Заставим данные работать

Заставим данные работать
Владимир Анисимов | Екатерина Старостина | 23.10.2015

Международные платежные системы и Интернет предоставили бизнесу уникальную возможность принимать платежи по банковским картам 24 часа в сутки из любой точки планеты.

Новый толчок росту онлайн-продаж дало широкое распространение мобильных устройств: владелец смартфона может оплатить товар или услугу откуда угодно, пользуясь Интернетом, предоставленным мобильным оператором или по Wi-Fi. Но принцип глобальности, лежащий в основе этого канала продаж, кардинально меняет подход к обеспечению его безопасности.

Плательщик, совершающий платеж в Сети, по сути является анонимным: для проведения операции ему достаточно ввести номер карты, срок ее действия и CVV-код. Никакой возможности убедиться, что карта действительно принадлежит держателю, не существует. Риски, связанные с электронной коммерцией, хорошо осознаются банками – участниками международных платежных систем, которые соглашаются на проведение транзакций электронной коммерции только при условии, что торговая точка берет на себя обязательства по возмещению ущерба от мошенничества по банковским картам.

3-D Secure

VISA и вслед за ней остальные международные платежные системы предприняли попытку обеспечить безопасность интернет-платежей, предложив метод многофакторной идентификации клиента. Протокол безопасности 3-D Secure направлен на защиту держателя банковской карты. Клиент, пользующийся картой в Интернете, защищен секретным кодом 3-D Secure, получаемым от банка. Чаще всего это одноразовый пароль, высылаемый на телефон клиента. Бизнесу протокол 3-D Secure позволяет разумно распределить ответственность за мошеннические платежи между банками – участниками международных платежных систем и торговыми точками. Банк или торговая точка вправе не поддерживать 3-D Secure, но в этом случае ответственность лежит на том, кто не обеспечил требуемую протоколом верификацию клиента.

Появление метода 3-D Secure позволило бизнесу резко снизить расходы на компенсацию ущерба от мошеннических операций. В конкурентной борьбе за качество обслуживания большинство карт, эмитируемых сейчас российскими банками, вовлечены в программу 3-D Secure. При этом торговые точки нередко полностью или частично отказываются от применения этого метода верификации, сознательно беря мошеннические риски на себя. Основная причина кроется в том, что технология 3-D Secure, как и все методы многофакторной идентификации, вносит существенное усложнение в процесс оплаты и отрицательно сказывается на продажах. Практика показала, что в результате применения 3-D Secure бизнес теряет от 7 до 20% платежей – это значительно превышает процент средних потерь от мошенничества.

Платежные шлюзы

Другими словами, вопрос обеспечения безопасности платежей в Интернете нельзя рассматривать отдельно от его влияния на сокращение объемов продаж. Онлайн-компаниям нужен метод, который при допустимом риске будет минимально сокращать время продажи. Необходимость такого инструмента в первую очередь осознали платежные шлюзы, предоставляющие предприятиям услугу проведения платежей онлайн. Для них наличие гибкой и настраиваемой под потребности конкретного бизнеса платежей системы предотвращения и мониторинга мошенничества – серьезное конкурентное преимущество.

В качестве средств защиты платежные шлюзы широко применяют бизнес-правила, которые позволяют ограничить мошенническую активность, проверяя отдельные параметры платежа. Также используются фильтры по IP-адресам, спискам стран банков-эмитентов, ограничения на количество и сумму покупок с одной карты за определенный период времени. Такого рода правила устанавливают ограничения на платежи клиентов, выходящие, с точки зрения бизнеса, за рамки пользовательской аудитории, на которую рассчитан продукт или услуга. Поэтому потерять их нестрашно и рисковать по ним незачем. Например, если магазин поставляет товар только по России, логично принимать платежи только по банковским картам, выпущенным в России и СНГ. Это позволяет исключить из оборота карты наиболее рисковых регионов, не сократив при этом продажи. Однако следует иметь в виду, что фильтры подходят далеко не всем компаниям. Скажем, применение фильтров по странам банков не работает для бизнеса, предоставляющего услуги, востребованные во всем мире. Онлайн-игры, программные утилиты, бронирование отелей и авиабилетов предполагают покупателей далеко за пределами домашнего региона.

Платежные шлюзы не ограничиваются только автоматизированными методами предотвращения мошенничества. Проведенные платежи дополнительно проверяются специализированными подразделениями фрод-мониторинга. Специалисты этих подразделений вручную анализируют различные параметры платежа на предмет их разумного соответствия и приостанавливают отгрузку товара или предоставление услуги в случае, если замечают подозрительные факторы. Именно поэтому мы порой вынуждены вбивать в платежных формах такие данные, как название страны банка-эмитента, название банка, имя держателя карты и т. п. К счастью для покупателей (и мошенников), общая тенденция такова, что в погоне за увеличением продаж бизнес старается максимально упростить процесс оплаты. Этому сильно способствует распространение мобильных устройств. Когда человек оплачивает покупку с планшета или смартфона, он невольно отдает предпочтение сайтам и приложениям, предоставляющим самый простой и быстрый способ заполнения платежной формы. В результате сегодня на многих платежных страницах убраны все поля, кроме данных карты, необходимых для передачи транзакции в платежную систему, что значительно снижает эффективность ручного мониторинга мошенничества.

Математические модели

Ряд платежных шлюзов и специализированных компаний дополнительно к описанному классическому набору методов обеспечения безопасности предлагает применение математических моделей оценки вероятности мошенничества. Прикладная математика уже достаточно давно имеет в своем арсенале методы построения интеллектуальных систем, способных на основании статистики корректных и некорректных сочетаний параметров отбраковывать дефектные объекты. Эти методы применяются в компаниях, производящих сложное технологическое оборудование. Задача определения мошеннических транзакций им также по силам.

Платежный шлюз, имея данные по корректным и мошенническим транзакциям за несколько лет, может использовать эти данные для настройки математических моделей. Построенные таким образом модели в состоянии за доли секунды сопоставить новую транзакцию со всем объемом ранее проведенных операций и определить вероятность того, что она мошенническая. В отличие от эксперта группы фрод-мониторинга, модели анализируют не ряд ключевых критериев, а тысячи параметров, характеризующих профиль клиента, его поведение на сайте, платежную историю и данные конкретного заказа.

Другое важное свойство таких моделей – возможность производить индивидуальную настройку под конкретные задачи. Для этого модель обучается на транзакциях требуемого типа бизнеса. Так, если необходимо фильтровать мошеннический трафик в онлайн-играх, модель может быть обучена именно на таких транзакциях. Это позволяет производить настройку системы обеспечения безопасности с учетом особенностей поведения мошенников, характерного, например, для онлайн-игр.

Отметим, что использование математических моделей отнюдь не ограничивает применение фильтров и ручного мониторинга, но усиливает их работу. Современная система предотвращения и мониторинга мошенничества должна использовать все ранее перечисленные средства, применяя их оптимальным для бизнеса образом с целью обеспечить максимальные продажи при минимальном уровне рисков.

Сканирование и анализ профиля

На рисунке показан принцип работы системы предотвращения интернет-мошенничества по банковским картам комплексно применяющей описанные методы. В первую очередь сканируется профиль клиента. Цель сканирования – собрать максимально возможное количество прямых и косвенных данных о клиенте в тот момент, когда он формирует заказ и заполняет платежную форму. На этом этапе широко применяется Device Finger Printing. Отпечаток устройства клиента определяется при помощи скрытых на платежной странице скриптов, которые собирают множество различных настроек девайса. На этапе сканирования также отслеживаются поведенческие характеристики клиента, например время заполнения им платежной формы.

img

Рисунок. «Схема анализа платежа системой предотвращения мошенничества»

Собранные в результате сканирования данные проверяются в черных списках карт, адресов электронной почты, IP-адресов, телефонов и т. д. Если плательщик проходит проверку по черным спискам, запускается процесс математического анализа профиля клиента. Перед тем как его данные будут отданы на обработку математической модели, они дополняются данными заказа и платежной историей покупателя. После того как все данные собраны и выявлены различные зависимости между ними, по заданному алгоритму формируется числовой профиль клиента, который отдается на анализ математической модели.

Математическая модель определяет статистическую вероятность мошенничества, после чего в работу вступают бизнес-правила конкретной торговой организации. В зависимости от них платеж с определенной вероятностью мошенничества может быть:

·      отклонен как подозрительный;

·      подвергнут дополнительной проверке с помощью метода 3-D Secure, специфичных для конкретного бизнеса фильтров или группой фрод-мониторинга;

·      отправлен на обработку в банк.

Такой подход, основанный на использовании статистики мошеннических платежей, позволяет сфокусировать внимание на действительно подозрительных транзакциях, применив к ним весь арсенал существующих методов верификации клиента без риска сократить при этом продажи.

Следует отметить, что использование математических моделей может значительно повысить и эффективность ручного мониторинга. Хорошо известен факт, что из 100 транзакций, поступающих на рассмотрение экспертам, только 20 признаются мошенническими. Таким образом, использование группы фрод-мониторинга позволяет увеличить продажи. Но эксперту на анализ транзакции требуется около пяти минут, то есть за час он может проверить только 12 транзакций. При современных объемах платежей (а в крупных торговых точках они могут составлять тысячи транзакций в час) крайне важно сосредоточить внимание экспертов на небольшом объеме подозрительных транзакций. Возможность же анализировать отпечаток устройства и сопоставлять его с платежной историей клиента позволяет обеспечить максимальную эффективность работы специалистов, не прибегая к усложняющим интерфейс дополнительным полям. Такая возможность обеспечивается применением комплексных систем безопасности, описанных в этой статье.

***

Мы попытались представить весь существующий арсенал подходов к обеспечению безопасности онлайн-бизнеса с точки зрения провайдера электронных платежей. Выбор конкретного набора средств всегда остается на усмотрение предпринимателя. Кроме технической стороны вопроса, важную роль играют опыт работы провайдера, его возможность гибко интегрироваться с бизнес-процессами компании-клиента, наличие квалифицированного персонала и качество технической поддержки. Хотим лишь отметить, что зачастую привлечение более дорогостоящих и сложных средств обеспечения безопасности в конечном итоге обходится бизнесу дешевле, чем возможные потери от мошенничества при удешевлении способов защиты.

Теги: безопасность

Журнал IT-Manager    [ PDF ]    [ Подписка на журнал ]

Об авторе


Владимир Анисимов

Владимир Анисимов

Директор по исследованиям и разработке программного обеспечения, Группа компаний ASSIST. В 1999 году закончил математико-механический факультет Санкт-Петербургского государственного университета. Автор ряда научных статей по прикладной математике. В 2008 году защитил степень кандидат физико-математических наук. С 1999 года по 2009 год работал в IT-подразделениях крупных транснациональных компаний, пройдя путь от программиста до руководителя отдела. С 2009 года работает в платежном шлюзе ASSIST, руководя проектами по построению систем обеспечения безопасности онлайн-платежей. Регулярно выступает с докладами на профильных конференциях, посвященных безопасности карточных данных.

Об авторе


Екатерина Старостина

Екатерина Старостина

Младший менеджер отдела анализа и контроля рисков, группа кибербезопасности, PricewaterhouseCoopers Russia B.V. В 2005 году с «отличием» окончила Московский Инженерно-Физический Институт (Государственный университет) по направлению «Правовые основы защиты информации» и специализировалась на вопросах борьбы с кибепреступлениями. В частности, правовых аспектах противодействия кибертерроризму. Автор книги «Защита от компьютерных преступлений и кибертерроризма: вопросы и ответы» (изд.: ЭКСМО), ею также написано более двух десятков статей и публикаций по профилю. Соискатель ученой степени кандидата юридических наук на кафедре «Компьютерное право» в МИФИ (ГУ). С 2008 года действительный Член ИНФОФОРУМА. Преподавала курс «Правонарушения в сфере компьютерной информации». С 2008 года работает в крупных территориально распределенных компаниях по экспертным направлениям защиты информации и анализа рисков. Навыки интервьюирования, проведения масштабных деловых мероприятий-конференций, выступление с докладами по ИБ направлению. В 2013 году получено дополнительное к высшему образование РЭА им. Плеханова «Управление проектами и программами». В том же году получен диплом учебной лаборатории ИНФОРМЗАЩИТА «Измерение эффективности Информационной Безопасности». 


ВКонтакт Facebook Google Plus Одноклассники Twitter Livejournal Liveinternet Mail.Ru


Другие материалы рубрики

Особенности отрасли в настоящее время — высокооплачиваемые специалисты, имеющие профильное образование. Информационная инфраструктура создается и развивается в соответствии с лучшими практиками, на основе обоснованных организационных и технических решений.
По данным «Лаборатории Касперского», в 2015 году каждый второй корпоративный компьютер в России подвергся хотя бы одной веб-атаке. И этот показатель значительно выше, чем в среднем по миру.

Мероприятия


01.11.2016 — 03.11.2016
Десятый релиз международной выставки ProAV технологий Integrated Systems Russia 2016 состоится в Москве, в центральном выставочном комплексе «Экспоцентр», с 1 по 3 ноября. Юбилейный проект обещает быть насыщенным не только с точки зрения инновационных технологий и решений, которые представят ведущие мировые производители, российские дистрибьюторы и интеграторы, но и с точки зрения новых проектов и деловой программы.