Полная версия
Риски в электронной коммерции
Существует и комбинированная схема, когда среди выявленных и готовых к сотрудничеству клиентов, полученных с помощью массового фишинга, применяется дополнительная точечная покупка необходимой информации. Также существует масса открытых государственных ресурсов, где можно проверить, вводя данные о человеке различную информацию: наличие долгов, участие в судопроизводстве, штрафы и т. д. Все это позволяет создавать сотни сценариев для голосового или электронного фишинга индивидуально под каждого клиента.
Даже если человек достаточно образован и опытен в финансовой сфере звонок, скажем, от его страхового агента, у которого есть абсолютно вся информацию по его профилю и данным может сильно ввести в заблуждение и расположить этого человека к звонящему. А дальше дело техники, под каким предлогом и какие данные выудить. В большинстве случаев, когда жертва слышит, что звонящему известны паспортные и контактные данные, она сама готова делится любой недостающей информацией, включая доступы к личным кабинетам финансовых институтов, номера банковских карт, входящие sms с паролями. Уловка сверки паспортных и контактных данных применяется довольно часто, мошенник просит сверить их актуальность и сам диктует абсолютно корректные и правильные данные. Данная подача на фоне шума «работающего call-центра» убеждают самого последнего скептика, что ему действительно звонит легитимный сотрудник.
2.1.6. Использование вредоносного программного обеспечения
Данный вид получения критичных данных клиентов не менее распространен, но более коварен, потому что происходит без ведома самого клиента. Мы не будем уделять большое внимание этой проблематике в книге, так как данный аспект лежит больше в плоскости информационной безопасности. Тем не менее, стоит упомянуть основные меры предосторожности:
1. Использование лицензионного программного обеспечения, в том числе систем антивирусной защиты. Поддержка их в актуальном состоянии.
2. Для всех критичных учетных записей обязательно использование двухфакторной аутентификации. Последние исследования в области информационной безопасности показали, как просто перехватить SMS сообщение с кодом подтверждения, которое доступно практически всему миру, так как передается посредством протокола SS7. По сути, к любой системе можно получить доступ через SMS с кодом подтверждения, даже при включенной двухфакторной аутентификации.
Как защититься:
– откажитесь от двухфакторной аутентификации с помощью SMS, когда код подтверждения приходит в текстовом сообщении. Лучше использовать приложение для генерации.
3. Публичные Wi-FI сети.
Элементарная атака с переустановкой ключа приводит к тому, что роутер подключается к сети хакеров. Все данные, загруженные или переданные при подключении к сети, включая приватные ключи, становятся доступны хакерам. Особенно это актуально в аэропортах, отелях и других общественных местах с большим скоплением людей.
Также любой человек с мобильным телефоном или ноутбуком может раздать свою сеть, сделать ее свободной и с помощью нехитрых манипуляций собирать многие данные, включая критичные, такие как номера карт, реквизиты документов, пароли и так далее. Например, в аэропорту Стамбула злоумышленник может переименовать свою личную сеть в «Istanbul_Wi-Fi_Free» и раздавать ее бесплатно. Многие люди будут подключаться к ней, не задумываясь о каких-либо мерах безопасности.
Как защититься:
– никогда не проводите критичные действия используя сети публичного Wi-Fi, особенно если эта сеть не запаролена;
– регулярно обновляйте прошивку своего собственного роутера, так как производители постоянно выпускают обновления для усиления защиты от подмены ключа.
4. Использование различных ботов в мессенджерах, в том числе по денежным переводам или покупке-продаже криптовалюты.
Чаще всего такой бот уведомляет пользователя о проблеме с его криптоактивами, пытаясь заставить пользователя перейти по ссылке и ввести приватный ключ, тем самым владелец навсегда потеряет свои средства.
Как защититься:
– игнорируйте активность ботов, обдумывайте каждое свое ответное действие на предложение;
– защищайте свой канал в мессенджере с помощью антивирусного программного обеспечения;
– жалуйтесь администраторам на любую подозрительную активность.
5. Различные плагины и расширения в браузере.
Современные браузеры предлагают различные решения пользователю для более комфортной работы. И проблема не только в том, что расширения могут читать все, что вы печатаете, пока пользуетесь интернетом, большинство из них написаны на языке JavaScript, который особенно подвержен кибератакам.
Как защититься:
– не скачивайте никакие сторонние расширения;
– используйте только лицензированные официальные браузеры.
6. Фальшивые приложения.
Жертвами часто становятся владельцы Android устройств, которые не используют двухфакторную аутентификацию, так как она требует не только имени и пароля, а также дополнительную информацию, известную только пользователю.
Как защититься:
– не устанавливайте незнакомые мобильные приложения без особой необходимости;
– включите двухфакторную аутентификацию для всех приложений в вашем смартфоне;
– обязательно проверяйте ссылку на приложение на официальном сайте.
7. Неизвестные флеш-карты или иные носители информации.
Не секрет, что во многих организациях вообще отсутствуют какие-либо устройства ввода или вывода информации, связанные с возможностью записи или ввода информации с внешних носителей. Имеются в виду всевозможные разъемы для дискет, флеш-карты, иных носителей. Но такие требования применяются не везде и связаны в основном с режимными объектами или государственными структурами. Многие финансовые учреждения такую практику не имеют. Злоумышленник может заказать изготовление, например, нескольких флеш-карт с логотипом какого-либо известного банка и в разных отделениях незаметно их оставить. Расчет на то, что какой-либо сотрудник примет эту флеш-карту за корпоративную и попробует посмотреть, что там. На самом носителе можно разместить вредоносное программное обеспечение, замаскированное под какой-нибудь похожий на служебный файл, например простой документ с названием «Стратегия развития Компании на текущий год». Или «Зарплаты сотрудников Департамента информационной безопасности». Расчет сделан на человеческий интерес. Есть вероятность, что кто-то из сотрудников откроет файл.
Как защититься:
– если политика Компании не ограничивает ввод-вывод данных с компьютеров сотрудников, то необходимо подобные примеры включать в обязательное ежегодное обучение персонала.
Отдельное внимание заслуживает тема отличий и особенности мошенничества с использованием криптокошельков. Приватный ключ можно скомпрометировать любым способом, указанным выше. Для мошенников взлом кошелька и перевод криптовалюты является более привлекательным ввиду нескольких причин:
1. Приватный ключ возможно восстановить не у всех типов кошельков, в случае его утери вы можете не восстановить доступ к средствам на вашем кошельке никогда.
2. Доказать кражу средств с криптокошелька крайне сложно, большинство владельцев заводят себе кошельки без прохождения какой-либо идентификации. Когда воровство денег происходит с карты там можно однозначно доказать, в том числе с приложением официальной банковской выписки по счету, факт перевода средств и их принадлежность вам как клиенту банка. С криптокошельками это сделать сложнее, и с доказательствами такого рода правоохранительные органы и суды работают неохотно. Особенно если такой документ выдала нелицензированная криптобиржа или обменник, расположенный в другой стране. Во многих случаях так и бывает.
3. Все платежи, произведенные с помощью технологии блокчейн являются окончательными и невозвратными. Платежи, совершенные по ошибке или несанкционированно, вернуть нельзя. Также в отличие от банковской карты вы не сможете пойти в банк и написать заявление на возврат средств в связи мошенничеством (chargeback).
4. Подача заявления в полицию в данном случае не является действием, которое может увеличить шансы вернуть ваши средства по нижеуказанным причинам:
– правовой статус криптовалюты во многих странах еще не закреплен;
– доказать принадлежность взломанного кошелька бывает затруднительно, а в части случаев невозможно (см. пункт 2 выше);
– найти получателя также не предоставляется возможным, если по всем фиатным переводам можно сделать запрос в банк или иную кредитную организацию, ибо все переводы с использованием электронных средств платежа регулируются, то в случае с криптовалютой регулирование в большинстве стран отсутствует;
– доказать сам факт принуждения или несанкционированного перевода ваших средств будет практически невозможно.
2.2. Отмывание средств, полученных незаконным путем и финансирование терроризма
Когда речь идет про отмывание средств, чаще всего возникает ассоциация с компанией, юридическим лицом или даже группой компаний. Тем не менее, данный риск исходит и от физических лиц. Ниже будут рассмотрены основные схемы и методы противодействия им.
Учитывая факт того, что есть и комбинированные схемы, имеет смысл не описывать эти риски отдельно для компаний и физических лиц, а рассмотреть их комплексно.
Следующие критерии однозначно должны обращать на себя повышенное внимание и исследоваться дополнительно:
1. Страна карты, по которой происходит платеж, является высокорисковой. Для каждого бизнеса список высокорисковых стран будет отличаться. Тем не менее есть официальная градация стран по рискам в организации под названием FATF – Financial Action Task Force. Как минимум при составлении списка высокорисковых или запрещенных стран следует ориентироваться на правила и рекомендации этой организации.
2. Перебор одних и тех же параметров в разных транзакциях. Под данным критерием имеются в виду те случаи, когда с использованием одного и того же параметра, например IP-адреса, осуществляется множество операций с разными уникальными идентификаторами, такими как e-mail адрес, номер банковской карты, номер кошелька, криптоадрес и так далее. Безусловно, у человека может быть два email, пять карт или три номера телефона. Или с одного IP-адреса или одного устройства могут в течение часа осуществить транзакции три родственника или несколько коллег и друзей. Тем не менее, эти ситуации являются редкими, а для мошенников такие модели поведения, напротив, являются весьма распространенными.
3. Использование большого количества карт. Очень часто встречающийся сценарий. Несмотря на большое количество виртуальных одноразовых карт, львиная доля пользователей не имеют более 3—4 карт. Стоит также учитывать временной промежуток, в течение которого произошел перебор карт. Чем он меньше, тем более подозрительным выглядит поведение пользователя. В данном случае, безусловно, имеет смысл обращать внимание и на другие факторы: карты одной страны или разных, принадлежат ли все карты одному банку или даже BIN, какие карты используются, виртуальные или нет и т. д.
4. Попытки маскировки своего профиля в аккаунте. Например, отсутствие информации в некоторых полях, или заполнение тестовых или явно не имеющих смысла и значения данных в тех полях, которые обязательны к заполнению. Примерами такого заполнения могут быть: 111111111, rfiejhvwserhuji и т. д.
5. Попытки пользователя скрыть свое местоположение путем использования различных инструментов. Имеется в виду использование прокси-серверов, временных виртуальных телефонных номеров или адресов электронной почты для регистрации аккаунта, указание неверной страны проживания и т. п. То есть это не прямая фальсификация данных, это вполне законная попытка скрыть информацию по геолокации, а также все следы, которые могут быть использованы правоохранительными органами в случае необходимости установления личности клиента и его истинного местоположения.
6. Большой всплеск транзакций по клиенту за короткий промежуток времени без видимой и логически обоснованной причины. Особенно если это не соответствует изначально заявленному обороту при онбординге клиента.
7. Проверка поведенческих факторов пользователя. Нестандартное проведение клиента, например, когда он отказывается от более выгодного предложения, покупает сразу несколько однотипных моделей телефонов или иных легких к сбыту товаров, покупает большое количество различных туристических путевок на разных людей и т. д. Все подобные отклонения необходимо просчитывать и описывать в логике работы антифрод системы.
8. Использование поддельных или недействительных документов для идентификации пользователя. Собственно, этот пункт скорее не из разряда подозрительных критериев, а прямых нарушений. После чего клиента следует блокировать незамедлительно. Однако и здесь есть свои нюансы. Бывает, что человек пытается пройти идентификацию с недействительным по сроку документом, например загранпаспортом или муж регистрирует аккаунт на жену, присылает документы на ее имя и не проходит идентификацию на стадии проверки селфи. Здесь не всегда прослеживается злой умысел, такой случай может быть вполне стандартно-бытовым. А в случае попытки прислать поддельный документ или нарисованный, или на абсолютно не связанного родственными связями человека – здесь, безусловно, нужно рассматривать такие случаи как попытки мошенничества.
9. Подозрение на фальсификацию карточных данных с помощью использования фоторедакторов. Не всегда удается с точностью определить, что предоставленное фото карты является поддельным. Особенно сложно это выявлять при получении снимков экрана с данными виртуальной карты, в данном случае использование фоторедактора становится практически незаметным для проверяющего. Легче всего проверяются эмбоссированные карты из-за объемности вдавленных символов или цифр. Более сложны для выявления, но, тем не менее, тоже подходят для проверки физические карты, выполненные не эмбоссированным способом, а просто с напечатанной на карте информацией. На таких картах нет вдавленных символов.
10. Дробление платежей с целью легализации (отмывания) доходов, полученных преступным путем. В каждой стране существуют свои лимиты, ограничения и набор критериев для определения подозрительных и подлежащих обязательному контролю операций. Также есть общепризнанные международные стандарты и критерии. Мошенники используют как простые схемы обхода лимитов, так и более изощренные. К простым способам относится классическое дробление платежей, с целью непревышения максимально допустимой суммы, подлежащей обязательному контролю. Например, существует ограничение на максимальную сумму проведения операция в 40 000 евро в месяц. При превышении данного лимита клиент согласно политике AML должен предоставить дополнительные документы и сведения и пройти углубленную проверку – EDD (Enhanced Due Diligence). Необходимо вывести 500 000 евро, полученных преступным путем и/или, которые будут направлены на финансирование терроризма. Самый простой способ каждый месяц совершать операции, не превышающие установленный лимит. Но на это потребуется более года, более того есть вероятность все-таки попасть на углубленную проверку, если у финансового института установлен не только месячный лимит, но и лимит за более продолжительное время, например, квартальный. Более эффективно не просто дробить платежи, а создать фейковые аккаунты под управлением того самого клиента, что владеет основной суммой или же создать реальные профили клиентов (дропов), которые будут тем не менее также подчиняться, за определенные комиссионные, основному владельцу средств. Однако, такой путь требует значительно больших затрат от преступника.
11. Частая хаотичная смена IP-адреса, номера телефона и (или) иного идентификатора устройства, с которого пользователь получает доступ в свой аккаунт. Это может происходить и в обычной жизни, когда злоумышленники получают доступ к почте или телефону, после чего клиент хочет заменить скомпрометированные данные. Тем не менее это тоже должно насторожить, так как это говорит о небрежном отношении клиента к своим логинам и паролям. Также мошенники могут сменить почту или телефон с целью замести следы или запутать следствие, например, зарегистрироваться на свои собственные данные, потом попытаться сменить их на вымышленные.
12. Неоправданные задержки в предоставлении клиентом документов и информации, которую невозможно проверить. Зачастую подозрения вызывают те документы, которые предоставляются крайне быстро или, наоборот, крайне долго. В первом случае это может свидетельствовать о том, что клиент использует шаблонные документы и меняет лишь некоторые данные в фоторедакторе. Предположим, что существует группа мошенников, которые используют подставных лиц для отмывания средств с их банковских карт. Все карты однотипны, как правило, даже одного или двух банков. Для вывода средств используется несколько шаблонов – выписок с банковского счета и снимок экрана с виртуальной неименной картой. За снимок экрана можно выдать сделанную картинку с реквизитами карты в любом графическом редакторе. Гораздо сложнее подделать фотографию экрана устройства, на котором изображена карта или ее данные. Стоит это учитывать при проверке.
Вернемся к дропам. При запросе у них выписки со счета и фотографии карты они могут прислать это очень быстро, буквально в течение 5—10 минут, так как за шаблон используется готовая банковская выписка, в которой меняются лишь ФИО клиента и его номер карты. Также обстоят дела и с подделкой виртуальной карты. Учитывая факт того, что счетов создается много, а занимается этим один или несколько человек, им хочется поставить предоставление запрашиваемых документов на поток и не выжидать специально час или даже более, как это требуется для среднестатистического клиента.
Обратная сторона медали заключается в неоправданно долгом предоставлении документов, что может также говорить о том, что клиент пытается найти способ как подделать документ, особенно если при этом его поведение говорит о том, что он спешит совершить транзакцию. Или это может быть отказ прислать селфи с документом, мотивируя это различными причинами, порой самыми нелепыми. Например, отказ прислать селфи, потому что клиентка заявляет, что не накрашена. Долгое предоставление договора между двумя юридическими лицами, или несколькими подобными компаниями тоже должно насторожить проверяющего, как правило, подобные договора хранятся структурировано, и не составляет большого труда их отсканировать, особенно если при этом сам клиент проявляет спешку или нервозность при общении с поддержкой.
13. История взаимодействия с пользователем в рамках одного аккаунта. Безусловно, клиент с историей заслуживает большего доверия чем вновь прибывший. Тем не менее, распространены случаи, когда, например, мерчант открывает счет, подключается к эквайрингу, делает небольшие обороты в течение года, после чего подмешивает или подменяет незаконный или запрещенный трафик. Ошибкой проверяющего в данном случае будет предвзятое отношение к проведению углубленной проверки ввиду того, что мерчант уже работает с их организацией целый год и никаких проблем или фрод репортов по нему не поступало.
14. Несоответствие операций, проводимых клиентом его изначально заявленным целям и виду деятельности. Клиент может заявить, что его компания занимается легальным белым и не рисковым бизнесом, а в действительности осуществлять запрещенные или высокорисковые транзакции, которые или стоят дороже по интерченджу (комиссия за транзакцию), или несут прямой риск получения штрафов от международных платежных систем, регуляторов или иных контролирующих институтов. Также согласно AML политике необходимо оценивать риски по каждому клиенту максимально корректно, и это не бюрократическое требование. Оно в реальности помогает не только зарабатывать больше, но и одновременно снижать риски.
15. Большое количество тестовых операций, которые не могут быть объяснены здравым смыслом или простой логикой. По тестовым транзакциям с самого начала можно сложить представление о предстоящем трафике. Очевидно, что подозрительным будут попытки тестирования платежей из тех стран, которые или закрыты вовсе, или были заявлены клиентом как ненужные для его бизнеса. Также встречаются случаи, когда транзакции на одну и ту же сумму, например 55 долларов, мерчант выдает за тестовые, стараясь обосновать ситуацию с такими платежами, а по факту это может быть продажа запрещенного или рецептурного медицинского препарата именно такой стоимости. Применительно к физическим лицам, на этапах тестирования можно заметить многочисленные попытки расплатиться картами, выпущенными на чужие имена, или получить банковские переводы от различных отправителей. Это может быть подготовкой и тестированием системы на дальнейший прием платежей, связанных с отмыванием дохода или попыткой вывода средств с сомнительным происхождением.
16. Чрезмерная настойчивость клиента в попытке использования вашего сервиса. У вас не самые выгодные условия на рынке? В вашей сфере полно конкурентов, но при этом клиент настойчиво просится именно к вам? Это тоже является красным флагом.
17. Отсутствие интересов клиента в отстаивании своих прав в диспутной работе в соответствии с правилами международных платежных систем. Что имеется в виду. Когда мерчант получает чарджбэк с любым кодом, он крайне заинтересован выиграть данный диспут. Для этого он активно участвует в формировании пакета с документами, доказывающих его правоту и всестороннее оказание услуги плательщику. Обратную картину можно видеть, если мерчант торгует чем-то нелегальным, например это нелицензионный гемблинг или продажа наркотических средств. При таком сценарии мерчант пытается любыми способами урегулировать конфликт не доводя диспут до арбитража и более детального изучения со стороны платежных систем. Также мерчант не хочет злить клиента, провоцировать его обращаться в правоохранительные органы или писать различные жалобы в интернете, тем самым раскрывая истинную деятельность. Для таких случаев характерно необоснованное количество возвратов по любому поводу, независимо от того оказана ли услуга или доставлен товар, правило простое: есть жалоба – делаем возврат. Это можно выявлять соответствующими лимитами, установленными на количество рефандов в абсолютном и относительном к обороту значениям.
2.3. Friendly или Family фрод
Дружественным или семейным данный вид мошеннических транзакций называется ввиду того, что для самого простого объяснения приводится случай, когда клиент случайно или умышленно оплатил покупку по карте друга или члена семьи, который впоследствии заявил, что не совершал данных транзакций. На практике в подавляющем большинстве речь идет об умышленных случаях обмана эмитентов законными держателями карт. То есть они сами авторизовали транзакцию, а позже, с целью незаконного обогащения пытаются обмануть свой банк. Это применимо не только к банковской карте, к любому типу платежа, будь то банковский перевод или электронный кошелек. Но больше всего распространен данный способ именно на банковских картах, так как эмитент обязан принять от своего держателя заявление о фроде, завести его в систему и отправить эквайеру, а в случае необходимости оспорить данную транзакцию, инициировав процедуру chargeback. На последнее и рассчитывают мошенники. Причем, данный фрод зачастую имеет успешный конечный результат для мошенника, и эти причины стоит рассмотреть подробней:
1. Некомпетентность сотрудников в области риск менеджмента или AML. Иногда встречаются проблемы с оценкой реальных рисков, а не потенциальных. Например, получен recall (по сути, заявка на возврат средств) от банка-отправителя платежа с мотивировкой, что законный отправитель не отправлял деньги и это мошенническая транзакция. В ходе проверки может выявиться факт того, что имя отправителя не совпадает с именем получателя, хотя согласно описанию от банка-отправителя сама услуга подразумевала перевод собственных средств, соответственно услуга не была оказана, или была оказана с нарушениями регуляторных требований в области идентификации клиента. Комментарий от банка-отправителя может быть любой, в том числе и не соответствующий реальной действительности, потому что банк заинтересован в удовлетворении своего клиента, поэтому он и сам может способствовать мошенникам.
Предположим, что после проверки данного случая выясняется, что связей с другими транзакциями нет, пересечения с другими клиентами отсутствуют, клиент прошел идентификацию, был проверен по спискам на принадлежность к PEP (Politically exposed person – политически значимое лицо), санкциям и так далее. Какой есть риск в данной ситуации для компании-получателя в случае отказа возвращать средства отправителю? Никакой. Можно пофантазировать, конечно, над потенциальными рисками, особенно если пользователь жалуется в центробанк, грозит пойти в суд, полицию, чтобы те возбудили уголовное дело и так далее. Тем не менее, очень часто встречаются такие случаи возвратов, связанные с некомпетентностью сотрудников и/или незнании своих собственных процессов в компании.