Kodėl el. parduotuvės yra tokios patrauklios sukčiams
Jei kada nors steigėte el. parduotuvę arba ją administruojate, tikriausiai žinote, kad pinigai internete juda greitai. Kartais per greitai. Ir būtent tas greitis – momentiniai mokėjimai, automatizuoti užsakymai, didelis srautas – sukčiams atrodo kaip puiki proga pasipelnyti.
El. prekyba Lietuvoje auga nuolat. Pagal „Lietuvos statistikos departamento” duomenis, kasmet vis daugiau žmonių perka internetu, o tai reiškia, kad el. parduotuvių apyvarta auga. Bet kartu auga ir sukčiavimo atvejų skaičius. Ir čia svarbu suprasti vieną dalyką: sukčiai nesirenka aukų pagal tai, kiek parduotuvė didelė. Jie ieško silpniausios vietos – nesvarbu, ar tai didelis prekybos centras, ar mažas rankų darbo papuošalų parduotuvėlė.
Dažniausiai el. parduotuvių savininkai galvoja: „Aš mažas, kas mane puls?” Bet statistika rodo priešingai – mažos ir vidutinės parduotuvės dažnai tampa lengvesniais taikiniais, nes neturi dedikuotų saugumo specialistų, naudoja senesnes platformas arba tiesiog nežino, ko ieškoti.
Šiame straipsnyje pabandysiu išdėstyti viską, ką reikia žinoti apie el. parduotuvių apsaugą nuo sukčių – nuo techninių dalykų iki žmogiškojo faktoriaus. Ir ne teoriškai, o taip, kaip tai veikia praktikoje.
Dažniausiai pasitaikantys sukčiavimo būdai el. prekyboje
Prieš kalbant apie gynybą, verta suprasti, su kuo susiduriame. Sukčiai nėra monolitinė grupė – jie naudoja labai skirtingus metodus, ir kiekvienas iš jų reikalauja skirtingo atsako.
Grąžinimų sukčiavimas (Return fraud) – vienas labiausiai paplitusių ir sunkiausiai pastebimų. Žmogus nusiperka prekę, o po to teigia, kad jos negavo, arba grąžina visiškai kitą daiktą. Kartais tai būna senas, sulaužytas produktas, kartais – visiškai kita prekė. Parduotuvė grąžina pinigus, o pirkėjas pasilieka ir originalią prekę, ir grąžintus pinigus.
Mokėjimo kortelių sukčiavimas (Card fraud) – kai naudojamos vogtos arba klastotės kortelės. Sukčius perka prekes, jos išsiunčiamos, o po kelių dienų tikrasis kortelės savininkas pateikia ginčą (chargeback). Parduotuvė netenka ir prekės, ir pinigų.
Paskyros perėmimas (Account takeover) – kai sukčius gauna prieigą prie tikro pirkėjo paskyros ir naudoja jo išsaugotus mokėjimo duomenis. Tai ypač pavojinga, nes tokios operacijos atrodo visiškai teisėtos.
Sukčiavimas su nuolaidomis ir kuponais – kai žmonės randa arba sugeneruoja nuolaidų kodus ir juos naudoja masiškai, kartais net automatizuotai. Tai gali atrodyti kaip smulkmena, bet kai kurios parduotuvės taip praranda tūkstančius eurų.
Botai ir automatizuoti užsakymai – ypač aktualūs, kai parduodamos ribotos kiekio prekės (pvz., bilietai, limituotos kolekcijos). Botai išperka viską per sekundes, o po to tas prekes perparduoda už didesnę kainą.
SSL ir techninė saugumo bazė – tai ne pasirinkimas
Pradėkime nuo pagrindų, nes vis dar pasitaiko parduotuvių, kurios šiuos dalykus ignoruoja. SSL sertifikatas – tai minimumas, ne privalumas. Jei jūsų parduotuvės adresas prasideda http://, o ne https://, tai rimta problema. Naršyklės tokias svetaines jau žymi kaip nesaugias, o pirkėjai – ir pagrįstai – jomis nepasitiki.
Bet SSL yra tik pradžia. Štai ką dar reikia padaryti techninėje pusėje:
- Reguliariai atnaujinkite platformą ir papildinius. Jei naudojate WooCommerce, Shopify, Magento ar bet kurią kitą platformą – atnaujinimai nėra tik naujos funkcijos. Dažnai tai saugumo pataisymai, kurie uždaro žinomas spragas. Pasenusi versija yra atviros durys sukčiams.
- Naudokite WAF (Web Application Firewall). Tai filtras, kuris blokuoja kenksmingus užklausimus dar prieš jiems pasiekiant jūsų serverį. Cloudflare siūlo nemokamą versiją, kuri daugeliui mažų parduotuvių yra visiškai pakankama.
- Dviejų faktorių autentifikacija (2FA) administratoriams. Jei kas nors gauna jūsų slaptažodį, 2FA yra ta papildoma kliūtis, kuri gali išgelbėti viską. Naudokite Google Authenticator arba panašią programėlę.
- Ribokite prisijungimo bandymus. Jei kas nors bando prisijungti prie jūsų administravimo skydelio šimtus kartų, sistema turėtų automatiškai blokuoti tą IP adresą. Tai vadinama „brute force” apsauga.
Taip pat svarbu reguliariai daryti atsargines kopijas. Tai ne tiesiogiai apsaugo nuo sukčių, bet jei kas nors įsilaužia ir sugadina duomenis, galėsite greitai atkurti viską iki normalios būklės.
Mokėjimų saugumo sprendimai – kur slypi tikroji rizika
Mokėjimų apdorojimas yra vieta, kur sukčiai dažniausiai bando smogti. Ir čia gera žinia: jums nereikia spręsti visko patiems. Tačiau reikia žinoti, kaip tinkamai pasirinkti ir sukonfigūruoti mokėjimų sprendimus.
Pirmiausia – niekada nesaugokite kortelių duomenų savo serveriuose, jei tam nėra absoliučios būtinybės ir jei neturite PCI DSS sertifikavimo. Tai ne tik techninė rizika, bet ir teisinė atsakomybė. Naudokite tokius sprendimus kaip Stripe, Braintree arba Paysera, kurie patys tvarko kortelių duomenis ir yra atsakingi už jų saugumą.
Stripe, pavyzdžiui, turi integruotą sukčiavimo aptikimo sistemą „Stripe Radar”. Ji naudoja mašininį mokymąsi ir analizuoja milijardus transakcijų, kad nustatytų įtartiną elgesį. Panašius sprendimus siūlo ir kiti didieji mokėjimų tiekėjai.
Kitas svarbus dalykas – 3D Secure autentifikacija. Tai tas papildomas žingsnis, kai bankas prašo patvirtinti mokėjimą SMS arba programėlėje. Europos Sąjungoje tai jau privaloma pagal PSD2 direktyvą, bet vis dar yra parduotuvių, kurios to neįjungia arba netinkamai sukonfigūruoja. 3D Secure žymiai sumažina chargebackų riziką, nes atsakomybė persikelia nuo parduotuvės prie banko.
Taip pat verta nustatyti automatines taisykles, kurios blokuoja arba pažymi įtartinus užsakymus. Pavyzdžiui:
- Užsakymai, kur pristatymo adresas skiriasi nuo kortelės registracijos adreso
- Keli skirtingi užsakymai iš to paties IP adreso per trumpą laiką
- Neįprastai didelės sumos iš naujų paskyrų
- Užsakymai į šalis, kuriose jūs paprastai neturite klientų
Kaip atpažinti įtartinus užsakymus rankiniu būdu
Automatinės sistemos yra puikios, bet jos nėra tobulos. Kartais reikia žmogiško žvilgsnio. Ir čia svarbu žinoti, ko ieškoti.
Vienas iš aiškiausių ženklų – skubėjimas. Sukčiai dažnai renkasi greičiausią pristatymo parinktį, nes jiems nesvarbu kaina – jie moka vogtais pinigais. Jei naujas klientas iš karto renkasi brangiausiąją pristatymo paslaugą ir perka brangias prekes, tai verta atidžiau pažiūrėti.
Kitas ženklas – kontaktiniai duomenys. Atsitiktinai sugeneruoti el. pašto adresai (pvz., [email protected]), telefono numeriai, kurie nepriklauso nurodytai šaliai, arba vardai, kurie neatitinka kortelės duomenų – visa tai turėtų sukelti klausimų.
Taip pat atkreipkite dėmesį į užsakymo struktūrą. Jei kažkas perka daug vienos ir tos pačios prekės arba kelias brangias prekes, kurias lengva perparduoti (elektronika, dovanų kortelės, prabangos prekės), tai klasikinis sukčiavimo modelis.
Praktinis patarimas: sukurkite vidinę procedūrą, pagal kurią tam tikros kategorijos užsakymai automatiškai patenka į „peržiūros eilę” ir yra apdorojami tik po rankinio patikrinimo. Taip, tai sulėtina procesą, bet geriau palaukti valandą nei prarasti šimtus eurų.
Jei abejojate – tiesiog paskambinkite klientui. Tikras pirkėjas paprastai džiaugiasi tokiu dėmesiu. Sukčius dažniausiai arba neatsiliepia, arba pateikia prieštaringą informaciją.
Klientų paskyrų apsauga ir duomenų valdymas
Jūsų klientų duomenys yra vertingi – ir ne tik jums. Sukčiams jie taip pat labai įdomūs. Todėl klientų paskyrų apsauga yra ne tik saugumo, bet ir pasitikėjimo klausimas.
Pirmiausia – slaptažodžių politika. Daugelis žmonių naudoja silpnus slaptažodžius, ir tai žino visi. Reikalaukite mažiausiai 8 simbolių, didžiųjų ir mažųjų raidžių, skaičių. Bet nepersistenkite – jei slaptažodžio reikalavimai bus per sudėtingi, žmonės tiesiog nustos registruotis.
Siūlykite dviejų faktorių autentifikaciją klientams. Tai neturėtų būti privaloma (nes atbaidys dalį pirkėjų), bet galimybė turėtų būti. Vis daugiau žmonių tai vertina.
Labai svarbus dalykas – stebėkite neįprastą veiklą paskyroje. Jei kažkas prisijungia prie paskyros iš naujo įrenginio arba iš kitos šalies, siųskite el. laišką su patvirtinimu. Jei keičiamas pristatymo adresas prieš pat užsakymą – tai taip pat turėtų sukelti papildomą patikrinimą.
Dėl BDAR (GDPR) reikalavimų – rinkite tik tuos duomenis, kurių tikrai reikia. Kuo mažiau duomenų saugote, tuo mažesnė žala, jei kas nors nutiktų. Ir žinoma – šifruokite slaptažodžius naudodami modernias hash funkcijas (bcrypt, Argon2), o ne MD5 ar SHA1, kurios jau seniai laikomos nesaugiomis.
Grąžinimų ir ginčų valdymas – kaip nesusideginti
Chargebackai – tai vienas iš didžiausių galvos skausmų el. parduotuvių savininkams. Kai pirkėjas kreipiasi į banką ir ginčija mokėjimą, parduotuvė ne tik praranda pinigus, bet ir moka papildomą ginčo nagrinėjimo mokestį. O jei chargebackų procentas tampa per didelis, mokėjimų tiekėjas gali tiesiog nutraukti sutartį.
Kaip to išvengti? Keletas praktinių žingsnių:
Aiški grąžinimų politika. Jei pirkėjas žino, kad gali grąžinti prekę per 30 dienų be klausimų, jis greičiausiai kreipsis į jus, o ne į banką. Ginčų dažnai kyla ne iš blogos valios, o iš nesusipratimo arba frustracijos.
Greitas klientų aptarnavimas. Jei žmogus negali susisiekti su parduotuve ir gauti atsakymo per protingą laiką, jis eina į banką. Tai natūralu. Todėl turėkite aiškius kontaktus, greitai atsakykite į žinutes ir el. laiškus.
Dokumentuokite viską. Saugokite užsakymų patvirtinimus, pristatymo įrodymus, komunikaciją su klientais. Jei kyla ginčas, turėsite įrodymų. Daugelis mokėjimų sistemų leidžia pateikti dokumentus ginčo nagrinėjimo metu – ir tai dažnai lemia baigtį.
Naudokite pristatymo patvirtinimą su parašu brangesnėms prekėms. Jei klientas teigia, kad negavo paketo, bet yra parašas – tai stiprus įrodymas jūsų pusėje.
Dėl grąžinimų sukčiavimo – nustatykite aiškią politiką, kaip priimate grąžinamas prekes. Fotografuokite grąžinamas prekes, kai jas gaunate. Jei grąžinama prekė skiriasi nuo parduotos – turite įrodymus ir galite atsisakyti grąžinti pinigus arba kreiptis į policiją.
Kai apsauga tampa kultūra, o ne tik techninė užduotis
Galima įdiegti visas technines priemones, bet jei komanda nežino, ko ieškoti, arba jei procesai nėra aiškiai apibrėžti – spragos atsiras. Saugumas el. parduotuvėje nėra vienkartinis projektas. Tai nuolatinis procesas.
Jei turite darbuotojus, kurie tvarko užsakymus – mokykite juos atpažinti įtartinus atvejus. Padarykite paprastą instrukcijų dokumentą: „Jei matai šiuos ženklus – daryk štai taip.” Tai nereikalauja didelių investicijų, bet gali išgelbėti nuo nemažų nuostolių.
Reguliariai peržiūrėkite savo saugumo priemones. Sukčiavimo metodai keičiasi, ir tai, kas veikė prieš metus, gali būti nebeaktualu. Sekite naujienas apie el. prekybos saugumą – yra nemokamų resursų, tokių kaip OWASP (Open Web Application Security Project), kurie reguliariai atnaujina informaciją apie grėsmes.
Ir galiausiai – nebijokite investuoti į saugumą. Daugelis parduotuvių savininkų galvoja apie saugumą kaip apie išlaidas. Bet palyginkite: mėnesinis WAF planas kainuoja gal 20-50 eurų, o vienas sėkmingas sukčiavimo atvejis gali kainuoti kelis šimtus ar net tūkstančius. Matematika čia paprasta.
El. parduotuvės apsauga nuo sukčių – tai ne paranoja. Tai verslo higiena. Ir geriau apie tai pagalvoti dabar, kol viskas gerai, nei tada, kai jau kažkas nutiko. Nes kai nutinka – paprastai nutinka greitai ir netikėtai. O pasiruošusiam žmogui netikėtumų būna žymiai mažiau.
