Мысль написать статью пришла ко мне после посещения форума, на котором обсуждаются вопросы электронной коммерции. В одном из топиков начинающий бизнесмен жаловался и слезно молил опытных коллег помочь разобраться в проблемах, возникших после того, как его интернет-магазин стал принимать к оплате пластиковые карты.

Клиент всегда прав

Как происходит покупка в Интернете с помощью кредитной карты1? Клиент выбирает в онлайновом магазине понравившийся товар, указывает, что будет расплачиваться кредиткой, и переходит на сайт платежной системы2, которой сообщает данные своей карты. Авторизовав клиента и приняв данные от продавца, платежная система связывается с банком, в котором находится счет магазина (так называемый банк-эквайер), и после проверки платежеспособности карты переводит нужную сумму продавцу, вычитая процент комиссии. Затем в течение нескольких суток заказ комплектуется и отправляется покупателю.

Проблема, с которой столкнулся бизнесмен, в том, что через определенное время после отправки товара некоторые покупатели заявляли своему банку (эмитенту), что никаких покупок не совершали. Банк-эмитент, крайне незаинтересованный в потере доверия клиента, связывался с банком-эквайером и снимал с него необходимую сумму. Последний же возмещал свой убыток за счет продавца. Магазин в этом случае ничего сделать не может, поскольку никаких подписанных документов о совершенной сделке у него, как правило, нет. Подобная схема называется чарджбек (chargeback). В результате хозяин Интернет-магазина теряет и товар, и прибыль. Столкнувшийся с эпидемией чарджбеков бизнесмен упорно доказывал, что никоим образом не может проверить чистоплотность покупателя, а потому не понимает, с какой стати деньги должны взиматься именно с него.

Кроме того, банк-эквайер, переводя платеж на счет магазина, берет комиссию с транзакции, например 4%. А вот снимает со счета в случае чарджбека не оставшиеся 96, а все сто. Может сложиться впечатление, что банкам чарджбеки выгодны, однако это не так. Если количество возвратов превышает некий предел, установленный правилами МПС, банк выплачивает штраф и увеличивает свой страховой депозит на несколько сотен тысяч долларов. В особо тяжелых случаях банки лишаются статуса эквайера. Чтобы избежать этого, банк отслеживает количество чарджбеков и отказывает в обслуживании самым невезучим торговцам. МПС, поддерживая авторитет своих карт, действует в соответствии с правилом «клиент всегда прав», а торговцы и эквайеры вынуждены играть по ее законам.

Чарджбеки могут быть как фродовыми, так и нет. Фродовым (от англ. fraud — обман) на жаргоне сетевых торговцев называется чарджбек, который представляет собой мошенническую акцию кардеров с использованием ворованной кредитки (или же собственной — просто платить неохота, а потом всегда можно сказать, что карту украли). Естественно, продавцы, особенно те из них, кто торгует программным обеспечением или услугами, то есть «нематериальным» товаром, озабочены именно этим видом отказов от платежа. Практически все страны СНГ3, Восточной Европы, Юго-Восточной Азии, Израиль и даже Дания входят в «группу риска» с повышенным процентом фродовых операций. И если владельцы зарубежных магазинов решили проблему одним махом, отказав в обслуживании клиентам из вышеназванных регионов, то их российским коллегам приходится искать менее легкие пути.

Фродо и недремлющее око

Старым и проверенным методом борьбы с кардерами является занесение информации о «засветившихся» в неприглядном деле картах и/или их хозяевах в «черные списки». Список представляет собой базу данных, которую формирует платежная система на основе эвристического анализа. Данные клиента, проходящего авторизацию, сравниваются с содержимым базы, и если обнаруживается, что клиент не чист на руку, в обслуживании отказывается. Таким образом, человек, не оплативший покупку в одном магазине, больше не сможет отовариваться в большинстве других. Конечно, этот метод не свободен от недостатков; если для покупок или игры используется краденая карта, то в «черный список» может попасть имя законного владельца, который потом еще долго будет гадать, почему ему постоянно отказывают в авторизации. Кроме того, мошенники плодятся ежедневно, если не ежечасно. Благо базы данных, содержащие номера ворованных кредиток, продаются в Рунете на каждом углу за гроши, а кое-где можно получить подобную информацию и вовсе даром (адреса таких ресурсов я по понятным причинам не указываю). А потому немалая часть фродовых операций осуществляется по «чистым» картам, и предупредить действия злоумышленника вышеуказанным способом невозможно.

Тогда в дело вступают иные методы борьбы с фродом. Обычно Интернет-магазины не имеют доступа к данным о кредитной карте клиента, поскольку заполнение необходимых форм идет на сайте платежной системы. Однако некоторые системы, например российская ASSIST, допускают, как один из вариантов, возможность получения данных самим магазином для проверки и последующей их передачи системе по защищенному протоколу SSL. На специализированных форумах часто обсуждается эффективность различного программного обеспечения для фрод-мониторинга Интернет-магазинов и других коммерческих заведений, алгоритмы которого (разумеется, ПО, а не мониторинга) базируются на анализе поступивших данных. Анализ производится как «вручную», то есть непосредственно фрод-менеджерами, так и в автоматическом режиме. Подробное описание критериев отсева представляет собой конфиденциальную информацию, но известно, что их эвристические принципы по большей части имеют статистическую основу. Поведение клиента сравнивается с некоторым набором распространенных и характерных для кардеров вариантов поведения. Если в результате сравнения обнаруживается схожесть, система посылает предупреждение службе безопасности. И уже человек решает, отказать клиенту в обслуживании или же отложить авторизацию, созвониться с банком клиента и запросить подтверждающую документацию.

Некоторые продукты используют технологии нейросетей или применяют на практике теорию нечетких множеств. Системы фрод-мониторинга постоянно совершенствуются, однако кардинг не собирается сдавать позиций, и мошенники используют все новые и новые методы обхода защиты. Ситуация с фродом очень похожа на ситуацию со спамом и вирусами. Как невозможно создать идеальный антивирус или почтовый фильтр на все времена, так невозможна и разработка идеального алгоритма для контроля над транзакциями в электронном бизнесе.