Почему вообще столько мошенничества в онлайн-торговле
Онлайн-магазины и сервисы платежей стали слишком удобными — а значит, привлекательными не только для покупателей, но и для мошенников. Деньги двигаются быстро, проверка личности часто формальная, а автоматизация позволяет злоумышленнику за пару минут сделать то, на что раньше уходили бы дни.
В итоге владельцу бизнеса приходится думать не только о продажах, но и о том, как снизить риск мошенничества в онлайн-торговле и платежах так, чтобы не убить конверсию и не довести до истерики честных клиентов вечными проверками.
Короткие определения: чтобы говорить на одном языке
Разберём базовые термины простым языком.
— Фрод (fraud) — любое мошенничество, связанное с заказами и оплатой: украденные карты, фальшивые аккаунты, чарджбэки «я не заказывал», подмена реквизитов и так далее.
— Антифрод-система — набор правил, алгоритмов и сервисов, который автоматически ищет подозрительные операции и блокирует или отправляет их на доппроверку.
— Платёжный шлюз — сервис-посредник между вашим сайтом и банком/платёжной системой, куда уходит клиент при оплате.
— Чарджбэк — когда клиент через банк оспаривает платеж и возвращает деньги, а вы, как продавец, остаетесь без оплаты и часто ещё с комиссией сверху.
— KYC / KYB (Know Your Customer / Business) — проверка личности клиента или бизнеса: документы, ИНН, история, санкции и прочее.
Знать термины важно, чтобы не покупать «волшебное» решение без понимания, что оно реально делает.
Как выглядит путь мошенника: диаграмма словами
Представим себе текстовую диаграмму, без картинок:
1. Входные точки
— украденные карты
— скомпрометированные аккаунты
— фейковые юрлица и ИП
2. Атака на ваш бизнес
— массовые попытки оплаты на мелкие суммы
— заказы с доставкой в «серые» адреса
— тестирование украденных карт через ваш сайт
3. Реакция бизнеса
— либо заказ проходит и вы теряете деньги (чарджбэк)
— либо легитимные клиенты ошибочно блокируются (фрод-блок ложноположительный)
В идеале в середине этой диаграммы должны стоять системы предотвращения мошенничества для e-commerce, которые останавливают максимум сомнительных операций и трогают минимум честных покупателей.
Стандартный подход: чем живёт большинство магазинов
Чаще всего защита интернет-магазина от мошенников сводится к простому набору мер:
— лимиты на сумму заказов и количество покупок с одного IP;
— СМС-подтверждение для входа и оплаты;
— черные списки карт, телефонов и e‑mail.
Это базовый уровень, без которого никак, но он уже давно не спасает от организованных групп. Мошенник легко меняет IP, покупает новые SIM-карты, использует виртуальные номера, почту и даже поддельные документы.
Поэтому нужны не только «заплатки», а архитектура защиты, встроенная в логику бизнеса.
Антифрод решения для онлайн платежей: как они обычно работают
Современные антифрод решения для онлайн платежей обычно сочетают три слоя:
— Правила: если сумма больше N и страна не совпадает с IP — отправить на проверку.
— Скоринг: система начисляет риск-баллы за разные факторы (подозрительный email, прокси, странная скорость заполнения формы и т.п.).
— Машинное обучение: алгоритм обучается на истории транзакций и выделяет нетипичные паттерны.
Если упростить диаграмму антифрода словами:
`Транзакция → Сбор данных → Правила + Скоринг + ML → Риск-балл → Решение (принять / отклонить / отправить на ручную проверку)`
Теперь давайте к интересному — как вытащить из этого что-то по-настоящему полезное и добавить нестандартные решения.
Нестандартный подход №1: поведенческая «подпись» клиента
Мошенник может украсть логин, пароль, даже одноразовый код. Но украсть привычки — сложнее. Поэтому один из лучших способов, как защитить сайт от мошенничества при оплате, — построить поведенческий профиль пользователя.
Что можно отслеживать (аккуратно и с уважением к приватности):
— скорость ввода данных (человек печатает, бот вставляет блоками);
— порядок, в котором заполняются поля формы;
— типичные устройства и браузеры;
— часовые пояса и время покупок;
— «любимые» категории товаров, средний чек.
Идея: вы храните не только факт «это Иван Петров с этой картой», а его цифровой почерк. Любое сильное отклонение — сигнал.
Пример:
Клиент год покупал с телефона из Москвы по вечерам, средний чек — 4000 ₽. Внезапно ночью идёт заказ на 80 000 ₽ с десктопа из другого города и при этом карта вводится копипастом за 1,5 секунды. Система увеличивает риск-балл и просит дополнительное подтверждение.
Нестандартность здесь в том, что вы не просто «тащите» классические антифрод данные, а используете то, как ведёт себя живой человек.
Нестандартный подход №2: «шумная» проверка вместо жёсткой блокировки
Многие боятся усилить проверку из-за риска отпугнуть честных клиентов. Но проверять можно мягко и даже незаметно.
Вместо того чтобы сразу блокировать транзакцию, можно:
— вводить контрольные «тормоза» для подозрительных заказов (искусственная задержка подтверждения на 2–5 минут);
— добавлять *ненавязчивые* дополнительные поля только при высоком риске;
— спрашивать подтверждение в другом канале (например, пуш в мобильном приложении, а не СМС).
Идея «шумной проверки»: вы не говорите «мы думаем, что вы мошенник», а создаёте условия, в которых мошеннику становится экономически невыгодно продолжать атаку.
Пример:
Бот пытается массово тестировать украденные карты по 50 ₽. Вы добавляете задержку на подтверждение именно для таких микроплатежей при подозрительном поведении. Мошеннику становится дороже и медленнее тестировать карты через ваш сервис, он уходит к более «дырявым» конкурентам.
Нестандартный подход №3: использовать поведение курьеров и логистики
Часто борьба с мошенничеством заканчивается на уровне платежа. Но в офлайн-доставке масса сигналов, которые можно использовать.
Примеры сигналов:
— адреса, в которые курьеры регулярно не могут дозвониться или попасть;
— покупатели, постоянно переносящие доставку или меняющие адрес в последний момент;
— частые отмены «наложки» (оплаты при получении) по конкретным районам.
Нестандартное решение:
— даёте курьерам в приложении быстрые статусы риска («подозрительный получатель», «не совпали данные на двери» и т.п.);
— эти события попадают в антифрод систему;
— в будущем заказы в такие точки обзваниваются заранее или требуют предоплату / дополнительное подтверждение.
Так вы превращаете логистику в ещё один слой защиты интернет-магазина от мошенников, а не просто «службу доставки».
Платёжные шлюзы с защитой от мошенничества: чему верить, а что донастраивать
Многие думают: «у нас же есть платежные шлюзы с защитой от мошенничества, этого достаточно». Нет. У шлюза своя статистика и свой риск-аппетит, а у вашего бизнеса — свои реалии.
Важно понимать:
— шлюз смотрит в первую очередь на риски для себя и банка, а не на ваш товар, вашу маржу и вашу модель;
— шлюз не знает, что для вас «нормально» (средний чек, частота заказов, поведение клиентов), он видит только платежи;
— любые общие антифрод правила неизбежно грубее, чем то, что можно настроить под конкретный бизнес.
Поэтому грамотный подход — использовать встроенные механизмы шлюза как первый фильтр, а сверху накладывать собственные системы предотвращения мошенничества для e-commerce, которые знают вашу аудиторию.
Сравнение подходов: «только шлюз» vs «свой антифрод-слой»
Если описать это в виде текстовой диаграммы сравнения:
— Сценарий 1: только защита шлюза
`Клиент → Сайт → Шлюз (антифрод) → Банк`
Вы почти не влияете на то, какие транзакции рубятся, а какие проходят. Дешево по внедрению, дорого по потерь от фрода и ложных отказов.
— Сценарий 2: свой антифрод перед шлюзом
`Клиент → Сайт (ваш антифрод) → Шлюз → Банк`
Вы заранее фильтруете часть подозрительных действий (откровенный бот-трафик, тестирование карт, аномальные профили). Шлюз видит уже «очищенный» поток и реже включает жёсткую рубку.
Во втором варианте вы экономите на чарджбэках, защищаете репутацию у банков и, что важнее, меньше дёргаете честных клиентов.
Где обычно «дырит» онлайн-магазин
Частые слабые места:
— Простая регистрация без подтверждения телефона или e‑mail.
— Отсутствие лимитов по новым аккаунтам (много заказов сразу после регистрации).
— Слабая защита админки и панели управления заказами.
— Один и тот же уровень проверки для всех платежей, вне зависимости от суммы и риска.
Чтобы не тратить время на очевидное, соберём базовый набор, который должен быть у любого интернет‑проекта:
— верификация Email и телефона при регистрации;
— двухфакторная аутентификация хотя бы для админов и менеджеров;
— ограничения по количеству заказов в единицу времени с одного устройства / IP / аккаунта;
— базовые антибот‑решения (капча, поведенческие фильтры).
А уже поверх этого можно устанавливать более тонкие механизмы.
Парочка нестандартных, но рабочих идей
Вот несколько приемов, которые редко внедряют, хотя они могут сильно помочь:
— Гибкие лимиты по «уровням доверия»
Новый клиент — мало доверия, невысокий лимит и более строгие проверки. Постоянный покупатель с историей и без чарджбэков — выше лимит, меньше трения.
— «Социальный скоринг» контактов
Не путать с соцсетями. Простой пример: e‑mail существует давно, есть в базах легитимных покупок (через партнёрства), домен не одноразовый. Такой контакт априори менее рискованный, чем случайный адрес вида xzv231@randommail.cc.
— Адаптивная форма заказа
Если операция кажется подозрительной, форма «умнеет»: просит больше данных, добавляет подтверждение телефона или спрашивает ИНН для юрлиц. При низком риске — наоборот, форма короче и быстрее.
Сравнение типов антифрода: ручной, правиловый, умный
Чтобы понимать, к чему стремиться, полезно сравнить три типа:
1. Ручной антифрод
Менеджер глазами смотрит заказы «по ощущениям». Это дешево на старте и жизнеспособно до какого‑то объёма, но масштабируется плохо и сильно зависит от конкретных людей.
2. Фиксированные правила
Вы настраиваете: «если больше 3 заказов в день с одного IP — блокировать». Главное достоинство — прозрачность и предсказуемость. Недостаток — мошенники быстро подстраиваются, а под новые схемы приходится дописывать десятки исключений и костылей.
3. Гибридный антифрод (правила + ML + поведение)
Система учится на истории, но вы контролируете общую логику. Такой подход требует больше усилий на старте, зато в долгую лучше балансирует между защитой и конверсией.
В реальной жизни лучший вариант — гибрид: часть правил фиксированная (для грубых аномалий), часть — динамическая и строится на данных.
Практические шаги, которые можно начать делать уже завтра
Чтобы всё вышесказанное не осталось теорией, соберём список конкретных действий:
— Включите и внимательно настройте антифрод решения для онлайн платежей у вашего платежного провайдера, не оставляйте всё «по умолчанию».
— Добавьте в вашу систему логику поведенческого профиля хотя бы на примитивном уровне: устройство, страна, типичный чек, время активности.
— Введите «мягкие проверки» для рискованных сценариев: задержка платежа, допподтверждение, звонок оператора.
— Подключите службу доставки и курьеров как источник «сигналов риска», а не просто исполнителей.
— Периодически пересматривайте правила, ориентируясь на новые кейсы мошенничества, а не живите с набором, который придумали два года назад.
Главная мысль: защита — это не один сервис, а стратегия
Нельзя просто купить магическую «коробку» и считать тему закрытой. Надёжная защита интернет-магазина от мошенников — это:
— комбинация технических решений (антифрод, логирование, шифрование, платежные шлюзы с защитой от мошенничества);
— здравый смысл в бизнес‑процессах (лимиты, уровни доверия, работа с логистикой и поддержкой);
— постоянное развитие — мошенники не стоят на месте, и схема «поставили один раз и забыли» тут не работает.
При этом задача — не превратить оплату в допрос, а сделать так, чтобы честный клиент проходил всё быстро и безболезненно, а мошеннику стало просто невыгодно тратить на вас время. Тогда вы и риски снижаете, и продажи не душите.