zwiebelMAD
Старожила форума
Команда форума
Модератор
Botnet&Logs
Надзор
Лектор
Пользователь
CPA & Трафик
- Регистрация
- 23 Янв 2019
- Сообщения
- 415
- Баллы
- 0
- Общие продажи
- 0$
- Общие покупки
- 0$
Приветствую господа. В связи с темой наших бесплатных лекций, которые сейчас проходят ,хочу предоставить вам поистине уникальную и крутую статью про «великий и ужасный», его величие - Антифрод.
Статья не моих рук дело, и меня благодарить не стоит! Автор данного творения - Вся слава ему.
(кликабельно)
Как и в прошлый раз, под картинками будет ссылка, на случай, если картинка не показывается.
ShopifyМерч, с которым знакомы, я думаю, почти все. У него есть брат Shopify Plus - для крупных бизнесов. Он нас не интересует, да и залезть туда будет сложно. У Shopify самый дорогой тарифный план 300$/месяц, самый дешёвый 30$/месяц.
На всех тарифных планах присутствует стандартная защита и ее настройка. У брата Shopify Plus настройка полностью кастомизированная, с фильтрами и правилами. В прошлой статье я расписывал эти пункты подробно. Вернёмся к мелким шопам, по каким отличиям мы можем строить предположение о тарифном плане:
Естественно, крупные магазины проверять даже не стоит, на них скорее всего стоит Spotify Plus.
Но, в случае, если Вы наткнулись на мелкий шоп, то эти данные могут Вам немного рассказать о шопе. К примеру, если у шопа нет e-gift'ов и доставка достаточно дорогая, посещаемость по рейтингу алексы маленькая, на facebook мало подписчиков, тогда мы можем сыграть на неопытности продавцов. Также если мы уверены, что шоп мелкий и не пользуется Spotify Plus, то кол-во сотрудников, к которым мы можем подключить CC для выплат максимум 15. Отсюда, можно примерно предполагать, сколько сотрудников есть в компании.
Шопы среднего уровня (не тарифного), у которых стоит advanced тариф, получают очень информативные отчёты. А так же, на основе этих отчетов Spotify может советовать занести значение того или иного атрибута в blacklist. И в следующий раз сразу же отправлять ордер на проверку человеком.
Грубый пример, если чарджи были на заказы с SSH - туннелей: фрод система порекомендует занести в блек лист тот или иной домен IP. К теме дедиков/носков/туннелей мы сегодня ещё вернёмся, но чуточку позже.
Не забывайте, мы рассматриваем именно Spotify, у других мерчей могут быть другие тарифные планы.
Напомню Вам значения:
Зелёный - рисков нет, фрод снизит немного очки. Отображается когда значение атрибута совпадает с большинством "законных" заказов.
Серый - не прибавляет и не убавляет фрод очки. По сути, дополнительная информация о заказе. Всегда разная, зависит от того, какие у Вашего заказа зелёные атрибуты, а какие красные.
Жёлтый - Risky (Рискованный). Отображается когда значение атрибута совпадает с некоторыми мошенническими и "законными" заказами.
Рыжий - Very Risky (Большой риск). Отображается когда значение атрибута совпадает с большинством мошеннических и некоторыми "законными" заказами.
Красный - Extreme Risky (Экстремальный риск). Отображается когда значение атрибута совпадает с большинством мошеннических заказов.
У стандартной системы Spotify, чуть упрощено всё. Имеется только три цвета: Зелёный / Серый / Красный. Но означают они тоже самое.
Разберём атрибуты со скриншота:
И если Вы наткнулись на шоп с мерчем Shopify, я советую заказы делать именно прозвоном, ибо в таком случае, стандартная антифрод система вообще ничего толком не проверяет. Billing/Shipping distance - не проверяет, всё что связанно с адресами и даже валид шиппинг адреса - не проверяет. Все проверки упираются только в оплату. В моём случае, я вбил вообще русскую давно не валидную карту на американский адрес. Так ещё и имя американское вписал, вот результат, оплата естественно не прошла:
Атрибуты:
Вот так просто мы обошли стандартную систему Shopify? Да, но...
Пользователи обычного мерча Shopify получить данное приложение не могут.
В основном обычное приложение для автоматизации - создания правил. Создание правил мы рассматривали в прошлой статье. Естественно правила могут быть совершенно любыми. Напомню, как выглядят правила, к примеру:
Если, элементов в ордере > 10 --> Если сумма ордера в USD > 1500 --> Отправить ордер на просмотр человеком.
Если, элементов в ордере <= 10 --> Пропустить ордер.
Отвлеклись, вернёмся: мы обошли стандартную антифрод защиту Shopify. Что же дальше?
Fraud Filter - Обычный фильтр, для чего нужны фильтры и как они работают, мы разбирали в прошлой статье. Цена: бесплатно.
Fraud Scanner - Вместо того, чтобы вручную постоянно сканировать заказы можно установить данное приложение. Оно будет автоматически делать сканирование на новые заказы и так же уведомлять Вас по E-Mail в случае, если Shopify рекомендует развернуть ордер. (Экстремальный риск фрода) Приложение имеет несколько тарифов, бесплатный тариф - до 25 заказов в месяц. Самый дорогой - 20$/более 500 заказов в месяц. Можно настроить на автоматическую отмену заказа.
FraudLabs Pro - антифрод система, достаточно популярная. Встречается так же в BigCommerce. 500 заказов в месяц бесплатно/1250$ - 500 000 заказов в месяц. Также более дорогие тарифы имеют чуть больше атрибутов. И правил/фильтров создавать можно больше. К ней сегодня мы ещё вернёмся.
NoFraud - менее популярная в BigCommerce антифрод система, но достаточно популярная в Shopify. Стоимость тарифа рассчитывается из денежного оборота магазина. На сайте копирайт стоит 2016 года, хотя в блоге имеются посты 2018. Консоль выглядит так же, как у Всех, не имеет никаких хитрых настроек, атрибуты стандартные. Давайте пробежимся по быстрому, какие проверки есть.
Signifyd - одна из самых популярных антифрод систем, она популярна везде: Shopify, BigCommerce, Magento. Стоимость: $0/месяц - самый дешёвый. $1000/месяц - средний. Enterprise - цена в зависимости от денежного оборота шопа. В Enterprise Вам даже выделят одного менеджера, который будет рассматривать транзакции и принимать решения по поводу них.
Приличное кол-во атрибутов. Кастомизации нет, правил/фильтров нет, зато есть API. Естественно, через API можно создать правила, но для этого нужны уже программисты. Отличие в интерфейсе имеются: fraud score не прибавляется, а уменьшается. От 1000 до 0. 1000-500 - Зелёный ордер. (Пропустить) 499-300 - Рыжий ордер. (Отправить на проверку человеком) 299-0 - Красный ордер. (Отменить ордер). Есть "быстрый просмотр" ордера, так это назовем. Показываются три панели в самом верху Адрес/Устройство/Почта. У каждый панельки есть свой отдельный fraud score и отдельные атрибуты. Атрибуты показываются в зависимости от того, что Вы во время ордера сделали "хорошего и плохого". Таким образом можно достаточно быстро определить какого типа ордер Вам попался.
Система предлагает искать в социальных сетях по имени КХ и по E-Mail. По поиску через E-Mail система поддерживает 5 социальных сетей: Facebook, Twitter, Klout, LinkedIn, Gravatar.
А по имени КХ предлагает искать:
Subuno - популярный антифрод пользователей BigCommerce. Имеет неплохое количество атрибутов, а также поддерживает кастомные правила. Предлагает поискать по биллинг и шиппинг данным в множестве разных сайтов. Так же автоматически находит ссылки на Ваши социальные сети по E-Mail. Имеет небольшую кастомизацию интерфейса: можно настроить какие окошки Вам интересны, а остальные можно не показывать. Цены очень низкие: Минимум $19/месяц - одна транзакция $0.05 - 800 транзакций/месяц; Максимум $250/месяц - одна транзакция $0.01 - 25 000 транзакций/месяц. А если у Вас больше 100 000 транзакций/месяц они с радостью подготовят личный тарифный план для Вас. В максимальный тариф входят все плюшки, как и у остальных антифрод систем. Такие как: Помощь эксперта в решении, дополненная статистика анализа, предварительный анализ мошенничества, подсказки от системы и прочее.
По атрибутам пройдёмся быстренько. Из интересного и необычного есть проверка CQR. Она проверяет связь между телефонами/именами/адресом. Если связи не находит ищет по имени/адресу настоящий телефон. Если связи не находит между именем и адресом, то ищет и по адресу и по имени отдельно. Есть атрибуты типа телефона: стационарный/мобильный. Правильный ли адрес/телефон написан. Может показать имя владельца телефонного номера. В нашем примере, у "клиента" Neustar не сходиться мобильный номер. Владельца номера телефона зовут совершенно по другому.
Есть наоборот, проверка по телефону адреса/имени. Сделанно это всё для того, чтобы понять кто настоящий КХ и позвонить ему оповестить о "заказе". Во всяком случае, так советует support (поддержка). Есть проверка страхования. Если страховка есть - её покажет, и если Ваш заказ не из USA, то увидев страховку антифрод будет реагировать на всё чуть по ласковей и немного снизит fraud score. Есть атрибуты местоположения телефонного номера и определения, что он одноразовый. Не фиксированная линия VOIP, без определения местоположения, прибавит Вам fraud score, а фиксированная линия с определением ZIP-номера телефона наоборот снизит. Fraud Score от 0 до 1000. Система рекомендует не думая отклонять заказы с fraud score > 800. Subuno быстро подстраивается под Ваш шоп, чем больше заказов, тем точнее fraud score будет определяться.
Мы разобрали с Вами самые популярные антифрод системы, которые можно подключить к шопу. А так же немного коснулись соседних мерчей.
"Вот так просто мы обошли стандартную систему Shopify?" - так что на этот вопрос должен был отпасть ответ. Естественно всё не так просто, как кажется.
Итак, мы зарегистрировали наш с Вами WWH Shop 2018. У нас первый заказ! Ура! Вот только fraud score: красный. Что же нам делать? Первый заказ... Не хочется отвергать первого "клиента". Для начала последуем рекомендациям:
1. Проверим IP адресс.
IP адрес расположен в другой области от биллинг адреса?
IP адрес для веб-хостинга?
IP адрес является IP прокси сервера?
Если на все вопросы мы ответили "да", то в голове можем уже прибавлять нам fraud score. И переходить к следующему пункту.
2. Проверим телефонный номер.
Заранее хотел бы извиниться перед пробивщиками, если раскрываю чью-либо конторку.
Перед звоночком нам предлагают проверить телефонный номер на сайте . Сайт многофункционален. Кроме пробива по номеру телефона есть ещё 4 вида пробива. 411 для Вас постарается найти контактную информацию по имени и Штату/Городу/ZIP. Предлагает помочь Вам "познакомиться по ближе" со своими соседями.
Производит уже всем знакомый поиск по E-Mail социальных сетей. И подскажет контактную информацию по адресу компании.
Я думаю, уже всем не терпиться вписать туда парочку данных с карт. Не торопитесь, я сейчас за Вас это сделаю.
Как Вы понимаете можно узнать немного интересного о КХ. Во-первых проверить адрес проживания, в случае если переехал КХ. Узнать бекграунд и прочее. Всего-то $14/месяц.
Отвлеклись. Введем номер Google Voice.
Вот и fraud score за телефонный номер получаем. Во-первых это нефиксированная линия VOIP. Во-вторых сразу же система вычисляет Skype/Google Voice. Тоже самое и в антифрод системах. Так что используйте Google Voice и Skype на свой страх и риск. В случае определения фрод системой GV и Skype, антифрод займётся поиском настоящего номера КХ.
Вернёмся к ручной проверке. Shopify нам предлагает позвонить по номеру телефона и в случае, если нам кто-то ответил, то задать парочку простых вопросов и посмотреть какая будет реакция: знают ли заказчики адреса/номер телефона/E-Mail и имя которое они использовали в ордере. Или они пытаются уйти от ответа/дать Вам "водную" информацию? Если Вас смутил ответ, идём к следующему пункту!
3. Проверка E-Mail.
Shopify рекомендует проверить E-Mail по запросу в Google и других поисковых системах. Если E-Mail использовался для мошенничества, то возможно Вы наткнетесь на задокументированные попытки мошенничества. А если E-Mail действительно КХ, то Google выдаст Вам сообщения из социальных сетей или другую информацию, которая связывает нашего "клиента" с E-Mail. Еще сомневаетесь?
4. Проверка Billing=Shipping.
Если расстояние между двумя адресами достаточно значительно, тогда, это скорее всего мошенник, но будьте внимательны, вдруг он другу подарок сделать решил?
5. Проверьте Shipping.
Если shipping адрес совпадает с другими ордерами, где другой биллинг, то скорее всего это мошеннический ордер.
6. Проверьте стоимость ордера.
Если стоимость ордера превышает обычную (Shopify Вас оповестит об этом) или в корзине много одинакового товара, то скорее всего это fraud ордер.
Тут, я думаю, всё просто и понятно. Вот мы прошлись по пунктам, но до сих пор боимся отклонять ордер, давайте напишем в поддержку нашу ситуацию, может они нам что-нибудь более интересное посоветуют!
Итак, мы получили такой ордер. Ответ поддержки:
Переведу только самое интересное, хотя интересного тут мало: "Свяжитесь с Вашим клиентом по телефону, если телефон никто не берёт напишите ему на E-Mail. Если клиент отвечает, используйте свою интуицию. Если не отвечают - отмена заказа будет лучшим решением. Высокий риск появился из-за того, что IP/Shipping дистанция очень большая. Такие заказы обычно отменяются. Некоторые продавцы делают так: если риск низкий, они звонят по номеру. А если средний или высокий они отменяют заказ. Так же советую включить отмену заказа при ошибке CVV и ошибке определения ZIP."
В Shopify как раз эти обе проверки можно включить. И Shopify после регистрации настоятельно рекомендует это сделать. Так что давайте разберёмся, что антифрод системы показывают в тех или иных случаях. Ответы от этих систем - это обычно буквы латинского алфавита:
Начнём с AVS. В зависимости от того, какой у Вас материал, такие ответы и будут. Разберем сегодня мы с Вами "Visa":
Y - полное совпадение адреса и 5 значного ZIP кода.
A - частичное совпадение, адреса совпадают, а 5 значные и 9 значные ZIP коды нет.
Z - частичное совпадение, улица не совпадает, но совпадает 5 значный ZIP.
N - не совпадает улица/5 значный ZIP/9 значный ZIP.
U - AVS система недоступна. (К примеру, если AVS плохо настроен или функционирует не правильно в американском банке)
R - AVS система не установлена у эмитента или недоступна. Повторите попытку.
E - данные AVS недействительны.
S - Американский эмитент не поддерживает AVS.
Международные транзакции:
D/M - полное совпадение.
B - частичное совпадение. Адрес совпал, а ZIP не может быть проверен из-за несовместимого формата.
P - частичное совпадение. Адрес не проверен, из-за несовместимых форматов, а ZIP совпадают и соответсвуют формату международной транзакции.
C - не совпадает. Несовместимые форматы.
I - не совпадает. Информация не подтверждена международным эмитентом.
G - международный AVS не поддерживается эмитентом.
CVV:
M - совпадает.
N - не совпадает.
P - не обработан. (Ошибка)
S - эмитент говорит, что CVV2 присутствует на карте, но пользователь говорит об обратном.
U - эмитент не имеет сертификата CVV2 или же эмитент предоставил карту без ключей шифрования CVV2.
Empty - не удалось выполнить транзакцию, потому что CVV2 не был указан или был указан неверно.
Транзакция может быть одобрена даже без совпадения CVV и AVS. CVV и AVS предназначены для того, чтобы дать дополнительную информацию о транзакции продавцу!
)) Также продавец может сам согласиться на возврат денег или сделать ещё один запрос банку, в случае не согласия с возвратом.
Обычный процесс возврата платежа:
Статья не моих рук дело, и меня благодарить не стоит! Автор данного творения - Вся слава ему.
(кликабельно)
Предисловие
В прошлый раз, я Вам обещал, что мы рассмотрим более низкий риск мошенничества. (50~60 fraud score) Но, немного погуляв по разным мерчам и антифродам, мне пришла идея получше. Сегодня мы рассмотрим с Вами один популярный мерч (и немного коснемся соседнего мерча), какую он защиту предлагает по стандарту, как советует проверять клиентов в случаях высокого риска. Рассмотрим популярные решения антифрод системы для мелких - средних онлайн магазинчиков. Немного затронем Google Voice/Skype/телефонные номера. И разберём поподробнее пару антифрод систем для плюс/минус среднего магазина.Как и в прошлый раз, под картинками будет ссылка, на случай, если картинка не показывается.
Shopify
Тарифные Планы
По тарифному плану, можно многое сказать о мелком шопе. Чем же отличаются тарифные планы?
На всех тарифных планах присутствует стандартная защита и ее настройка. У брата Shopify Plus настройка полностью кастомизированная, с фильтрами и правилами. В прошлой статье я расписывал эти пункты подробно. Вернёмся к мелким шопам, по каким отличиям мы можем строить предположение о тарифном плане:
- Если магазин выдает/продаёт e-Gift'ы, то это либо middle(средний) тариф за 80$/мес, либо advanced(расширенный) за 300$/месяц. Проверить это достаточно просто, пролистайте страницу вниз, посмотрите, на карте сайта есть пункт Gift Cards? Если есть, нажмите на него, есть возможность приобретения карты?
- Какова цена доставки? Грубый пример: если на одном сайте на тот же товар доставка $50 FedEx Overnight, а на другом $30, то на том сайте, на котором доставка стоит меньше скорее всего тарифный план дороже.
- Если на сайте указывается расчетный тарифный план доставки через приложение или операторов (USP, FedEx и т.п.), то тарифный план у данного шопа самый дорогой.
Естественно, крупные магазины проверять даже не стоит, на них скорее всего стоит Spotify Plus.
Но, в случае, если Вы наткнулись на мелкий шоп, то эти данные могут Вам немного рассказать о шопе. К примеру, если у шопа нет e-gift'ов и доставка достаточно дорогая, посещаемость по рейтингу алексы маленькая, на facebook мало подписчиков, тогда мы можем сыграть на неопытности продавцов. Также если мы уверены, что шоп мелкий и не пользуется Spotify Plus, то кол-во сотрудников, к которым мы можем подключить CC для выплат максимум 15. Отсюда, можно примерно предполагать, сколько сотрудников есть в компании.
Шопы среднего уровня (не тарифного), у которых стоит advanced тариф, получают очень информативные отчёты. А так же, на основе этих отчетов Spotify может советовать занести значение того или иного атрибута в blacklist. И в следующий раз сразу же отправлять ордер на проверку человеком.
Грубый пример, если чарджи были на заказы с SSH - туннелей: фрод система порекомендует занести в блек лист тот или иной домен IP. К теме дедиков/носков/туннелей мы сегодня ещё вернёмся, но чуточку позже.
Не забывайте, мы рассматриваем именно Spotify, у других мерчей могут быть другие тарифные планы.
Стандартная антифрод система Spotify
Помните в прошлой части я Вам рассказывал про риски и их цвета? Я забыл указать ещё один цвет: Зелёный.Напомню Вам значения:
Зелёный - рисков нет, фрод снизит немного очки. Отображается когда значение атрибута совпадает с большинством "законных" заказов.
Серый - не прибавляет и не убавляет фрод очки. По сути, дополнительная информация о заказе. Всегда разная, зависит от того, какие у Вашего заказа зелёные атрибуты, а какие красные.
Жёлтый - Risky (Рискованный). Отображается когда значение атрибута совпадает с некоторыми мошенническими и "законными" заказами.
Рыжий - Very Risky (Большой риск). Отображается когда значение атрибута совпадает с большинством мошеннических и некоторыми "законными" заказами.
Красный - Extreme Risky (Экстремальный риск). Отображается когда значение атрибута совпадает с большинством мошеннических заказов.
У стандартной системы Spotify, чуть упрощено всё. Имеется только три цвета: Зелёный / Серый / Красный. Но означают они тоже самое.
Разберём атрибуты со скриншота:
- Характеристики заказа совпадают с другими мошенническими заказами.
- CVV корректен.
- Биллинг адрес не совпадает с зарегистрированным адресом cc.
- Билл ЗИП или индекс не совпадает с зарегистрированным адресом cc.
- Было пять попыток оплаты.
- Попытки оплаты были с двух карт.
- IP адрес используется для размещения заказа в Бруклине.
- Адрес доставки находиться в 24 км от адреса IP.
- Билл страна соответствует стране, из которой был сделан заказ.
- IP адрес не высокого риска, не находиться в blacklist'е.
Добавление Заказа Через Терминал
В любом мерче есть добавление заказов через панель/терминал. У Shopify тоже:
И если Вы наткнулись на шоп с мерчем Shopify, я советую заказы делать именно прозвоном, ибо в таком случае, стандартная антифрод система вообще ничего толком не проверяет. Billing/Shipping distance - не проверяет, всё что связанно с адресами и даже валид шиппинг адреса - не проверяет. Все проверки упираются только в оплату. В моём случае, я вбил вообще русскую давно не валидную карту на американский адрес. Так ещё и имя американское вписал, вот результат, оплата естественно не прошла:
Атрибуты:
- Одна попытка платежа.
- Метод оплаты недоступен.
Вот так просто мы обошли стандартную систему Shopify? Да, но...
Apps
У каждого мерча есть свои "Приложения"(Apps), некоторые бесплатные, некоторые платные. Некоторые покупаются разово, а некоторые помесячно. В принципе у всех мерчей +/- одинаковый список приложений. Отличия только в приложениях самого мерча. К примеру у Shopify есть приложение Shopify Flow, оно приобретается автоматически с Shopify Plus:
Пользователи обычного мерча Shopify получить данное приложение не могут.
В основном обычное приложение для автоматизации - создания правил. Создание правил мы рассматривали в прошлой статье. Естественно правила могут быть совершенно любыми. Напомню, как выглядят правила, к примеру:
Если, элементов в ордере > 10 --> Если сумма ордера в USD > 1500 --> Отправить ордер на просмотр человеком.
Если, элементов в ордере <= 10 --> Пропустить ордер.
Отвлеклись, вернёмся: мы обошли стандартную антифрод защиту Shopify. Что же дальше?
Сторонние Apps
У шопов есть возможность купить или подключить бесплатные приложения. Для совсем мелких шопов есть полностью бесплатные антифрод apps. Вот несколько популярных решений в Spotify:
Fraud Filter - Обычный фильтр, для чего нужны фильтры и как они работают, мы разбирали в прошлой статье. Цена: бесплатно.
Fraud Scanner - Вместо того, чтобы вручную постоянно сканировать заказы можно установить данное приложение. Оно будет автоматически делать сканирование на новые заказы и так же уведомлять Вас по E-Mail в случае, если Shopify рекомендует развернуть ордер. (Экстремальный риск фрода) Приложение имеет несколько тарифов, бесплатный тариф - до 25 заказов в месяц. Самый дорогой - 20$/более 500 заказов в месяц. Можно настроить на автоматическую отмену заказа.
FraudLabs Pro - антифрод система, достаточно популярная. Встречается так же в BigCommerce. 500 заказов в месяц бесплатно/1250$ - 500 000 заказов в месяц. Также более дорогие тарифы имеют чуть больше атрибутов. И правил/фильтров создавать можно больше. К ней сегодня мы ещё вернёмся.
NoFraud - менее популярная в BigCommerce антифрод система, но достаточно популярная в Shopify. Стоимость тарифа рассчитывается из денежного оборота магазина. На сайте копирайт стоит 2016 года, хотя в блоге имеются посты 2018. Консоль выглядит так же, как у Всех, не имеет никаких хитрых настроек, атрибуты стандартные. Давайте пробежимся по быстрому, какие проверки есть.
- Отпечаток устройства.
- IP/Billing/Shipping дистанция.
- Проверка на прокси/VPN.
- Тайминг - определение скорости транзакции.
- Поведение клиента в шопе.
- Проверяет наличие аккаунтов по E-Mail в соц. сетях.
- Проверяет информацию о CC в банках.
- Использует, как глобальные blacklist'ы, так и мерчевские.
- Проверка BIN'ов банка.
- Создает и использует свою базу значений мошеннических атрибутов и "законных" заказов на основе статистики.
Signifyd - одна из самых популярных антифрод систем, она популярна везде: Shopify, BigCommerce, Magento. Стоимость: $0/месяц - самый дешёвый. $1000/месяц - средний. Enterprise - цена в зависимости от денежного оборота шопа. В Enterprise Вам даже выделят одного менеджера, который будет рассматривать транзакции и принимать решения по поводу них.
Приличное кол-во атрибутов. Кастомизации нет, правил/фильтров нет, зато есть API. Естественно, через API можно создать правила, но для этого нужны уже программисты. Отличие в интерфейсе имеются: fraud score не прибавляется, а уменьшается. От 1000 до 0. 1000-500 - Зелёный ордер. (Пропустить) 499-300 - Рыжий ордер. (Отправить на проверку человеком) 299-0 - Красный ордер. (Отменить ордер). Есть "быстрый просмотр" ордера, так это назовем. Показываются три панели в самом верху Адрес/Устройство/Почта. У каждый панельки есть свой отдельный fraud score и отдельные атрибуты. Атрибуты показываются в зависимости от того, что Вы во время ордера сделали "хорошего и плохого". Таким образом можно достаточно быстро определить какого типа ордер Вам попался.
Система предлагает искать в социальных сетях по имени КХ и по E-Mail. По поиску через E-Mail система поддерживает 5 социальных сетей: Facebook, Twitter, Klout, LinkedIn, Gravatar.
А по имени КХ предлагает искать:
- В Google по полному имени, биллинг городу и штату.
- В Google по фамилии и биллинг адресу.
- В LinkedIn по полному имени и биллинг зип'у.
- В Facebook по полному имени.
Subuno - популярный антифрод пользователей BigCommerce. Имеет неплохое количество атрибутов, а также поддерживает кастомные правила. Предлагает поискать по биллинг и шиппинг данным в множестве разных сайтов. Так же автоматически находит ссылки на Ваши социальные сети по E-Mail. Имеет небольшую кастомизацию интерфейса: можно настроить какие окошки Вам интересны, а остальные можно не показывать. Цены очень низкие: Минимум $19/месяц - одна транзакция $0.05 - 800 транзакций/месяц; Максимум $250/месяц - одна транзакция $0.01 - 25 000 транзакций/месяц. А если у Вас больше 100 000 транзакций/месяц они с радостью подготовят личный тарифный план для Вас. В максимальный тариф входят все плюшки, как и у остальных антифрод систем. Такие как: Помощь эксперта в решении, дополненная статистика анализа, предварительный анализ мошенничества, подсказки от системы и прочее.
По атрибутам пройдёмся быстренько. Из интересного и необычного есть проверка CQR. Она проверяет связь между телефонами/именами/адресом. Если связи не находит ищет по имени/адресу настоящий телефон. Если связи не находит между именем и адресом, то ищет и по адресу и по имени отдельно. Есть атрибуты типа телефона: стационарный/мобильный. Правильный ли адрес/телефон написан. Может показать имя владельца телефонного номера. В нашем примере, у "клиента" Neustar не сходиться мобильный номер. Владельца номера телефона зовут совершенно по другому.
Есть наоборот, проверка по телефону адреса/имени. Сделанно это всё для того, чтобы понять кто настоящий КХ и позвонить ему оповестить о "заказе". Во всяком случае, так советует support (поддержка). Есть проверка страхования. Если страховка есть - её покажет, и если Ваш заказ не из USA, то увидев страховку антифрод будет реагировать на всё чуть по ласковей и немного снизит fraud score. Есть атрибуты местоположения телефонного номера и определения, что он одноразовый. Не фиксированная линия VOIP, без определения местоположения, прибавит Вам fraud score, а фиксированная линия с определением ZIP-номера телефона наоборот снизит. Fraud Score от 0 до 1000. Система рекомендует не думая отклонять заказы с fraud score > 800. Subuno быстро подстраивается под Ваш шоп, чем больше заказов, тем точнее fraud score будет определяться.
Мы разобрали с Вами самые популярные антифрод системы, которые можно подключить к шопу. А так же немного коснулись соседних мерчей.
"Вот так просто мы обошли стандартную систему Shopify?" - так что на этот вопрос должен был отпасть ответ. Естественно всё не так просто, как кажется.
Ручная Проверка
Что советует делать Shopify, новичкам, в случаях экстремального риска?
Сейчас мы затронем с Вами тему ручной проверки. А конкретнее советы Shopify.Что советует делать Shopify, новичкам, в случаях экстремального риска?
Итак, мы зарегистрировали наш с Вами WWH Shop 2018. У нас первый заказ! Ура! Вот только fraud score: красный. Что же нам делать? Первый заказ... Не хочется отвергать первого "клиента". Для начала последуем рекомендациям:
1. Проверим IP адресс.
IP адрес расположен в другой области от биллинг адреса?
IP адрес для веб-хостинга?
IP адрес является IP прокси сервера?
Если на все вопросы мы ответили "да", то в голове можем уже прибавлять нам fraud score. И переходить к следующему пункту.
2. Проверим телефонный номер.
Заранее хотел бы извиниться перед пробивщиками, если раскрываю чью-либо конторку.
Перед звоночком нам предлагают проверить телефонный номер на сайте . Сайт многофункционален. Кроме пробива по номеру телефона есть ещё 4 вида пробива. 411 для Вас постарается найти контактную информацию по имени и Штату/Городу/ZIP. Предлагает помочь Вам "познакомиться по ближе" со своими соседями.
Производит уже всем знакомый поиск по E-Mail социальных сетей. И подскажет контактную информацию по адресу компании.
Я думаю, уже всем не терпиться вписать туда парочку данных с карт. Не торопитесь, я сейчас за Вас это сделаю.
Как Вы понимаете можно узнать немного интересного о КХ. Во-первых проверить адрес проживания, в случае если переехал КХ. Узнать бекграунд и прочее. Всего-то $14/месяц.
Отвлеклись. Введем номер Google Voice.
Вот и fraud score за телефонный номер получаем. Во-первых это нефиксированная линия VOIP. Во-вторых сразу же система вычисляет Skype/Google Voice. Тоже самое и в антифрод системах. Так что используйте Google Voice и Skype на свой страх и риск. В случае определения фрод системой GV и Skype, антифрод займётся поиском настоящего номера КХ.
Вернёмся к ручной проверке. Shopify нам предлагает позвонить по номеру телефона и в случае, если нам кто-то ответил, то задать парочку простых вопросов и посмотреть какая будет реакция: знают ли заказчики адреса/номер телефона/E-Mail и имя которое они использовали в ордере. Или они пытаются уйти от ответа/дать Вам "водную" информацию? Если Вас смутил ответ, идём к следующему пункту!
3. Проверка E-Mail.
Shopify рекомендует проверить E-Mail по запросу в Google и других поисковых системах. Если E-Mail использовался для мошенничества, то возможно Вы наткнетесь на задокументированные попытки мошенничества. А если E-Mail действительно КХ, то Google выдаст Вам сообщения из социальных сетей или другую информацию, которая связывает нашего "клиента" с E-Mail. Еще сомневаетесь?
4. Проверка Billing=Shipping.
Если расстояние между двумя адресами достаточно значительно, тогда, это скорее всего мошенник, но будьте внимательны, вдруг он другу подарок сделать решил?
5. Проверьте Shipping.
Если shipping адрес совпадает с другими ордерами, где другой биллинг, то скорее всего это мошеннический ордер.
6. Проверьте стоимость ордера.
Если стоимость ордера превышает обычную (Shopify Вас оповестит об этом) или в корзине много одинакового товара, то скорее всего это fraud ордер.
Тут, я думаю, всё просто и понятно. Вот мы прошлись по пунктам, но до сих пор боимся отклонять ордер, давайте напишем в поддержку нашу ситуацию, может они нам что-нибудь более интересное посоветуют!
Итак, мы получили такой ордер. Ответ поддержки:
Переведу только самое интересное, хотя интересного тут мало: "Свяжитесь с Вашим клиентом по телефону, если телефон никто не берёт напишите ему на E-Mail. Если клиент отвечает, используйте свою интуицию. Если не отвечают - отмена заказа будет лучшим решением. Высокий риск появился из-за того, что IP/Shipping дистанция очень большая. Такие заказы обычно отменяются. Некоторые продавцы делают так: если риск низкий, они звонят по номеру. А если средний или высокий они отменяют заказ. Так же советую включить отмену заказа при ошибке CVV и ошибке определения ZIP."
AVS/CVV
Что же такое это AVS и CVV? AVS - это система, которая сравнивает числовую часть billing адреса и ZIP клиента с информацией от эмитента кредитной карты. CVV - это 3 или 4 цифры с другой стороны карты. CVV не храниться у компаний, ибо его хранение запрещено. Поэтому CVV это проверка, что CC на руках у клиента.В Shopify как раз эти обе проверки можно включить. И Shopify после регистрации настоятельно рекомендует это сделать. Так что давайте разберёмся, что антифрод системы показывают в тех или иных случаях. Ответы от этих систем - это обычно буквы латинского алфавита:
Начнём с AVS. В зависимости от того, какой у Вас материал, такие ответы и будут. Разберем сегодня мы с Вами "Visa":
Y - полное совпадение адреса и 5 значного ZIP кода.
A - частичное совпадение, адреса совпадают, а 5 значные и 9 значные ZIP коды нет.
Z - частичное совпадение, улица не совпадает, но совпадает 5 значный ZIP.
N - не совпадает улица/5 значный ZIP/9 значный ZIP.
U - AVS система недоступна. (К примеру, если AVS плохо настроен или функционирует не правильно в американском банке)
R - AVS система не установлена у эмитента или недоступна. Повторите попытку.
E - данные AVS недействительны.
S - Американский эмитент не поддерживает AVS.
Международные транзакции:
D/M - полное совпадение.
B - частичное совпадение. Адрес совпал, а ZIP не может быть проверен из-за несовместимого формата.
P - частичное совпадение. Адрес не проверен, из-за несовместимых форматов, а ZIP совпадают и соответсвуют формату международной транзакции.
C - не совпадает. Несовместимые форматы.
I - не совпадает. Информация не подтверждена международным эмитентом.
G - международный AVS не поддерживается эмитентом.
CVV:
M - совпадает.
N - не совпадает.
P - не обработан. (Ошибка)
S - эмитент говорит, что CVV2 присутствует на карте, но пользователь говорит об обратном.
U - эмитент не имеет сертификата CVV2 или же эмитент предоставил карту без ключей шифрования CVV2.
Empty - не удалось выполнить транзакцию, потому что CVV2 не был указан или был указан неверно.
Транзакция может быть одобрена даже без совпадения CVV и AVS. CVV и AVS предназначены для того, чтобы дать дополнительную информацию о транзакции продавцу!
Чарджбек/Chargeback
Чардж - КХ заметил резкое списание с баланса около 1500 долларов... Что же дальше? Дальше КХ делает запрос в банк. В случае, если банк 100% уверен, что деньги были угнаны некими "russian carders from the wwh". Тогда банк сразу же возвращает деньги КХ и отправляет "просьбу" продавцу, вернуть деньги банку. Если вопрос спорный, то банк делает запрос продавцу, в случае запроса банк не будет просить оплаты сразу. В таком случае банк будет проверять все "доказательства" fraud транзакции. Если банк будет сомневаться деньги остануться у продавца. Если доказательства будут в сторону мошеннической транзакции, то деньги придётся вернуть. Продавец в случае запроса банком, может тоже "поучаствовать" в расследовании. Отправить свои доказательства банку. Связаться с клиентом, "договориться", что бабки ему не нужны. )) Также продавец может сам согласиться на возврат денег или сделать ещё один запрос банку, в случае не согласия с возвратом.Обычный процесс возврата платежа:
- КХ делает запрос банку.
- Банк отправляет запрос продавцу о возврате средств.
- Компания CC просит продавца предоставить док-ва, что платёж "законный".
- Продавец и Shopify собирают док-ва, чтобы выяснить "законный" ли платёж.
- Shopify отправляет ответ кредитной компании.
- Компания рассматривает док-ва, обычно это занимает от 60 до 120 дней.
- После решается вопрос, возвращать платеж или нет.
