Родион Насакин,
Проблемы обеспечения информационного суверенитета государства и информационного суверенитета личности
Мысль написать статью пришла ко мне после посещения форума, на котором обсуждаются вопросы электронной коммерции. В одном из топиков начинающий бизнесмен жаловался и слезно молил опытных коллег помочь разобраться в проблемах, возникших после того, как его интернет-магазин стал принимать к оплате пластиковые карты.
Клиент всегда прав
Как происходит покупка в Интернете с помощью кредитной карты1? Клиент выбирает в онлайновом магазине понравившийся товар, указывает, что будет расплачиваться кредиткой, и переходит на сайт платежной системы2, которой сообщает данные своей карты. Авторизовав клиента и приняв данные от продавца, платежная система связывается с банком, в котором находится счет магазина (так называемый банк-эквайер), и после проверки платежеспособности карты переводит нужную сумму продавцу, вычитая процент комиссии. Затем в течение нескольких суток заказ комплектуется и отправляется покупателю.
Проблема, с которой столкнулся бизнесмен, в том, что через определенное время после отправки товара некоторые покупатели заявляли своему банку (эмитенту), что никаких покупок не совершали. Банк-эмитент, крайне незаинтересованный в потере доверия клиента, связывался с банком-эквайером и снимал с него необходимую сумму. Последний же возмещал свой убыток за счет продавца. Магазин в этом случае ничего сделать не может, поскольку никаких подписанных документов о совершенной сделке у него, как правило, нет. Подобная схема называется чарджбек (chargeback). В результате хозяин Интернет-магазина теряет и товар, и прибыль. Столкнувшийся с эпидемией чарджбеков бизнесмен упорно доказывал, что никоим образом не может проверить чистоплотность покупателя, а потому не понимает, с какой стати деньги должны взиматься именно с него.
Кроме того, банк-эквайер, переводя платеж на счет магазина, берет комиссию с транзакции, например 4%. А вот снимает со счета в случае чарджбека не оставшиеся 96, а все сто. Может сложиться впечатление, что банкам чарджбеки выгодны, однако это не так. Если количество возвратов превышает некий предел, установленный правилами МПС, банк выплачивает штраф и увеличивает свой страховой депозит на несколько сотен тысяч долларов. В особо тяжелых случаях банки лишаются статуса эквайера. Чтобы избежать этого, банк отслеживает количество чарджбеков и отказывает в обслуживании самым невезучим торговцам. МПС, поддерживая авторитет своих карт, действует в соответствии с правилом «клиент всегда прав», а торговцы и эквайеры вынуждены играть по ее законам.
Чарджбеки могут быть как фродовыми, так и нет. Фродовым (от англ. fraud — обман) на жаргоне сетевых торговцев называется чарджбек, который представляет собой мошенническую акцию кардеров с использованием ворованной кредитки (или же собственной — просто платить неохота, а потом всегда можно сказать, что карту украли). Естественно, продавцы, особенно те из них, кто торгует программным обеспечением или услугами, то есть «нематериальным» товаром, озабочены именно этим видом отказов от платежа. Практически все страны СНГ3, Восточной Европы, Юго-Восточной Азии, Израиль и даже Дания входят в «группу риска» с повышенным процентом фродовых операций. И если владельцы зарубежных магазинов решили проблему одним махом, отказав в обслуживании клиентам из вышеназванных регионов, то их российским коллегам приходится искать менее легкие пути.
Фродо и недремлющее око
Старым и проверенным методом борьбы с кардерами является занесение информации о «засветившихся» в неприглядном деле картах и/или их хозяевах в «черные списки». Список представляет собой базу данных, которую формирует платежная система на основе эвристического анализа. Данные клиента, проходящего авторизацию, сравниваются с содержимым базы, и если обнаруживается, что клиент не чист на руку, в обслуживании отказывается. Таким образом, человек, не оплативший покупку в одном магазине, больше не сможет отовариваться в большинстве других. Конечно, этот метод не свободен от недостатков; если для покупок или игры используется краденая карта, то в «черный список» может попасть имя законного владельца, который потом еще долго будет гадать, почему ему постоянно отказывают в авторизации. Кроме того, мошенники плодятся ежедневно, если не ежечасно. Благо базы данных, содержащие номера ворованных кредиток, продаются в Рунете на каждом углу за гроши, а кое-где можно получить подобную информацию и вовсе даром (адреса таких ресурсов я по понятным причинам не указываю). А потому немалая часть фродовых операций осуществляется по «чистым» картам, и предупредить действия злоумышленника вышеуказанным способом невозможно.
Тогда в дело вступают иные методы борьбы с фродом. Обычно Интернет-магазины не имеют доступа к данным о кредитной карте клиента, поскольку заполнение необходимых форм идет на сайте платежной системы. Однако некоторые системы, например российская ASSIST, допускают, как один из вариантов, возможность получения данных самим магазином для проверки и последующей их передачи системе по защищенному протоколу SSL. На специализированных форумах часто обсуждается эффективность различного программного обеспечения для фрод-мониторинга Интернет-магазинов и других коммерческих заведений, алгоритмы которого (разумеется, ПО, а не мониторинга) базируются на анализе поступивших данных. Анализ производится как «вручную», то есть непосредственно фрод-менеджерами, так и в автоматическом режиме. Подробное описание критериев отсева представляет собой конфиденциальную информацию, но известно, что их эвристические принципы по большей части имеют статистическую основу. Поведение клиента сравнивается с некоторым набором распространенных и характерных для кардеров вариантов поведения. Если в результате сравнения обнаруживается схожесть, система посылает предупреждение службе безопасности. И уже человек решает, отказать клиенту в обслуживании или же отложить авторизацию, созвониться с банком клиента и запросить подтверждающую документацию.
Некоторые продукты используют технологии нейросетей или применяют на практике теорию нечетких множеств. Системы фрод-мониторинга постоянно совершенствуются, однако кардинг не собирается сдавать позиций, и мошенники используют все новые и новые методы обхода защиты. Ситуация с фродом очень похожа на ситуацию со спамом и вирусами. Как невозможно создать идеальный антивирус или почтовый фильтр на все времена, так невозможна и разработка идеального алгоритма для контроля над транзакциями в электронном бизнесе.
Решения сверху
Рассмотренные выше виды фрод-мониторинга можно назвать средством самообороны Интернет-магазинов и платежных систем. Впрочем, они не в одиночку сражаются с жуликами. Представители МПС, в частности Visa, прекрасно понимают, что ситуация с чарджбеками существенно снижает популярность карточных платежей в Сети. Однако отмена возможности отказа от платежа вызвала бы такой же подрыв авторитета МПС среди держателей карт. Для решения проблемы с учетом интересов сторон, стоящих по обе стороны виртуального прилавка, Visa в разное время выдавала революционные решения. Среди наиболее значимых можно отметить введение технологий обеспечения безопасности SET (Secure Electronic Transaction) и 3D Secure. MasterCard тоже не сидела сложа руки и выпустила свой аналог 3D Secure — технологию SPA/UCAF (Secure Payment Application/Universal Cardholder Authentication Field).
Стандарт SET имеет две разновидности: полный и неполный (MIA SET). При этом защищает продавца от покупателя только полный, поскольку он подразумевает использование продавцом и покупателем специального ПО и так называемого SET-сертификата, служащего, по сути, аналогом электронной цифровой подписи (ЭЦП). Сертификаты «прилагаются» к пластиковым картам, которые поддерживают стандарт, а также выдаются Интернет-магазинам. При авторизации уникальные ключи сертификатов магазина и клиента передаются платежной системе, и покупатель уже не сможет откреститься от сделки, поскольку «подпись» какую-никакую он все же оставил. К сожалению, карты с поддержкой SET эмитируют далеко не все российские банки. Самым известным эмитентом SET-карт в России является Альфа-банк. В том случае, если у клиента нет карты с поддержкой SET, применяется MIA SET. Сертификат в этом случае имеет только магазин, и соответственно стандарт обеспечивает лишь безопасность покупателя от нечистого на руку продавца. Но это уже тема для отдельной статьи. По данным ASSIST, при использовании этой технологии уровень чарджбеков составляет 0,1–0,2%. Однако стоимость внедрения SET достаточно высока, а потому стандарт не получил массового распространения.
Тогда Visa предприняла попытку номер два и анонсировала 3D Secure. Основная идея технологии заключается в том, чтобы переложить заботы о чарджбеке с больной головы на здоровую. Причем «перекладывание» происходит в три приема. Ответственность за факт чарджбека снимается с Интернет-магазина и возлагается на банк-эквайер, последний передает банку-эмитенту реквизиты карты, с которой был отозван платеж, а эмитент, в свою очередь, начинает выяснять отношения со своим клиентом. В 3D Secure используется пароль, который банк-эмитент выдает клиенту. При авторизации платежная система посылает эмитенту запрос. Банк связывается с покупателем, запрашивает у него пароль и информирует платежную систему об ответе. Для обеспечения безопасности покупателя его банку предъявляется 3D Secure-сертификат магазина. И теперь, если клиент решит сделать чарджбек, банк-эмитент уже не сможет уведомить эквайера, что надо бы вернуть деньги, а вынужден будет выплачивать их сам. Правда, только в том случае, если клиент сможет убедительно рассказать и доказать свои слова в суде, каким образом пароль, известный только ему и банку, стал достоянием злоумышленника. Недостатком 3D Secure является то, что стандарт должен поддерживаться одновременно покупателем, эмитентом, эквайером и Интернет-магазином, что случается вовсе не сплошь и рядом. У нас эта технология запущена совсем недавно, и никаких определенных выводов о ее успешности сделать пока нельзя.
Решения на местах
Среди других важных мер, предпринятых отечественными платежными системами, можно отметить выпуск пластиковых карт ASSIST, не привязанных к конкретному банку-эмитенту, и использование технологии CyberPOS.
Платежи при помощи карт ASSIST поддерживаются большим числом магазинов, подключенных к системе. Каждой карте присвоен идентификатор (AssistID), который, впрочем, аналогично номеру кредитной карты может быть похищен. Но при прохождении авторизации на сервере ASSIST покупателю нужно ввести ID плюс четыре цифры pin-кода карты. Поскольку мошенникам неизвестны pin-коды карт, если только мошенник не является законным владельцем карты, сделка сорвется. Впрочем, не раз бывало, что при краже кредитной карты злоумышленнику доставался и pin, поскольку владельцы носили бумажку с кодом вместе с картой. Но против такой безалаберности наука бессильна. Карты ASSIST выпускаются с августа прошлого года, так что и здесь рано делать какие-либо выводы, однако идея хорошая.
Также нельзя пройти мимо технологий российской платежной системы CyberPlat. Ее подсистема CyberPOS, ориентированная на карточные платежи, напоминает технологию SET, но с некоторыми отличиями. Во-первых, Интернет-магазину, работающему с CyberPlat, не нужно внедрять никакого дополнительного ПО. Во-вторых, ЭЦП может получить любой покупатель независимо от того, где была эмитирована его карта, просто пройдя регистрацию в системе. По аналогии с полным и неполным SET платежи в CyberPOS делятся на CyberPlatPay (для покупателя с ЭЦП) и «стандартные». У CyberPlat есть одно немаловажное достоинство — Интернет-магазину не нужно отдельно оплачивать CyberPOS. Но остается и недостаток — при «стандартном» платеже через CyberPOS безопасность продавца не обеспечивается.
А в результате…
В результате сейчас, когда для многих держателей карт стали привычными Интернет-магазины, Интернет-казино, Интернет-биржи и прочие прелести электронной коммерции, и страх сообщать свои карточные реквизиты платежным системам стал понемногу исчезать, бояться начали сами продавцы. Средний уровень чарджбека в Интернете составляет 0,5–2,5%, причем в странах повышенного риска (см. выше) он ближе к верхнему рубежу. Visa и MasterCard применяют штрафные санкции к некоторым продавцам (в основном к тем, чей товар относится к категории high-risk), когда возврат денег превышает 1%. При этом штрафы, мягко говоря, немаленькие и могут доходить до 100 тысяч долларов. Для большинства российских Интернет-магазинов упущенная выгода от приема кредитных карт во много раз меньше, отсюда вывод: а стоит ли рисковать? Не проще ли купить «аттестат доверия» у одной или нескольких электронных платежных систем (WebMoney, E-Port, Яндекс.Деньги) и торговать, используя электронную наличность? Количество торговых точек в отечественной части Интернета постоянно растет, и наверняка их владельцы задают себе те же вопросы. Как ответ, в лучшем случае появляются различные ограничения на максимальную сумму транзакции, а то и вовсе отказы в обслуживании клиентам, не имеющим сертификата SET или же ЭЦП CyberPOS. А в худшем — Интернет-магазины вообще перестают принимать кредитные карты.
Но думается, что не все так мрачно. Сейчас объем карточных транзакций превышает 90% от общего оборота в системе ASSIST. Так что позиции карточных платежей еще сильны даже в России. К тому же всегда есть вероятность появления deus ex machina для спасения «карточной» индустрии в Интернете. Возможно, Visa и Master Card, наконец, оставят кнут в покое и начнут использовать пряники, желательно не золотые по цене, как это было с SET. Именно таким пряником вполне может оказаться 3D Secure. Или же светлые головы изобретут новый защитный алгоритм, пропускающий лишь мизерные 0,01% фрода. Западные представители е-бизнеса уже давно смирились с чарджбеками как с неизбежным злом и просто закладывают 2% фродовых убытков в стоимость продаваемой продукции. Возможно, со временем смирятся с этим и их российские коллеги. Будущее покажет.