Sukčiavimas mokant internetu: kaip apsaugoti verslą?

Skaitymo laikas: 8 min.
security features

Sukčiavimas atliekant mokėjimus visuomet kėlė didelę grėsmę visiems verslams, kurie vykdo vienokias ar kitokias pinigines operacijas. Rinkoje vis labiau įsitvirtina pažangiosios mokėjimų technologijos, tad sparčiai kyla ir saugumo standartai. Visgi, kol fintech bendrovės kuria vis pažangesnius mokėjimų sprendimus, sukčiai nuo jų taip pat neatsilieka.

Bendrovės Juniper Research atlikto tyrimo duomenimis, nuo 2020 iki 2025 m. el. prekybos nuostoliai dėl sukčiavimo visame pasaulyje išaugs 18 proc. Vien šiais metais viso pasaulio el. prekybos įmonės dėl sukčiavimo prarado 20 mlrd. JAV dolerių.

Viena iš priežasčių, nulėmusių nuostolių dėl sukčiavimo atliekant mokėjimus internetu augimą, – pandemija. Daugelis prekybininkų perkėlė savo veiklą į internetą, nesiimdami pakankamų saugos priemonių. Tačiau šiandien pažangios saugumo sistemos naudojimas jau nebėra laikomas pranašumu – klientai tikisi, kad ją naudoja visi prekybininkai.

Patikimos mokėjimų infrastruktūros pasirinkimas turėtų būti svarbiausias kiekvienos el. prekybos įmonės ir kiekvieno paslaugų teikėjo prioritetas. Tik tie mokėjimo sprendimų teikėjai, kurie siūlo sudėtingas aukšto lygio saugumo funkcijas, gali užtikrinti saugų mokėjimo srautą prekybininkams ir jų klientams.

Sukčiavimas atliekant mokėjimus internetu. Kas tai?

Tiksli sukčiavimo atliekant mokėjimus internetu apibrėžtis priklauso nuo sukčiavimo tipo. Kalbant apskritai, sukčiavimas atliekant mokėjimus internetu – tai veiksmai, kai pavagiama asmens mokėjimo informacija ir ji panaudojama neautorizuotiems pirkiniams įsigyti ar operacijoms atlikti.

Dažniausiai pasitaikantis sukčiavimo būdas yra sukčiavimas kredito kortelėmis. Nusikaltėliai pavagia kredito kortelę arba gauna jos duomenis neturėdami fizinės kortelės ir pasisavina pinigus arba atlieka apgaulingus mokėjimus. Visos operacijos, atliekamos be kortelės savininko patvirtinimo, priskiriamos sukčiavimo kredito kortelėmis – sukčiavimo atliekant mokėjimus internetu – kategorijai.

Kitas sukčiavimo atliekant mokėjimus būdas – apgaulingos pavedimo grąžinimo operacijos. Nusikaltėliai pateikia užsakymą, o vėliau inicijuoja netikrą pavedimo grąžinimą, teigdami, kad užsakytų prekių negavo arba gavo nekokybiškas prekes.

Kaip vyksta sukčiavimas atliekant mokėjimus internetu?

Sukčiavimas atliekant mokėjimus internetu įvyksta, kai nusikaltėlis pavagia asmens mokėjimo kortelės duomenis arba kitą asmeninę informaciją ir bando ją panaudoti apgaulingam pirkimui ar operacijai atlikti.

Dauguma kovos su sukčiavimu sistemų gali sulaikyti nusikaltimą bandančius įvykdyti sukčius, visgi kai kurie nusikaltėliai pasitelkia pažangius metodus ir sugeba įvykdyti nusikaltimą. Kad apgautų kovos su sukčiavimu sistemas, nusikaltėliai naudoja IP adresą iš vietos, panašios į kortelės savininko vietą, nustato savo naršyklės nustatymus taip, kad jie imituotų nusikaltimo aukos naršyklės nustatymus, ir pan.

Jei sukčiams pavyksta, tai gali atsiliepti tiek kortelės savininkui, kuris praranda pinigus, tiek įmonei, patvirtinusiai apgaulingą pirkimą. Jei tikrasis kortelės savininkas pateikia pretenziją savo bankui, atsakomybė už pinigų grąžinimą tenka prekybininkams.

Sukčiavimo atliekant mokėjimus internetu tipai

Sukčiavimas atliekant mokėjimus internetu yra įvairių formų. Toliau nurodomi pagrindiniai sukčiavimo tipai.

Duomenų vagystė

Vykstant duomenų vagystei (angl. phishing), nusikaltėlis išsiunčia aukai žinutę ir apgaule priverčia ją pateikti asmeninę informaciją. Duomenų vagystės atakos gali būti vykdomos el. paštu, trumposiomis žinutėmis arba telefono skambučiais. Nusikaltėlis gali bandyti apsimesti pažįstamu asmeniu ar prekės ženklu ir apgaulės būdu priversti žmogų atskleisti konfidencialią informaciją.

Kibernetinės atakos

Kibernetinės atakos (angl. cyber attacks) tampa vis dažnesnės. Šios sukčiavimo veiklos metu nusikaltėliai pavagia banko kortelių duomenis iš svetainių, kuriose aukos buvo įvedusios savo mokėjimo duomenis, norėdamos įsigyti prekių ar paslaugų. Tuomet sukčiai pasinaudoja pavogtais duomenimis apgaulingiems pirkimams ir operacijoms atlikti.

Saugumo pažeidimai turi įtakos daugeliui šalių. Nukentėjusieji praranda savo slaptus duomenis ir jiems gali tekti pasikeisti banko korteles. Tuo pat metu įmonė, kuriai priklauso užpulta svetainė, gali patirti didelę reputacinę žalą.

Sukčiavimas atliekant banko pavedimus

Sukčiavimo atliekant banko pavedimus (angl. bank transfer scam) sąvoka gali apimti įvairias sukčiavimo veiklas, kai auka apgaule priverčiama atlikti tiesioginį pavedimą už prekes ar paslaugas.

Tokio sukčiavimo pavyzdys – sukčius apsimeta norintis pirkti prekes ar paslaugas ir klausia pardavėjo, į kokią sąskaitą pervesti mokėjimą. Tada nusikaltėlis suranda asmenį, kuris nori ką nors pirkti, ir paprašo jo pervesti pinigus į tą pačią banko sąskaitą. Prekės išsiunčiamos sukčiui, o pinigus pervedęs asmuo lieka be prekių ir pinigų.

Draugiškas sukčiavimas

Vadinamasis „draugiškas sukčiavimas“ (angl. friendly fraud)  su draugiškumu neturi nieko bendra. Sukčiai gali inicijuoti mokėjimą asmenine kortele arba per banką, o vėliau prašyti grąžinti pinigus, teigdami, kad prekės negavo arba gavo nekokybišką produktą. Tokiu atveju sukčius pasilieka įsigytą produktą sau ir vis tiek atgauna pinigus.

Švarus sukčiavimas

Vadinamasis „švarus sukčiavimas“ (angl. clean fraud) yra vienas iš sunkiausiai nustatomų būdų. Todėl jis vadinamas „švariu“. Nusikaltėliai atidžiai analizuoja įmonių sukčiavimo aptikimo mechanizmus ir naudoja pavogtą mokėjimo informaciją, kad apeitų kovos su sukčiavimu sistemas.

Kaip išvengti sukčiavimo atliekant mokėjimus internetu?

Kad apsaugotų savo verslą nuo sukčiavimo atliekant mokėjimus internetu, prekybininkai gali pasitelkti įvairių priemonių:

  • rinkitės patikimas įmokų surinkimo sistemas, kuriose įdiegtos pažangios saugos funkcijos;
  • kad aptiktumėte apgaulingus mokėjus, pasitelkite sukčiavimo atliekant mokėjimus internetu aptikimo mechanizmus;
  • atidžiai patikrinkite mokėjimo ir pristatymo informaciją, kad nustatytumėte, ar nėra įtartinų neatitikimų;
  • skirkite daug dėmesio kruopščiai išanalizuoti įtartinus užsakymus, pavyzdžiui, labai didelius pirkinius, įsigytus neįprastu laiku (naktį arba anksti ryte).

Apskritai prekybininkai turėtų išlikti budrūs ir tikrinti visas įtartinas operacijas tiesiogiai susisiekdami su vartotoju arba kreipdamiesi į įmokų surinkimo paslaugų teikėją.

Kaip „kevin.“ valdo saugumo riziką?

Pasikonsultavome su saugumo ekspertais – technologijų direktoriumi Vytautu Gimbutu ir vyr. programuotuoju Michailu Ostryjumi ir aptarėme aktualiausias grėsmes, keliančias didžiausią riziką prekybininkams ir jų klientams. Atsižvelgdami į kiekvieną rizikos rūšį toliau paaiškiname, kaip „kevin.“ sprendimas padeda išspręsti šias problemas, užtikrindamas aukščiausią saugumo lygį.

1. Ryšio tarpininko atakos

Ryšio tarpininko (angl. man-in-the-middle, MITM) ataka – tai kibernetinė ataka, kurios metu užpuolikas apsimeta kitu asmeniu, siekdamas sukčiauti. Pavyzdžiui, pavogęs kito asmens kredito kortelės duomenis, nusikaltėlis jo vardu įsigyja prekių ar paslaugų. Gavęs prekes, jis paprašo grąžinti pinigus. Tokios atakos kelia grėsmę tiek prekybininkams, tiek jų klientams. Gali atsitikti taip, kad prekybininkai išsiųs prekes sukčiams, nežinodami, kad prieš juos vykdoma MITM ataka, ir galų gale negaus jokių pinigų.

Sukčiai taip pat gali suklastoti prekybininkų gaunamus pranešimus apie atliktą mokėjimą. Gavęs tokį pranešimą iš savo mokėjimo infrastruktūros paslaugų teikėjo, prekybininkas išsiunčia prekes. Deja, jei pranešimas suklastotas, mokėjimas prekybininko niekada nepasieks ir jis praras pajamas.

Kaip „kevin.“ gali padėti?

Naudojant „kevin.“ teikiamą infrastruktūrą, kliento sumokėtos lėšos į prekybininko sąskaitą patenka iškart. Dėl to prekybininkas gali nedelsdamas išsiųsti prekes ar suteikti paslaugas, žinodamas, kad pinigus jis jau gavo. Mokėjimo patvirtinimus „kevin.“ prekybininkams siunčia tik po to, kai mokėjimas yra atliktas ir negali būti anuliuotas.

Be to, visi pranešimai, kuriuos „kevin.“ teikiama infrastruktūra siunčia prekybininkams, yra pasirašomi naudojant maišos pagrindo pranešimo autentiškumo kodą (angl. hash-based message authentication code, HMAC). HMAC parašai suteikia papildomo saugumo ir užtikrina, kad pranešimų, kuriuos „kevin.“ teikiama infrastruktūra siunčia prekybininkams, būtų neįmanoma „nulaužti“ ar suklastoti. „kevin.“ infrastruktūros pranešimai prekybininkams atitinka visus pramonės saugumo standartus.

2. Kortelių duomenų nutekėjimas

Asociacijos „UK Finance“ duomenimis, 2020 m. 45 proc. visų sukčiavimo atvejų Jungtinėje Karalystėje buvo susiję su kredito ar debeto kortelėmis, o visa nuostolių suma viršijo 570 mln. svarų sterlingų. Nors tai yra 7 proc. mažiau nei 2019 m. (visų pirma dėl pandemijos), sukčiavimas kredito kortelėmis vis dar tebėra didžiulė problema ir verslai imasi rimtų veiksmų su ja kovoti.

Kaip „kevin.“ gali padėti?

„kevin.“ siūlo sprendimą, kuris visiškai pašalina sukčiavimo kredito kortelėmis riziką. Šis sprendimas – mokėjimai iš vienos sąskaitos į kitą (angl. account-to-account, A2A) – klientams suteikia galimybę sumokėti į prekybininko sąskaitą tiesiai iš savo banko sąskaitos. Kadangi nereikalingi tarpininkai eliminuojami, A2A mokėjimai ne tik padeda sumažinti sukčiavimo kortelėmis mastą, bet ir gerokai sumažina patiriamas operacijų sąnaudas.

Nepaisant to, ar Jūsų klientai renkasi mokėti kortele ar per banką, jų duomenys „kevin.“ mokėjimų infrastruktūroje yra bet kokiu atveju saugūs. „kevin.“ siūlo naudotis pažangia atpažinimo ženklų (angl. token) valdymo – tokenizacijos – sistema. Nuo šiol prekybininkai savo klientams gali pasiūlyti galimybę saugiai išsaugoti savo mokėjimo duomenis.

Mes sukūrėme savo nuosavą tokenizacijos sistemą, kuri primena bankų naudojamas tokenizacijos sistemas. Mūsų sistema užtikrina aukščiausią skaitmeninio saugumo lygį. Prekybininkams suteikiame savo atpažinimo ženklus. Todėl jei šie atpažinimo ženklai kada ir paklius į sukčių rankas, jiems jie neturės absoliučiai jokios vertės.

3. Kaip tvarkyti neskelbtiną informaciją

Svarbu, kad prekybininkai ir jų klientai jaustųsi užtikrinti, jog jų duomenys yra saugomi saugiai. Prekybininkai turėtų bendradarbiauti tik su tomis organizacijomis, kurios yra saugios arba atitinka Mokėjimo kortelių pramonės duomenų saugumo standarto (angl. Payment Card Industry Data Security Standard, PCI DSS) reikalavimus.

Bendradarbiauti su infrastruktūros teikėju, atitinkančiu PCI DSS reikalavimus, yra naudinga ir mažoms, ir vidutinio dydžio įmonėms, kadangi joms nėra būtina turėti Atitikties reikalavimams išrašo, taip pat nėra būtina, kad kvalifikuotas saugumo vertintojas (KSV) atliktų jų patikrinimą vietoje. Paprastai tokiems prekybininkai neprivaloma ir turėti užpildytos Atitikties reikalavimams pažymos.

Kaip „kevin.“ gali padėti?

„kevin.“ teikiama infrastruktūra užtikrina visų neskelbtinų duomenų saugumą. Tokie duomenys yra saugomi platformos „Amazon Web Service“ (AWS) debesyje, kuriuo naudojasi ir didžiausi pramonės sektoriaus atstovai, tokie kaip „Stripe“, „Barclays“, „Monzo“ ir kiti.

Visi duomenys, patenkantys į „kevin.“ mokėjimų infrastruktūrą, yra koduojami, tad jų neįmanoma nulaužti. „kevin.“ mokėjimų infrastruktūroje taikomas tokenizacijos procesas, padedantis neskelbtinus duomenis paversti tokiais, kuriuos būtų galima skelbti. Tokiu būdu kortelės PAN pakeičiamas unikaliu skaičių deriniu, kuriuo, neturint prieigos prie „kevin.“ sistemos, niekas negalėtų pasinaudoti net jei jis ir patektų į svetimas rankas.

Taip pat turime visą parą veikiančią stebėsenos sistemą. Įvykus saugumo pažeidimui, mums apie jį pranešama realiuoju laiku, kad galėtume sustabdyti bet kokią nesąžiningą veiklą, kol ji nepadarė jokios žalos.

Pabaigai

Sukčiavimas atliekant mokėjimus – didelė grėsmė, su kuria nuolat susiduria prekybininkai. Sukčiai juos gali atakuoti skirtingais būdais, tačiau saugi mokėjimų infrastruktūra gali padėti sumažinti šią riziką ar ją apskritai pašalinti.

Saugumas yra viena iš sričių, kurioms „kevin.“ skiria didžiausią prioritetą. Siekdami sukurti saugiausią mokėjimo infrastruktūrą įdiegėme įvairių saugumo priemonių. Kad prekybininkai savo klientams galėtų pasiūlyti nuo sukčiavimo apsaugotus mokėjimo sprendimus, taip pat siūlome įvairių mokėjimo funkcionalumų – pavyzdžiui, galimybę susieti banko sąskaitą.

„kevin.“ naudoja pažangias saugos funkcijas ir tokenizaciją slaptiems duomenims apsaugoti. Jei norite daugiau sužinoti apie mūsų taikomas funkcijas, susisiekite su mumis el. paštu [email protected] – pasiūlysime Jūsų verslui pritaikytą saugios mokėjimų infrastruktūros sprendimą.

Rinkitės partnerį, kuris galvoja į priekį

Plėskite savo verslą su „kevin.“