиденциальность и охрану любой информации, размещенной на Сайте или полученной с Сайта. Компания принимает разумные меры в целях недопущения несанкционированного разглашения размещенной Пользователем на Сайте информации третьим лицам, однако не несет ответственность в случае, если такое разглашение было допущено. В этой связи, передача информации на Сайт означает согласие Пользователя на любое воспроизведение, распространение, раскрытие и иное использование такой информации. Размещая информацию и материалы, включая, фотографии и изображения, Пользователь также гарантирует, что обладает всеми правами и полномочиями, необходимыми для этого, с учетом условий настоящего Соглашения и что такое размещение не нарушает охраняемые законом права и интересы третьих лиц, международные договоры и действующее законодательство Российской Федерации.

3.4. Пользователь самостоятельно несет ответственность за любую информацию и материалы, размещенные им на Сайте. Компания не инициирует размещение указанной информации, не выбирает получателей информации, не влияет на содержание и целостность размещаемой информации, а также в момент размещения Пользователем информации на Сайте не знает и не может знать, нарушает ли такое размещение действующее законодательство Российской Федерации, однако Компания вправе отслеживать, просматривать и/или удалять любую информацию и материалы, размещенные Пользователем на Сайте. При размещении любой информации и материалов Пользователь не становится соавтором Сайта и отказывается от каких-либо претензий на такое авторство в будущем. Компания не выплачивает Пользователю авторского или любого иного вознаграждения, как в период, так и по истечении срока действия настоящего Соглашения.

3.5. В случае предъявления третьими лицами претензий Компании, связанных с нарушением Пользователем условий настоящего Соглашения, а равно с размещенной Пользователем информацией на Сайте, указанный Пользователь обязуется самостоятельно урегулировать такие претензии, а также возместить Компании все понесенные убытки и потери, включая возмещение штрафов, судебных расходов, издержек и компенсаций.

3.6. Компания не несет ответственности за посещение Пользователем, а также любое использование им внешних ресурсов (сайтов третьих лиц), ссылки на которые могут содержаться на Сайте. Компания не несет ответственности за точность, надежность, достоверность и безопасность любой информации, материалов, рекомендаций и сервисов, размещенных на внешних ресурсах. Использование внешних ресурсов осуществляется Пользователем добровольно, исключительно по собственному усмотрению и на свой риск.

3.7. Компания стремится к обеспечению достоверности информации, размещенной на Сайте, однако не несет ответственности за любые неточности и/или недостоверность информации, а равно сбои в работе предоставляемых через Сайт сервисов. Пользователь согласен с тем, что Компания не несет ответственность и не имеет прямых или косвенных обязательств перед Пользователем в связи с любыми возможными или возникшими потерями, или убытками, связанными с любым содержанием Сайта, интеллектуальной собственностью, товарами или услугами, доступными на нем или полученными через внешние сайты или ресурсы либо иные ожидания Пользователя, которые возникли в связи с использованием размещенной на Сайте информации или ссылки на внешние ресурсы. Ни при каких условиях, включая, но не ограничиваясь невнимательностью или небрежностью Пользователя, Компания не несет ответственности за любой ущерб (прямой или косвенный, случайный или закономерный), включая, но не ограничиваясь потерей данных или прибылей, связанной с использованием или невозможностью использования Сайта, информации, файлов или материалов на нем, даже если Компания или ее представители были предупреждены о возможности такой потери. В случае, если использование Сайта приведёт к необходимости дополнительного обслуживания, исправления или ремонта любого оборудования, а равно восстановления данных, все связанные с этим затраты оплачиваются Пользователем самостоятельно.

3.8. Вся представленная на Сайте информация предоставляется «как есть», без каких-либо гарантий, явных или подразумеваемых. Компания полностью, в той мере, в какой это разрешено законом, отказывается от какой-либо ответственности, явной или подразумеваемой, включая, но не ограничиваясь неявными гарантиями пригодности к использованию, а также гарантиями законности любой информации, продукта или услуги, полученной или приобретенной с помощью этого Сайта.

3.9. Пользователь согласен, что все материалы и сервисы Сайта или любая их часть могут сопровождаться рекламой. Пользователь согласен с тем, что Компания не несет какой-либо ответственности и не имеет каких-либо обязательств в связи с такой рекламой.

4. Условия обработки и использования персональных данных. Принимая условия настоящего Соглашения Пользователь выражает свое согласие на:

4.1. Предоставление своих персональных данных, включающих имя, номера контактных телефонов; адреса электронной почты; место работы и занимаемая должность; пользовательские данные (сведения о местоположении; тип и версия ОС; тип и версия Браузера; тип устройства и разрешение его экрана; источник откуда пришел на сайт пользователь; с какого сайта или по какой рекламе; язык ОС и Браузера; какие страницы открывает и на какие кнопки нажимает пользователь; ip-адрес) своей волей и в своем интересе.

4.2. Цель обработки персональных данных:

предоставление Пользователю услуг Сайта;
направление уведомлений, касающихся услуг Сайта;
подготовка и направление ответов на запросы Пользователя;
выполнение регулярной информационной рассылки;
направление информации о продуктах и услугах Компании, а также рекламно-информационных сообщений, касающихся продукции и услуг Компании и ее партнеров.

4.3. Перечень действий с персональными данными, на которые Пользователь выражает свое согласие:

сбор, систематизация, накопление, хранение, уточнение (обновление, изменение), использование, обезличивание, передача третьим лицам для указанных выше целей, а также осуществление любых иных действий, предусмотренных действующим законодательством РФ как неавтоматизированными, так и автоматизированными способами.

4.4. Компания обязуется принимать все необходимые меры для защиты персональных данных Пользователя от неправомерного доступа или раскрытия.

4.5. Настоящее согласие действует до момента его отзыва Пользователем путем направления соответствующего уведомления заказным письмо с уведомлением на адрес Компании.

5. Прочие положения

5.1. Использование материалов и сервисов Сайта, а равно размещение на нем материалов Пользователя, регулируется нормами действующего законодательства Российской Федерации. Все возможные споры, вытекающие из настоящего Соглашения или связанные с ним, подлежат разрешению в соответствии с действующим законодательством Российской Федерации по месту нахождения Компании.

5.2. Признание судом какого-либо положения Соглашения недействительным или не подлежащим принудительному исполнению не влечет недействительности иных положений Соглашения.

5.4. Бездействие со стороны Компании в случае нарушения кем-либо из Пользователей положений Соглашения не лишает Компанию права предпринять соответствующие действия в защиту своих интересов и защиту авторских прав на охраняемые в соответствии с законодательством материалы Сайта позднее.

Пользователь подтверждает, что ознакомлен со всеми пунктами настоящего Соглашения и безоговорочно принимает их.

По всем вопросам, связанным с нарушением авторских прав Компании, незаконного использования материалов Сайта или размещением ложной, вводящей в заблуждение информации о Компании, просим обращаться по  следующим контактным данным:

ООО «ИТ Медиа» ИНН 7802426999, КПП 781301001,
Санкт-Петербург, ул Большая монетная, 16 / К. 30 литера А, пом. 14-Н №30

Игорь Лим: Передовые технологии защиты от дронов. Cloud Networks против беспилотников

Игорь Лим, руководитель группы Управления ИБ АСУ ТП Cloud Networks, который не только возглавляет проекты по защите промышленных объектов от атак беспилотников и промышленного шпионажа, но и принимает непосредственное участие в установке, настройке оборудования и обучении персонала, ответил на вопросы IT Manager.

07.04.24

Исследование российского киберландшафта: что с безопасностью?

Вчера компания BI.ZONE представила Threat Zone – годовое исследование российского сегмента. Эта работа - результат аналитической обработки данных, собранных экспертами BI.ZONE из команд реагирования на инциденты, центра мониторинга и киберразведки.

Андрей Виноградов05.04.24

«Центр расследований InfoWatch»: инновационный подход к защите данных

ГК InfoWatch представила новую собственную разработку «Центр расследований». Речь идет не просто о расширении функционала в области ИБ, уверены в компании, но и о переходе на качественно новый уровень. «Центр расследований» избавляет от необходимости консолидировать данные от различных систем ИБ, а время расследования инцидентов сокращается примерно в 3 раза.

Наталья Соловьева29.03.24

Как данные корпоративной почты утекают в сеть?

Данные корпоративной почты утекают у каждого 19-го сотрудника российских компаний. Причина этого в использовании корпоративных email-адресов для регистрации на популярных ресурсах.

21.02.24

Загрузить ещё »» Следующая →