Оглавление

Вступление

В современном мире трудно представить себе жизнь без возможности покупок в интернете, денежных переводов, электронных кошельков и банковских карт. Активно набирает обороты популярность использования криптовалюты. Рынок электронной коммерции сейчас находится лишь в начале своего становления, но становления устойчивого, которое плотно заняло свою нишу. В ближайшей, а также отдаленной перспективе тенденция увеличения платежей в цифровом пространстве просматривается очень четко. Ключевую роль на этом рынке традиционно играют банки, международные платежные системы, процессинговые центры и агрегаторы платежей. Не стоит также забывать и про других участников: держателей банковских карт, мерчантов, обладателей электронных денег и криптовалюты. Все вместе они переплетаются в едином платежном процессе, в различных комбинациях и схемах.

Безусловно, взаимодействие различных сторон процесса всегда несет определенные риски, как правило, для всех, просто в меньшей или большей степени, не говоря уже про отдельную категорию участников — мошенников. Да, они также являются неотъемлемой составляющей любого рынка платежей и могут выступать от любого лица, начиная от держателя карты и заканчивая банком или иным финансовым институтом.

В первой главе читатель может познакомиться с общей структурой и типами рисков. Последующие главы будут посвящены детализации и способам минимизации этих рисков, а также методикам противодействия мошенническим действиям.

Глава 1.
Основные риски,
их схематическое представление и описание

Для того, чтобы рассмотреть основные риски, необходимо сначала определиться с пониманием того, что вкладывать в понятие «риск».

Риском мы будем считать некое событие, которое влечет за собой негативные последствия, выражающиеся в той или иной форме. У этого понятия есть две характеристики: вероятность наступления, или просто вероятность и последствие. По поводу вероятности: для общего понимания исключим углубление в понятие вероятностного пространства и другие строгие термины теории вероятности. Последствие будет измеряться непосредственно тем негативным результатом, которое исходит от события.

Схематически основные риски можно представить на рис. 1.

1.1. Финансовые риски

Пальму первенства среди финансовых убытков занимают потери от чарджбэков. Чарджбэк (от английского «chargeback») — это процедура возврата средств по совершенной ранее транзакции в пользу держателя банковской карты. По сути, это возврат средств. Следует признать, что большинство людей, в том числе и экономически активных, которые имеют и пользуются несколькими банковскими картами, не имеют представления о чарджбэке. Это связано в первую очередь с тем, что ни одному из участников платежей не выгодна реклама этой процедуры. Эквайеру и мерчантам это не выгодно из-за объективных и прямых причин — в случае получения чарджбэка, сначала данная сумма удерживается с эквайера, который в свою очередь в соответствии с договором эквайринга перекладывает эти издержки на мерчанта. То есть проигранный спор по чарджбэку — это прямой убыток мерчанта, а в случае невозможности возмещения этого убытка эквайеру, то и прямой убыток последнего. Более того чарджбэки портят статистику, так как платежными системами установлены предельно допустимые уровни, после чего участник, превысивший этот уровень попадает в специальную программу, которая не сулит ему ничего хорошего. Подробнее этот вопрос будет рассмотрен в 4-й главе.

Эмитентам, кроме как улучшения лояльности клиентов процедура оспаривания транзакций также не несет ничего хорошего, так как это лишние трудовые затраты и различные комиссии. Например, в случае выхода спора на арбитраж платежной системы проигравшая сторона платит дополнительную комиссию в размере 500 долларов или евро. Если кардхолдер оспаривает несколько транзакций, комиссия будет оплачиваться за каждый случай арбитража.

В зависимости от причины недовольства клиентом оказанной услугой или товаром применяется специальный код чарджбэка, который лучше подходит в той или иной ситуации. Также держатель карты может сказать, что операцию осуществлял не он, даже если это не правда, эмитент все равно обязан начать процедуру возврата средств, если его клиент прямо не нарушил условия договора обслуживания карты.

Дополнительно, существуют различные комиссии и пени от платежных систем за нарушение правил.

Особенно стоит выделить штрафы за незаконную или запрещенную деятельность: Business Risk Assessment and Mitigation Program (BRAM) и Visa Integrity Risk Program (VIRP). В зависимости от типа нарушения правил штрафы за BRAM или VRIP составляют от 25000 до 200 000 долларов, а в некоторых случаях возможна дисквалификация участника. Более подробно эти две программы будут рассмотрены в 3-й главе.

1.2. Регулятивные риски

Этот вид риска включает в себя все возможные негативные последствия, исходящие от различных регуляторов в виде центрального банка, платежных систем, контролирующих государственных органов, силовых структур и так далее.

Классический пример, когда платежный фасилитатор для осуществления возможности приема платежей получает лицензию от федеральной службы по финансовым рынкам, но не может выполнить условия соответствия политике противодействия отмыванию денег и финансирования терроризма. Помимо прямого риска лишиться лицензии существует множество непрямых методов негативного воздействия на процесс организации приема платежей.

В случае получения большого количества фрод репортов незамедлительно будет увеличиваться нагрузка на взаимодействие с банками, полицией, регулятором, так как каждый из них будет запрашивать информацию по мошенническим инцидентам с целью получить все детали по транзакции для проведения собственного расследования. Также будут обращаться и сами потерпевшие, платежные реквизиты которых были скомпрометированы злоумышленниками.

1.3. Правовые риски

Все участники платежного рынка взаимодействуют между собой на основании договоров. Любой человек, открывая себе электронный кошелек, соглашается с условиями, прописанными в оферте. Поставленная галочка в момент регистрации личного кабинета означает автоматическое принятие (акцепт) оферты. Компания, предоставляющая услугу пополнения этого электронного кошелька с помощью банковской карты, имеет договор эквайринга с банком. Банк, в свою очередь, имеет договорные взаимоотношения с международными платежными системами. А у электронного кошелька существует множество различных платежных инструментов, как на ввод, так и на вывод средств, и каждый платежный метод — это отдельный договор. Каждый отдельный договор несет риск его невыполнения одной из сторон, начиная от банальной халатности, заканчивая прямым умыслом на мошенничество.

Например, банки-эквайеры зачастую, к сожалению, явно злоупотребляют своим положением посредника между международной платежной системой и мерчантом и нарушают права последнего на законное ведение претензионной работы по отстаиванию своей позиции по чарджбэкам, штрафам, комиссиям и просто владению информацией. Распространены случаи, когда на мерчанта накладывается солидного размера штраф, например 25000 евро за мискодинг без предоставления какой-либо доказательной базы, ссылаясь на то, что эта информация закрытая и, по сути, вынуждая просто поверить на слово. Такие отношения и ситуация в целом недопустимы.

1.4. Репутационные риски

Любая компания дорожит своей репутацией и все вышеуказанные риски и их последствия напрямую негативно влияют на репутацию. Не стоит недооценивать опасность плохой репутации, один негативный отзыв может отпугнуть десятки, если не сотни потенциальных клиентов, что ведет к недополученной прибыли. Для компаний, работающих в финтех сфере очень важно внушать доверие своим клиентам, что их деньги в безопасности.

Даже если клиент очевидно нарушил правила владения своим электронным кошельком или передал данные своей карты третьему лицу, вследствие чего лишился своих денег, существенная часть его негатива обрушится на банк, электронный кошелек или иную компанию, которая предоставляет ему соответствующий продукт или услугу, и он искренне будет писать негативный отзыв, прикрепляя снимки экрана и другие доказательства того, что «злостная» компания нарушила его права и обманула. Такова человеческая натура — искать виноватого в своих собственных ошибках. Поэтому наряду с иными мерами минимизации рисков так важно уделять внимание защите своих клиентов от фишинга и в целом повышать их грамотность при использовании финансовых продуктов.

Помимо репутации в глазах клиентов — физических лиц, не менее важно держать марку перед компаниями из B2B сегмента. Платежный мир достаточно узок, репутация бежит впереди компании.

Глава 2.
Риски, исходящие со стороны клиентов — физических лиц

В этой и последующих двух главах будут показаны более детальные риски, исходящие от различных участников платежей. Данная глава начнется с рассмотрения клиентов — физических лиц. Итак, разберем подробней какие риски исходят от них.

2.1. Использование платежных реквизитов третьих лиц

Сюда входит и использование банковских карт, которые не принадлежат клиенту и взлом электронных кошельков или личного кабинета с хранящимися там денежными средствами, в том числе криптовалютой. Основная цель мошенников в этом случае заключается в незаконном обогащении с помощью чужих средств.

Для того чтобы понимать какие меры противодействия следует применять для минимизации этого вида риска следует более подробно рассмотреть природу его возникновения. Каким образом злоумышленник получает необходимые для совершения платежей данные? Основных пути два: фишинг и использование вредоносного программного обеспечения.

2.1.1. Фишинг, особенности использования

Фишинг (от англ. Fishing — рыбная ловля) — это собирательное определение, которое представляет собой разновидность социальной инженерии, другими словами, это получение критичной и значимой информации незаконным способом с целью получения последующей выгоды или прямого денежного обогащения за счет жертвы фишинга. Впервые данная техника сбора данных проявила себя в середине 90-х годов прошлого века и в настоящее время техника фишинга постоянно улучшается.

За какими данными чаще всего охотятся мошенники? Прежде всего это:

— данные банковских карт;

— логин и пароли для входа в различные личные кабинеты, в том числе в банковские и электронные кошельки;

— данные, необходимые для идентификации, паспортные данные, ФИО, дата рождения и другие;

— различные базы данных.

Существует великое множество способов получения информации, ниже будут рассмотрены наиболее популярные.

2.1.2. Электронная рассылка писем

Одна из самых ранних форм. Заключается в рассылке информации, побуждающей клиента предоставить в том или ином виде критичную информацию. Стоит отметить, что рассылка писем по электронной почте на сегодняшний день не является единственным способом коммуникации мошенника с жертвой, все чаще используются социальные сети и мессенджеры. Сложно предугадать какие новые методы и техники будут использоваться в будущем, но основы рассылки остаются всегда неизменными и состоят в следующем:

1. Привлечение внимания. В зависимости от метода исполнения используется разный подход. В электронной рассылке это, несомненно, тема письма. Название темы в стиле «Срочно», «Важно» или «Ваш счет взломан» стали давно уже не работающими, клиент становится более разборчивым и необходимо придумывать новые формулировки. Если используются социальные сети или мессенджеры, то зачастую злоумышленники стараются сперва взломать чей-то аккаунт, чтобы далее от имени знакомого или друга пройтись рассылкой по всему контактному листу. Уровень доверия знакомому или другу всегда значительно выше, чем постороннему лицу, на это и делается расчет. В данном случае начало общения может начинаться с банального «привет, как дела?» или же сразу по делу «помоги, я попал в беду». Однако, второй вариант также уходит в прошлое, мошенники стараются действовать нешаблонно и беседовать индивидуально с каждым человеком.

2. Непосредственно сам фишинг. Здесь происходит воздействие на клиента с целью получения критичных данных. Сценариев существует масса, начиная от просьб и заканчивая угрозами и шантажом. Наиболее частые из них: обращение со стороны правоохранительных органов, сотрудников финансовых организаций, организаторов различного рода лотерей и иных инвестиционно-привлекательных мероприятий. В данном случае мошенники используют знание человеческих слабостей, таких как жажда наживы и легких денег. Также применяются знания элементарной психологии, попытка внушить жертве чувство опасения за свои финансы. Независимо от сценария сам текст содержит мотивирующую к передаче данных информацию. Следует отличать рассылку текста с целью получения данных незамедлительно или вступить в переписку от рассылки текста с целью заставить клиента перейти по ссылке, скачать файл или сделать любое другое действие, способствующее скачиванию вредоносного файла. В данном пункте мы рассматриваем именно коммуникацию между мошенником и потенциальной жертвой.

Возможен вариант прикрепления к телу письма ссылки на сторонний ресурс, где от клиента требуется ввести какие-либо данные.

3. Получение данных и дальнейшее их использование в корыстных целях. Необходимо понимать, что в большинстве случаев преступники имеют четкое распределение по типу деятельности: одна группа занимается исключительно получением данных, которые можно продать. Другая занимается их применением, например покупкой с помощью ворованных данных банковских карт определенных товаров или услуг. Третья группа мошенников ответственна за реализацию и обеление средств. И, как правило, данный бизнес является международным. Кража данных может быть совершена у гражданина США лицами, проживающими на территории Румынии, а обналичивание средств будет осуществляться с предоплаченных карт на территории Германии. Еще более сложной может быть схема с использованием цифровых денег, в том числе криптовалюты.

Теперь рассмотрим основные характерные черты фишинг-письма:

— адрес отправителя содержит нелогический набор символов;

— доменное имя адреса с первого взгляда напоминает общеизвестный мировой бренд или крупную компанию, но в адресе изменена или добавлена лишняя буква или цифра;

— нестандартная доменная зона отправителя письма, принадлежность доменной зоны к какой-либо иной стране;

— отсутствие подписи или имени отправителя;

— обращение от государственных или правительственных органов с негосударственных доменных зон;

— грамматические, стилистические или синтаксические ошибки в тексте письма;

— письмо содержит файлы с нестандартным или неизвестным расширением;

— письмо отправлено от имени компании, но почта используется не корпоративная, а общедоступная (gmail, yahoo и др.);

— некачественный дизайн письма, ощущение, что письмо составили «на коленке»;

— текст на иностранном языке, чаще всего на английском, так как рассылка может быть сделана по разным странам.

Некоторые характерные фишингу признаки по содержанию письма:

— предлагается бесплатное участие в какой-либо лотерее, требуется только заполнить данные об участнике, включая персональные данные;

— обращение от старого знакомого или друга, с которым вы давно не поддерживаете никаких отношений с нестандартной просьбой, например, одолжить денег или помочь в беде;

— сообщение о том, что ваш аккаунт временно заблокирован;

— обращения от правоохранительных органов c целью заставить получателя выполнить любые действия;

— сообщение о подозрительных транзакциях с карты или со счета с прину