Что такое мошенничество в электронной торговле и как его предотвратить?
Узнайте, что такое мошенничество, как оно происходит и каковы лучшие инструменты предотвращения мошенничества?
Если вы подпишитесь на услугу по ссылке на этой странице, Reeves and Sons Limited может получить комиссию. Смотрите наши заявление об этике.
Мошенничество в электронной торговле может снизить вашу прибыль. Мошенники могут украсть данные клиентов, лишить ваш бизнес товаров на тысячи долларов и привлечь вас к ответственности за возмещение средств жертвам кражи личных данных. Эти финансовые и репутационные потери можно предотвратить с помощью нескольких простых решений.
Хотите предотвратить мошенничество в электронной торговле с вашими клиентами? Вам следует! Прочтите это руководство, чтобы узнать все о мошенничестве в электронной торговле и понять, как его предотвратить.
Что такое мошенничество в электронной торговле?
Мошенничество в электронной торговле или мошенничество с платежами — это мошенничество с коммерческой транзакцией через Интернет с целью кражи данных клиента, таких как информация о кредитной карте или номер социального страхования, для получения финансовой или личной выгоды, что негативно влияет на прибыль продавца.
Такие мошенничества остаются общая проблема и причиняют довольно много вреда. Это очень наглядный случай «работать умнее, а не усерднее», когда гораздо проще предотвратить несчастья, чем бороться с их последствиями. В этой статье вы получите краткое представление о различных видах мошенничества, о том, как их обнаружить, а также узнаете, как вы можете защитить себя и свой бизнес.
Типы мошенничества в электронной торговле
Чтобы нажиться на мошенничестве, мошенникам приходится проявлять изобретательность, чтобы все прошло максимально гладко. Вы обнаружите, что новые мошеннические стратегии появляются каждые пару месяцев или около того. Но большинство не так изобретательны и используют старые и проверенные стратегии. Вот список самых известных из них, которых следует опасаться.
Мошенничество с захватом аккаунта
Мошенники пытаются получить доступ к счету клиента, обычно содержащему его финансовые или идентификационные данные.formatион, например данные кредитной карты, адрес или номер социального страхования. После этого они покупают и крадут товары, что часто приводит к тому, что вы возвращаете деньги покупателю и теряете доход.
Мошенничество с новой учетной записью
Помимо получения доступа к уже существующим учетным записям, мошенники также могут создавать новые, используя украденные данные клиентов. К сожалению, это может снова привести к тому, что вы будете нести ответственность за возмещение средств настоящему владельцуformatион.
Мошенничество с кредитными картами
Другая форма мошенничества — это когда мошенник перенаправляет продукты, купленные с помощью украденной информации о кредитной карте, на свой адрес. Иногда они могут продолжать пробовать несколько карт, чтобы увидеть, какая из них работает лучше (или работает вообще) для совершения чрезмерной покупки.
Триангуляционное мошенничество
Этот вид мошенничества является diviразделен на несколько шагов:
- Мошенник создает поддельный розничный веб-сайт, который крадет клиентов.formatИон, когда они размещают заказ.
- Мошенник заказывает жертве покупку на законном сайте, таком как Amazon, или на других розничных сайтах. Это делается, чтобы избежать подозрений и держать клиента в неведении о том, что его информация была украдена в течение как можно более длительного периода времени.
- После этого фишинговые данные используются для собственных покупок мошенника.
Возврат мошенничества
Украденная карта используется для покупки продукта только для того, чтобы потребовать возмещения средств на альтернативный способ оплаты. Таким образом, сумма поступает непосредственно на счет преступника. При этой стратегии они просто снимают деньги с карты, конвертируя их в покупку и обратно. Особенно неприятный, т.к. vendили придется платить дважды, мошенникам и клиенту, чьи данные были украдены.
Мошенничество с возвратным платежом
Тот, который также известен как дружеское мошенничество. Это обычно происходит без украденной информации или сторонних покупок и довольно просто. Таким образом, клиент покупает что-то на веб-сайте только для того, чтобы позже оспорить транзакцию в своем банке. Таким образом, они могут получить возмещение и оставить свои товары бесплатно.
Партнерское мошенничество
Вы должны быть осторожны, если вы работаете с аффилированными лицами, поскольку не все из них могут быть законными. Удобно получать комиссию за каждую покупку, используя украденные данные кредитной карты. В этом случае вам придется вернуть все средства настоящим владельцам украденных карт.
Обнаружение мошенничества в электронной торговле
Теперь, когда вы лучше понимаете, что такое мошенничество в электронной торговле, пришло время изучить тревожные сигналы, которые помогут вам обнаружить мошенническую деятельность.
Несогласованные данные о новом заказе
Обратите внимание на данные клиента. Это не гарантирует, что человек обязательно пытается провести какое-то мошенничество, но как только вы это заметили, вы можете проанализировать остальные его покупки и действия, чтобы сделать выводы. Обращайте внимание на такие вещи, как несоответствие почтового индекса и адреса, другой IP-адрес или карта, зарегистрированная в одной стране, в то время как доставка осуществляется в другую.
Непоследовательное поведение существующих клиентов
Это правда, что люди могут быть непредсказуемыми, но иногда дело обстоит намного проще – это не они делают новые покупки. Если вы видите внезапный шопинг от покупателя, который время от времени что-то покупает, вы можете связаться с ним напрямую, чтобы узнать, действительно ли это он.
Несогласованные данные существующих клиентов
Внезапные изменения в информации об учетной записи также могут указывать на нежелательную активность. Всегда лучше проверить дважды и попросить клиента подтвердить свою личность. Хотя люди меняют адреса и кредитные карты, это случается не так часто и требует более пристального внимания.
Несколько адресов доставки
Если к учетной записи привязано слишком много адресов, вы можете проверить ее, особенно если дело происходит с уже существующей учетной записью. Лучше всего сразу связаться с заказчиком.
Несколько карт
Наличие нескольких кредитных карт для разных целей совершенно нормально, но регулярная их замена и добавление новых здесь и там, безусловно, повысит осведомленность. Такая активность как с новых, так и с существующих учетных записей требует более тщательной проверки.
Несколько отклоненных транзакций
Если вы можете отследить учетную запись с большим количеством отклоненных транзакций, связанных с одной или несколькими картами, то вероятность того, что это так называемый взлом или тестирование кредитной карты, очень высока. Мошенник проверяет, какая из украденных карт рабочая. Лучшим решением будет либо связаться с владельцем аккаунта, либо просто его заморозить.
Как предотвратить мошенничество в электронной торговле — лучшие советы
Выявить проблему — это здорово. Это определенно первый шаг к улучшению вашей интернет-безопасности. Но как именно с этим бороться? Вы увидите лучшие тактики обнаружения мошенничества, перечисленные ниже.
Улучшить безопасность веб-сайта
Лучшее шифрование данных клиентов через SSL а HTTPS снижает вероятность его кражи и делает попытки мошенников гораздо более неудобными. Вдобавок ко всему, это довольно дешево. Средняя стоимость SSL-сертификата составляет около 60 долларов в год, но она сильно варьируется и может резко упасть. В любом случае, это, вероятно, сэкономит вам гораздо больше денег и времени, а также принесет чувство безопасности.
Используйте 2FA для учетных записей клиентов
Двухфакторная аутентификация иногда может показаться раздражающей и ненужной. Клиенты не могут мгновенно получить доступ к своим счетам, и это может их оттолкнуть. Вот почему многие веб-сайты делают эту функцию опцией, а не стандартной. Тем не менее, лучше использовать все возможное, чтобы предотвратитьformatот попадания в руки нежелательных третьих лиц.
Используйте безопасные платежные шлюзы
Безопасные платежные шлюзы являются одними из самых эффективных инструментов предотвращения мошенничества. Это один из самых простых способов обнаружить мошенника и пресечь для него любые способы использования вашего веб-сайта. Это может быть требование ввести код CVV или другое подтверждение от клиента. Несмотря на то, что это также замедляет весь процесс, это проверенный временем метод, который может сэкономить целое состояние как для клиентов, так и для клиентов. vendПРС.
Подтвердить клиента вformatион
Существует ряд сервисов, которые помогают клиенту подтвердить свою личность. Например, служба проверки адресов работает, чтобы проверить, связан ли адрес, введенный клиентом, со счетом кредитной карты владельца карты, и геолокация проверяется.
Мониторинг активности
Мониторинг активности клиентов и понимание их моделей — один из самых простых способов отличить законных клиентов от тех, кто совершает мошеннические транзакции. Один из лучших методов известен как проверка скорости или ограничение скорости — это механизм выявления аномалий или сходства с мошеннической деятельностью. Поэтому, если с определенного счета было совершено слишком много покупок или платеж был отклонен несколько раз подряд, система пометит это как потенциальную опасность.
Не храните чувствительные вformatион
Если вы храните клиентов вformation на вашем веб-сайте, он может быть украден. Поэтому старайтесь избегать храненияformatкак SSN или кредитная карта вformation в вашей базе данных, другиеwise, вы можете нести ответственность в случае утечки данных. Для проведения платежей лучше всего использовать сторонние сервисы — они безопасны и вы не рискуете потерять клиента вformatмошенникам.
Автоматизация обнаружения мошенничества
Важность мониторинга уже упоминалась в некоторых из предыдущих пунктов, но его можно поднять на другой уровень с помощью автоматизация электронной коммерции. В настоящее время на рынке доступно множество различных программ для обнаружения мошенничества, которые значительно ускоряют весь процесс.
Обучение клиентов
Чтобы защитить как клиентов, так и себя, было бы неплохо рассказать им о мошенничестве в центр справочной службы. Например, отправьте им электронное письмо, чтобы объяснить, что вы никогда не будете связываться с ними повторно, чтобы спросить их пароль или другую личную информацию. Конечно, не все клиенты ее прочитают, но некоторые прочитают, поэтому оно того стоит.
Передовой опыт по предотвращению мошенничества в электронной торговле
Чрезвычайно важно создать защищенную от мошенничества рабочую среду. Как мошенники фишируют клиентовformatЧтобы усложняться, необходимо быть в курсе всех новых схем и знать, как эффективно защитить свой бизнес. Лучшим решением будет создание плана действий для немедленного решения проблемы.
Создать план
Составьте план для всех этапов мошенничества.
Чтобы предотвратить мошенничество, все направлено на безопасность: используйте SSL и HTTPS, двухфакторную аутентификацию и платежные шлюзы. Вы также должны попытаться обнаружить мошенничество, как только оно произойдет, поэтому уделите пристальное внимание мониторингу транзакций и, в идеале, автоматизируйте этот процесс.
Чтобы свести к минимуму воздействие, уделите внимание обучению своих клиентов тому, как хранить их личные данные вformatион, что делать, если они вformation украли, и какова политика вашего сервиса.
Когда подозрения в мошенничестве уже есть, первое, что нужно сделать, это заморозить аккаунт. После этого с клиентом следует связаться и попросить проверить его активность. Все клиенты должны иметь возможность подтвердить свою личность.
После того, как мошенничество состоялось, клиент и вы должны быть в одной команде, пытаясь поймать мошенника. Если вы собираетесь привлечь полицию, постарайтесьformatкак можно больше информации о мошеннике, например, они могли оставить свой адрес или другую информацию во взломанной учетной записи. Это действительно важно, так как исход ситуации повлияет на то, сколько дохода вы потратите на возмещение.
Регулярно проводите оценку рисков
Следите за своим уровнем безопасности, так как даже хорошие плагины через некоторое время могут стать слабым местом. Не впускай никогоformatпроисходят утечки ионов, и часто проверяйте все части вашей системы, чтобы выявить риски мошенничества.
Обучаем сотрудников
В связи с тем, что некоторые мошенничества связаны с обслуживанием клиентов, обучение сотрудников чтобы предотвратить мошенничество, также должно быть регулярной практикой. Они должны знать, какие действия следует предпринять в зависимости от типа подозрительной активности, и всегда быть осторожными при переадресации звонков о покупке и подобных вопросах.
Будьте в курсе
Единственный способ защитить свой бизнес от мошенников — знать, что они замышляют. Возьмите за привычку читать о последних схемах, и вы окажете себе большую услугу. Здесь чем больше вы знаете, тем лучше.
Защитите свой бизнес
Если есть способы помочь себе, то зачем их игнорировать? Пребывание на одном месте может показаться удобным и даже надежным, но это, безусловно, вопрос времени, когда вы поймете, насколько вы рискуете, если не предпримете никаких шагов для развития вашей системы безопасности. С появлением новых мошеннических тактик вы можете потерять целое состояние на возмещении и судебных разбирательствах вместо того, чтобы инвестировать вformatзащиты от ионов и создания лучших условий как для вас, так и для ваших клиентов. Поначалу это может дезориентировать, но, приложив немного усилий, вы сможете вывести свой бизнес на совершенно новый уровень надежности.
Майкл Доер
Майкл Доер — независимый контент-маркетолог, который пишет о цифровом маркетинге, электронной коммерции и бизнес-советах. Доберитесь до него на LinkedIn спросить о чем-либо.
Опасные переводы онлайн: как правильно пользоваться P2P-платформами
В России недавно завели первое уголовное дело за сделку с криптовалютой, проведенную через P2P. Срок оказался условным, а не реальным, но тем не менее риски подобных операций возросли. Какие еще опасности подстерегают инвесторов на P2P-площадках? Эксперты Финтолка объясняют, какие риски несет сервис обмена между физическими лицами и как этих рисков избежать.
Что такое P2P
В оригинале P2P — это Peer to Peer (иногда переводят как person to person), что означает «от человека к человеку». Чаще всего сокращение используют в отношении платежей между физическими лицами без вмешательства посредников.
Рассмотрим два примера.
Наверное, многие покупали какие-то товары через Авито. Здесь можно встретить множество предложений. Однако сам Авито не несет каких-либо обязательств по покупке/продаже товаров. Он просто связующее звено между физическими лицами. Например, кто-то хочет продать автомобиль за 200 000 рублей и оставляет объявление на Авито. Вы связываетесь с этим лицом и договариваетесь о деталях сделки. Это и есть частный случай P2P. Вторым примером договоров о продаже между физическими лицами могут служить работающие подобным способом системы на криптовалютных биржах (Binance, Bybit и других).
А вот торговля акциями на Московской бирже не является P2P. Кто-то возразит, что там тоже проводятся сделки между физическими лицами. На самом деле тут сделки проводятся через посредника. Ваша вовлеченность в процесс выбора продавца или покупателя практически сведена к нулю. Вы просто даете приказ на покупку или продажу ценных бумаг, а биржа сама это осуществляет по наилучшей цене (либо по указанной вами, в случае выставления лимитной заявки).
Но какие риски несет P2P?
Дмитрий Носков, эксперт криптобиржи StormGain:
— При проведении p2p-операций обе стороны — и продавец, и покупатель рискуют столкнуться с обвинениями правоохранительных органов (это самый неприятный риск). Если они проводят довольно много подобных операций на значимые суммы, то банк, на карту которого выводятся деньги, может заблокировать счет. Это возможно в рамках законодательства по противодействию отмыванию доходов, полученных преступным путем, и финансированию терроризма. Возможны такие риски как двойные переводы, слишком высокие комиссии, взимаемый банками и банальный риск нарваться на контрагента-мошенника.
Обман
Когда вы покупаете что-то через интернет у незнакомого человека, всегда есть риск, что вам не переведут деньги или товар. Например, вы выбрали мобильный телефон. Вам дают реквизиты карты. Деньги вы переводите, а телефон не получаете. С криптовалютами все то же самое.
Поэтому, прежде чем осуществлять какие-либо сделки, проанализируйте: у кого вы покупаете. Конечно, свести риск к нулю невозможно, но минимизировать реально. Как? Посмотрите на рейтинг продавца на площадке, отзывы, количество успешных транзакций. Явно больше доверия вызывает тот, у кого заметный оборот и достойная репутация.
Продавцы с более высоким и надежным рейтингом могут предлагать криптовалюту не по самому низкому и выгодному курсу. С другой стороны, менее надежные продавцы специально подкупают клиента более выгодным курсом. Как в той поговорке, где «скупой платит дважды».
Стоит отметить, что криптобиржи также стараются предпринять действия, которые защитят клиентов. Например, в Binance есть так называемый эскроу-счет. На нем блокируются средства до выполнения участниками сделки необходимых условий. Если условия не будут выполнены в определенный срок, то ваши средства (фиат или криптовалюту) вам вернут.
Репутационный риск
Этот вид риска непосредственно связан с предыдущим. Хотя мы и советуем обращать внимание на рейтинги и репутацию, всегда есть возможность какой-то накрутки. Понятно, что с этим продавцу придется повозиться, возможно, вложить деньги, но накрутки реальны.
Кроме того, в даркнете можно напрямую купить аккаунты с хорошей репутацией. Что это подделка вы вряд ли сможете отличить. Кстати, такие аккаунты могут быть как у продавцов, так и покупателей. Так что от потерь не застрахован никто.
Мошеннические деньги
Вы не знаете доподлинно откуда и кто вам переводит деньги. Тем более вы не сможете выяснить источник происхождения. Вам же не видны все операции по карте, с которой вам скидывают деньги?
Можно попросить того, с кем взаимодействуете, показать, с какой карты будут скидываться деньги, как-то удостоверить личность через документы и прочее. Но, во-первых, вам могут отказать. Многие, у кого есть криптовалюта, стремятся к максимальной конфиденциальности. Во-вторых, даже это не спасет. Допустим, человек согласится на все ваши условия. Но где гарантия, что он не состоит с мошенниками в сговоре?
А в чем, собственно, риск? Да в том, что вам могут перевести финансовые средства, которые были добыты незаконным путем.
Например, в случае с человеком, против которого завели дело по поводу P2P на Garantex: ему послали деньги, добытые через телефонное мошенничество.
Естественной реакцией на такое будет блокировка вашей банковской карты в соответствии с федеральным законом «О противодействии легализации (отмыванию) доходов, полученных преступным путем, и финансированию терроризма».
Влад Утушкин, основатель и визионер экосистем MarsDAO:
— Самая опасная мошенническая схема, с которой могут столкнуться пользователи p2p-площадок — это так называемый треугольник, когда зачисление поступает с карты третьего лица, не участника сделки купли-продажи. Например, пользователь продает 100 USDT, покупатель оставляет заявку о готовности купить эти 100 USDT. Продавцу на счет поступают денежные средства, но не от покупателя с p2p-площадки, а от какого-то неизвестного лица, после чего продавец отправляет USDT на адрес, указанный покупателем. В схеме треугольника это третье лицо — тоже жертва, которая покупала что-то у мошенника и тот дал номер карты продавца USDT. В итоге получается, что жертва перевела деньги пользователю p2p-площадки, но никакого товара или услуги в ответ не получила. Пользователь вообще может не знать о том, что стал участником схемы: до той поры, пока к нему в дверь не постучится полиция. Чтобы не попасть в треугольник, стоит сразу предупреждать сторону сделки, что деньги с карт третьих лиц не принимаются к оплате.
Другой риск, который стоит брать во внимание — покупка «грязной криптовалюты», то есть той, что фигурировала в преступных схемах (как правило, в даркнете). Поскольку криптовалюта вроде биткоина использует технологию публичного распределенного реестра всех совершенных транзакций — блокчейна, всегда можно отследить путь криптовалюты по адресам. Подобные монеты потом сложно продать, так как большинство криптобирж проверяют цифровые монеты и даже могут заблокировать аккаунты при попытке пополнить счет «грязной криптовалютой».
Если банк заметит подозрительные частые операции, он не будет рисковать.
Как же себя обезопасить? Если хотите исключить риск полностью, то просто не пользуйтесь P2P. Такова реальность.
Если хотите уменьшить вероятность, что деньги будут нелегальными, то по максимуму выбивайте из вашего контрагента информацию о том, кто он и откуда осуществляет денежный перевод. Кроме того, если ваши транзакции будут не постоянными, а суммы небольшими, то и внимания к вам меньше.
Терехова Лидия, доцент факультета информационных технологий Университета Синергия:
— Помимо недобросовестного контрагента, один из возможных рисков связан с «неопытными покупателями», проблемой двойных транзакций и переводом под закрывающийся таймер ордера. Для обеспечения безопасности себя и своих активов следует выбирать максимально надежные P2P-платформы. Желательно в качестве дополнительных условий сделки запросить сканы документов покупателя, не участвовать в сделках с третьими лицами, проверять поступление денежных средств перед подтверждением сделки.
Таким образом: если хотите пользоваться P2P, то должны понимать, что придется нести риски в том или ином виде. Если же вы хотите сделать все по закону, то пользуйтесь другими платформами, например, биржами.
Обо всем по порядку: электронная коммерция и риски — объясняет «Евротерминал»
Для большинства людей электронная коммерция или e-commerce — это электронные покупки или продажи в режиме онлайн. Для тех, кто смотрит глубже и шире, электронная коммерция представляет собой финансовые и торговые транзакции, которые осуществляются с помощью сетей. Такие цепочки бизнес-процессов все время совершенствуются.
«Глядя в будущее, наблюдая за стремительным развитием цифровой экономики, можно с уверенностью сказать, что e-commerce — стремительно развивающееся ядро для развития телекоммуникационных мощностей, — рассказывает «Евротерминал». — Но за таким, казалось бы, стремительным будущим, стоит ряд проблем, а точнее — рисков и угроз. Прежде чем к ним переходить, следует обозначить, что такое риски, а что угрозы именно в контексте электронной коммерции».
«Евротерминал» отмечает, что под угрозой следует понимать возможность нанесения ущерба материальным и иным ценностям, используя инструменты или механизмы информационных технологий. Риски же, в свою очередь, обозначают состояние условий и результат проведения коммерческой операции, которые несут ту или иную степень вероятности материальных или иных потерь.
«Угрозы бывают внутренними и внешними. Ко внешним можно отнести вирусы, вредоносные программы, атаки, мошенничество, связанное с передачей данных. Внутренние — это саботаж, хищение данных, неосторожность сотрудников. С последним, к слову, связано около 80% потерь, влекущих за собой нарушение информационной безопасности», — рассказывает компания «Евротерминал».
Как рассматривать риски электронной коммерции — объясняет «Евротерминал»
«Риски электронной коммерции для предпринимателей и обычных пользователей воспринимаются по разному и это нормально», — рассказывает «Евротерминал».
Предприниматели определяют для себя следующие риски: правовые и финансовые риски, нарушение информационной безопасности, мошенничество. В целом, эти же риски преследуют и обычных пользователей сети.
«Большинство предприятий, в первую очередь, выделяют для себя риск мошенничества и утраты денежных средств. Это вполне понятно. Сюда же относят нестабильные доходы — 73% опрошенных утверждают, что это одна из основных проблем, подчеркивая, что из-за этого сложно составлять и утверждать стратегии развития», — рассказывает «Евротерминал».
Эксперты «Евротерминала» относят проблему нестабильных доходов к пандемии коронавируса, которая в особенности не обошла стороной и все сферы логистики. Респонденты критично отнеслись к системе доставки и возврата товаров — 49% выделили проблемы в транспортировке, также отметив сложности, связанные с курьерами. 29% опрашиваемых отметили, что система возвратов была бы упрощена, а процентный показатель снизился, если бы данную процедуру покупатель оплачивал самостоятельно.
«Многие респонденты также выделили проблему с упаковкой. 53% задумались о том, чтобы использовать многоразовые емкости для доставки товаров, купленных через интернет. 40% отдали предпочтение полному переходу на бумагу и гофрокартон», — рассказывает компания «Евротерминал».
Битва платёжных систем: криптовалюта и карты. На чьей стороне ты?
Многие из нас сталкивались с мошенничеством с банковскими картами или с проблемами проведения транзакций из-за границы. А сколько ещё уязвимостей таит в себе эта небезупречная карточная платёжная система? Существует ли альтернативная, но надёжная и удобная замена ей? Как насчёт системы, основанной на блокчейн? Для ответов на эти вопросы следует рассмотреть и сравнить схемы выполнения транзакций, а также защищённость и удобство применения криптовалютных и карточных платёжных систем.
Некоторые полезные определения:
Политика карточных сетей сильно различается в зависимости от страны.
Банки-эмитенты ─ это банки, которые создают карты. На каждой карточке есть название банка: это эмитент.
Банки-эквайеры ─ это банки, которые представляют торговцев.
Чтобы упростить описание, я предполагаю, что продавец является получателем, а клиент — плательщиком.
Мультисиг-кошелёк ─ кошелёк с особым типом цифровых подписей, который позволяет двум или более пользователям подписывать документы вместе как группа.
В данном сравнении я предполагаю использование безопорных кошельков Lightning.
Мы углубимся в различия между каждым аспектом сетей.
Следует учитывать, что большая часть информации по карточным сетям не является общедоступной и не подлежит разглашению. Но приведённое ниже сравнение даёт хороший обзор этой темы.
Транзакции в сетях
Карточная платёжная система
Как протекает транзакция?
Участниками любой банковской транзакции являются трое:
Банк, принимающий платеж. Например, который обслуживает POS терминал в магазине и к которому прикладывают свою карту. Это банк-эквайер.
Банк, вашей карты. Банк, которому принадлежит ваша карта. Это банк-эмитент.
Платежная система, выступающая посредником-каналом между предложенными выше банками. Популярные на текущий день – Visa, MasterCard, МИР.
Как происходит транзакция:
Вставляем/прикладываем карту в банкомат или терминал, или входим в Сбербанк Онлайн.
Проводим карту по POS-терминалу. В этом время устройство считывает все доступные ему сведения с карты, зашитые на магнитной ленте или чипе.
Информация с устройства в зашифрованном виде поступает в банк-эквайер – кому и принадлежит считыватель.
Банк-эквайер передает все эти данные в центр обработки данных (ЦОД) платежной системы. Как раз он и будет отвечать за снятие и перевод денег. ЦОД проводит проверку карты на мошенничество. К слову, такие проверки могут проводиться и самими банками.
Из ЦОД информация передается Банку-эмитенту, который делает последние проверки вплоть до проверки баланса, ПИН кода, дневных лимитов и списывает деньги со счета. На конечной точке транзакции возможна конвертация валюты при трансграничных переводах.
После списания происходит обратное распространение информации: от Банка-эмитента в ЦОД, из ЦОДа в банк-эквайер, а тот уже передает информацию об успешно проведенной транзакции вам на чеке.
Lightning Network
Lightning Network это децентрализованная офф-чейн технология, позволяющая проводить десятки тысяч транзакций в секунду, как это позволяет делать, к примеру, Visa.
Почему рассматривается именно Lightning Network? Потому что он основан на офф-чейн технологии. Благодаря такому подходу транзакции проходят гораздо быстрее, комиссии снижаются, а размер блокчейна сокращается.
Этот платёжный протокол представляет из себя сеть платежных каналов, являющихся обычными мультисиг-кошельками.
Что такое мультисиг-кошелёк?
В качестве простой аналогии мы можем представить безопасную ячейку с двумя замками и двумя ключами. Один ключ находится у Алисы, а другой – у Бориса. Единственный способ, которым они могут открыть ячейку, состоит в том, чтобы предоставить их оба ключа одновременно, поэтому один человек не сможет открыть коробку без согласия другого.
Чтобы открыть канал, стороны создают мультисиг-кошелёк и отправляют на него средства. Полученная сумма становится балансом канала и все дальнейшие транзакции между участниками канала проводятся вне блокчейна. Канал в любое время может быть закрыт любой из сторон, в таком случае последняя офф-чейн транзакция, определяющая баланс канала, отправится в сеть, делая все предыдущие транзакции невалидными, так как они все тратят один и тот же ‘выход’. Таким образом нам нужна всего лишь одна транзакция для открытия канала и еще одна для его закрытия, а все промежуточные транзакции проводятся моментально, без записи в блокчейн.
Пример:
Просмотр видео. 2 участника.
Алиса и Борис используют специальную программу, позволяющую работать и с платежным каналом, и с видео. Алиса запускает эту программу в браузере, Борис на своем сервере. Программа имеет в себе функционал обычного биткоин-кошелька, умеет создавать и подписывать транзакции. Весь механизм работы платежного канала скрыт от пользователя, все что они видят — это как видео оплачивается каждую секунду.
Теперь рассмотрим, как это будет работать. Для создания канала Алиса и Борис должны создать мультисиг адрес с условием два из двух. Со стороны пользователя, программа создает P2SH адрес (мультисиг-кошелёк) и просит пополнить его на сумму за 1 час просмотра. Алиса заносит на него 0.036 BTC, и эта транзакция становится ‘открывающей’.
Как только ‘открывающая’ транзакция подтверждена и канал открыт, начинается стриминг видео. На 1ой секунде пользовательская сторона создает и подписывает коммит-транзакцию, изменяющую баланс канала: 0.00001 BTC Борису и 0.03599 Алисе. Транзакция использует выход открывающей транзакции в 0.36 и содержит 2 новых, описанных только что. Программа на стороне сервиса получает эту транзакцию и также ее подписывает, после чего отправляет назад вместе с 1ой секундой видео. Теперь у сторон есть подписанная обеими сторонами коммит-транзакция, представляющая последнее состояние канала, которую они могут при необходимости отправить в сеть.
На 2ой секунде создается очередная коммит-транзакция, использующая тот же выход, что и предыдущая, а новые выходы теперь 0.00002 Борису и 0.03598 Алисе. Эта транзакция представляет собой платеж за 2 скаченные секунды видео. Далее она отправляется на вторую сторону и т.д.
Допустим, Алиса посмотрела 10 минут видео и ей надоело, она остановила просмотр. За это время было отправлено и подписано 600 коммит-транзакций (600 секунд просмотра). Последняя из них имеет 2 выхода: 0.03 Алисе и 0.006 Борису. Алиса закрывает канал, отправляя эту коммит транзакцию в сеть, делая ее ‘закрывающей’. Таким образом, в блокчейн попали только 2 транзакции.
Рассмотрим меры безопасности и уязвимости в этих платёжных системах.
Угрозы и безопасность в платёжных системах
Безопасность Visa
Угроза: Мошенничество с электронной коммерцией и удаленными платежами
Способы защиты:
Токенизация платежей.
(передаётся токен, а не данные карты и владельца) Visa Token Service, новая технология безопасности от Visa, заменяет конфиденциальную информацию о счете, например, 16-значный номер счета, уникальным цифровым идентификатором, называемым токеном. Маркер позволяет обрабатывать платежи без раскрытия фактических сведений о счете, которые могут быть скомпрометированы.
Оповещение о потребительских операциях.
Сообщение доставляется непосредственно через электронную почту, текстовое сообщение или мобильное банковское приложение для оповещения зарегистрированных владельцев карт о подозрительных действиях на их счете.
Динамический код-пароль.
Одноразовый код, отправленный владельцу карты с помощью мобильного текста или приложения для уникальной проверки транзакции.
Аналитика и проверка безопасности пароля.
Дополнительный слой аналитики, интеллекта и безопасности пароля, чтобы защитить сделки электронной коммерции.
Шифрование при обработке транзакции.
Надежно блокирует конфиденциальную информацию о счете при обработке транзакции. Данные невозможно прочитать или разблокировать, если они украдены или взломаны.
Идентификация устройства для распознавания подозрительных транзакций.
Оценивает уникальный идентификатор устройства (мобильного телефона, ноутбука и т.д.), используемого для выполнения цифровой транзакции, чтобы помочь идентифицировать подозрительные транзакции.
Угроза: Поддельное мошенничество
Способы защиты:
Микросхема EMV.
Каждый раз, когда чиповая кредитная или дебетовая карта используется в магазине на активированном чипом терминале, генерируется уникальный одноразовый код и используется для подтверждения транзакции-обеспечивая дополнительный уровень безопасности. Предотвращает подделку, генерируя код одноразового использования, что делает каждую транзакцию в магазине уникальной.
Геолокация.
Совпадает с местоположением мобильного телефона владельца карты с местоположением транзакции Visa.
Маркирование чиповых карт.
Защита цифровых данных от риска компрометации.
Предупреждения о потребительских операциях.
Сообщение доставляется непосредственно по электронной почте, СМС или мобильному банковскому приложению для оповещения зарегистрированных владельцев о подозрительных действиях на своем счете.
Угроза: Утерянное и украденное мошенничество
Способы защиты:
Биометрия для идентификации владельца.
Спецификация поддерживает аутентификацию «match-on-card», где биометрические данные подтверждаются чип-картой EMV и никогда не раскрываются, и не хранятся в каких-либо центральных базах данных. Эмитенты могут дополнительно проверять биометрические данные в своих защищенных системах для транзакций, происходящих в их собственных средах, таких как их собственные банкоматы.
Аналитика поведения.
Выявляет мошенничество до его совершения. Visa может идентифицировать потенциальное мошенничество в режиме реального времени с помощью технологии, которая позволяет анализировать до 500 уникальных признаков риска любой транзакции и определять вероятность того, что транзакция является мошеннической.
Ниже приведены ещё несколько вариантов возможных угроз с картами.
Угроза: Украденные данные кредитной/дебетовой карты или карты предоплаты (например, PAN, CVV, дата истечения срока действия карты) могут быть либо монетизированы (например, проданы на подпольных форумах рынка), либо использованы для мошеннических платежей.
Угроза: Компрометация между службами и серверами поставщика служб маркеров.
Поставщики служб маркеров (TSP) предоставляют службы управления маркерами, такие как маркеризация (создание маркера из PAN кредитной карты), деконтекенизация (извлечение PAN из хранилища маркеров) и проверка целостности данных маркеров и инициация маркера, а также проверка с помощью криптограмм. Если поставщик службы токенов был скомпрометирован, злоумышленники, скорее всего, попытаются получить таблицы поиска токенов, которые предоставляют токены для сопоставлений PAN, CVV и истечения срока действия. Это было бы весьма ценной целью для злоумышленника, так как обеспечивало бы его удобной в использовании и монетизируемой информацией. Другие возможные атаки против процесса маркирования и демаркирования могут включать использование уязвимостей программного обеспечения для извлечения PAN, используемого для авторизации операций, идентификации и проверки данных кредитных карт, а также для клиринга и расчетов. Атаки на ограничения домена, введенные TSP, которые могут позволить злоумышленнику обойти маркеры времени, места и цифрового канала ограничения.
Угроза: Компрометация процесса авторизации платежа.
Одной из основных угроз для эмитентов карт являются процессы, которые проверяют данные владельца карты и выдают авторизацию платежа покупателю. Внутренний злоумышленник в банке эмитента карты или внешний злоумышленник, получивший доступ к критически важным серверам, могут попытаться обойти средства контроля за мошенничеством (например, изменение лимитов платежей по карте на авторизованных скомпрометированных кредитных картах, зарегистрированных для транзакций мобильных платежей).
Безопасность Lightning
Так как мошенничество не является слабой стороной Lightning Network благодаря блокчейну в основе и относительной новизны этой технологии, существует два вида мошенничества: отправление более выгодной транзакции в сеть и застревание средств с открывающей транзакцией.
Ниже приведены варианты защиты от мошенничества.
Использование таймеров в коммит-транзакциях работает со Смарт-контрактом(HTLC).
Пример:
Чтобы иметь гарантию, что средства не застрянут на канале, вместе с открывающей транзакцией Алиса создает транзакцию возврата средств (refund transaction), использующую выходы ее открывающей транзакции. Сначала она отправляет Борису эту транзакцию и как только он подписывает ее и возвращает, Алиса отправляет в сеть открывающую транзакцию, создавая канал.
Транзакция возврата средств становится 1ой коммит-транзакцией и её таймер устанавливает верхнюю границу жизни канала. Допустим, Алиса поставит таймер на 30 дней (4320 блоков/транзакций). Все следующие коммит-транзакции будут иметь более короткий таймер, чтобы их можно было отправить в сеть раньше.
Теперь Алиса может спокойно открывать канал, зная, что если Борис исчезнет, через 30 дней она сможет вернуть свои средства (если бы это был двунаправленный канал и Борис вводил какие-то средства, со своей стороны он мог бы точно также создать транзакцию возврата).
Использование ключа-отмены.
Пример:
Алиса и Борис создают канал. Они оба отправили на канал по 5 биткоинов, которые составляют начальный баланс канала. Теперь, вместо стандартной коммит-транзакции которую они оба должны подписать, Борис и Алиса создают 2 разные ассиметричные коммит-транзакции.
Разберем пример того, как это работает. Допустим Алиса хочет отправить Борису 2 биткоина. Для этого им нужно обновить состояние канала, создав новую коммит-транзакцию. Они оба создают ассиметричные коммит-транзакции и перед тем, как их подписать, они обмениваются ключами отмены от предыдущих коммит транзакций, таким образом ‘аннулируя’ их. В данном случае Борис заинтересован в самом последнем состоянии баланса канала, однако для Алисы предыдущее состояние более выгодно (так как не отправлены ещё 2 биткоина). Она могла бы попытаться отправить в сеть свою предыдущую коммит-транзакцию, но ключ отмены от нее уже у Бориса и если он заметит, что транзакция отправлена, у него будет 1000 блоков на то, чтобы забрать весь баланс канала (да, ‘отмена’ не произойдет автоматически, Борис должен заметить, что Алиса отправила в сеть свою коммит-транзакцию, и воспользоваться ключом).
Таким образом реализация каналов с помощью ассиметричных отменяемых коммит-транзакций намного более эффективна так как не ограничивает ни время жизни канала, ни количество транзакций, которое можно на него отправить.
Крипто-кошельки
Кошельки для Lightning тоже обеспечивают защиту ваших средств.
Почти у каждого крипто-энтузиаста есть страх потерять свои закрытые ключи, потому что они дают полный доступ к средствам. После утери ключи не могут быть восстановлены, и вы больше не будете контролировать сбережения, поэтому вы не сможете восстановить доступ к кошельку. Такие кошельки называются безопорными (non-custodial).
С другой стороны, если ваши личные ключи хранятся на каком-либо кошельке или сторонних серверах, никто не дает гарантии защиты от взлома. Это скрытая опасность каждого сервиса кошелька, который не предоставляет вам секретные ключи. Эти кошельки называются централизованными (custodial).
Если кто-то хранит ваши ключи, вы не имеете полного контроля над своими средствами. Когда данные третьих лиц становятся взломанными, ваши деньги подвергаются высокому риску быть украденными.
Custodial
Централизованный биткоин-кошелёк – это кошелек, в котором ваши личные ключи хранятся третьим лицом. Таким образом, вы не имеете полного контроля над своими средствами, что делает эти кошельки сомнительным выбором.
Однако у них есть и некоторые преимущества:
Вы можете управлять своими средствами очень быстро и в любое время, когда есть подключение к интернету;
Нет никаких шансов потерять свой закрытый ключ и потерять доступ к своим деньгам.
Третье лицо имеет контроль над вашими деньгами;
Ваши крипто-монеты могут быть изъяты по решению суда;
Если ваш кошелек будет взломан, ваши монеты могут пропасть.
Хранительный кошелек очень похож по своей функции на принципы банка, то есть вы не полностью контролируете свои деньги внутри него. Да, деньги остаются вашими, но они находятся в руках другой компании.
Например, хакеры украли около 700 BTC из одного из самых известных централизованных биткоин-кошельков: Blockchain.Info
То же справедливо и для централизованных бирж, поскольку они также подвержены хакерским атакам. Биржи контролируют ваши активы и могут заморозить ваш счет без подтверждения KYC/AML (KYC – Know Your Customer, AML – Anti Money Laundering).
Non custodial
Не связанные с хранением кошельки дают вам полный контроль над вашими средствами и в большинстве случаев предоставляют бессерверные решения. Ключи хранятся в зашифрованном виде на устройстве пользователя и никогда не оставляют его. Ваши деньги находятся под вашим контролем, но есть и недостаток. Если вы потеряете свой закрытый ключ, вы никогда не сможете восстановить доступ к своим средствам.
Сравнение
Visa Inc., оператор платежной сети, имеет соглашение с каждым участником сети Visa.
Большая часть безопасности в этой сети связана с тем фактом, что финансовая организация должна быть участником, чтобы участвовать в ней, поэтому безопасность обеспечивается по принципу «огороженного сада» (walled garden). Способ подключения к этой сети публично не разглашается.
В отличие от процессоров карточных платежей, Lightning является открытой сетью.
Во-первых, это означает, что спецификации общедоступны (открытый код).
Во-вторых, это означает, что любой может присоединиться или покинуть сеть в любое время.
Узел связи
У Lightning есть концепция графиков платежей, которая заключается в том, как узлы соединяются друг с другом. Используя терминологию теории графов, узлы – это вершины, а каналы – ребра.
Этот аспект графика создает уникальный набор проблем для Lightning, поскольку узлы в настоящее время должны знать обо всем графике, прежде чем они смогут инициировать платеж. Некоторые решения, такие как батутные платежи, помогут уменьшить эту нагрузку, особенно для мобильных телефонов, которые периодически подключены к Интернету.
Понятие графика не распространено в карточных сетях, потому что у каждого члена сети есть только несколько статических точек подключения, как правило, к мэйнфреймовому серверу карточной сети. Карточные сети действуют как гигантские маршрутизаторы.
Участнику не нужно знать о других участниках сети. Он получает каждое сообщение с центрального сервера платежной сети. Например, банку-эквайеру нужно знать только о торговце, с которым он работает, и о платежной сети, к которой он подключен (Visa, MasterCard и т. Д.), но им не нужно ничего знать о банке-эмитенте карты.
Обособленность
В Lightning платежи будут отклоняться, если, например, не хватает ликвидности в каком-либо канале на этом пути.
В карточном пространстве платежи отклоняются по разным причинам: если на банковском счете недостаточно средств, или если платеж считается мошенническим, или, редко, если хост находится в автономном режиме
В Lightning поток сообщений не структурирован, как для карточной системы. Любой может быть торговцем, плательщиком или посредником.
Криптография
Карточная система использует устаревшую криптографию в отличии от Lightning. Особенно не защищены онлайн-транзакции.
Учитывая открытый характер сети Lightning, она широко использует криптографию:
Платежи в настоящее время основаны на хэш-функции SHA256;
Подписание счетов производится с помощью эллиптической кривой (так же, как для биткоинов, secp256k1);
Узлы идентифицируются открытыми ключами, используя тот же secp256k1;
Связь между каждым узлом шифруется с использованием ChaCha20, а рукопожатия выполняются с использованием протокола шума;
Луковая маршрутизация сокращает шансы на распознание отправителя и получателя.
В то время как платежные сети имеют цепочку доверия, основанную на договорных соглашениях, Lightning имеет криптографическую цепочку доверия.
Техническое соответствие
С целью предотвращения мошенничества карточная индустрия совместно с Советом по стандартизации безопасности индустрии платежных карт (PCI) разработала программу соответствия PCI-DSS. Цель состоит в том, чтобы гарантировать, что каждая организация на земле, которая обрабатывает карточные транзакции, была связана строгими правилами, которые, например, следят за тем, чтобы номера карточек не сохранялись в виде открытого текста и были доступны только людям, у которых есть деловая причина для доступа к этим цифрам и т. д.
Целью PCI-DSS является ограничение мошенничества в отрасли, особенно когда происходит все больше и больше взломов, раскрывающих миллионы номеров карт.
Недостатком является огромная стоимость этой программы, которая в целом может составить 24,6 млрд долларов к 2022 году.
Lightning, как и биткоин, не содержит обязательных технических требований. Тем не менее, это не означает, что безопасность не имеет первостепенного значения. Lightning – это горячий кошелек, поэтому клиенты должны сделать некоторую работу, чтобы защитить свои средства.
Валюта
Важным моментом является то, что нет никаких совпадений между валютами, которыми управляют карточные сети, и валютами, с которыми может работать сеть Lightning. Иными словами, карточные сети не располагаются в криптографии, а криптосети не могут «взаимодействовать» с карточными сетями. Карты, которые позволяют вам тратить криптовалюту сегодня, осуществляют конвертацию валюты вне сети карт, как правило, продавая BTC и «загружая» доллары США.
Финансовые риски
Ликвидность и платежеспособность являются ключевыми аспектами.
Карточные сети осуществляют расчетные операции на нетто основе. Сеть агрегирует все транзакции в течение периода, например, 24 часа (период продлевается на выходные дни), а затем вычисляет, сколько каждый банк-участник должен друг другу.
Но чтобы упростить платежи и учет, карточные сети действуют как посредники, так что банки, которые должны деньги, отправляют их в банк карточной сети, а банки, которым должны деньги, получают их из банка карточной сети.
Почему это важно? Потому что MasterCard берет на себя риск платежеспособности, связанный со всеми членами их сети.
Поскольку MasterCard берет на себя риск контрагента, связанный с членами их сети, они хотят убедиться, что эти участники хорошо финансируются. Но поскольку MasterCard работает в более чем 160 странах, каков наилучший способ сделать это? Партнерство с банками! Банки являются одними из самых регулируемых организаций в мире, и использование банковской системы позволяет масштабировать сети MasterCard и других карт в том количестве стран, в которых они работают, обеспечивая при этом уверенность в том, что их участники будут продолжать оставаться платежеспособными.
Именно поэтому карточные платежные сети по своей природе являются «огороженными садами».
Есть много других финансовых рисков в карточных сетях, но стоит упомянуть кредитный риск. Этот риск несет не карточная сеть, а эмитент.
Lightning очень отличается в этом отношении, потому что, впервые в истории, платежи могут быть сделаны мгновенно, без риска контрагента, по всему миру. Таким образом, нет такой вещи, как риск контрагента.
Но вместо этого Lightning подвержена технологическому риску. Программная ошибка может привести к потере средств в результате взлома, или ошибка может просто сделать деньги ненадежными. Однако, поскольку Lightning является открытым исходным кодом, есть веские основания полагать, что со временем этот риск будет резко снижен.
Ликвидность
Для Lightning ликвидность, вероятно, является самым большим препятствием, которое необходимо преодолеть, прежде чем сеть действительно сможет взлететь.
Проблема заключается в следующем: чтобы иметь возможность платить, клиент должен иметь исходящую ликвидность. Для получения платежа продавцу необходима входящая ликвидность. Каждый канал имеет определенную сумму денег, разделенную между входящей и исходящей ликвидностью. Каждая Lightning-нода несет определенное количество ликвидности: то, сколько средств может быть через нее передано, основывается на том, сколько денег оператор ноды заблокировал в канале.
На высоком уровне проблема заключается в том, что средства должны быть заблокированы.
Мошенничество
Если ликвидность – это Ахиллесова пята Lightning, Мошенничество – это слабость карточных сетей. Согласно отчету Nilson Report, операции по предотвращению мошенничества очень дорогостоящие, но и само мошенничество варьируется в диапазоне $ 100 млрд. Это примерно 0,07% от объема транзакции по карте.
Причиной этого мошенничества является множество потоков карточной сети. Большая часть этого мошенничества происходит либо с онлайн-транзакциями, либо с транзакциями с магнитной полосой, ни одна из которых не защищена криптографическими компонентами EVM, и поэтому их легко подделать.
Принятие и варианты использования
Хотя можно утверждать, что потенциальное использование Lightning сегодня все еще является спекулятивным, учитывая тот факт, что сегодня очень мало торговых точек, принимающих Lightning, по сравнению с 46 миллионами торговых точек, принимающих 3,3 миллиарда карт, выпущенных только для сети Visa.
Причина, по которой Lightning может быстро и экспоненциально завоевать популярность, заключается в том, что она имеет открытый исходный код и полностью основана на программном обеспечении. Каждый смартфон может стать торговой точкой или платежным устройством, просто установив мобильное приложение. Это отличается от карт, которые по-прежнему в основном полагаются на некоторые виды оборудования. Даже платежи Google Pay или Apple Pay зависят от приемника NFC, что требует дорогостоящих обновлений для систем в точках продаж.
Потоковые платежи
Подумайте о том, что вы можете платить за электричество в режиме реального времени, каждые несколько секунд, пока вы его используете.
Конфиденциальность, KYC (KYC – Know Your Customer) не является обязательным
Должен ли ресторан знать имя каждого клиента, обедающего или ужинающего? Сегодня каждый, кто платит картой, раскрывает свою личность. Наличные деньги по-прежнему доступны для большинства мест, но в таких странах, как Швеция или Китай, где наличные деньги быстро исчезают, использование платежной системы, ориентированной на конфиденциальность, является ценным. Недавние протесты в Гонконге являются отличным примером того, почему это важно. Чтобы не раскрывать свою личность, протестующие выстраивались в очередь для покупки транзитных пропусков наличными, а не цифровыми способами оплаты.
Заключение
Карточные сети, такие как Visa, очень развиты и с точки зрения потребителя работают очень хорошо.
Но, все еще есть неэффективность и издержки, лежащие в основе кажущейся простоты считывания карт, которые исчисляются сотнями миллиардов долларов в год. Эти расходы в конечном итоге оплачиваются потребителем.
Как Биткоин, Lightning возвращает контроль отдельным людям. Но, с большей силой, приходит и большая ответственность. Пользователи могут потерять средства, если они неправильно управляют своими ключами. И нужно обучиться прежде чем миллиарды людей будут уверенно управлять своими ключами.
Тем не менее, потенциальные выгоды от Lightning огромны.
Во-первых, это позволяет Биткоину быть средством обмена. Биткоин-блокчейн обрабатывает около 5 транзакций в секунду, с окончанием от 10 до 60 минут и стоимостью от 0,50 до 5 долларов за транзакцию.
Во-вторых, это позволяет использовать новые варианты платежей. В то время как некоторые из «очевидных» идей были перечислены выше, многие новые применения невообразимы.
Но Lightning всё ещё остаётся новой технологией, с возможными ошибками в реализации, а Visa – система, проверенная временем.