Payment fraud / антифрод шопов 2018

Предисловие​

В прошлый раз, я Вам обещал, что мы рассмотрим более низкий риск мошенничества. (50~60 fraud score) Но, немного погуляв по разным мерчам и антифродам, мне пришла идея получше. Сегодня мы рассмотрим с Вами один популярный мерч (и немного коснемся соседнего мерча), какую он защиту предлагает по стандарту, как советует проверять клиентов в случаях высокого риска. Рассмотрим популярные решения антифрод системы для мелких - средних онлайн магазинчиков. Немного затронем Google Voice/Skype/телефонные номера. И разберём поподробнее пару антифрод систем для плюс/минус среднего магазина.

Как и в прошлый раз, под картинками будет ссылка, на случай, если картинка не показывается.

Shopify​

Мерч, с которым знакомы, я думаю, почти все. У него есть брат Shopify Plus - для крупных бизнесов. Он нас не интересует, да и залезть туда будет сложно. У Shopify самый дорогой тарифный план 300$/месяц, самый дешёвый 30$/месяц.

Тарифные Планы​

По тарифному плану, можно многое сказать о мелком шопе. Чем же отличаются тарифные планы?

https://yadi.sk/i/jXySh6R23TTwCg

На всех тарифных планах присутствует стандартная защита и ее настройка. У брата Shopify Plus настройка полностью кастомизированная, с фильтрами и правилами. В прошлой статье я расписывал эти пункты подробно. Вернёмся к мелким шопам, по каким отличиям мы можем строить предположение о тарифном плане:

- Если магазин выдает/продаёт e-Gift'ы, то это либо middle(средний) тариф за 80$/мес, либо advanced(расширенный) за 300$/месяц. Проверить это достаточно просто, пролистайте страницу вниз, посмотрите, на карте сайта есть пункт Gift Cards? Если есть, нажмите на него, есть возможность приобретения карты?

- Какова цена доставки? Грубый пример: если на одном сайте на тот же товар доставка $50 FedEx Overnight, а на другом $30, то на том сайте, на котором доставка стоит меньше скорее всего тарифный план дороже.

- Если на сайте указывается расчетный тарифный план доставки через приложение или операторов (USP, FedEx и т.п.), то тарифный план у данного шопа самый дорогой.

https://yadi.sk/i/tN_1_3r13TTzJa

Естественно, крупные магазины проверять даже не стоит, на них скорее всего стоит Spotify Plus.

Но, в случае, если Вы наткнулись на мелкий шоп, то эти данные могут Вам немного рассказать о шопе. К примеру, если у шопа нет e-gift'ов и доставка достаточно дорогая, посещаемость по рейтингу алексы маленькая, на facebook мало подписчиков, тогда мы можем сыграть на неопытности продавцов. Также если мы уверены, что шоп мелкий и не пользуется Spotify Plus, то кол-во сотрудников, к которым мы можем подключить CC для выплат максимум 15. Отсюда, можно примерно предполагать, сколько сотрудников есть в компании.

Шопы среднего уровня (не тарифного), у которых стоит advanced тариф, получают очень информативные отчёты. А так же, на основе этих отчетов Spotify может советовать занести значение того или иного атрибута в blacklist. И в следующий раз сразу же отправлять ордер на проверку человеком.

Грубый пример, если чарджи были на заказы с SSH - туннелей: фрод система порекомендует занести в блек лист тот или иной домен IP. К теме дедиков/носков/туннелей мы сегодня ещё вернёмся, но чуточку позже.

Не забывайте, мы рассматриваем именно Spotify, у других мерчей могут быть другие тарифные планы.

Стандартная антифрод система Spotify​

Помните в прошлой части я Вам рассказывал про риски и их цвета? Я забыл указать ещё один цвет: Зелёный.

Напомню Вам значения:

Зелёный - рисков нет, фрод снизит немного очки. Отображается когда значение атрибута совпадает с большинством "законных" заказов.

Серый - не прибавляет и не убавляет фрод очки. По сути, дополнительная информация о заказе. Всегда разная, зависит от того, какие у Вашего заказа зелёные атрибуты, а какие красные.

Жёлтый - Risky (Рискованный). Отображается когда значение атрибута совпадает с некоторыми мошенническими и "законными" заказами.

Рыжий - Very Risky (Большой риск). Отображается когда значение атрибута совпадает с большинством мошеннических и некоторыми "законными" заказами.

Красный - Extreme Risky (Экстремальный риск). Отображается когда значение атрибута совпадает с большинством мошеннических заказов.

https://yadi.sk/i/NqUGYman3TUqZe

У стандартной системы Spotify, чуть упрощено всё. Имеется только три цвета: Зелёный / Серый / Красный. Но означают они тоже самое.

Разберём атрибуты со скриншота:

- Характеристики заказа совпадают с другими мошенническими заказами.

- CVV корректен.

- Биллинг адрес не совпадает с зарегистрированным адресом cc.

- Билл ЗИП или индекс не совпадает с зарегистрированным адресом cc.

- Было пять попыток оплаты.

- Попытки оплаты были с двух карт.

- IP адрес используется для размещения заказа в Бруклине.

- Адрес доставки находиться в 24 км от адреса IP.

- Билл страна соответствует стране, из которой был сделан заказ.

- IP адрес не высокого риска, не находиться в blacklist'е.

Добавление Заказа Через Терминал​

В любом мерче есть добавление заказов через панель/терминал. У Shopify тоже:

https://yadi.sk/i/Uh2U_6en3TUsnv

И если Вы наткнулись на шоп с мерчем Shopify, я советую заказы делать именно прозвоном, ибо в таком случае, стандартная антифрод система вообще ничего толком не проверяет. Billing/Shipping distance - не проверяет, всё что связанно с адресами и даже валид шиппинг адреса - не проверяет. Все проверки упираются только в оплату. В моём случае, я вбил вообще русскую давно не валидную карту на американский адрес. Так ещё и имя американское вписал, вот результат, оплата естественно не прошла:

https://yadi.sk/i/TPY2B0SH3TUsvn

Атрибуты:

- Одна попытка платежа.

- Метод оплаты недоступен.

Вот так просто мы обошли стандартную систему Shopify? Да, но...

Apps​

У каждого мерча есть свои "Приложения"(Apps), некоторые бесплатные, некоторые платные. Некоторые покупаются разово, а некоторые помесячно. В принципе у всех мерчей +/- одинаковый список приложений. Отличия только в приложениях самого мерча. К примеру у Shopify есть приложение Shopify Flow, оно приобретается автоматически с Shopify Plus:

https://yadi.sk/i/AnyrZKt33TUtru

Пользователи обычного мерча Shopify получить данное приложение не могут.

В основном обычное приложение для автоматизации - создания правил. Создание правил мы рассматривали в прошлой статье. Естественно правила могут быть совершенно любыми. Напомню, как выглядят правила, к примеру:

Если, элементов в ордере > 10 --> Если сумма ордера в USD > 1500 --> Отправить ордер на просмотр человеком.

Если, элементов в ордере <= 10 --> Пропустить ордер.

Отвлеклись, вернёмся: мы обошли стандартную антифрод защиту Shopify. Что же дальше?

Сторонние Apps​

У шопов есть возможность купить или подключить бесплатные приложения. Для совсем мелких шопов есть полностью бесплатные антифрод apps. Вот несколько популярных решений в Spotify:

https://yadi.sk/i/uDpztevQ3TVAmd

Fraud Filter - Обычный фильтр, для чего нужны фильтры и как они работают, мы разбирали в прошлой статье. Цена: бесплатно.

Fraud Scanner - Вместо того, чтобы вручную постоянно сканировать заказы можно установить данное приложение. Оно будет автоматически делать сканирование на новые заказы и так же уведомлять Вас по E-Mail в случае, если Shopify рекомендует развернуть ордер. (Экстремальный риск фрода) Приложение имеет несколько тарифов, бесплатный тариф - до 25 заказов в месяц. Самый дорогой - 20$/более 500 заказов в месяц. Можно настроить на автоматическую отмену заказа.

https://yadi.sk/i/DkHmuGDH3TVAxe

FraudLabs Pro - антифрод система, достаточно популярная. Встречается так же в BigCommerce. 500 заказов в месяц бесплатно/1250$ - 500 000 заказов в месяц. Также более дорогие тарифы имеют чуть больше атрибутов. И правил/фильтров создавать можно больше. К ней сегодня мы ещё вернёмся.

https://yadi.sk/i/oji5VJ1M3TVBG3

NoFraud - менее популярная в BigCommerce антифрод система, но достаточно популярная в Shopify. Стоимость тарифа рассчитывается из денежного оборота магазина. На сайте копирайт стоит 2016 года, хотя в блоге имеются посты 2018. Консоль выглядит так же, как у Всех, не имеет никаких хитрых настроек, атрибуты стандартные. Давайте пробежимся по быстрому, какие проверки есть.

https://yadi.sk/i/uUjxmnFC3TVBgo

https://yadi.sk/i/LEmeYSbY3TVBWQ

- Отпечаток устройства.

- IP/Billing/Shipping дистанция.

- Проверка на прокси/VPN.

- Тайминг - определение скорости транзакции.

- Поведение клиента в шопе.

- Проверяет наличие аккаунтов по E-Mail в соц. сетях.

- Проверяет информацию о CC в банках.

- Использует, как глобальные blacklist'ы, так и мерчевские.

- Проверка BIN'ов банка.

- Создает и использует свою базу значений мошеннических атрибутов и "законных" заказов на основе статистики.

Riskified - не имеется на BigCommerce, зато является одной из популярных на Shopify. Достаточно простая, проверки всё те же. Ничего интересного, кроме красивого зелёного интерфейса.

https://yadi.sk/i/P46DKE243TVByU

Signifyd - одна из самых популярных антифрод систем, она популярна везде: Shopify, BigCommerce, Magento. Стоимость: $0/месяц - самый дешёвый. $1000/месяц - средний. Enterprise - цена в зависимости от денежного оборота шопа. В Enterprise Вам даже выделят одного менеджера, который будет рассматривать транзакции и принимать решения по поводу них.

Приличное кол-во атрибутов. Кастомизации нет, правил/фильтров нет, зато есть API. Естественно, через API можно создать правила, но для этого нужны уже программисты. Отличие в интерфейсе имеются: fraud score не прибавляется, а уменьшается. От 1000 до 0. 1000-500 - Зелёный ордер. (Пропустить) 499-300 - Рыжийордер. (Отправить на проверку человеком) 299-0 - Красный ордер. (Отменить ордер). Есть "быстрый просмотр" ордера, так это назовем. Показываются три панели в самом верху Адрес/Устройство/Почта. У каждый панельки есть свой отдельный fraud score и отдельные атрибуты. Атрибуты показываются в зависимости от того, что Вы во время ордера сделали "хорошего и плохого". Таким образом можно достаточно быстро определить какого типа ордер Вам попался.

https://yadi.sk/i/Lwj8P4t23TVEzU

Система предлагает искать в социальных сетях по имени КХ и по E-Mail. По поиску через E-Mail система поддерживает 5 социальных сетей: Facebook, Twitter, Klout, LinkedIn, Gravatar.

https://yadi.sk/i/8xbb2Ta63TVFXe

А по имени КХ предлагает искать:

- В Google по полному имени, биллинг городу и штату.

- В Google по фамилии и биллинг адресу.

- В LinkedIn по полному имени и биллинг зип'у.

- В Facebook по полному имени.

https://yadi.sk/i/Kv9QSP8d3TVFX2

Subuno - популярный антифрод пользователей BigCommerce. Имеет неплохое количество атрибутов, а также поддерживает кастомные правила. Предлагает поискать по биллинг и шиппинг данным в множестве разных сайтов. Так же автоматически находит ссылки на Ваши социальные сети по E-Mail. Имеет небольшуюкастомизацию интерфейса: можно настроить какие окошки Вам интересны, а остальные можно не показывать. Цены очень низкие: Минимум $19/месяц - одна транзакция $0.05 - 800 транзакций/месяц; Максимум $250/месяц - одна транзакция $0.01 - 25 000 транзакций/месяц. А если у Вас больше 100 000 транзакций/месяц они с радостью подготовят личный тарифный план для Вас. В максимальный тариф входят все плюшки, как и у остальных антифрод систем. Такие как: Помощь эксперта в решении, дополненная статистика анализа, предварительный анализ мошенничества, подсказки от системы и прочее.

https://yadi.sk/i/vc6g_VqK3TVHFA

По атрибутам пройдёмся быстренько. Из интересного и необычного есть проверка CQR. Она проверяет связь между телефонами/именами/адресом. Если связи не находит ищет по имени/адресу настоящий телефон. Если связи не находит между именем и адресом, то ищет и по адресу и по имени отдельно. Есть атрибуты типа телефона: стационарный/мобильный. Правильный ли адрес/телефон написан. Может показать имя владельца телефонного номера. В нашем примере, у "клиента" Neustar не сходиться мобильный номер. Владельца номера телефона зовут совершенно по другому.

https://yadi.sk/i/QtF_vseB3TfXJ9

Есть наоборот, проверка по телефону адреса/имени. Сделанно это всё для того, чтобы понять кто настоящий КХ и позвонить ему оповестить о "заказе". Во всяком случае, так советует support (поддержка). Есть проверка страхования. Если страховка есть - её покажет, и если Ваш заказ не из USA, то увидев страховку антифрод будет реагировать на всё чуть по ласковей и немного снизит fraud score. Есть атрибуты местоположения телефонного номера и определения, что он одноразовый. Не фиксированная линия VOIP, без определения местоположения, прибавит Вам fraud score, а фиксированная линия с определением ZIP-номера телефона наоборот снизит. Fraud Score от 0 до 1000. Система рекомендует не думая отклонять заказы с fraud score > 800. Subuno быстро подстраивается под Ваш шоп, чем больше заказов, тем точнее fraud score будет определяться.

Мы разобрали с Вами самые популярные антифрод системы, которые можно подключить к шопу. А так же немного коснулись соседних мерчей.

"Вот так просто мы обошли стандартную систему Shopify?" - так что на этот вопрос должен был отпасть ответ. Естественно всё не так просто, как кажется.

Ручная Проверка

Что советует делать Shopify, новичкам, в случаях экстремального риска?​

Сейчас мы затронем с Вами тему ручной проверки. А конкретнее советы Shopify.

Итак, мы зарегистрировали наш с Вами WWH Shop 2018. У нас первый заказ! Ура! Вот только fraud score: красный. Что же нам делать? Первый заказ... Не хочется отвергать первого "клиента". Для начала последуем рекомендациям:

1. Проверим IP адресс.

IP адрес расположен в другой области от биллинг адреса?

IP адрес для веб-хостинга?

IP адрес является IP прокси сервера?

Если на все вопросы мы ответили "да", то в голове можем уже прибавлять нам fraud score. И переходить к следующему пункту.

2. Проверим телефонный номер.

Заранее хотел бы извиниться перед пробивщиками, если раскрываю чью-либо конторку.

Перед звоночком нам предлагают проверить телефонный номер на сайте 411.com. Сайт многофункционален. Кроме пробива по номеру телефона есть ещё 4 вида пробива. 411 для Вас постарается найти контактную информацию по имени и Штату/Городу/ZIP. Предлагает помочь Вам "познакомиться по ближе" со своими соседями. :) Производит уже всем знакомый поиск по E-Mail социальных сетей. И подскажет контактную информацию по адресу компании.

https://yadi.sk/i/ciVnNvoP3TfYg3

Я думаю, уже всем не терпиться вписать туда парочку данных с карт. Не торопитесь, я сейчас за Вас это сделаю.

https://yadi.sk/i/74oM2PWo3Tfa8P

https://yadi.sk/i/UENzobua3TfaDY

https://yadi.sk/i/5YAkCsuw3TfaPT

Как Вы понимаете можно узнать немного интересного о КХ. Во-первых проверить адрес проживания, в случае если переехал КХ. Узнать бекграунд и прочее. Всего-то $14/месяц.

Отвлеклись. Введем номер Google Voice.

https://yadi.sk/i/DvBTlEb_3TfbqW

Вот и fraud score за телефонный номер получаем. Во-первых это нефиксированная линия VOIP. Во-вторых сразу же система вычисляет Skype/Google Voice. Тоже самое и в антифрод системах. Так что используйте Google Voice и Skype на свой страх и риск. В случае определения фрод системой GV и Skype, антифрод займётся поиском настоящего номера КХ.

Вернёмся к ручной проверке. Shopify нам предлагает позвонить по номеру телефона и в случае, если нам кто-то ответил, то задать парочку простых вопросов и посмотреть какая будет реакция: знают ли заказчики адреса/номер телефона/E-Mail и имя которое они использовали в ордере. Или они пытаются уйти от ответа/дать Вам "водную" информацию? Если Вас смутил ответ, идём к следующему пункту!

3. Проверка E-Mail.

Shopify рекомендует проверить E-Mail по запросу в Google и других поисковых системах. Если E-Mail использовался для мошенничества, то возможно Вы наткнетесь на задокументированные попытки мошенничества. А если E-Mail действительно КХ, то Google выдаст Вам сообщения из социальных сетей или другую информацию, которая связывает нашего "клиента" с E-Mail. Еще сомневаетесь?

4. Проверка Billing=Shipping.

Если расстояние между двумя адресами достаточно значительно, тогда, это скорее всего мошенник, но будьте внимательны, вдруг он другу подарок сделать решил?

5. Проверьте Shipping.

Если shipping адрес совпадает с другими ордерами, где другой биллинг, то скорее всего это мошеннический ордер.

6. Проверьте стоимость ордера.

Если стоимость ордера превышает обычную (Shopify Вас оповестит об этом) или в корзине много одинакового товара, то скорее всего это fraud ордер.

Тут, я думаю, всё просто и понятно. Вот мы прошлись по пунктам, но до сих пор боимся отклонять ордер, давайте напишем в поддержку нашу ситуацию, может они нам что-нибудь более интересное посоветуют!

https://yadi.sk/i/rbUQqHxL3TfsBJ

Итак, мы получили такой ордер. Ответ поддержки:

https://yadi.sk/i/6NGEp8nO3Tft56

Переведу только самое интересное, хотя интересного тут мало: "Свяжитесь с Вашим клиентом по телефону, если телефон никто не берёт напишите ему на E-Mail. Если клиент отвечает, используйте свою интуицию. Если не отвечают - отмена заказа будет лучшим решением. Высокий риск появился из-за того, что IP/Shipping дистанция очень большая. Такие заказы обычно отменяются. Некоторые продавцы делают так: если риск низкий, они звонят по номеру. А если средний или высокий они отменяют заказ. Так же советую включить отмену заказа при ошибке CVV и ошибке определения ZIP."

https://yadi.sk/i/VSiLABb93TfuQy

AVS/CVV​

Что же такое это AVS и CVV? AVS - это система, которая сравнивает числовую часть billing адреса и ZIP клиента с информацией от эмитента кредитной карты. CVV - это 3 или 4 цифры с другой стороны карты. CVV не храниться у компаний, ибо его хранение запрещено. Поэтому CVV это проверка, что CC на руках у клиента.

В Shopify как раз эти обе проверки можно включить. И Shopify после регистрации настоятельно рекомендует это сделать. Так что давайте разберёмся, что антифрод системы показывают в тех или иных случаях. Ответы от этих систем - это обычно буквы латинского алфавита:

https://yadi.sk/i/Imww3DLr3TgAd6

Начнём с AVS. В зависимости от того, какой у Вас материал, такие ответы и будут. Разберем сегодня мы с Вами "Visa":

Y - полное совпадение адреса и 5 значного ZIP кода.

A - частичное совпадение, адреса совпадают, а 5 значные и 9 значные ZIP коды нет.

Z - частичное совпадение, улица не совпадает, но совпадает 5 значный ZIP.

N - не совпадает улица/5 значный ZIP/9 значный ZIP.

U - AVS система недоступна. (К примеру, если AVS плохо настроен или функционирует не правильно в американском банке)

R - AVS система не установлена у эмитента или недоступна. Повторите попытку.

E - данные AVS недействительны.

S - Американский эмитент не поддерживает AVS.

Международные транзакции:

D/M - полное совпадение.

B - частичное совпадение. Адрес совпал, а ZIP не может быть проверен из-за несовместимого формата.

P - частичное совпадение. Адрес не проверен, из-за несовместимых форматов, а ZIP совпадают и соответсвуют формату международной транзакции.

C - не совпадает. Несовместимые форматы.

I - не совпадает. Информация не подтверждена международным эмитентом.

G - международный AVS не поддерживается эмитентом.

CVV:

M - совпадает.

N - не совпадает.

P - не обработан. (Ошибка)

S - эмитент говорит, что CVV2 присутствует на карте, но пользователь говорит об обратном.

U - эмитент не имеет сертификата CVV2 или же эмитент предоставил карту без ключей шифрования CVV2.

Empty - не удалось выполнить транзакцию, потому что CVV2 не был указан или был указан неверно.

Транзакция может быть одобрена даже без совпадения CVV и AVS. CVV и AVS предназначены для того, чтобы дать дополнительную информацию о транзакции продавцу!

Чарджбек/Chargeback​

Чардж - КХ заметил резкое списание с баланса около 1500 долларов... Что же дальше? Дальше КХ делает запрос в банк. В случае, если банк 100% уверен, что деньги были угнаны некими "russian carders from the wwh". Тогда банк сразу же возвращает деньги КХ и отправляет "просьбу" продавцу, вернуть деньги банку. Если вопрос спорный, то банк делает запрос продавцу, в случае запроса банк не будет просить оплаты сразу. В таком случае банк будет проверять все "доказательства" fraud транзакции. Если банк будет сомневаться деньги остануться у продавца. Если доказательства будут в сторону мошеннической транзакции, то деньги придётся вернуть. Продавец в случае запроса банком, может тоже "поучаствовать" в расследовании. Отправить свои доказательства банку. Связаться с клиентом, "договориться", что бабки ему не нужны. :))) Также продавец может сам согласиться на возврат денег или сделать ещё один запрос банку, в случае не согласия с возвратом.

Обычный процесс возврата платежа:

1. КХ делает запрос банку.

2. Банк отправляет запрос продавцу о возврате средств.

3. Компания CC просит продавца предоставить док-ва, что платёж "законный".

4. Продавец и Shopify собирают док-ва, чтобы выяснить "законный" ли платёж.

5. Shopify отправляет ответ кредитной компании.

6. Компания рассматривает док-ва, обычно это занимает от 60 до 120 дней.

7. После решается вопрос, возвращать платеж или нет.

На сегодня всё! Я знатно устал, пока писал всю эту статью. Надеюсь хоть что-то новое/интересное Вы для себя увидели. И помните, что я не работаю в антифрод системах, так что вся информация написана чисто на моих выводах/прочитанной информации в справке и прочее.

Взято с ВВХ.