Мошенники, магазины и банковские карты Банковские карты • Участники системы • Международная платежная система – Visa, Mastercard • Банк, выпустивший карту – эмитент • Банк, снимающий деньги с карты – эквайер • Техническое взаимодействие с магазином – процессинг • Магазин/Проект, принимающий деньги с банковских карт Цепочка платежа • • • • • • • • Пользователь выбирает банковскую карту как способ оплаты Магазин перенаправляет пользователя на форму ввода данных банковской карты, предоставленную процессингом Процессинг передают данные карты и сумму запроса в банк эквайер Банк эквайер через протоколы и сервера международной платежной системы передает запрос банку эмитенту Банк эмитент дает ответ (иногда отрицательный) и снимает (блокирует) определенную сумма со счета пользователя Банк эквайер передает ответ процессингу Процессинг передает ответ магазину Магазин продает товар/услугу (или не продает) Риски магазина • Если пользователь отозвал свой платеж и написал заявление, что он не совершал его, то крайним оказывается магазин. У магазина отзывают платеж. Товар или услуга уже оказаны, магазин несет прямые убытки. Решение от Visa и Mastercard • Чтобы снять риски с магазинов международные платежные системы ввели специальный код для операций без предъявления карты (в том числе через Интернет) : • Verified by Visa • Mastercard Secure Code Часто эти технологии называют 3D-Secure Изменение цепочки платежа • В момент обращения банка эквайера в банк эмитент происходит перенаправление владельца карты на сайт банка эмитента, где владелец карты должен ввести специальный код для операций в Интернете Магазин защищен? • Использование технологии Verified by Visa и Mastercard Secure Code сильно защищают магазин, но: • Если операцию провел не владелец карты, а мошенник, то деньги являются ворованными • Если число таких операций превышает маленький порог, то Visa и Mastercard могут отключить такой магазин Что делать? • Надо использовать технические решения, которые смогут предотвратить мошеннические операции: Фродмониторинг Как выявить мошенническую операцию • Нет способа, который позволил бы однозначно выявить мошенническую операцию, но можно попытаться понять уровень риска платежа IP адрес и банк эмитент • IP адрес дает предположение о стране и городе пользователя. Первые 6 цифр карты идентифицируют банк эмитент и страну Странно, если пользователь покупает чайник в Нижнем Новгороде и расплачивается карточкой Италии. Или если пользователь из Италии покупает чайник в Нижнем Новгороде при помощи карты Австрийского банка История IP адреса • Покупатель, может посещать магазин с разными IP адресами. Но очень подозрительно, если пользователь с IP адресом московского региона за 10 минут меняет его на IP адрес Вашингтона. Номер карты, частота операций и ответ от банка • Покупатель, который пробует 10 банковскую карту и получает отрицательный ответ от банка эмитента на покупку ноутбука за 30000 рублей вызывает подозрение Такое поведение связано с тем, что мошенник перебирает карты и пробует на какой из них есть деньги. Так же очень подозрительно, если операции списания идут по одной карте, но уменьшаясь. Это как правило связано с тем, что мошенник не знает остаток денег на карте и подбирает сумму Метка браузера (cookie) • Пользователи, которые используют один браузер для 10 аккаунтов в магазине и покупают дорогостоящие товары на разные карты очень похожи на мошенников Разные аккаунты/счета и один браузер – всегда не безопасно. Рискованные группы товаров • Продавать сковородку и принимать оплату банковской картой менее рискованно, чем продавать ноутбук или игровую валюты в популярном игровом проекте К рискованным товарам надо относить товары, которые легко перепродать и получить деньги История операций • Если пользователь уже покупал у вас в магазине более чем 3-6 месяцев назад, то доверяйте ему больше, так как за предыдущую покупку он не потребовал возврата денег История банковской карты в других магазинах • Банки и процессинги могут видеть информацию по истории операций определенной банковской карты в разных магазинах. Исходя из этой истории предотвратить мошеннические операции по карте, по которой уже были возвраты платежей Может ли магазин сделать свой фродмониторинг • Конечно может, но: • Как правило магазин не имеет возможности узнать БИН (первые 6 цифр карты) банковской карты, так как не видит номер банковской карты • Магазин не может увидеть историю банковской карты в других магазинах • Анализ операций требует ресурсов, как аппаратных, так и человеческих. Выход • Использование электронной платежной системы Деньги@Mail.Ru: • Все платежи безотзывные • Пользователь может оплатить покупку как со счета банковской карты, так и со счета в Деньгах@Mail.Ru • Подключение платежной системы проще, чем реализация эквайринга от банка Что доступно нам дополнительно • Деньги@Mail.Ru сильно интегрирована с процессинговыми системами и банками, что позволяет предотвращать мошеннические операции до момента их совершения • Пользователь 1 раз привязывает свою карту к счету в Деньгах@Mail.Ru и далее совершает платежи не вводя данные банковской карты • Каждая операция по банковской карте подтверждает одноразовым СМС паролем + дополнительным паролем 3D-secure Регулярные счета • Магазин может выставлять пользователю счета для совершения регулярных оплат. Такой счет и напомнит пользователю о платеже и облегчит его совершение Не только банковские карты • Подключив Деньги@Mail.Ru магазин начинает принимать платежи не только с банковских карт, но и из всех доступных для пополнения кошелька систем, а это более 150000 терминалов, салоны Связного и Евросети Схемы работы • Легко подключить, но минимум возможностей – это простая html форма для размещения у себя на сайте. Обработка платежа происходит на стороне Денег@Mail.Ru. Есть возможность вызова специального платежного окна на сайте магазина. • Использование API – обработка платежа происходит на сайте магазина, связь с Деньгами@Mail.Ru идет через вызовы функций в фоновом для пользователя режиме Базовые функции API • Выставить счет • Получить информацию о состоянии счета (оплачен, отклонен) • Получить информацию о регистрации пользователя в системе Возможна глубокая интеграция при с использовании единой авторизации и с запросом баланса Автоплатеж • Для доверенных магазинов устанавливается функция автоплатежа, которая позволяет получить автоматическую оплату счета без перехода на сайт платежной системы и ввода платежного пароля. СПАСИБО! Андрей Ефимочкин Руководитель платежной системы Деньги@Mail.Ru efimochkin@corp.mail.ru