Мы используем cookie для улучшения и персонализации вашего опыта на сайте, анализа статистики и размещения рекламы. Вы можете узнать больше о использовании файлов cookie, прочитав Cookie Policy.

Как оценить антифрод риски и не навредить бизнесу?
3 февраля 2020 г.

Даниэль Шевский
Лидер команды по борьбе с фродом ECOMMPAY

*Можно ли найти баланс между безопасностью и конверсией онлайн-бизнеса? Почему даже самая современная и продвинутая антифрод система не может заменить живого эксперта? Так ли эффективна биометрическая идентификация.

Читайте в интервью с лидером команды антифрода ECOMMPAY Даниэлем Шевским.

Как вы предотвращаете фрод, как вы оцениваете риски, когда начинаете сотрудничать с новой компанией?

Мы завариваем себе кофе, выливаем всю жидкость и гадаем на кофейной гуще. Нет, на самом деле, конечно же, не так. При подключении торговца мы оцениваем риски согласно своей онбординг-политике, которая учитывает основные потенциально опасные направления разных индустрий.

Мы пропускаем торговца через наш онлайн-скрининг, который указывает, какие у него должны быть документы, какие политики отображены на сайте, кто бенефициары и т.д. В плане онбординга у нас все хорошо работает. Мы не подключаем тех, о ком было бы стыдно рассказать.

Мониторинг — это немного другая стезя. Он, наверно, ближе к творчеству, потому что там больше вещей меняется. И мошенники используют новые подходы, и технологии дают отследить то, чего ты не мог раньше — например, фингерпринтинг.

Еще есть такой парадоксальный элемент, как интуиция. И в оценке рисков, важен не только автоматический мониторинг, но и человеческая экспертиза.

Поэтому сначала мы все входящие платежи пропускаем через антифрод-систему. Она выполняет необходимый согласованный минимум, отсекая самые подозрительные вещи, пропускает их через модуль машинного обучения, подсвечивает самые подозрительные транзакции, а потом их разбирают люди. Не все транзакции, но там, где это требуется, и дает еще дополнительные рекомендации.

Все это вместе поступает торговцу. Он на своей стороне проводит исследования: связывается с пользователем, смотрит внутрипроектную активность и принимает решение. Потом мы получаем информацию из платежных систем — было ли это мошенничество или нет.

Мы обрабатываем все полученные результаты и выносим решения собственной эффективности, и если оно нас не устраивает, тогда решаем, что можно было бы поменять.

Какие технологии вы используете для мониторинга? Вы упомянули машинное обучение, а что насчет пассивной биометрии?

Дело в том, что мы не онлайн-торговец и не устройство. Мы не можем авторизовать пользователя. Мы о нем знаем только то, что нам сообщит о нем торговец, например, его цифровой отпечаток. Также мы знаем, если использовалась проверка авторизации в банке, как она прошла — успешно или неуспешно. Поэтому мы можем работать исключительно с транзакционной активностью.

Есть методы отслеживания бихевиористских признаков. Обычную биометрию мы не отслеживаем, а пассивную — нет смысла. Мы понимаем, как это нужно делать, но пока наш уровень фрода и его процентное отношение к обороту не подразумевает подключение таких сложных имплементаций и методов.

Они очень нагружают платежную страницу, она начинает медленней работать, а это влияет на скорость прохождения платежей. Работая, например, в Китае, любая миллисекунда задержки повышает вероятность того, что платеж просто отвалится. Поэтому нужно здесь сохранять необходимый минимум.

Насколько современные технологии (блокчейн, биометрия) эффективны для антифрода?

Я отношусь к ним положительно, но никогда не забываю, что дело не в технологии, а в людях. У вас может быть самая совершенная техника, но если вы не понимаете, когда нужно нажать кнопочку или как настроить параметры, она работать не будет.

Правда в том, что люди к этому во многих местах просто профессионально не готовы. Блокчейн был настоящим прорывом лет пять назад — все просто сходили с ума, но сейчас почему-то весь мир еще не работает на блокчейне.

Мы сейчас в 2019-м, почти в 2020-м, а количество проектов, поддерживающих эту технологию, с места сильно не сдвинулось. То же самое можно сказать про машинное обучение. Просто мы как люди еще не готовы постоянно додумывать.

А те, кто так делает, еще не готов это донести до окружающих. То есть пока порог вступления в освоении этой технологии слишком высокий. Для большинства мест это просто не требуется.

Можно ли добиться оптимального баланса между безопасностью и конверсией платежей?

Безусловно. Тут есть два момента. Во-первых, это не какой-то трофей, который можно поставить себе на полочку, это непрерывный процесс. Его нужно все время поддерживать, все время искать возможности для улучшения. Если ты не улучшил сегодня, то завтра обнаружишь, что оно ухудшилось. Это не остается на прежнем уровне.

Во-вторых, все зависит от вашего аппетита к рискам — что вы считаете хорошим балансом. Все понимают, что зачастую приходится жертвовать конверсией в пользу безопасности или, наоборот, безопасностью в пользу конверсии. И что для одного будет 80/20, для другого будет 70/30, и оба они будут по-своему правы. Я считаю, что идеальной формулы нет.

Каждый тип бизнеса требует своего решения. Если вы изначально занялись высокорисковым бизнесом, вы должны быть готовы к тому, что фрода будет много, и для того, чтобы вас не перезаполнило, необходимо очень сильно урезать конверсию, иначе никак. Либо приготовится к тому, что ваш бизнес просуществует год. Да, он заработает достаточно денег, чтобы потом открыть второй бизнес, но все равно он неизбежно прекратит свое существование. Большую империю вам так не построить.

Альтернативное решение: если вы нацелены на долговременную работу и у вас безопасные клиенты, то вы можете работать вообще без антифрода. Но до тех пор, пока показатели не начнут повышаться — тогда уже нужно разбираться и принимать меры. Я сторонник того, что бизнес и риски — не враги. Мы все работаем на одну цель, направленную на благосостояние компании. То, что люди по-разному понимают, в чем это благосостояние заключается — это, скорее, недостатки коммуникации.

Есть ли универсальные советы для бизнеса касательно защиты от мошенников? Какую часть бюджета стоит выделять компании на защиту?

Все зависит от ресурсов, и это не только финансы, но и экспертиза. Многие крупные компании разрабатывают свою антифрод-систему. Многие, в том числе и очень крупные игроки рынка, сотрудничают с платежными провайдерами. Они покупают не только эквайринг и альтернативные способы оплаты, но и антифрод.

Когда у компании есть свой собственный антифрод, безусловно, это плюс. Но стоит отметить, что на рынке уже есть платежные провайдеры, готовые адаптировать систему управления рисками с учетом потребностей каждого отдельно взятого бизнеса.

И данная антифрод-система вполне может быть надежнее и прогрессивнее той, которую онлайн-торговец разрабатывает сам. Почему? Потому что разработка антифрод-решений является одной из специализаций финтех-рынка.

Каков ваш главный антифрод-совет потребителям?

У меня есть три рекомендации. Одна очень общая: быть бдительным и никогда не паниковать. Мошенники и социальная инженерия, в частности, работают на принципе, что нужно убедить пользователя всегда быстро реагировать. «Если вы не ответите на письмо в течение 5 минут, ваш аккаунт удалится!».

Вы отвечаете и таким образом принимаете правила игры, что это та персона, которая может вам отдавать приказы. Или, «Отправьте код, который вы сейчас получите по телефону». И то, что в СМС написано «платеж Сбербанк на сумму такую-то» вы даже не обращаете внимание — главное, что код получен и осталось всего две минуты. Поэтому не нужно паниковать.

Вторая рекомендация — используйте виртуальные карты предоплаты. Например, я пользуюсь Revolut, и когда я не собираюсь проводить оплату (в том числе по физической карте), я ее блокирую. 99% времени моя карта заблокирована, кроме тех случаев, когда я достаю ее, чтобы заплатить. Виртуальную карту, которой я плачу в интернете, я удаляю каждый раз и потом создаю новую. Это не какая-то высокая технология, все делается в рамках одного приложения. Любой пользователь так может при желании.

Ничего больше от него не требуется. Не знаю, как развито это, например, в России. По-моему, Тинькофф Банк это поддерживает. Если будут неудачные попытки списать средства по моей заблокированной карте — я их увижу и пойму, что где-то у меня утащили данные карты, но такого еще никогда не происходило. Это просто предосторожность, потому что я не хочу быть сапожником без сапог.

Третья рекомендация — не забывайте про свои права. Если вас действительно обманули, если у вас действительно что-то украли — обращайтесь в свой банк-эмитент. Как можно быстрее объясняйте им ситуацию, и если карта использовалась без 3DS, то вы имеете право на компенсацию, на чарджбек.

Если мошенники откуда-то узнали ваш номер, вы можете спросить у банка, откуда у них данные по вашему клиентскому соглашению и нет ли утечки. Не спешите списывать эти деньги и считать себя виноватым — если вы попались на крючок, то не обязательно должны за это платить.

Читайте о трендах фрода и антифрода в интервью с Даниэлем: «Сильный антифрод в Европе ухудшит ситуацию с киберпреступностью в остальном мире».

Новости и инсайты финтех-рынка

Подпишитесь на нашу новостную рассылку

Подпишитесь на нашу новостную рассылку

Читайте актуальные новости и инсайты финтех-рынка, получайте советы по улучшению ваших бизнес-процессов и выходу на новые рынки.
Ваш Email*
Ваша индустрия*
Кого вы представляете?*
Информация, которую вы отправляете, будет обработана в соответствии с Политикой конфиденциальности ECOMMPAY.
Спасибо!
В качестве последнего шага, пожалуйста, активируйте подписку, перейдя по ссылке в письме, которое пришло к вам на почту.
Если вы не получили письмо, пожалуйста, проверьте спам-папку.