Основные мошеннические схемы, угрожающие электронной коммерции

По данным исследовательской компании Juniper Research, оборот электронной торговли в 2024 году превысил 7 триллионов долларов и, по прогнозам, вырастет в полтора раза за следующие пять лет. Но интерес злоумышленников к этой сфере растет еще быстрее. В прошлом году потери от мошенничества превысили $44 млрд, а за пять лет вырастут до $107 млрд.

Онлайн-площадка любого размера, работающая в любой сфере, может стать жертвой — будь это маркетплейс контента, магазин стройматериалов, бюро путешествий или сайт аквапарка. Если вы принимаете платежи, ведете программу лояльности, поддерживаете личный кабинет клиента — к вам обязательно придут мошенники. Какие схемы атаки наиболее популярны, что за потери несет бизнес и как все это прекратить?

Кража аккаунтов

Благодаря инфостилерам и различным утечкам баз данных у злоумышленников на руках есть миллиарды пар e-mail+пароль. Их можно по очереди пробовать на любых сайтах с личным кабинетом, небезосновательно надеясь, что жертва атаки везде использует один и тот же пароль. Эта атака называется credential stuffing, и, если она будет успешна, злоумышленники смогут от имени клиента оплачивать заказы привязанной к аккаунту кредитной картой или использовать баллы лояльности. Также мошенники могут использовать аккаунт для махинаций с покупкой товаров и оплатой сторонними банковскими картами.

Тестирование украденных карт

Точно так же, как и в случае с учетными данными, у злоумышленников может оказаться собранная при помощи зловредов база с реквизитами кредитных карт. Злоумышленникам надо проверить, какие из них еще действительны и допускают онлайн-списания, — для этого они могут воспользоваться любой онлайн-площадкой. Суммы «тестовых» покупок обычно невелики. Карты, на которых есть деньги, затем перепродаются другим злоумышленникам, которые их так или иначе опустошают.

На стороне магазина это тестирование выглядит так: посетители приходят на сайт, кладут произвольные недорогие товары в корзину и многократно пытаются ее оплатить, каждый раз разными кредитными картами. Число брошенных корзин даже в небольшом магазине может доходить до многих сотен. Через какое-то время магазин может быть заблокирован платежным шлюзом за превышение числа неудачных попыток оплаты.

Обман покупателями

Реальный покупатель, завершивший заказ, может впоследствии заявить банку, что не делал покупку, и затребовать возврат. Иногда это результат целенаправленного мошенничества, иногда это ситуации, когда один член семьи сделал покупку без одобрения другого, например подросток воспользовался картой родителя. Хотя в данном случае обман редко ведется в промышленном масштабе, ущерб от таких инцидентов может быть значителен, если, например, магазин невольно получил «рекламу» в одном из сообществ «лайфхакеров», как площадка, достаточно несложно возвращающая деньги.

Мошеннические покупки

В зависимости от тематики магазина, региона присутствия и других нюансов, злоумышленники могут попытаться провести «обналичивание», вернее, покупку товаров и услуг с помощью краденых кредитных карт. В этом случае магазин сталкивается с волной покупок, по которым потом пойдут массовые претензии и отмены. Проблемой может стать сам объем таких заказов — в одном экстремальном случае их число достигло 118 тысяч, то есть злоумышленники делали один мошеннический заказ каждые 3 секунды.

Подбор подарочных карт

Если в магазине принимаются подарочные карты, боты могут тестировать тысячи номеров и проверочных кодов подарочных карт, пытаясь их активировать. Затем либо по корректным номерам приобретаются товары, либо протестированные номера перепродаются на вторичном рынке.

Кража баллов лояльности

Если механика работы магазина позволяет оплачивать товары накопленными баллами без дополнительных подтверждений по SMS или другим способом, злоумышленники могут либо немедленно выпотрошить аккаунт, в который им удалось войти, либо подождать, пока жертва накопит побольше баллов. Последнее часто происходит с магазинами, продающими дорогие товары и имеющими лояльную аудиторию.

Скупка эксклюзивных товаров

Продаете билеты на популярные концерты или коллекционные кроссовки — ждите перекупщиков. Боты спекулянтов могут выкупить весь эксклюзивный товар за считаные минуты, породив справедливое негодование у лояльных покупателей. На черном рынке продаются боты, адаптированные для популярных платформ электронной коммерции, такие как Shopifybot.

Массовая регистрация учетных записей

Для успешной работы вышеописанных схем злоумышленники создают сотни и тысячи аккаунтов в магазине, раздувая затраты на обслуживание, например, за счет отправки приветственных SMS и дальнейшей рассылки e-mail.

Прямые и косвенные потери бизнеса

Даже если у вас и у ваших клиентов не украли ни деньги, ни товар, любая из описанных схем создает целый комплекс проблем и затрат:

• Затраты, связанные с оплатой заказов крадеными картами и многочисленными неуспешными попытками оплаты. В зависимости от ситуации и нюансов договора с платежным шлюзом, это могут быть оплаты транзакции и возврата платежа, штрафы и другие расходы. Можно также превысить свои лимиты и временно потерять доступ к платежному шлюзу, парализуя нормальную торговлю.
• Затраты на рекламу и ошибки в аналитике. Боты нередко приходят по реферальным ссылкам, из платного поиска и других форм онлайн-рекламы. В этом случае реальные рекламные бюджеты, по сути, расходуются на привлечение фальшивых клиентов. Но даже если боты не съедают ваши рекламные бюджеты напрямую, их активность на сайте подает неверные сигналы в аналитику рекламных платформ — и они начинают приводить вам на сайт нецелевую аудиторию.

• Затраты на маркетинговые кампании и акции, которыми злоупотребляют при помощи специально созданных аккаунтов. Уже зарегистрированные пользователи создают новые аккаунты для использования приветственных бонусов на первую покупку, а мошенники ищут уязвимости и пытаются массово заполучить бонусы нечестными способами. В результате маркетинговый бюджет, выделенный на привлечение и повышение лояльности пользователей, растрачивается нецелевым образом.

• Ошибочное планирование. Многочисленные недостоверные заказы бывает сложно вычистить из аналитики, особенно если используется «коробочная» аналитика e-commerce-платформы. В результате планирование продаж и заказов товаров у поставщика резко усложняется.
• Потерянное время. Разбирательство с сотнями брошенных корзин, тысячами созданных аккаунтов и попытками неуспешной оплаты отнимает много сил у всех сотрудников, приводя к простоям и убыткам.
• Недовольство клиентов. В зависимости от схемы атаки, клиенты могут нести прямые потери (деньги с карты, баллы лояльности, нелегальная активность в аккаунте) или косвенные неудобства (дефицит товара, невозможность оплатить заказ). В любом случае с клиентами придется работать клиентской поддержке и маркетингу, решая проблемы индивидуально, — предлагать покупателям скидки и компенсации. Но часто клиенты все равно остаются недовольны и уходят.

Неудивительно, что, по некоторым оценкам, на каждые $100 мошеннических покупок затраты бизнеса превышают $200.

Как защитить свой онлайн-бизнес

Время, когда защитить свой сайт от ботов можно было, просто отфильтровав IP-адреса клиентов и установив капчу на странице оформления заказа, прошло. ИИ-бум породил не только мощную автоматизацию в маркетинге и клиентской поддержке, но и новое поколение опасных мошеннических ботов, легко обходящих устоявшиеся способы защиты.

Поэтому бизнесам всех размеров нужно внедрять новые технологии безопасности, которые анализируют каждую покупательскую сессию с первой секунды на сайте и до завершения покупки. Такая непрерывная защита позволяет идентифицировать любые аномалии, будь то компрометация легитимного аккаунта, злоупотребление API платежного шлюза, попытки создания фальшивого аккаунта или обхода средств защиты.

Решение такого класса — Kaspersky Fraud Prevention. С помощью непрерывного анализа устройства и поведения пользователя, его окружения и метаданных оно в реальном времени формирует профиль легитимного пользователя, выявляет аномалии на ранних стадиях, защищает аккаунты от компрометации и мошеннических действий. Kaspersky Fraud Prevention удобно адаптировать к конкретному магазину при помощи гибких правил, использующих как данные магазина, так и данные глобальной аналитики. Решение не требует установки на устройство пользователя и интегрируется в уже существующий сайт и мобильное приложение с минимальными усилиями.

Многие владельцы сайтов отмечают, что продвинутая антифрод-аналитика даже улучшает клиентский опыт, потому что легитимные пользователи реже сталкиваются с капчами, SMS-подтверждениями и прочими проверками. Ну а бизнес несет меньше потерь и может сосредоточиться на развитии ассортимента и сервиса.