Всем привет! Это наш первый пост на Хабре, которым мы начинаем серию публикаций о фроде и антифрод-сервисах. Мы — Payture, а если быть точными, международная процессинговая компания, специализирующаяся на услугах в области электронной и мобильной коммерции, а также предоставляющая услуги антифрод-сервиса.
Конечно, скимминг (офлайн считывание данных с карты) также применяется мошенниками для получения персональных данных, используемых во фрод-операциях, но в примере речь как раз о фишинге.
Может кто-то вспомнит, что в 2007 году клиенты Альфа-Банка, пользующиеся услугой Альфа-Клик, массово подверглись нескольким фишинг-атакам. Речь о фишинговых ссылках и письмах. После ввода клиентами Альфа-Банка своих персональных данных на фишинговых страницах, злоумышленники могли использовать полученную информацию в различных вариантах монетизации.
Здесь нас интересует случай, когда преступники оплачивают в интернете товары или услуги по украденным пластиковым картам. Вот вам и данные для фрода. После такой оплаты пострадавшим становится не только истинный держатель скомпрометированной карты, но и мерчант, который будет обязан вернуть списанные с карты средства её истинному владельцу.
Со списанием средств с украденной карты участие злоумышленников в схеме фрода заканчивается, и начинается разбирательство (после заявления держателя карты), в котором участвуют банк-эмитент (на стороне держателя карты), платежная система, банк-эквайер (на стороне мерчанта) и мерчант.
Стоит отметить, что сейчас карты российских банков не слишком популярны у мошенников, специализирующихся на фроде в силу относительно высокой защищенности.
Поэтому следующий пример, который проиллюстрирует убытки мерчанта из-за фрода, будет уже с участием скомпрометированных карт иностранного банка. Случай произошел с нашим клиентом, который реализовывал авиабилеты, как онлайн трэвел агентство. Описываемая схема мошенников стала возможна благодаря временному отсутствию у него антифрод-системы, что позволило злоумышленникам провести множественные оплаты по краденным картам иностранного банка.
У мошенников каким-то образом (см. выше: фишинг, скимминг) оказались данные пластиковых карт клиентов одного иностранного банка. Затем злоумышленники на своем сайте и в соцсетях, представляясь сотрудниками авиакомпании сообщали, что у них есть возможность продавать авиабилеты за полцены. Любопытно, что покупателей на эти билеты преступники находили также заводя личные знакомства среди россиян в местах скопления туристов.
Далее, уже посредством электронной почты мошенники налаживали контакт с людьми, желающими воспользоваться заманчивым предложением купить билеты в любое место по низкой цене. Условием выписки такого билета было перечисление средств на электронный кошелек мошенников, что является безотзывной операцией.
Мошенники же в это время покупали билет самостоятельно, за полную стоимость, вводя на сайте нашего клиента, онлайн трэвел агентства (мерчанта) данные реального будущего пассажира (покупателя билета у мошенника за полцены), а также данные украденной карты клиента иностранного банка.
Покупатели получали от злоумышленников на свой e-mail электронный билет, который был официально зарегистрирован в авиакомпании. После этого ничего не подозревающие пассажиры прибывали в аэропорт, проходили регистрацию по паспорту и летели.
Основным условием такой покупки была ее небольшая глубина: сегодня покупаешь, а завтра улетаешь. За это время реальный держатель карты не успевал подать заявление в банк об опротестовании транзакции, а если и успевал, то система взыскивания чарджбеков отрабатывала с некоторой задержкой, что позволяло мошенникам и далее проводить множественные оплаты, получая с каждой транзакции половину средств от любителей дешевых билетов.
Держатели скомпрометированных карт обратились в свой банк-эмитент, началось разбирательство с участием платежной системы, в ходе которого виновным оказался банк-эквайер. По договору с мерчантом банк-эквайер провел chargeback, из-за чего трэвел агентство понесло убытки равные стоимости купленных билетов.
В сухом остатке:
Пострадавшая компания, не подключившая систему распознавания мошенничества дополнительно выплатила штраф от международных платежных систем в размере 5000 евро. Далее был назначен аудит системы безопасности платежных решений шлюза и банка-эквайера, стоимостью 15000 евро, эти расходы также были переложены на мерчанта.
Как видим, трэвел агентство понесло значительные невосполнимые потери из-за отсутствия антифрод-системы, потому что правила и алгоритмы настройки антифрод-сервиса позволили бы вычислить подобные мошеннические платежи, например по таким индикаторам:
1 — в описанном случае карта, принадлежащая банку-эмитенту не свойственна аудитории клиента (банк, выпустивший карту, допустим, находится во Франции, а аудитория клиента в основном из России)
2 — платеж был совершен за полёт, который должен был осуществиться в ближайшее время (таким операциям уделяется особое внимание, так как это достаточно редкий случай, даже если бы антифрод-система пропустила платеж, то аналитики сервиса в течение нескольких часов выявили бы его и связались с клиентом для предупреждения мошеннической операции)
3 — значительный разброс в расстояниях между локациями, где находится устройство, с которого производится оплата, пассажир, его адрес, банк-эмитент (сопоставляя эти факты можно назвать операцию подозрительной и либо не пропустить, либо перепроверить)
Именно такие “дыры”, где отсутствует защита от мошеннических операций используют для своих атак IT-мошенники.
Как известно, доля попыток мошеннических операций в онлайн-торговле достигает 10%. Мошенники очень часто атакуют сайты онлайн-магазинов на предмет отсутствия антифрод-системы. И если, однажды, мошенник находит такую “дыру”, то эта информация моментально распространяется среди единомышленников.
Один случай из нашей практики прекрасно иллюстрирует такую ситуацию. По причинам, которые мы не можем разглашать, у нашего клиента отключили антифрод всего на сутки.
В результате мы наблюдали лавинообразное увеличение транзакций у этого клиента с участием карт одного британского банка, где недавно произошла утечка данных. В течение нескольких часов были попытки мошенничества, исходящие от самих мошенников, дропов и роботов. Вероятно, не все эти платежи осуществлялись для покупок, многие просто пытались узнать о наличие средств на той или иной карте, потому что выбирали предложения совершенно рандомным способом.
Как ленты популярных соцсетей наполнены вирусными постами, так и социальные сети мошенников наполнены сообщениями о том, что обнаружена та или иная “дыра”. По этой причине, иногда действия IT-мошенников (особенно в трэвел сегменте) могут иметь катастрофические последствия, даже в течение дня.
Отдельно по спорам в терминологии: данную схему мошенничества некоторые источники описывают, как Кардинг. Но, в нашей практике принято называть её фродом. Описанный в первом примере тип фрода считается Профессиональным. Существуют также Слепой, Умный и Френдли фрод, о их особенностях напишем в следующий раз. Элементарные знания по терминологии можно почерпнуть здесь.
Готовы отвечать на практические вопросы по теме фрода, антифрод-сервисов, обеспечения транзакций, поскольку хотелось бы избежать излишней обобщенности и поверхностности. Мы по понятным причинам несколько скованы в глубине раскрытия темы, но постараемся сделать общение с нами интересным.
Фрод и фишинг ходят рядом (о том, где берутся данные для фрода)
Конечно, скимминг (офлайн считывание данных с карты) также применяется мошенниками для получения персональных данных, используемых во фрод-операциях, но в примере речь как раз о фишинге.
Может кто-то вспомнит, что в 2007 году клиенты Альфа-Банка, пользующиеся услугой Альфа-Клик, массово подверглись нескольким фишинг-атакам. Речь о фишинговых ссылках и письмах. После ввода клиентами Альфа-Банка своих персональных данных на фишинговых страницах, злоумышленники могли использовать полученную информацию в различных вариантах монетизации.
Здесь нас интересует случай, когда преступники оплачивают в интернете товары или услуги по украденным пластиковым картам. Вот вам и данные для фрода. После такой оплаты пострадавшим становится не только истинный держатель скомпрометированной карты, но и мерчант, который будет обязан вернуть списанные с карты средства её истинному владельцу.
Мерчант зачастую становится потерпевшим в разбирательствах по случаям фрода
Со списанием средств с украденной карты участие злоумышленников в схеме фрода заканчивается, и начинается разбирательство (после заявления держателя карты), в котором участвуют банк-эмитент (на стороне держателя карты), платежная система, банк-эквайер (на стороне мерчанта) и мерчант.
Стоит отметить, что сейчас карты российских банков не слишком популярны у мошенников, специализирующихся на фроде в силу относительно высокой защищенности.
Поэтому следующий пример, который проиллюстрирует убытки мерчанта из-за фрода, будет уже с участием скомпрометированных карт иностранного банка. Случай произошел с нашим клиентом, который реализовывал авиабилеты, как онлайн трэвел агентство. Описываемая схема мошенников стала возможна благодаря временному отсутствию у него антифрод-системы, что позволило злоумышленникам провести множественные оплаты по краденным картам иностранного банка.
Как происходит профессиональный фрод?
У мошенников каким-то образом (см. выше: фишинг, скимминг) оказались данные пластиковых карт клиентов одного иностранного банка. Затем злоумышленники на своем сайте и в соцсетях, представляясь сотрудниками авиакомпании сообщали, что у них есть возможность продавать авиабилеты за полцены. Любопытно, что покупателей на эти билеты преступники находили также заводя личные знакомства среди россиян в местах скопления туристов.
Далее, уже посредством электронной почты мошенники налаживали контакт с людьми, желающими воспользоваться заманчивым предложением купить билеты в любое место по низкой цене. Условием выписки такого билета было перечисление средств на электронный кошелек мошенников, что является безотзывной операцией.
Мошенники же в это время покупали билет самостоятельно, за полную стоимость, вводя на сайте нашего клиента, онлайн трэвел агентства (мерчанта) данные реального будущего пассажира (покупателя билета у мошенника за полцены), а также данные украденной карты клиента иностранного банка.
И тут они полетели
Покупатели получали от злоумышленников на свой e-mail электронный билет, который был официально зарегистрирован в авиакомпании. После этого ничего не подозревающие пассажиры прибывали в аэропорт, проходили регистрацию по паспорту и летели.
Основным условием такой покупки была ее небольшая глубина: сегодня покупаешь, а завтра улетаешь. За это время реальный держатель карты не успевал подать заявление в банк об опротестовании транзакции, а если и успевал, то система взыскивания чарджбеков отрабатывала с некоторой задержкой, что позволяло мошенникам и далее проводить множественные оплаты, получая с каждой транзакции половину средств от любителей дешевых билетов.
Каковы оказались последствия фрода?
Держатели скомпрометированных карт обратились в свой банк-эмитент, началось разбирательство с участием платежной системы, в ходе которого виновным оказался банк-эквайер. По договору с мерчантом банк-эквайер провел chargeback, из-за чего трэвел агентство понесло убытки равные стоимости купленных билетов.
В сухом остатке:
- покупатели авиабилетов за полцены успешно их использовали
- мошенники получили часть денег по краденным картам
- истинным владельцы скомпрометированных карт вернули списанные средства
- а у трэвел агентства проблемы только начинались
Пострадавшая компания, не подключившая систему распознавания мошенничества дополнительно выплатила штраф от международных платежных систем в размере 5000 евро. Далее был назначен аудит системы безопасности платежных решений шлюза и банка-эквайера, стоимостью 15000 евро, эти расходы также были переложены на мерчанта.
Как минимизировать потери?
Как видим, трэвел агентство понесло значительные невосполнимые потери из-за отсутствия антифрод-системы, потому что правила и алгоритмы настройки антифрод-сервиса позволили бы вычислить подобные мошеннические платежи, например по таким индикаторам:
1 — в описанном случае карта, принадлежащая банку-эмитенту не свойственна аудитории клиента (банк, выпустивший карту, допустим, находится во Франции, а аудитория клиента в основном из России)
2 — платеж был совершен за полёт, который должен был осуществиться в ближайшее время (таким операциям уделяется особое внимание, так как это достаточно редкий случай, даже если бы антифрод-система пропустила платеж, то аналитики сервиса в течение нескольких часов выявили бы его и связались с клиентом для предупреждения мошеннической операции)
3 — значительный разброс в расстояниях между локациями, где находится устройство, с которого производится оплата, пассажир, его адрес, банк-эмитент (сопоставляя эти факты можно назвать операцию подозрительной и либо не пропустить, либо перепроверить)
Именно такие “дыры”, где отсутствует защита от мошеннических операций используют для своих атак IT-мошенники.
Дыры в системах безопасности — это вирусные посты в социальных сетях мошенников
Как известно, доля попыток мошеннических операций в онлайн-торговле достигает 10%. Мошенники очень часто атакуют сайты онлайн-магазинов на предмет отсутствия антифрод-системы. И если, однажды, мошенник находит такую “дыру”, то эта информация моментально распространяется среди единомышленников.
Один случай из нашей практики прекрасно иллюстрирует такую ситуацию. По причинам, которые мы не можем разглашать, у нашего клиента отключили антифрод всего на сутки.
В результате мы наблюдали лавинообразное увеличение транзакций у этого клиента с участием карт одного британского банка, где недавно произошла утечка данных. В течение нескольких часов были попытки мошенничества, исходящие от самих мошенников, дропов и роботов. Вероятно, не все эти платежи осуществлялись для покупок, многие просто пытались узнать о наличие средств на той или иной карте, потому что выбирали предложения совершенно рандомным способом.
Мораль
Как ленты популярных соцсетей наполнены вирусными постами, так и социальные сети мошенников наполнены сообщениями о том, что обнаружена та или иная “дыра”. По этой причине, иногда действия IT-мошенников (особенно в трэвел сегменте) могут иметь катастрофические последствия, даже в течение дня.
Отдельно по спорам в терминологии: данную схему мошенничества некоторые источники описывают, как Кардинг. Но, в нашей практике принято называть её фродом. Описанный в первом примере тип фрода считается Профессиональным. Существуют также Слепой, Умный и Френдли фрод, о их особенностях напишем в следующий раз. Элементарные знания по терминологии можно почерпнуть здесь.
Готовы отвечать на практические вопросы по теме фрода, антифрод-сервисов, обеспечения транзакций, поскольку хотелось бы избежать излишней обобщенности и поверхностности. Мы по понятным причинам несколько скованы в глубине раскрытия темы, но постараемся сделать общение с нами интересным.