Post on 08-May-2015
description
TALLER:
Gestión del fraude en eCommerce
Jordi PascualDirector eCommercepascualjor@bancsabadell.com
Jose Luís Gonzalez CasellasEspecialista eCommerce Madridgonzalezjosel@bancsabadell.com
BancSabadell.com/eCommerce
Banco Adquirente
Comprador
Proveedores de pagos(IPSP, MSP, Gateways, ...)
ComercioProgramas
afiliados
GESTION DEL FRAUDE Focos del fraude en eCommerce
GESTION DEL FRAUDE Gestores
¿Quien puede gestionar el fraude?
• El propio comercio.• El banco adquirente.• Una tercera empresa especializada (IPSP, MSP, “Fraud-
scrubbing” company, ...), contratada por el comercio.
70%
ONG
Descarga
contenidos
digitales
Pero …
• Pérdidas económicas y reputacionales.• Consecuencias por incumplimiento de los programas de monitorización del banco adquirente y Marcas de Tarjetas.
• Basados en CONTENIDOS• Basados en CHARGE-BACKS• Basados en FRAUDE CONFIRMADO
GESTION DEL FRAUDE Sensibilización al fraude
No todos los comercios están sensibilizados
• En on-line, en el momento de realizar el pago
• Supervisión manual immediatamente después de realizar el pago
• En off-line, a partir de las incidencias financieras (charge-backs, fraude confirmado, reclamaciones, ...) recibidas.
GESTION DEL FRAUDE Entornos de gestión del fraude
Listas blancas
Listas negras
Velocity checks
Reglas “fraud
screening”
Tarjetas retenidas (robadas, perdidas o falsificadas)
CVV2
3D Secure
AVS (Address Verification System)
Proceso banco adquirente
• En on-line, en el momento de realizar el pago
• Supervisión manual immediatamente después de realizar el pago
• En off-line, a partir de las incidencias financieras (charge-backs, fraude confirmado, reclamaciones, ...) recibidas.
GESTION DEL FRAUDE
LISTAS BLANCAS
• Disponer de una base de datos, consultable antes de procesar cada operación, de CLIENTES REGISTRADOS o de NUMEROS DE TARJETAS (solo comercios certificados en programa PCI) que, por su vinculación con el comercio (p.ej. tarjetas corporativas de empresas de los que el comercio es un proveedor habitual) o por ser clientes con un largo historial de compras sin incidencias; se les permita realizar nuevos pagos pero con un control mínimo de parámetros antifraude.
• La idea es que a un cliente VIP, debidamente identificado, nunca se le deniegue ningún pago por estar afectado por un parámetro antifraude general y riguroso.
GESTION DEL FRAUDE
• En on-line, en el momento de realizar el pago
• Supervisión manual immediatamente después de realizar el pago
• En off-line, a partir de las incidencias financieras (charge-backs, fraude confirmado, reclamaciones, ...) recibidas.
LISTAS NEGRAS
•Disponer de una base de datos, consultable antes de enviar cada operación al banco, de usuarios con un historial inaceptable de incidencias de facturación.
•Dichas incidencias puede ser:• Operaciones anteriores reportadas como Fraude Confirmado. • Charge-backs reclamados por el cliente por motivos no justificables, o bien, asociados a Fraude.
• Autorizaciones denegadas por el banco emisor de la tarjeta por motivos relacionados con fraude.
• Usuarios que en operaciones anteriores el sistema antifraude del comercio los clasificó con un “scoring de riesgo” inaceptable.
•Los parámetros que habitualmente se incluyen en listas negras suelen ser:• Datos de registro del usuario (User Id,. Nombre, Teléfono, Dirección, E-
mail, …).• Datos de registro del receptor del servicio/producto (nombre de los
viajeros si es Agencia de viajes o similar, domicilio de entrega de producto, teléfono de contacto, …)
• Numero de tarjeta (solo comercios certificados en el programa PCI).• Dirección IP del comprador. Esta práctica es útil solo en países donde el
uso de IP dinámicas no está muy extendido.• Recientemente algunas empresas ofertan software de reconocimiento del
Hardware/MAC address (o similar) de los PCs de los compradores.
GESTION DEL FRAUDE
• En on-line, en el momento de realizar el pago
• Supervisión manual immediatamente después de realizar el pago
• En off-line, a partir de las incidencias financieras (charge-backs, fraude confirmado, reclamaciones, ...) recibidas.
VELOCITY CHECKS
• Son filtros antifraude basados en el NUMERO DE OPERACIONES y el IMPORTE ACUMULADO, dentro de un PERÍODO ESTABLECIDO (por operación, diario, semanal, …), que exceden un indicador riesgo.
• Estos indicadores pueden ser:• Datos de registro del usuario (User Id., Nombre, …).• Datos de registro del receptor del servicio/producto
(nombre de los viajeros si es Agencia de viajes o similar, domicilio de entrega de producto, teléfono contacto, …)
• Numero de tarjeta (solo comercios certificados en el programa PCI).
• Posibles tarjetas generadas (los 12 primeros dígitos de cada tarjeta son iguales)
• Dirección IP del comprador. • Recientemente algunas empresas ofertan software de
reconocimiento del Hardware/MAC address (o similar) de los PCs de los compradores.
GESTION DEL FRAUDE
• En on-line, en el momento de realizar el pago
• Supervisión manual immediatamente después de realizar el pago
• En off-line, a partir de las incidencias financieras (charge-backs, fraude confirmado, reclamaciones, ...) recibidas.
RULES-BASED FRAUD SCREENING
• Son validaciones automáticas basadas en reglas de comportamiento de los compradores.
• El Fraud Screening que, según nuestra experiencia, permite un mejor “afinamiento” de las reglas de comportamiento es aquel que asigna un Scoring o porcentaje de riesgo a cada incumplimiento.
• Adjuntamos lista de diferentes reglas de comportamiento a tener en cuenta:
• Un mismo dato referido al usuario (dirección IP, User Id., Nombre, Teléfono, Dirección, E-mail, …) que excede un numero razonable de transacciones con Números de Tarjetas diferentes durante un período de tiempo.
• Un mismo dato referido al receptor del servicio/producto (nombre de los viajeros si es Agencia de viajes o similar, domicilio de entrega de producto, teléfono de contacto, …) que excede un numero razonable de transacciones con Números de Tarjetas diferentes durante un período de tiempo.
• Si el terminal ha rechazado la primera operación de un usuario registrado, IP o Números de Tarjeta, verificar que no se han procesado más operaciones con los mismos datos pero por importes más bajos.
• Comparar la geolocalización de la tarjeta con la IP del usuario o la del país de registro.
• ...
GESTION DEL FRAUDE
• En on-line, en el momento de realizar el pago
• Supervisión manual immediatamente después de realizar el pago
• En off-line, a partir de las incidencias financieras (charge-backs, fraude confirmado, reclamaciones, ...) recibidas.
RULES-BASED FRAUD SCREENING
• Comprobar la validez de los datos de registro del cliente:• Validar los números de teléfono usando directorios de teléfonos.• Validar que el código del teléfono y/o su prefijo coincide con el área
geográfica de la dirección de envío del pedido.• Validar la correspondencia entre el código postal y la ciudad del envío.• Validar la dirección email enviando una orden de confirmación.• Validar que los datos de registro (nombre, dirección, …) no son del
tipo “slang” (Por ej.; poner como nombre “Mickey Mouse”) o, a través de filtros ortográficos chequear que no se introducen nombres imposibles .
• Pedidos sospechosos:• Pedidos consistentes en múltiples cantidades del mismo producto.• Pedidos de importe superior al estándar.• Pedidos en los que la entrega ha de ser urgente, o incluso “para el día
siguiente”. Los delincuentes quieren estos productos obtenidos fraudulentamente tan pronto como sea posible, para una posible reventa y no están preocupados por el sobrecoste del envío.
• Pedidos de productos de alto importe. Estos productos tienen un alto valor de reventa.
• Pedidos enviados a direcciones de países no habituales para el comercio.
GESTION DEL FRAUDE
• En on-line, en el momento de realizar el pago
• Supervisión manual immediatamente después de realizar el pago
• En off-line, a partir de las incidencias financieras (charge-backs, fraude confirmado, reclamaciones, ...) recibidas.
PROCESAMIENTO DE LA OPERACION CON EL BANCO ADQUIRENTE
• Al procesar la solicitud de autorización para el pago con la tarjeta, el banco emisor de la tarjeta rechaza aquellas en las que su cliente tiene incidencias financieras, de fraude o referidas a las prestaciones de su tarjeta.
• Validación CVV2 (3 dígitos de seguridad impresos en el reverso de cada tarjeta).
• AVS (Address Verification Service). Sistema por el que el banco emisor valida la dirección y código postal del titular de la tarjeta. Solo es válido para titulares de USA, Canadá y UK.
• Soluciones de autenticación de clientes basados en protocolos 3D Secure.
GESTION DEL FRAUDE
• En on-line, en el momento de realizar el pago
• Supervisión manual immediatamente después de realizar el pago
• En off-line, a partir de las incidencias financieras (charge-backs, fraude confirmado, reclamaciones, ...) recibidas.
Comprador
HOST EMISOR
Red de Medios de
Pago
HOST ADQUIRENTE
Red abierta segura
Red segura
Red segura
GESTION DEL FRAUDE 3D Secure
GESTION DEL FRAUDE 3D Secure
HOST EMISOR
Red de Medios de Pago
HOST ADQUIRENTE
Red abierta segura
Red segura
Red segura
Dominio
comprad
or
Dominio
comprad
or Dominio vendedor
Dominio vendedor
Dominio interoperatividad
Dominio interoperatividad
FRAUD SCORING
Procesar la operación a través del banco adquirente. Mejor si se utiliza el sistema de pago PRE-AUTORIZACIÓN
Si es positiva, a continuación los datos vinculados a la compra han de ser revisados y validados manualmente por un supervisor de riesgo del comercio.
En algunos casos, será necesario contactar con el usuario comprador.
Si la investigación demostrara que la operación es fraudulenta o con una alta probabilidad de fraude, entonces es necesario realizar una DEVOLUCION de la
operación antes de que el legítimo titular de la tarjeta la reclame.
• En on-line, en el momento de realizar el pago
• Supervisión manual immediatamente después de realizar el pago
• En off-line, a partir de las incidencias financieras (charge-backs, fraude confirmado, reclamaciones, ...) recibidas.
GESTION DEL FRAUDE
INFORMACION CONTABLE (LIQUIDACION OPERACIONES,
DEVOLUCIONES Y CHARGEBACKS CARGADOS)
CHARGEBACKS RECIBIDOS
“CONFIRMED FRAUD” RECIBIDO
PETICIONES DE FOTOCOPIA O INFORMACION
• Seleccionar charge-backs relacionados con fraude.• Evitar, si es posible, entrega mercancia o servicio.• Buscar en bb.dd. otras operaciones mismo cliente, tarjeta, IP, usuario registrado, ...
• Activar listas negras.
• Hacer devolución si es posible.• Contactar cliente para “despejar dudas”.• Siempre contestar al banco emisor con el máximo información disponible.
INFORMACION BANCO ADQUIRENTE
ACCIONES A REALIZAR
POR EL GESTOR DE FRAUDE
• En on-line, en el momento de realizar el pago
• Supervisión manual immediatamente después de realizar el pago
• En off-line, a partir de las incidencias financieras (charge-backs, fraude confirmado, reclamaciones, ...) recibidas.
GESTION DEL FRAUDE
BancSabadell.com/eCommerce