Интернет-мошенничество
Что такое онлайн‑мошенничество?
Онлайн‑мошенничество (интернет-мошенничество, или online fraud на английском) — это любая преступная активность, совершаемая через интернет с целью получения незаконной финансовой выгоды путем обмана, подмены личности или манипуляции данными. В контексте цифровых платежей оно охватывает как несанкционированное использование банковских карт в операциях CNP (card‑not‑present, «карта не предъявлена»), так и схемы фишинга, кражи личности и мошенничества с возвратами или чарджбэками. Для любого интернет‑магазина это не только вопрос безопасности: это фактор, напрямую влияющий на P&L, который размывает маржу, увеличивает операционные расходы и снижает конверсию.
Как работает онлайн‑мошенничество
Конкретный сценарий зависит от типа атаки, но операционный цикл обычно следует узнаваемому шаблону:
- Получение данных: злоумышленник получает платежные реквизиты с помощью фишинга, вредоносного ПО типа Magecart, массовых утечек данных или социальной инженерии.
- Проверка карт (card testing): боты запускают микротранзакции через платежные шлюзы, чтобы проверить, что украденные данные действительны. При отсутствии скоростных лимитов и ограничений по IP виртуальный терминал (Virtual POS terminal) превращается в инструмент мошенника.
- Совершение мошеннической покупки: используя проверенные данные, преступник оформляет покупки с высокой суммой в магазинах со слабыми контролями мошенничества в e‑commerce.
- Монетизация: товар перепродается или запрашивается возврат средств до того, как магазин обнаружит аномалию, что приводит к чарджбэку, который бизнес вынужден покрывать, неся финансовые и репутационные потери.
Интернет‑магазин с долей чарджбэков выше 1% может быть переклассифицирован карточными схемами как бизнес высокого риска, что увеличивает комиссии за эквайринг и в крайних случаях приводит к расторжению договора с эквайером.
Нормативные требования и безопасность при онлайн‑мошенничестве
Европейская и испанская нормативная база устанавливает конкретные обязанности по борьбе с онлайн‑мошенничеством в цифровых платежах:
PSD2 (Вторая директива о платежных услугах) требует применения усиленной аутентификации клиента (SCA) для большинства электронных платежей. Это означает проверку как минимум двух факторов (владение, знание или присущие характеристики) с использованием протоколов, таких как 3D Secure 2. Предусмотренные исключения (операции на небольшие суммы, транзакционный риск‑анализ или доверенные торговцы) позволяют снижать трение без ущерба для безопасности.
Стандарт PCI DSS v4.0 обязывает любую организацию, которая хранит, обрабатывает или передает данные карт, внедрить 12 ключевых требований безопасности: от надежного шифрования при передаче до постоянного мониторинга доступа и управления уязвимостями. Если интернет‑магазин использует токенизацию и передает обработку PAN своему платежному провайдеру, его зона ответственности по PCI существенно сокращается.
В Испании Королевский декрет‑закон 19/2018, транспонирующий PSD2, усиливает ответственность поставщика платежных услуг. Держатель платежного средства несет максимальную ответственность в размере 50€ по несанкционированным операциям при условии своевременного уведомления.
Руководство EBA/GL/2020/01 по отчетности о мошенничестве в рамках PSD2 обязывает поставщиков платежных услуг регулярно и в структурированном виде передавать данные о мошенничестве надзорному органу.
Операционные преимущества и риски
| Аспект | Преимущество контроля мошенничества | Риск бездействия |
|---|---|---|
| Конверсия | «Умная» SCA с использованием исключений поддерживает уровень одобрения транзакций выше 90 % | Массовые отказы по инициативе эмитентов при выявлении подозрительных паттернов |
| Затраты | Снижение количества чарджбэков и связанных с ними комиссий | Прямая потеря товара, суммы операции и сборов за разбирательство (от 15 до 50 € за чарджбэк) |
| Репутация | Рост доверия со стороны покупателей и эквайера | Классификация как торговца высокого риска или расторжение договора |
| Соответствие требованиям | Соответствие PSD2, PCI DSS и нормам по ПОД/ФТ | Регуляторные штрафы и повышение комиссий за несоблюдение требований |
Ключевая операционная задача — найти баланс: чрезмерно жесткие антифрод‑правила приводят к ложноположительным срабатываниям, блокирующим легитимные продажи. Сочетание правильно настроенного 3D Secure, токенизации, velocity‑проверок и гибридного мониторинга (детерминированные правила плюс ручная проверка) позволяет защитить бизнес, не жертвуя конверсией.
По данным испанского финансового сектора, мошенничество с кредитными картами в операциях CNP составляет более 40% случаев киберпреступлений в банковской сфере, поэтому активная профилактика — это операционная необходимость, а не опция.
Был ли этот термин полезным?
1 из 1 нашли полезным
Оставить комментарий