Zdjęcie główne artykułu pochodzi z unsplash.com
Łatwy łup
Najprościej rzecz ujmując, fraud płatniczy to sytuacja, w której oszust dokonuje płatności online za pomocą kradzionych danych karty kredytowej lub debetowej. Brak fizycznej obecności „plastiku” powoduje, że za jego posiadacza może podać się każdy, kto uzyska dostęp do podstawowych informacji wymaganych do dokonania płatności: imienia i nazwiska osoby, na którą wydano kartę, numeru karty, jej daty ważności oraz kodu CSC/CVV2. Niemal codziennie media donoszą o wyciekach danych z baz należących m.in. do banków, sklepów internetowych czy linii lotniczych. Co godzinę, na świecie zostaje wykradzionych lub „zgubionych” ponad 187 tys. rekordów. W wielu przypadkach chodzi właśnie o informacje płatnicze.
Dane niekompletne oszuści są w stanie skutecznie uzupełniać, stosując metody testowe. Przykładowo, złożony z 3 cyfr kod CSC/CVV2 można „odkryć” generując po kolei różne kombinacje i sprawdzając je na stronach autoryzacyjnych sklepów internetowych. Media zajmujące się bezpieczeństwem IT bez przerwy informują o prowadzonych przez przestępców atakach phishingowych oraz o przypadkach skimmingu, tj. sczytywania danych z kart za pomocą specjalnych nakładek na bankomaty. Dane kartowe konsumentów różnymi kanałami trafiają na czarny rynek, gdzie stają się przedmiotem wymiany handlowej pomiędzy grupami przestępczymi. Cały proceder ma na celu wyłudzanie towarów i usług od biznesów działających w e-commerce – takich jak Twój startup. .
Ciebie zaboli najbardziej
Wyspecjalizowane we fraudach grupy co do zasady działają podobnie. Przykładowo, złodzieje operujący na rynku dóbr cyfrowych, takich jak artefakty do gier, dokonują przy pomocy kradzionych danych kartowych masowych zakupów o niskiej wartości jednostkowej. Dobra cyfrowe dostarczane są natychmiast, w sposób automatyczny, co znacząco utrudnia weryfikację legalności transakcji. Następnie, trafiają one na rynek wtórny, gdzie są odsprzedawane po nieco niższej cenie osobom trzecim. W efekcie, „zakupiony” produkt znika, pieniądze lądują w kieszeni oszusta, a koszt zwrotu środków prawowitemu posiadaczowi karty (tzw. chargeback) ponosi sprzedawca.
Jeśli oszuści zdecydują się „zrobić zakupy” u Ciebie, stajesz się głównym poszkodowanym. Co więcej, o konieczności zwrócenia pieniędzy nie dowiesz się na dzień – dwa po feralnej transakcji, a dopiero po uznaniu przez bank i organizację kartową reklamacji, co może zająć nawet kilka tygodni. Ponieważ przestępcy atakują masowo, do momentu uzyskania raportu o chargebackach będziesz prawdopodobnie żyć w przekonaniu, że Twój biznes świetnie się rozwija, a sprzedaż kwitnie. Tymczasem, możesz właśnie stać na skraju bankructwa. Problem dotyczy w zasadzie wszystkich segmentów szeroko rozumianego e-commerce, a zatem nie tylko typowych e-sklepów, lecz każdego, kto przyjmuje płatności w internecie.
Startupy również zagrożone
Prowadząc startup możesz pomyśleć, że zjawisko fraudu płatniczego to nie Twój problem, bo działasz jeszcze na stosunkowo niewielką skalę, a większość Twoich klientów jest z Polski i płaci szybkim przelewem. Nic bardziej mylnego. Po pierwsze, jeśli oferujesz klientom możliwość dokonywania płatności kartą, co jest oczywiście standardem, automatycznie stajesz się obiektem zainteresowania oszustów. Po drugie, z pewnością masz plany rozwojowe, być może obejmujące ekspansję zagraniczną. Karty są dominującą na świecie metodą płatności. Musisz się zatem liczyć z tym, że większa skala działalności wiąże się z podwyższonym ryzykiem. Po trzecie, Polacy coraz chętniej decydują się na dokonywanie płatności online za pomocą kart, bo przyzwyczajają ich do tego globalne serwisy działające w modelu subskrypcyjnym, np. VoD czy platformy muzyczne, często oferujące wyłącznie tę metodę płatności. Argumenty można by jeszcze długo mnożyć. Prowadząc startup akceptujący płatności online nie możesz ignorować zagrożenia fraudowego.
Kosztowna tradycyjna profilaktyka
Istnieje kilka sposobów zapobiegania fraudom płatniczym. Wszystkie bazują na ocenie ryzyka towarzyszącego poszczególnym transakcjom. Płatności, które budzą wątpliwości często weryfikuje się „manualnie”, np. wykonując telefon do posiadacza karty. Ma to jednak sens wyłącznie w przypadku transakcji wysokokwotowych. Na rynku dóbr cyfrowych, gdzie wartość transakcji rzadko przekracza kilka dolarów, podejrzane płatności po prostu się odrzuca. Jak wybrać transakcje do odrzucenia bądź dodatkowej weryfikacji? Jak ocenić ryzyko?
Niektóre firmy zatrudniają specjalistów zajmujących się analizowaniem strumienia transakcji i dokonywaniem oceny. Osoby te łączą znajomość metod stosowanych przez oszustów z wieloletnim doświadczeniem i tworzą specjalne reguły, które pozwalają automatycznie filtrować transakcje. Cały problem polega jednak na tym, że w dzisiejszych czasach złożoność świata handlu i finansów, zwłaszcza gdy mowa od rynkach globalnych, rzadko kiedy pozwala optymalnie skonfigurować filtry. Ponadto, oszuści bez przerwy wprowadzają subtelne zmiany w modelu działania. Nawet niewielka różnica w sposobie ich postępowania może „unieszkodliwić” jeszcze do niedawna skuteczny zestaw reguł antyfraudowych.
Nie trzeba chyba dodawać, że takie tradycyjne metody walki z oszustami wiążą się z wysokimi kosztami i dla młodych biznesów są na ogół nieosiągalne. Na szczęście, z pomocą przychodzą sztuczna inteligencja i tzw. profilowanie użytkowników.
Sztuczna inteligencja przybywa z odsieczą
Aby celnie typować transakcje realizowane przez oszustów, w pierwszej kolejności trzeba zrozumieć zachowanie uczciwych użytkowników – zdefiniować pewne prawidłowości. Mając taką wiedzę, można wykrywać anomalie, właściwie je klasyfikować i w przypadku wystąpienia określonych ich zestawów – blokować transakcje. W nowoczesnym podejściu do problemu fraudowego informacje o każdym użytkowniku zbiera się za pomocą specjalnych narzędzi pozwalających poznać sprzęt, z którego odwiedzający przegląda stronę sprzedawcy, oprogramowanie, z jakiego korzysta, a także jego zachowanie w interakcji z serwisem – sposób poruszania się po stronie, rytm pisania na klawiaturze, gesty, za pomocą których obsługuje ekran dotykowy i wiele, wiele więcej. Jest to tzw. profilowanie. Mowa tu o tysiącach punktów danych, które należy poddać analizie. Tej dokonują specjalnie stworzone w tym celu modele uczenia maszynowego.
Jeśli wykryją niepokojące odstępstwa od obserwowanych wcześniej prawidłowości, automatycznie odrzucają transakcję lub kierują ją do weryfikacji manualnej. Proces zajmuje ułamek sekundy i jest niezauważalny dla użytkownika. Ponadto, modele „uczą się” na każdej kolejnej transakcji, a zatem ich skuteczność rośnie wraz z liczbą „obsłużonych klientów”. Ponieważ maszyny są w stanie dokonywać dalece bardziej złożonych analiz niż ludzie, co wynika z biologicznych ograniczeń tych drugich, systemy oparte na sztucznej inteligencji cechują się znacznie większą dokładnością – bardzo rzadko zdarza im się zablokować „zdrową” transakcję.
Takie systemy antyfraudowe najczęściej dostarczane są w modelu SaaS (Software as a Service) i dają się zintegrować ze stroną/aplikacją klienta w ciągu kilku godzin. Jak więc widać, możliwe jest zabezpieczenie się przed fraudem płatniczym bez konieczności zatrudniania zespołu managerów ryzyka. Jeśli zaś chodzi o koszty takiego radzenia sobie z oszustami, są one znacznie niższe niż potencjalne straty, które firma może ponieść wskutek ataku.
–
Hubert Rachwalski
COO w Nethone