Борьба с мошенническими транзакциями в системах интернет-эквайринга

Константин Чикин
программист, ООО «Рунет Бизнес Системы»
Илья Шлык
менеджер проектов, ООО «Рунет Бизнес Системы»

Развитие бизнеса современной компании сегодня невозможно без электронной составляющей. Все большее количество компаний переводят часть или все свои бизнес-функции в сферу электронного бизнеса, тем самым расширяя сферу своей деятельности и оптимизируя бизнес-процессы. При этом инфраструктура электронного бизнеса во многом схожа с инфраструктурой бизнеса традиционного. В электронном бизнесе используются традиционные бизнес-процессы: управление поставками, дистрибуция, маркетинг, взаимодействие с клиентами, платежи и многое другое. В то же время эти бизнес-процессы имеют определенную специфику, определяемую средой деятельности. Прежде всего это связано с особенностями электронного документооборота, идентификацией и аутентификацией участников сделок, обеспечением безопасности информации, обеспечением безопасности платежей, архивированием информации, резервированием аппаратных и программных средств и многими другими процессами, обеспечивающими электронный бизнес.

Цель данной статьи — осветить только одну из составляющих электронного бизнеса, а именно интернет-эквайринг международных пластиковых карточек. Под интернет-эквайрингом мы будем понимать обслуживание международных пластиковых карточек в Интернете. Эта услуга дает возможность торгово-сервисным предприятиям, осуществляющим свою деятельность в Интернете, принимать к оплате пластиковые карточки международных платежных систем. Основная проблема, возникающая при реализации такого бизнес-процесса — идентификация и аутентификация всех участников сделки, обеспечение невозможности отказа от сделки кого-нибудь из участников или хотя бы сведение к минимуму количества мошеннических транзакций. По данным Mindwave Research за 2001 г., число мошеннических операций составляет 3% общего числа платежей в Интернете и растет на 40% в год вместе с ростом интернет-коммерции.

В принципе проблема имеет решение, которое заключается в использовании систем интернет-эквайринга, использующих технологию SET. SET (Secure Electronic Transaction) — это технология, разработанная платежными системами Visa и MasterCard для обеспечения безопасных платежей с помощью пластиковых карточек через открытую сеть. Технология SET позволяет проводить платежи в Интернете, при которых участники сделки однозначно определены. К сожалению, технология эта сложная и дорогостоящая, поэтому она не получила широкого распространения. Технологии 3DSecure и UCAF, предлагаемые сейчас компаниями VISA и MasterCard соответственно, не обеспечивают стопроцентную безопасность платежа, хотя дешевле в реализации. Кроме того, большое количество платежей в Интернете вообще защищены только SSL-протоколом. Естественно, проблема безопасности платежей в Интернете остается актуальной.

В данной статье мы рассмотрим некоторые методы, позволяющие снизить процент мошеннических транзакций. Основная идея методики — это создание универсального антифродового фильтра: механизма, выявляющего фродовые (fraud — мошенничество, злоупотребление) транзакции, который мог бы использоваться на уровне торгово-сервисного предприятия, далее на уровне платежного шлюза и, наконец, в банке-эквайрере. Такой фильтр должен обладать гибким механизмом настроек, позволяющих определять политику безопасности на всех перечисленных уровнях. Важно, что персонал торгово-сервисного предприятия может самостоятельно определять политику безопасности в пределах своей компетенции. Администратор интернет-магазина может настроить фильтр таким образом, чтобы свести к минимуму количество мошеннических транзакций. При этом, возможно, отсекутся и некоторые добросовестные транзакции. Однако администратор может настроить фильтр и таким образом, чтобы объем пропущенных транзакций был разумно максимальным. При этом, возможно, будут пропущены и некоторые мошеннические транзакции, но убытки от этих транзакций будут покрыты за счет оборота. Во всяком случае, администратор интернет-магазина вправе сам выбрать «золотую середину», естественно, в пределах своей компетенции, так как основной мониторинг транзакций осуществляется на уровне платежного шлюза и в банке-эквайрере. Сформулируем свойства, которыми должен обладать универсальный антифродовый фильтр.

Эффективная система обеспечения безопасности интернет-платежей должна обладать следующими свойствами:

1. Обеспечение безопасной передачи реквизитов платежа от клиента интернет-магазина до платежного шлюза. Эта проблема решается использованием протоколов передачи данных с асимметричным шифрованием, например SSL.
2. Глобальность наблюдения за транзакциями. Хороший пример: компания CyberSource анализирует почти весь поток платежей, идущий через международную платежную систему Visa, что позволяет эффективнее выявлять мошеннические транзакции, например отслеживать случаи, когда одной и той же платежной карточкой воспользовались практически одновременно из США и Нигерии.

   В случае не такого глобального платежного сервиса, как у CyberSource, полезно было бы вести общее наблюдение за потоком платежей хотя бы в пределах одного платежного шлюза.

   Хорошая антифродовая система выполняет задачу классификации транзакций (легальная или фродовая) несколькими способами: параметры транзакции пропускаются через определенный набор статических правил, эти же параметры анализирует экспертная система, основанная на механизмах ассоциативной логики и нейронных сетей.

   • Интернет-продавец имеет возможность сам настраивать систему безопасности своего магазина. Например, установить ограничение на частоту авторизации карточки. За счет свойства глобальности продавец сможет учитывать частоту авторизации платежной карточки, рассчитанную для всех интернет-продавцов, подключенных к одному платежному шлюзу.
   • Администратору магазина должна быть доступна статистика прохождения платежей, для того чтобы он мог оценить, как повлияли настройки системы безопасности на прохождение платежей.