Фрод риски что это
Фрод – реальность современного бизнеса
Фрод – реальность современного бизнеса
Фрод – реальность современного бизнеса
Определение фрода
В литературе существует много определений понятия «фрод» (мошенничество).
Фродом можно назвать умышленные действия или бездействие физических и/или юридических лиц с целью получить выгоду за счет компании и/или причинить ей материальный и/или нематериальный ущерб.
Любая организация может быть жертвой мошенничества. Отсутствие контроля над уровнем фрода может привести компанию к остановке деятельности.
В данной статье остановимся на принципах и подходах организации защиты от фрода.
Принципы построения защиты
Существует пять основных принципов построения эффективной системы защиты от фрода:
Принцип 1. В системе управления организацией должна быть разработана программа управления уровнем мошенничества, включающая в себя специальную политику (документ), отражающую требования совета директоров и высших топ-менеджеров в части снижения уровня фрода.
Принцип 2. В каждой компании риск фрода должен периодически проверяться (оцениваться) для идентификации специальных потенциальных схем и событий с целью его снижения до приемлемого уровня.
Принцип 3. Технические приемы предотвращения (снижения) риска мошенничества должны быть внедрены, где это возможно.
Принцип 4. Технические приемы выявления риска мошенничества должны быть внедрены для нахождения новых схем (методик) фрода, когда превентивные меры не оправдывают себя или когда выявлен риск мошенничества, уровень которого нельзя снизить.
Принцип 5. Процесс подготовки периодических отчетов должен быть включен в карту бизнес-процессов организации для оценки уровня существующего фрода. Отчетность помогает координировать методы расследования и корректирующие действия с целью снижения уровня риска фрода должным образом в соответствующее время.
Политика снижения рисков
Большинство компаний имеют разработанные политики и/или процедуры противодействия мошенничеству. Однако не у всех есть сжатые и лаконичные руководства, которые реально помогают снижать риски фрода. Конечно, данные документы могут быть не похожи друг на друга – все зависит от проведенного анализа рисков, от подтвержденного на высшем уровне аппетита рисков.
В политику снижения рисков мошенничества должны входить следующие элементы:
Для своей защиты и защиты своих акционеров от риска мошенничества руководство компании должно ясно понимать риск фрода и иные специфические риски, которые прямо или косвенно влияют на организацию. Грамотно структурированный анализ рисков, специально адаптированный под размер организации, отрасль и стратегические цели компании, должен пересматриваться с определенной, согласованной с высшим руководством, периодичностью. Анализ риска фрода может проводиться как в рамках общего анализа рисков всей компании, так и отдельно, но при этом обязательно должен включать в себя: идентификацию риска, вероятность риска, оценку риска (качественную или количественную) и реакцию на риск. Процесс идентификации рисков может также включать в себя сбор информации из внешних источников:
Внутренние источники для идентификации рисков должны включать в себя обзоры выявленных случаев фрода, свидетельства очевидцев и аналитические расчеты.
Детектирование фрода и его предотвращение
Процессы детектирования и предотвращения фрода связаны между собой, но имеют существенные различия. Предотвращение связано с политиками, процедурами и иными работами по недопущению фрода, в случае же детектирования фокус смещается в сторону работ и технологий, которые вовремя определяют мошеннические действия, при этом мошенничество уже произошло или происходит. Необходимо отметить, что пока технологии предотвращения фрода не могут со 100%-ной вероятностью обеспечивать безопасность, но они являются первой линией защиты от мошенничества. Комбинация превентивного и детективного контроля, усиленная эффективной программой антимошенничества, в настоящее время является основным методом противодействия мошенничеству.
Расследование и корректирующие действия
В настоящее время не существует систем противодействия фроду, которые могут со 100%-ной уверенностью защитить организацию. В этом случае руководство организации должно инициировать создание системы противодействия фроду, определив собственную роль в процессе защиты от мошенничества.
Процесс противодействия мошенничеству, как часть всего процесса управления предприятием, должен начинаться с разработки политики противодействия фроду (как документ), где четко прописывается роль руководства.
Часто компании разделяют все виды фрода на четыре основные группы:
При анализе лучших практик (best practice) можно выделить следующие методы управления фродом:
В целях предотвращения и выявления случаев фрода (в пределах, предусмотренных законодательством) организация может проводить следующие мероприятия, но не ограничиваться ими:
Необходимо особо отметить, что все выявленные случаи фрода должны быть расследованы, а результаты расследований – задокументированы и содержать перечень мер безопасности, которые были обойдены фродстером, а также недостатки технологических и бизнес-процессов.
Фродстер – физическое или юридическое лицо, совершившее фрод. Борьба с фродом – комплекс мероприятий по предотвращению, выявлению, оценке, расследованию и минимизации последствий случаев фрода.
После выявления случая фрода необходимо определить перечень мер по устранению недостатков, приведших к возникновению фрода, исполнителя и срок исполнения. Для разработки мер противодействия фроду нового типа должна формироваться специальная группа с привлечением необходимых специалистов других подразделений компании.
Отметим, что еще одним из обязательных мероприятий по противодействию фроду является его ранжирование. Целью ранжирования случаев фрода является приоритезация видов фрода с целью разработки адекватных антифродовых мероприятий.
Задача противодействия мошенничеству (фроду) существует столько же, сколько и собственно само мошенничество. Технологии противодействия мошенничеству издавна основываются на ряде простых положений, а именно:
Проблема борьбы с мошенничеством в IТ-системах становится все более актуальной, поскольку процессы автоматизированной обработки информации все больше сплетаются с основными процессами деятельности. Такие области, как телекоммуникации, просто не могут существовать сегодня без применения информационных технологий – они являются основным производством данной сферы. Именно поэтому вопросы борьбы с мошенничеством в этой области возникли раньше, чем где-либо, и сегодня представить крупного оператора телекоммуникационного рынка без внедренной системы мероприятий по противодействию фроду практически невозможно. В ряде случаев (как, например, в представленной статье) мошенничество в телекоммуникационной сфере выделяется как независимый вид мошенничества. Это, конечно, не так. По мере внедрения информационных технологий в другие сферы деятельности в рамках IТ-систем реализуются основные меры противодействия мошенничеству, причем они основываются на одних и тех же независимых от предметной области принципах.
Рост информационных систем, переход от стихийной автоматизации к плановому развитию корпоративных IТ-систем, применение проектных и бизнес-ориентированных технологий создали предпосылки для выявления возможных способов мошенничества, критериев его распознавания и реализации мер по минимизации потерь. При этом возможность глубокого автоматизированного анализа процессов в IТ-системе делает меры по предотвращению мошенничества существенно более эффективными, чем раньше.
Несмотря на наличие сложных и дорогих инструментов, обеспечивающих выявление мошенничества, их применение не является необходимым условием достижения успеха. Не менее эффективными оказываются часто простые меры мониторинга деятельности пользователей в системе, особенно в точках, уязвимых для известных технологий мошеннических действий. Именно поэтому применение дорогостоящих технических мер не должно быть приоритетным, куда важнее понять, какие части бизнес-процессов, реализованных в IТ-си-стемах, наиболее привлекательны для потенциального нарушителя, кто этот нарушитель и каковы его возможности и стимулы, насколько уязвима система, которую он будет пытаться использовать в своих интересах.
В целом борьба с мошенничеством является хорошей иллюстрацией эволюции парадигмы информационной безопасности от применения и совершенствования набора средств защиты к пониманию и оптимизации процессов деятельности организации и связанных с этими процессами рисков. В этой ситуации безопасность переходит из узкой ниши технической проблемы в задачу, решаемую бизнесом в целом и во многом определяющую его успешность.
9 секретов онлайн-платежей. Часть 7: система Fraud-мониторинга
Почему отклоняются платежи? Как интернет-магазины защищаются от мошенников? Как определить, настоящей картой вам платят или ворованной? Что обеспечивает защиту e-commerce от фрода? Ответы на эти вопросы вы найдете в седьмой части серии авторских статей «9 секретов онлайн-платежей» от PayOnline.
От карточного фрода может пострадать и интернет-магазин, и банк, и непосредственно сам держатель карты. В случае утечки данных карт, злоумышленники стараются снять максимальную сумму денег и не оставить следов, чтобы интернет-магазины разбирались с банками, кто же всё-таки должен возместить утраченную сумму. За владельцами карт уследить невозможно — интернет-магазин не может знать, кто находится по ту сторону экрана: злоумышленник или добропорядочный клиент. Риск есть всегда, но чтобы приблизить его значение к нулю существует множество инструментов проверки платежей и верификации плательщиков. Об одной из них, системе мониторинга мошеннических операций, или «системе антифрод», пойдет речь далее.
Часть 1. Настройка 3D Secure
Часть 2. Регулярные платежи
Часть 3. Страница выбора способа оплаты
Часть 4. Платежная форма
Часть 5. Мобильные платежи
Часть 6. Оплата в один клик
Часть 7. Система fraud-мониторинга
Часть 8. Возвраты и как их избежать
Часть 9. Настройки платежного сервиса под тип бизнеса
Что такое антифрод и как он работает
Общая схема работы практически любого механизма фрод-мониторинга выглядит следующим образом: в момент совершения оплаты с помощью банковской карты собирается несколько показателей (у каждой антифрод системы они разные) – начиная от IP адреса компьютера и заканчивая статистикой оплат по этой карте. Количество фильтров может превышать сотню (например, у системы электронных платежей PayOnline их более 120). Система имеет набор правил, то есть лимитов фильтров безопасности. Каждый из фильтров проверяет пользователя — его персональные и карточные данные. Цель системы — убедиться в том, что пользователь является реальным владельцем карты, совершающим покупку на сайте. В случае выявления подозрительной активности, то есть превышения какого-либо значения параметра, фильтр автоматически блокирует возможность совершения платежа по этой карте. Рассмотрим процесс работы антифрод системы пошагово.
Пользователь совершат оплату на сайте. Информация о платеже попадает в систему fraud-мониторинга. В этот момент антифрод обладает двумя информационными пакетами: информацией о данном единичном платеже и профилем среднестатистического плательщика данного интернет-магазина. Алгоритмы работы системы fraud-мониторинга позволяют оценить ряд факторов, среди которых основными являются:
«Судьба» каждой метки индивидуальна. В графическом виде мы представили жизненный цикл транзакций всех трех типов на Рисунке 1. Далее на нескольких простых примерах мы рассмотрим типовые транзакции всех «цветов» и расскажем, какие проверки определяет транзакциям система fraud-мониторинга в зависимости от уровня риска возникновения фрода.
Рисунке 1. «Жизненный цикл» транзакций с разными уровнями риска возникновения мошеннической операции
С «зелеными» транзакциями все максимально просто: например, плательщик осуществляет оплату из России, картой, выпущенной российским банком. Сумма платежа не превышает среднего чека магазина.
Система мониторинга присваивает транзакции «зеленую» метку. Далее транзакция отправляется на авторизацию с помощью 3-D Secure. А если карта не подписана на сервис одноразовых паролей или банк-эмитент еще не поддерживает данный сервис, запрос на авторизацию этой транзакции будет направлен в процессинговый центр банка-плательщика обычным способом — напрямую.
Средний уровень риска возникновения fraud-а определяет иной путь проверки оплаты на легитимность. Метка «желтого» цвета присваивается транзакциям со средним и выше среднего уровнями риска возникновения мошеннических операций. Например, в российском интернет-магазине покупка оплачивается банковской картой, выпущенной в России, но размер среднего чека заметно превышает средний «по больнице».
Система помечает данную транзакцию «желтой» меткой, и для ее авторизации могут потребоваться дополнительные действия плательщика. Если карта подписана на 3-D Secure, то транзакция (как и в случае с «зеленой» меткой), будет авторизована с использованием одноразового пароля. Однако если плательщик не может воспользоваться этим способом авторизации платежа, то его банковская карта будет автоматически направлена на онлайн-валидацию или ручную проверку.
«Красную» метку система фрод-мониторинга автоматически присваивает транзакциям с высоким уровень риска совершения мошеннических операций. Например, оплата в российском интернет-магазине осуществляется картой, выпущенной в США, а плательщик находится в Испании.
Если платежи с помощью данной банковской карты ранее не совершались через PayOnline, система fraud-мониторинга пометит транзакцию «красной меткой» и переведет ее из автоматического режима авторизации в ручной. Такой платеж будет отправлен на ручную модерацию специалистам департамента рисков. Для аутентификации владельца банковской карты потребуется документальное подтверждение — отсканированное изображение банковской карты и документа, удостоверяющего личность владельца. После предоставления корректных сканов документов операция переводится из «красного» в «зеленый» цвет и направляется на авторизацию в процессинговый центр банка. Сомнительные операции, не прошедшие ручную модерацию, отклоняются во избежание риска возникновения мошеннических операций.
Таким образом, анализ транзакций автоматически проводится системой fraud-мониторинга сразу на трех уровнях: единичная банковская карта; профиль предприятия электронной коммерции; общий поток транзакций, обрабатываемых IPSP. Вкупе с постоянно совершенствующимися алгоритмами автоматического сбора, обработки и анализа данных о совершенных платежах многоуровневый анализ транзакций позволяет системе fraud-мониторинга своевременно изменяться, повышая уровень безопасности совершения оплат на сайтах клиентов и снижая риски по всем видам фрода, свойственным интернет-коммерции.
Что настораживает систему фрод-мониторинга?
Что может вызвать подозрение у антифрод системы? Вот некоторые параметры, которые, скорее всего, заставят систему мониторинга мошеннических операций.
Ручная настройка: зачем и кому она нужна
Настройки системы фрод-мониторинга различаются в зависимости от типов бизнеса. Необходимо учитывать целый список параметров:
Например, ограничения по географии платежей критичны для сферы онлайн туризма: клиенту может понадобиться приобрести билет на самолет, находясь в командировке за границей, а система заблокирует такой платеж, так как он совершается не из той страны, где выпущена карта плательщика.
В этом случае применяется тонкая настройка фильтров: можно задать условия, согласно которым платеж будет пропускаться, даже если не выполняется условие, географии платежа. Подобные изменения вносятся в систему только после анализа возможных рисков, под контролем специалистов и после согласования изменений с представителем интернет-магазина.
Собственноручное вмешательство в работу системы может привести к большим потерям — при одобрении мошеннических операций интернет-магазин будет обязан вернуть деньги на карту владельца, даже если товар уже был отгружен мнимому покупателю. Более того, на магазин может быть наложен штраф в зависимости от объемов мошенничества, а при повторении подобных ситуаций — особые санкции от международных платежных систем (МПС).
Плюсы и минусы системы антифрод
Плюсы системы мониторинга мошеннических операций очевидны — автоматическое отклонение сомнительных транзакций, защита интернет-магазина от последующих разбирательств с банками, платежными системами и реальными владельцами карт. И, конечно же, минимизация репутационных и финансовых рисков. Репутация магазина не пострадает, и пользователи будут доверять такому ресурсу, а значит, их лояльность будет расти.
Но, как и у любого сервиса, у системы фрод-мониторинга есть свои «издержки производства». Отклонение платежей может привести к потере клиентов, а значит, прибыли. Без должной настройки фильтры могут не пропускать значимые для интернет-магазина транзакции, что точно не понравится покупателям.
При выборе платежного сервис-провайдера стоит обратить внимание на заявленную конверсию в успешные платежи: сервисы, гарантирующие «100% успешных оплат», скорее всего, либо намеренно переоценивают свой функционал, либо подвергают клиентов риску стать жертвой злоумышленников. Например, уровень конверсии в успешные платежи после «ручной» настройки (или у стандартных интернет-магазинов со стандартной клиентской аудиторией) системы электронных платежей PayOnline варьируется в рамках 93-96% — и это очень хороший показатель для рынка.
Еще одним неприятным, но важным моментом, с которым придется столкнуться при разработке системы фрод-мониторинга на стороне интернет-магазина, станет защита данных пользователей, как персональных, так и платежных. Необходимо будет пройти сертификацию соответствия требованием стандарта PCI DSS, а также учесть ограничения на хранение и обработку данных, регулируемые законом. Это относится скорее к тем, кто всё-таки берется за самостоятельную разработку антифрода, поэтому подробно вдаваться в детали в данной статье мы не будем.
Кто предоставляет услуги антифрод и почему лишь единицам стоит вкладываться в собственные разработки
Мониторинг мошеннических операций — необходимость в современных реалиях электронной коммерции. Для банка затраты на поддержку и развитие антифрод-системы — это более чем приемлемая сумма, которая многократно окупится в процессе использования.
Для платежного сервис-провайдера система фрод-мониторинга является одним из ключевых сервисов, который она предоставляет компаниям-клиентам.
Для малого и среднего бизнеса разработка собственного антифрода — это неподъемный и не окупающийся проект. Требования к подобным механизмам растут с каждым годом, они учатся более тонко обрабатывать получаемую информацию, учитывая статистику и поведенческие факторы. Чтобы система работала эффективно и соответствовала современным требованиям, необходим штат квалифицированных специалистов и значительные технические мощности. В подавляющем большинстве случаев игрокам электронной коммерции «не по карману» такие постоянные затраты — и мониторинг мошеннических операций делегируются платежным сервис-провайдерам, специализирующимся на анализе и обработке платежных операций. Так, к примеру, деятельность по мониторингу мошеннических платежных операций в PayOnline осуществляет система Fraud Management System (FMS), разработанная нашими специалистами. Она позволяет произвести тонкую настройку безопасности по 140 фильтрам. Если вы заинтересованы в приеме платежей на сайте или в мобильном приложении, защищенных антифрод-системой, смело обращайтесь, проконсультируем и подключим.
В следующей части «9 секретов онлайн-платежей» обсудим еще одну очень важную для любого продавца тему — чардж-бэк: Что делать, если услуга оказана или товар отгружен, а клиент или банк требуют вернуть деньги обратно на карту плательщика? Как можно избежать возвратов? Какие требования обычно предъявляются к сайту интернет-магазина? Скоро в нашем блоге.
Мошенничество (фрод)
Мошенничество, или фрод (англ. fraud — «мошенничество») — вид незаконного использования информационных технологий в различных областях бизнеса, от телекоммуникаций до банковского сектора, цель которого обычно состоит в том, чтобы присвоить денежные средства жертвы. Для фрода кибермошенники могут использовать множество методов: фишинг, скимминг, социальную инженерию, кардинг, «нигерийские письма» и т.п. Фрод известен очень давно: мошенники научились использовать телефон для своих операций еще в 60-70-х годах XX века. С появлением интернета кибермошенники перебрались и в него: начали появляться фишинговые сайты, на электронную почту пользователей стали приходить письма мошеннического содержания.
Классификация и разновидности фрода
К данному виду относятся фишинг и кража личности.
При фишинге хакеры пытаются всеми способами получить от пользователя его личные данные, логины и пароли. Мошенники могут создавать поддельные сайты, внешне неотличимые от настоящих, с похожими доменными именами, чтобы пользователь поверил в их подлинность и попытался пройти авторизацию со своим логином и паролем, после чего учетные данные окажутся у злоумышленников. Также фишинг может быть реализован в виде электронных писем и других подобных сообщений, в которых мошенники от имени компании (банка, социальной сети и т.п) запрашивают у пользователя сведения для входа в аккаунт или его личные данные (номера кредитных карт, копии документов).
Кража личности — преступление, при котором один человек выдает себя за другого. Мошенники могут делать это, например, для того, чтобы удаленно получить кредит на чужое имя. По информации исследователей, работающих в области безопасности, на черном рынке полный комплект данных для кражи личности (включая документы) стоит 16-30 долларов США.
Для получения данных о реквизитах платежной карты мошенники могут устанавливать специальные устройства на банкоматы. Эти устройства считывают данные с карточки и пин-код, который вводит пользователь. Также злоумышленники могут устанавливать специальные программы на взломанные банкоматы, киоски оплаты, POS-терминалы.
Часто мошенники используют специальные устройства для кражи информации с магнитной ленты платежной карты. Такой вид мошенничества называется скиммингом. Скиммеры с помощью специального оборудования могут перенести данные одной платежной карты на другую. С появлением бесконтактных карт оплаты скиммеры стали использовать новое оборудование для считывания данных с них.
В третью группу можно включить внутренние хищения, совершаемые сотрудниками компании с использованием служебного положения и доступа к информационным системам. Жертвами такого фрода может стать как сама компания, в которой работают нечистоплотные сотрудники, так и ее клиенты.
Жертвы фрода
От мошенничества в сфере высоких технологий страдает широкий круг людей: владельцы интернет-магазинов, банки, телеком-операторы, теряющие огромное количество денег из-за мошенников, которые покупают у них товары с помощью чужих карт, после чего владелец карты обязательно запросит возврат средств. Например, потери телеком-операторов составляют от 3% до 7% от общего дохода за счет продажи услуг (ip-news.ru). Таким образом, магазин останется и без товара, и без денег. Кроме того, банки часто вводят санкции против магазина в виде штрафа в размере от 5 до 200 тысяч долларов США. Обычные пользователи страдают не меньше — мошенники воруют деньги с их счетов, берут от их имени кредиты.
Источники мошенничества
В интернете и даркнете существует огромное количество форумов, посвященных мошенничеству через интернет. На них мошенники объединяются в группы, делятся опытом и учат новичков. Из-за такой доступности информации число кибермошенников растет. На данный момент значительное количество пользователей разного возраста и национальной / этнической принадлежности промышляют мошенничеством: покупают на черном рынке данные о реквизитах платежных карт, занимаются фишингом, обворовывают интернет-магазины. Для этого не нужно много знаний и опыта, достаточно найти в интернете схему и действовать. Особую опасность представляют организованные группировки, которые занимаются фродом на профессиональной основе. Они нацеливаются на опустошение счетов сотовых операторов, использование бонусов в интернет-магазинах для получения товаров и т.д.
Анализ риска фрода
Фрод — огромный риск и огромные потери для интернет-предпринимателей и обычных пользователей. К счастью, для интернет-магазинов, банков, телеком-операторов разработано много различных антифрод-систем, которые следят за тем, чтобы на сайте не было мошенничества. Одним из видов борьбы с фродом являются проверки вручную — в этом случае трудозатраты составлют не менее 80% от общего объема работ. Еще один вид — ИТ-зависимые методы, когда борьба с мошенничеством основывается на специальных выборках, предоставляемых ИТ-подразделениями компании, благодаря чему значительно сокращаются трудозатраты и возрастает число контролируемых потоков данных. Третий вид противодействия фроду — автоматизированные методы, использование программно-аппаратных средств.