Ефимочкин - DRAFT

реклама
Мошенники, магазины и банковские карты
Банковские карты
• Участники системы
• Международная платежная система – Visa,
Mastercard
• Банк, выпустивший карту – эмитент
• Банк, снимающий деньги с карты – эквайер
• Техническое взаимодействие с магазином –
процессинг
• Магазин/Проект, принимающий деньги с
банковских карт
Цепочка платежа
•
•
•
•
•
•
•
•
Пользователь выбирает банковскую карту как способ оплаты
Магазин перенаправляет пользователя на форму ввода данных
банковской карты, предоставленную процессингом
Процессинг передают данные карты и сумму запроса в банк
эквайер
Банк эквайер через протоколы и сервера международной
платежной системы передает запрос банку эмитенту
Банк эмитент дает ответ (иногда отрицательный) и снимает
(блокирует) определенную сумма со счета пользователя
Банк эквайер передает ответ процессингу
Процессинг передает ответ магазину
Магазин продает товар/услугу (или не продает)
Риски магазина
• Если пользователь отозвал свой платеж и
написал заявление, что он не совершал его, то
крайним оказывается магазин. У магазина
отзывают платеж. Товар или услуга уже оказаны,
магазин несет прямые убытки.
Решение от Visa и Mastercard
• Чтобы снять риски с магазинов международные
платежные системы ввели специальный код для
операций без предъявления карты (в том числе
через Интернет) :
• Verified by Visa
• Mastercard Secure Code
Часто эти технологии называют 3D-Secure
Изменение цепочки платежа
• В момент обращения банка эквайера в банк
эмитент происходит перенаправление владельца
карты на сайт банка эмитента, где владелец карты
должен ввести специальный код для операций в
Интернете
Магазин защищен?
• Использование технологии Verified by Visa и
Mastercard Secure Code сильно защищают
магазин, но:
• Если операцию провел не владелец карты, а
мошенник, то деньги являются ворованными
• Если число таких операций превышает
маленький порог, то Visa и Mastercard могут
отключить такой магазин
Что делать?
• Надо использовать технические решения,
которые смогут предотвратить мошеннические
операции:
Фродмониторинг
Как выявить мошенническую операцию
• Нет способа, который позволил бы однозначно
выявить мошенническую операцию, но можно
попытаться понять уровень риска платежа
IP адрес и банк эмитент
• IP адрес дает предположение о стране и городе
пользователя.
Первые 6 цифр карты идентифицируют банк
эмитент и страну
Странно, если пользователь покупает чайник в
Нижнем Новгороде и расплачивается карточкой
Италии.
Или если пользователь из Италии покупает
чайник в Нижнем Новгороде при помощи карты
Австрийского банка
История IP адреса
• Покупатель, может посещать магазин с разными
IP адресами.
Но очень подозрительно, если пользователь с IP
адресом московского региона за 10 минут меняет
его на IP адрес Вашингтона.
Номер карты, частота операций и ответ от банка
• Покупатель, который пробует 10 банковскую карту и
получает отрицательный ответ от банка эмитента на
покупку ноутбука за 30000 рублей вызывает подозрение
Такое поведение связано с тем, что мошенник перебирает
карты и пробует на какой из них есть деньги.
Так же очень подозрительно, если операции списания идут
по одной карте, но уменьшаясь. Это как правило связано с
тем, что мошенник не знает остаток денег на карте и
подбирает сумму
Метка браузера (cookie)
• Пользователи, которые используют один браузер
для 10 аккаунтов в магазине и покупают
дорогостоящие товары на разные карты очень
похожи на мошенников
Разные аккаунты/счета и один браузер – всегда не
безопасно.
Рискованные группы товаров
• Продавать сковородку и принимать оплату
банковской картой менее рискованно, чем
продавать ноутбук или игровую валюты в
популярном игровом проекте
К рискованным товарам надо относить товары,
которые легко перепродать и получить деньги
История операций
• Если пользователь уже покупал у вас в магазине
более чем 3-6 месяцев назад, то доверяйте ему
больше, так как за предыдущую покупку он не
потребовал возврата денег
История банковской карты в других
магазинах
• Банки и процессинги могут видеть информацию
по истории операций определенной банковской
карты в разных магазинах. Исходя из этой
истории предотвратить мошеннические операции
по карте, по которой уже были возвраты платежей
Может ли магазин сделать свой
фродмониторинг
• Конечно может, но:
• Как правило магазин не имеет возможности узнать
БИН (первые 6 цифр карты) банковской карты, так
как не видит номер банковской карты
• Магазин не может увидеть историю банковской
карты в других магазинах
• Анализ операций требует ресурсов, как
аппаратных, так и человеческих.
Выход
• Использование электронной платежной системы
Деньги@Mail.Ru:
• Все платежи безотзывные
• Пользователь может оплатить покупку как со
счета банковской карты, так и со счета в
Деньгах@Mail.Ru
• Подключение платежной системы проще, чем
реализация эквайринга от банка
Что доступно нам дополнительно
• Деньги@Mail.Ru сильно интегрирована с
процессинговыми системами и банками, что
позволяет предотвращать мошеннические
операции до момента их совершения
• Пользователь 1 раз привязывает свою карту к
счету в Деньгах@Mail.Ru и далее совершает
платежи не вводя данные банковской карты
• Каждая операция по банковской карте
подтверждает одноразовым СМС паролем +
дополнительным паролем 3D-secure
Регулярные счета
• Магазин может выставлять пользователю счета
для совершения регулярных оплат. Такой счет и
напомнит пользователю о платеже и облегчит его
совершение
Не только банковские карты
• Подключив Деньги@Mail.Ru магазин начинает
принимать платежи не только с банковских карт,
но и из всех доступных для пополнения кошелька
систем, а это более 150000 терминалов, салоны
Связного и Евросети
Схемы работы
• Легко подключить, но минимум возможностей –
это простая html форма для размещения у себя на
сайте. Обработка платежа происходит на стороне
Денег@Mail.Ru. Есть возможность вызова
специального платежного окна на сайте магазина.
• Использование API – обработка платежа
происходит на сайте магазина, связь с
Деньгами@Mail.Ru идет через вызовы функций в
фоновом для пользователя режиме
Базовые функции API
• Выставить счет
• Получить информацию о состоянии счета
(оплачен, отклонен)
• Получить информацию о регистрации
пользователя в системе
Возможна глубокая интеграция при с
использовании единой авторизации и с запросом
баланса
Автоплатеж
• Для доверенных магазинов устанавливается
функция автоплатежа, которая позволяет
получить автоматическую оплату счета без
перехода на сайт платежной системы и ввода
платежного пароля.
СПАСИБО!
Андрей Ефимочкин
Руководитель платежной системы
Деньги@Mail.Ru
efimochkin@corp.mail.ru
Скачать