Безопасность в интернет-эквайринге

Владимир БакулинНачальник Управления мониторингаОАО «АЛЬФА-БАНК»

На рынке с 2000 г

Оборот $3,8 млрд. (2014г)

Доля рынка 26% (2014 г)

Альфа-Банк в электронной коммерции

НАШИ ПАРТНЕРЫ

Динамика изменений по видам мошенничества в Банке

CP

CNP

• Значительный рост оборотов по операциям совершенным в Интернете из-за роста популярности получения товаров/заказа услуг без личного присутствия (Интернет, мобильный телефон) = рост «интереса» для мошенников (анонимность + деньги)

• Стремительное развитие электронных платежей, кошельков, сервисов мобильных операторов, систем электронных переводов - т.е. увеличение каналов и технологий хищения денежных средств

Факторы, способствующие мошенничеству в e-Commerce

А также…

• доверчивость / неосведомленность держателей карт

• неподготовленность интернет-магазинов в вопросах безопасности и защиты информации

• отсутствие квалификации в области противодействия мошенничеству у сотрудников банка-эквайрера

(№1, № 2, №3 – Бизнес, ….. ……… №16 Безопасность )

Прямые• Невозможность списания с ТСП сумм оспоренных

мошеннических операций (chargebacks) • Невозможность списания с ТСП сумм мошеннических

операций возврата

Косвенные• Штрафы платежных систем за превышение

допустимого уровня мошенничества, либо оспоренных операций

• Штрафы платежных систем за нарушение правил регистрации; за обслуживание ТСП, занимающихся незаконной деятельностью

• Имиджевые риски

Возможные потери банка эквайрера

ПРОГРАММЫ КОНТРОЛЯ СО СТОРОНЫ

МЕЖДУНАРОДНЫХ ПЛАТЕЖНЫХ СИСТЕМ

Brand Protection Program

Товары и услуги запрещаемые VISA аналогичны MasterCard, но VISA особенно акцентируется на сомнительных операциях, когда продавец получил деньги, но услуга или товар не были представлены покупателю или иные виды мошенничества:

•Введение клиента в заблуждение о надлежащем качестве товара

•Продажа пробных версий продуктов и подписка без ведома клиентов на дальнейшие списания

•Предоплата товара и долгое ожидание – не предоставление услуги

Всё выше перечисленное так же карается штрафами вне зависимости от результатов местных судебных разбирательствТак же помимо защиты Брэнда МПС стоит задуматься о репутационных рисках как самой Компании так и Банка Эквайрера. Не стоит погнавшись за прибылью подключать точки с сомнительными видами деятельности.Так согласно политике Банка запрещено работать с большим кол-вом направлений деятельности – секс шопы, секс туры, отели на час, как уже упоминалось - порнография, сомнительные способы заработка в интернете, БАДы, знакомства, эскорт, стероиды и многое другое. При этом некоторыми видами деятельности Купонный сервис на основе своих договоров вполне может работать. Однако Секс Шопы на купонах нам видеть абсолютно не хочется, так же согласно Приложению №4 к договору Интернет Эквайринга»

1.3. На электронной витрине Интернет-магазина не должно быть ссылок или баннеров подозрительных сайтов (например, сайтов для взрослых и т.п.), а также ссылок баннерных сетей, в которых могут всплыть баннеры подозрительного содержания.

Программа защиты брэнда МasterCard

Программа защиты брэнда VISA

Законодательство РФ

Реализация товаров запрещенных к продаже на территории Российской Федерации влечет к административной и

уголовной ответственности.

В связи с запретом на продажу Алкоголя в ночное время суток, продажа алкоголя дистанционным способом запрещена (нет возможности проверить время доставки). Некоторые фирмы пытаются уйти от закона под предлогом, что они не магазин, а только «служба доставки». Акции возможны только по Магазинам, которые занимаются продажей товаров с прилавка в установленное законодательством время.Так же согласно письму «Роспотребнадзора» другие товары, помимо описанных, на которые есть ограничения на свободную реализацию , запрещены к дистанционной продаже.На основании не правильно оформленных купонных акций на предоставление медицинских услуг или продажу лекарств идут судебные разбирательства и купонные сервисы проигрывают эти дела.

Торговля через интернет в российских законодательных актах звучит как «дистанционный способ продажи товара» и регулируется:

Гражданским кодексом Российской Федерации;Законом РФ «О защите прав потребителей» № 2300-1 от 07.02.1992;

Федеральным законом «О рекламе» № 38-ФЗ от 13.03.2006;Федеральным законом «Об основах государственного регулирования торговой деятельности в Российской Федерации»

№ 381-ФЗ от 28.12.2009;Постановлением Правительства РФ «Об утверждении Правил продажи товаров дистанционным способом» № 612 от

27.09.2007;Письмом Роспотребнадзора «О контроле за соблюдением Правил продажи товаров дистанционным способом» №

0100/10281-07-32 от 12.10.2007;Письмом Роспотребнадзора «О пресечении правонарушений при дистанционном способе продажи товара» № 0100/2569-

05-32 от 08.04.2005.

Табачной продукции

Так как в США запрещен ввоз табачной продукции, то и МПС запретили продажу через свои транзакции

сигарет, табака. Это так же касается табака для кальянов, курительных смесей и электронных сигарет..

Существуют определенные ограничения - письмо Роспотребнадзора от 12 октября 2007 г. N 0100/10281-07-32 «О контроле за соблюдением Правил продажи товаров дистанционным способом» разъясняет: «…Также необходимо отметить, что п. 5 Правил продажи отдельных видов товаров введены ограничения, согласно которым не допускается дистанционная продажа алкогольной продукции, а также иных товаров, свободная реализация которых запрещена или ограничена законодательством Российской Федерации. С учетом данного обстоятельства следует, в частности, иметь в виду, что ограничения, введенные данным пунктом Правил, также распространяются в целом и на продажу табачной продукции, поскольку регулирование деятельности по их розничной продаже осуществляется Федеральным законом от 10.07.2001 N 87-ФЗ "Об ограничении курения табака"…»

Запрещена продажа

Запрещена продажа

Исходя из всех этих законов и статей согласно письму «Роспотребнадзора» продажа лекарственных препаратов дистанционным способом запрещена. Купонная Акция по продаже лекарственных препаратов возможна только на предоставление скидки на покупку в Аптеке, без доставки!При проведение акций на предоставление медицинских услуг необходимо следить за выполнением всех пунктов Федеральный закон "О рекламе" от 13.03.2006 N 38-ФЗСтатья 24, в которой отдельно описаны правила по размещению рекламы о медицинских препаратах, услугах, медицинских аппаратах.

К примеру, размещая акции на БАДы нельзя говорить, что БАД является лекарством, об их целебных свойствах и указывать на «исцелённые лица», исследования и прочее.

Лекарств отпускаемых по рецептуГосударство достаточно жестко регулирует обращение лекарственных средств. Основным документом, регламентирующим вопросы оборота лекарственных средств на 2011 год является Федеральный закон от 12.04.2010 N 61-ФЗ "Об обращении лекарственных средств" (принят ГД ФС РФ 24.03.2010), который вступил в действие с 1 сентября 2010 года. Этот закон принят на смену федерального закона от 22 июня 1998 г. N 86-ФЗ "О лекарственных средствах". Помимо основного закона, субъекты обращения лекарств попадают под действие законов N 3-ФЗ от 08.01.1998 "О наркотических средствах и психотропных веществах", N 2300-1 "О защите прав потребителей", N 122-ФЗ от 02.08.1995 "О социальном обслуживании граждан пожилого возраста и инвалидов", N 128-ФЗ от 08.08.2001 "О лицензировании отдельных видов деятельности" и других.

Запрещена продажаКонтрафактной продукции и копий

(реплик)Продажа реплик и копий знаменитых брендов запрещена! МПС активно за это штрафуют. Копии Сумок, часов, одежды, телефонов, электроники, парфюмерии с «оригинальными запахами» и многое другое попадающее под понятие контрафактная продукция к продаже запрещена. Ст 14.10 КоАП РФ приобретение, хранение и перевозка контрафактной продукции карается штрафом, а продукция подлежит уничтожению.Ст 180 УК РФ «Незаконное использование товарного знака» штраф до 1 млн рублей и лишение свободы на срок до 6 лет.

Так же стоит принять к сведению, что Мировые лидеры по продаже наручных часов, а так же одежды, запрещают продавать свои товары через интернет, так как клиент не получает должного сервиса при выборе нужного и подходящего ему товара. Официально SwatchGroup запретил продавать свои часы через интернет. Longines, входящий в состав группы какое-то время назад в суде с российским магазином отспорил 3 млн рублей за продажу часов брэнда в обход официального поставщика в России.

Запрещена продажа

Об ответственности за использование результата интеллектуальной деятельности или средства индивидуализации без согласия правообладателя

Статья 7.12. Нарушение авторских и смежных прав, изобретательских и патентных прав

1. Ввоз, продажа, сдача в прокат или иное незаконное использование экземпляров произведений или фонограмм в целях извлечения дохода в случаях, если экземпляры произведений или фонограмм являются контрафактными в соответствии с законодательством Российской Федерации об авторском праве и смежных правах либо на экземплярах произведений или фонограмм указана ложная информация об их изготовителях, о местах их производства, а также об обладателях авторских и смежных прав, а равно иное нарушение авторских и смежных прав в целях извлечения дохода, за исключением случаев, предусмотренных частью 2 статьи 14.33настоящего Кодекса, -влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч рублей с конфискацией контрафактных экземпляров произведений и фонограмм, а также материалов и оборудования, используемых для их воспроизведения, и иных орудий совершения административного правонарушения; на должностных лиц - от десяти тысяч до двадцати тысяч рублей с конфискацией контрафактных экземпляров произведений и фонограмм, а также материалов и оборудования, используемых для их воспроизведения, и иных орудий совершения административного правонарушения; на юридических лиц - от тридцати тысяч до сорока тысяч рублей с конфискацией контрафактных экземпляров произведений и фонограмм, а также материалов и оборудования, используемых для их воспроизведения, и иных орудий совершения административного правонарушения.

2. Незаконное использование изобретения, полезной модели либо промышленного образца, за исключением случаев, предусмотренных частью 2 статьи 14.33 настоящего Кодекса, разглашение без согласия автора или заявителя сущности изобретения, полезной модели либо промышленного образца до официального опубликования сведений о них, присвоение авторства или принуждение к соавторству -влечет наложение административного штрафа на граждан в размере от одной тысячи пятисот до двух тысяч рублей; на должностных лиц - от десяти тысяч до двадцати тысяч рублей; на юридических лиц - от тридцати тысяч до сорока тысяч рублей.

Продажа пиратского софта, фото, видео, аудио файлов, игр ЗАПРЕЩЕНА

Запрещена продажа

Реализация Порнографии

Программами МПС предусмотрены штрафные санкции за реализацию, предоставление доступа к порнографическим материалам без надлежащей регистрации отдельного мерчанта, а так же за Детскую порнографию, секс с животными в любом их проявлении.

Статья 242 Федерального закона от 29.02.2012 N 14-ФЗ

1. Незаконные изготовление и (или) перемещение через Государственную границу Российской Федерации в целях распространения, публичной демонстрации или рекламирования либо распространение, публичная демонстрация или рекламирование порнографических материалов или предметов -наказываются штрафом в размере от ста тысяч до трехсот тысяч рублей или в размере заработной платы или иного дохода осужденного за период от одного года до двух лет, либо принудительными работами на срок до двух лет, либо лишением свободы на тот же срок.

2. Распространение, публичная демонстрация или рекламирование порнографических материалов или предметов среди несовершеннолетних либо вовлечение несовершеннолетнего в оборот порнографической продукции, совершенные лицом, достигшим восемнадцатилетнего возраста, -наказываются лишением свободы на срок от восьми до пятнадцати лет с лишением права занимать определенные должности или заниматься определенной деятельностью на срок до двадцати лет либо без такового.

Если МПС найдёт что либо касающееся Детской порнографии, то мерчант помимо штрафа, сумма которого будет начинаться от 500 000$, будет навсегда исключен из списков членов МПС и не сможет принимать к

оплате пластиковые карты. Банку эквайреру это грозит репутационным рисками и возможным лишением лицензии от МПС

Подсчет суммы штрафов (плохой сценарий)

С 1 февраля 2012 года произошло увеличение штрафов MasterCard за нарушения BRAM и составляет 200 000$ и 2 500$ за каждый день вплоть до устранения выявленного нарушения.

Это подсчет только по MasterCard, следом скорее всего будет штраф от VISA на примерно такую же сумму.

Контроль уровня мошенничества

Внешние риски основаны на мошеннических транзакциях, которые совершаются в ТСП, находящихся у вас на эквайринге.

В первую очередь это Чарджбэки выставляемые эмитентами за не подтверждённые транзакции своих клиентов. Но это далеко не единственные санкции применяемые, к ТСП решившему заняться продажей своих товаров или услуг через интернет. Предприятие (а вместе с ним и эквайрер) могут быть оштрафованы за уровень фрода, даже без выставленных чарджбэков. Существует несколько программ по контролю за уровнем мошеннических транзакций. Далее рассмотрим те которые касаются самого ТСП.

Использование технологии 3DSecure помогает уменьшить риски для ТСП, но ни в коей мере не освобождает от ответственности по программам контроля рисков.

• Merchant Fraud Performance Program• Global Merchant Chargeback Monitoring Program

• Global Merchant Audit Program• Excessive Chargeback Program

Программа управления рисками мошенничества МПС Visa International - Merchant Fraud Performance Program (MFP Program) определяет стандарты управления рисками мошенничества по каждому ТСП эквайрера. Цель программы заключается в том, чтобы снизить уровень мошенничества и защитить бренд Visa International. Данные цели достигаются своевременной идентификацией и коррекцией ТСП с высоким уровнем мошенничества.Управляющими принципами программы являются:• критерий (устанавливаются пороги допустимого уровня мошенничества для ТСП, которые

периодически будут пересматриваться);• соблюдение (эквайрер должен обеспечить в обслуживаемых ТСП уровень мошенничества ниже

установленных порогов);• взыскания (когда ТСП превышает уровень мошенничества выше установленных порогов, к

эквайреру применяются финансовые взыскания- штрафы).

Попадание ТСП в программу MFP Program происходит после превышения ТСП в течении календарного месяца порога допустимого уровня мошенничества. Включает в себя три обязательные компоненты:• общая сумма мошеннических транзакций в ТСП - 25 000 $ США;• количество мошеннических транзакций в ТСП - 25 шт.;• отношение фрод/оборот в ТСП - 2.5%.

1-ый штраф 5 000 $ США

2-ой штраф 10 000 $ США

3-ий штраф 15 000 $ США

Штраф выставляется за международные мошеннические транзакции, если в течении 3 месяцев подряд был превышен порог допустимого фрода будут введены штрафные санкции или если за любой месяц общая сумма мошеннических транзакций превышает 250 000$ США.

Программы контроля уровня фрода VISA

Программы контроля уровня фрода VISA

Программа МПС Visa International - Global Merchant Chargeback Monitoring Program (GMCM Program) разработана и введена в действие в 1999 году для контроля объема претензионных/возвратных платежей (чарджбэков). Целью программы является - сокращение чрезмерных объемов чарджбэков и компенсация затрат банков-эмитентов на обработку таких транзакций.МПС Visa International установлены пороговые месячные уровни отказов от платежей по транзакциям. Если в ТСП отмечается превышение этого уровня, МПС фиксирует, что данное ТСП наносит неоправданный ущерб платежной системе как в экономическом отношении, так и в плане ее репутации, и на эквайрера, обслуживающего данное ТСП, налагается дополнительная плата за каждый случай отказа от платежа по транзакции (чарджбэк).Кроме того, с 01 июня 2010 года МПС Visa International введен контроль уровня чарджбэков и по всему эквайреру в совокупности.

Критерии для ТСП. ТСП попадает в программу GMCM Program, если в ТСП соответствуют или превышаются все следующие месячные пороговые уровни:• количество чарджбэков –

200шт.;• количество транзакций –

200шт.;• отношение чарджбэков к

оборотам – 2.0%.

Visa International накладывает штраф на эквайрера в размере 100$ США за каждый международный чарджбэк, полученный по каждому ТСП, которое после окончания периода «разминки» не смогло уменьшить пороговые уровни ниже, чем предусмотрено программой GMCM Program. Длительное несоблюдение может привести к штрафу в размере 200$ США за каждый чарджбэк.По усмотрению МПС, продолжительное несоблюдение уровней GMCM Program (от 10 месяцев), может привести к штрафу в размере 25 000$ США и дисквалификацию ТСП из МПС.

Программы контроля уровня фрода MasterCard

Программа управления рисками мошенничества МПС MasterCard Worldwide (MasterCard) - Global Merchant Audit Program (GMAP) определяет стандарты управления рисками мошенничества по каждому торгово-сервисному предприятию (ТСП) эквайрера. Целью программы является снижение уровня мошенничества в ТСП и защита бренда MasterCard. Данные цели достигаются своевременной идентификацией и коррекцией деятельности ТСП с высоким уровнем мошенничества, либо прекращением работы с ТСП. Идентификация ТСП программой GMAP происходит после превышения ТСП в течение календарного месяца порога допустимого уровня мошенничества. Программой определено три критических уровня:

ТСП классифицировано в следующем уровне

GMAP:

Если в какой-либо календарный месяц ТСП соответствует следующим критериям

мошенничества

уровень 1 – (Tier 1) – Informational Fraud

Alert

• 3 (три) мошеннические транзакции, и• сумма мошеннических транзакций от 3 000 $

США, и• отношение фрод/оборот от 3% до 4.99%

уровень 2 – (Tier 2) —Suggested Training

Fraud Alert

• 4 (четыре) мошеннические транзакции, и• сумма мошеннических транзакций от 4 000 $

США, и• отношение фрод/оборот от 5% до 7.99%

уровень 3 – (Tier 3) - High Fraud Alert

• 5 (пять) мошеннических транзакций, и• сумма мошеннических транзакций от 5 000 $

США, и• отношение фрод/оборот от 8%

Санкциями по программе при попадании в 3 уровень могут быть как штрафы, так и введение чарджбэчного окна (безакцептного возмещения ВСЕХ выставленных мошеннических транзакций эмитентами), исключение ТСП из членов МПС.

Программы контроля уровня фрода MasterCard

Согласно требованиям программы ЕСP (Excessive Chargeback Program), эквайрер должен ежемесячно, для каждого ТСП, вычислять показатель «CTR» и направлять отчёт в MasterCard, если ТСП является «CMM» или «ECM». По ТСП, классифицированному как «CMM», отчёт должен быть предоставлен не позднее, чем 45 дней от конца календарного месяца. Копию этого отчета и стандартов программы ЕСP, эквайрер должен также предоставить в ТСП, которое идентифицировано как «CMM». За просрочку отчёта штраф 5 000$. Так же MasterCard может ввести аналогичные санкции как и VISA – чарджбэчное окно.

Создание собственного списка разрешенных для подключения категорий товаров / услуг

Внутренние угрозы (нелегальная торговля)

• Выяснение вида, характера и каналов бизнеса. Целевая аудитория, предполагаемый оборот и т.п.

• Наличие предыдущего опыта работы

• Наличие существующего физического бизнеса, физически существующих магазинов и т.д.

• Оценка технической и бизнес компетентности руководства и персонала ТСП

• Оценка вероятного уровня мошенничества (средства противодействия ему)

• Анкетирование (целевая аудитория, предполагаемый оборот, поддержка клиентов (в т.ч. претензионная), способы доставки, обеспечение безопасности, реклама, страхование рисков)

Ведение переговоров с руководством Интернет – ТСП и анкетирование

• Физическое посещение офиса ТСП, помещений с размещенными аппаратно-программными средствами (проверка документов по формам собственности, арендные договора и т.д.)

• Физическое посещение складских помещений (для ТСП, торгующих реальным товаром). (Лицензии, договора аренды (и др. документы подтверждающие форму собственности), наличие товара и его соответствие заявленному бизнесу)

• В случае проверки аппаратно-программных средств ТСП, а также в случае торговли ТСП программными продуктами - желательно привлечение специалистов в области IT

Физическая проверка Интернет - ТСП

• Описание предоставляемых продуктов и сервисов, цены. • Контакты службы клиентской поддержки, включая e-mail и

телефон (проверка!).• Регистрация клиента и четкий пошаговый порядок оплаты

банковской картой.• Правила возврата товара, возмещения средств, порядок отмены.

Эти правила должны быть понятно и четко изложены (ссылки на ФЗ).

• Правила доставки. Любые ограничения по доставке (например, географические) могут быть по усмотрению торговой точки, но они обязательно также должны быть понятно и четко изложены.

• Положение о соблюдении конфиденциальности данных получаемых от клиента.

• Страна регистрации торговой точки. ТСП обязано указать на сайте адрес, по которому он зарегистрирован. Адрес расположения должен быть указан в соответствии с требованием платежной системы и местными законами (проверка!).

• Брендовую марку платежной системы в полном цвете, которая бы свидетельствовала о приеме соответствующих карт к оплате и использовании технологии 3D-Secure.

• Экспортные ограничения (если известны), ограничения по закону.

Требования к витрине магазина

• Все внутренние ссылки Сайта должны быть рабочими и адекватно обрабатываемыми.

• На электронной витрине Интернет-магазина не должно быть ссылок или баннеров подозрительных сайтов (например, сайтов для взрослых и т.п.), а также ссылок баннерных сетей, в которых могут всплыть баннеры подозрительного/запрещенного содержания.

• Реквизиты карты не должны приниматься на электронной витрине Интернет-магазина. Для оплаты с использованием карты Покупатель должен обязательно переадресовываться на Сайт Банка услуг.

• Предприятие обязано предусмотреть осуществление контроля получения заказов Покупателями.

• Все страницы, которые связаны с работой электронной витрины или требованиями Банка, должны находиться под единым доменным именем.

• Наличие предупреждения о том, что посещение Интернет-магазина, приобретение и доставка Покупателю конкретного товара (работы, услуги) могут быть незаконными на территории страны, где находится Покупатель.

• Наличие предупреждения о том, что держатель карты несет ответственность за невыполнение законов своей страны при посещении данного Интернет-магазина и попытке приобрести товары (работы, услуги), если таковые запрещены законодательством на территории страны, где он находится.

---------- Forwarded message ----------From: Kristine Scholtz <Kristine_Scholtz@vfc.com>Date: 2014-12-09 21:50 GMT+03:00Subject: RE: Checking counterfeit siteTo:I confirm that the site you reported is not related to or authorized by TBL Licensing LLC or its affiliates ("Timberland").  Timberland is well known throughout the world for its rugged outdoor premium quality footwear, apparel and accessories sold under the Timberland® brand name. We aggressively take action against counterfeiters and persons infringing our trademarks.  Therefore, an investigation has been initiated into this website. Thank you for your interest in Timberland® products and for reporting this site to us. Respectfully,

 Kristine ScholtzParalegal - Brand ProtectionTBL Licensing LLC - US Branch200 Domain DriveStratham, New Hampshire 03885P: +1.603.773.1514E: kristine_scholtz@vfc.com

From: To: counterfeit@timberland.comSubject: Checking counterfeit site GreetingsI would like to ask if http://www.timberlands.ru/ is official reseller and do they sell legitimate products, their prices seems to be fraudulent. Thank you in advance BR

Автоматизированный Анализ

http://www.parfums.ua

Анализ посещаемости сайта

Просмотр старых «копий» сайта

Проверка на вирусы

Проверка доменного имени

Проверка скриптов

Проверка внутренних ссылок

Проверка доступности и соответствия сайта с разных IP

Ручной Анализ

Поиск по сайту запрещённых товаров/услуг

Проверка кода

Поиск ОтзывовПроверка соответствия требования МПС по оформлению сайта

• www.alexa.com Посещаемость + география

• www.domaintools.com Проверка регистрации домена

• www.web.archive.org Поиск сохраненных копий сайта

• www.sucuri.net Проверка на скрипты, вирусы, ссылки

• www.bname.ru Пример использования инструментов SEO анализа

• Исключение торговцев, которые ведут вводящий в

заблуждение бизнес (ошибки в определении кода торговца, возможное скрытие запрещенных видов деятельности)

• Исключение торговцев, которые вводят клиентов в заблуждение касательно качества и происхождения товаров

• Исключение торговцев, привлекаемых по причине неадекватной оценки их оборотов, лишняя трата ресурсов, «ослепление» высокими доходами

• Исключение повышенного количества отказов от платежей, дополнительных накладных расходов, штрафов от платежных систем и т.д.

• Сохранение доверия клиентов к торговцам, Банку и платежным системам

ЗАЧЕМ?

Совместная работа с ТСП по настройке антирисковых политик (до подключения)

• Совместный анализ уязвимых «бизнес процессов», каналов, процедур (с учетом специфики бизнеса / рода деятельности компании) и т.д. (бизнес модель, идентификация, регистрация, хранение данных, и т.д.)

• Анализ финансовых схем (напр. возможности вывода/перевода/обмена/продажи/обналичивания средств и т.д.)

• Анализ возможных угроз (внутренних, внешних) • Анализ клиентской аудитории• Определение настроек антифродовых фильтров

перед запуском

• Финансовая ответственность по мошенническим операциям и операциям, оспоренным держателями карт

• Финансовая ответственность по возможным штрафам МПС (включая штрафные санкции за возможную компрометацию данных в ТСП, а также всевозможные расходы на аудит и др.)

• Особые условия договоров (установка страховых депозитов, лимитов активности, лимитов оспоренных (либо мошеннических) операций)

• Введение дополнительной ответственности (специальные требования) (требование прокатки слипа при доставке и т.д.)

Заключение Договора эквайринга

• Проверка соответствия и выполнения требований по договору и разработанным ранее рекомендациям, проверка работы сайта, оформления электронной витрины, надлежащее оформление и содержание квитанции (электронного чека) при совершении операций на сайте по пластиковой карте.

• Анализ и проверка всех страниц сайта ТСП на предмет соответствия правилам платежных систем. Просмотр каждой страницы на каждом сайте не менее 1 раза в 30 календарных дней, с целью проверки на предмет того, что ТСП не ведет незаконную деятельность и не проводит запрещенные согласно правилам МПС и внутренней политике банка транзакции.

• Анализ и расследование поступающей информации о мошеннических операциях на сайте ТСП из соответствующих источников МПС – FRS (Visa) и SAFE (MasterCard).

• На основе анализа негативной информации составление своих «черных списков» IP-адресов, высокорисковых БИН-ов и других сведений для оптимизации процесса мониторинга.

Сопровождение и мониторинг сайтов

Использование тестовых карт/ проведение тестовых операций

•Анализ текущей рисковой ситуации

•Анализ мошеннических операций и корректировка настроек и политик

•Совместная правка/ добавление правил мониторинга/ фильтров / счетчиков и т.д. (бизнес-схемы, операционно-транзакционные схемы, идентификация, аутентификация и т.д.)

•Анализ новых продуктов/проектов, акций и т.д.

•Возможное обучение персонала Компании вопросам рисков, консалтинг.

Совместная работа с ТСП по настройке антирисковых политик (во время

работы)

Внешние угрозы (мошеннические

транзакции)

Наиболее рисковые направления в интернет-эквайринге по данным АБ (доля от общей суммы

заявленного эмитентами мошенничества)

• Обязательное использование 3D-Secure Merchant Plug-in как средства для снижения риска опротестования операций и также возможности компрометации карт на стороне торговца

• Однако, по статистике в настоящий момент более всего мошенничества как раз в 3D-Secure торговцах! Это связанно с тем, что большинство ТСП поддерживает не полный формат проверки. Параллельно применение CVV2/CVC2 становится опциональным и мошенникам достаточно по факту узнать только номер карты! Это делает такие сайты наиболее привлекательными для мошенничества

• Защита – оставить требование CVV2/CVC2 + введение дополнительных механизмов проверки клиентов до проведения аутентификации у эмитента и авторизации – геолокационые данные, отпечаток его компьютера, сверка с регистрационными данными и данными заказа и т.д.

Использование 3DSecure

Fraudmonitoring@alfabank.ru

Расследование и аналитика

• тщательный анализ выявленных мошеннических операций, выявление взаимосвязанных операций

• при необходимости - сбор дополнительных данных по мошенническим операциям (запрос в ТСП, запрос в банке-эмитенте)

• при необходимости - дальнейшие действия на основании полученных ответов (уведомление ТСП, повторные security check в банки-эмитенты, внесение параметров операций в стоп-листы в RBS, в черные списки в формате Excel, по согласованию с ТСП введение фильтров, лимитов для ТСП и пр.)

• ведение статистики по ТСП на основании отчетов о выставленном мошенничестве, получаемых из ПС

• выявление тенденций и общих признаков мошеннических операций

• разработка правил мониторинга операций ТСП• консультирование ТСП по вопросам мошенничества• обучение новых ТСП мерам снижения риска мошенничества

Предупреждение и контроль

• обработка данных по операциям, выставленным во фрод-отчеты ПС ( как по инцидентам так и по чарджбэкам)

• при необходимости - принятие дальнейших действий на основании полученных отчетов (уведомление ТСП, внесение параметров операций в стоп-листы в RBS, в черные списки в формате Excel, по согласованию с ТСП введение фильтров, лимитов для ТСП и пр.)

• контроль предпринятых сотрудниками действий по данным операциям• корректировка правил мониторинга операций ТСП, а также всех

остальных рабочих процессов• настройка запросов в базе с учетом появления новых ТСП,

распределения их по категориям в зависимости от профиля деятельности, уровня риска и пр.

• определение уровня риска ТСП, приоритетов в мониторинге (в зависимости от сроков проведения транзакции, необходимости в поддержании он-лайн формата и т.д.)

• составление отчетов для анализа статистических данных• контроль показателей ТСП по мошенничеству• повышение квалификации и обучение сотрудников, осуществляющих

мониторинг операций• контроль показателей false-positive ratio

Американский IP, но рисковые аэропорт и пассажир

Немецкие карты, немецкий IP…перебор карт при совпадении пассажира

Один номер карты, но разные держатели

• Бронирование от третьих лиц (владелец карты один – летит другой, иногда группа)

• Краткосрочное бронирование (бронирование за несколько часов до вылета) – запрет бронирования по чужим картам (в т.ч. иностранным) на рейсы с вылетом ранее 48 часов

• Бронирование на рейс в один конец (иногда тоже за несколько часов до вылета)

• Бронирование на рейсы из/в рисковые аэропорты (Таджикистан, Туркменистан, Узбекистан и т.д., в т.ч. из/в аэропорты Африки и Юго-Восточной Азии).

• Бронирование с африканских IP-адресов, • Указание контактных e-mail с бесплатных почтовых ресурсов: hotmail.com,

gmail.com, yahoo.com и др. • Бронирование по одной карте для группы людей (иногда на разные рейсы,

в разные дни и т.д.)• В качестве дополнительных данных заказчика высылаются изображения

поддельных (напр. в Photoshop) карт и документов.• Бронирование для отдельных лиц или групп лиц якобы от имени (по

заказу) сторонних (часто иностранных) туроператоров или агентств.

Специфические признаки рисковыхопераций в бизнесе авиа-перевозок

Изменение количества операций в

мониторинге

Различные рекламные акции

на сайтах партнеров

Увеличение количества

мошеннических операций

Смена вида деятельности /

появление новых (запрещенных)

товаров

Организация внутреннего взаимодействия

Потенциальные угрозы (нелегальное

использование ресурсов эквайрера)

trust-avia.com raidoair.biz www.raido-air.org bluavia.com soft-fly.biz fly-soft.org avia-smile.ru avia-smile.com blue-avia.org faravia.ru flytravelbuy.ru www.softfly.biz/ www.soft-fly.biz s0ft-fly.ru unionavia.ru smileavia.ru far-avia.ru faravia.ru FLYBILET.RU AVIABILETOS.RU groupflyticket.ru http://biletdeshevoavia.ru/ http://superdeshevobilet.ru/ Luxor-avia.com Ok-avia.com Splash-avia.com Onetwotrip.biz Poleteli.biz Trip-step.biz Fly-fly.biz http://azureair.biz/ http://azure-air.biz/ www.steel-air.com/ www.steel-air.net/ http://biletzona.ru/

avia-trip.ru http://avia-place.ru/ avia-russia.ru http://aviasite.ru/ ?www.fly-soft.org www.unionavia.ru/ www.AVIABLUE.biz biletforyou.ru bilet4me.ru http://sletatdeshevo.ru http://www.take-avia.com http://poiskdeshevihaviabiletov.ru/ https://premiumavia.ru/ http://ticket2014.ru/ http://avia-salesticket.ru/ http://aviapremium.ru/ http://groupflyticket.ru/ http://flytolike.ru/ aero-bilety.ru http://avia-like.ru/ http://aero-bilety.ru/ http://www.sunny-air.biz/ http://awd-avia.ru/ http://aviaturistserch.ru/ http://www.slim-avia.biz/ http://slimavia.com/ http://www.lifeavia.com/ http://www.avia-cloud.com/ http://my-avia.ru/ http://www.point-avia.com/ http://fairyflight.ru/ http://smilefly.ru/ http://disavia.ru/ http://roomticket.ru/

• Проведение серфинга в интернете с помощью стандартных поисковых ресурсов

• Анализ претензий от внутренних клиентов

• Запрет на автозаполнение платежных форм на ваших ресурсах

Интернет коммерция.Взломы интернет сайтов (сервисов, приложений, траффика, баз данных и т.д.), получение удалённого управления, поддельные сайты (контрафакт, несуществующие сервисы/товары)

Мобильная коммерция. Атаки/заражение ПО моб. телефонов. Поддельные сервисы/приложения.

Атаки ресурсов, сервисов, баз данных моб. операторов, процессинговых компаний.

«Гибридная» коммерция. (появление новых продуктов, сочетающих различные технологии в т.ч. различные способы аутентификации) «Таргетированные атаки» под специфику технологий/продуктов/каналов/ сервисов

Угрозы 2015 - 2017

СПАСИБО ЗА ВНИМАНИЕ !