Компания F.A.C.C.T., российский разработчик технологий для борьбы с киберпреступлениями, назвала основные способы обхода ограничений ЦБ РФ на уровне банков, которыми пользуются участники нелегального платежного рынка. В сфере “хайриска” находятся нелегальные казино, букмекеры, теневой бизнес, которые задействуют не только P2P-переводы (person-to-person), но развивают целую платежную инфраструктуру с сайтами-витринами, H2H-переводами (Host-to-Host), мискодингом для обхода ограничений со стороны финансовых организаций. По оценкам аналитиков F.A.C.C.T. Fraud Protection, в год в “хайриске” может совершаться более миллиона попыток транзакций через счета дропов (людей, которые занимаются выводом и обналичиванием серых денег), в том числе автоматизировано через боты. Количество операцией со счетами, задействованными в выводе и обналичивании серых денег, вырастает в выходные дни на 15–25%, когда наиболее активны любители азартных игр.
Как отмечают аналитики департамента Fraud Protection компании F.A.C.C.T., рынок серых расчетов быстро адаптируется под меры защиты финансовых организаций от нелегальных схем и запреты регулятора. Схемы проведения операций в запрещенных в РФ казино, нелегальных букмекерских конторах и других теневых структурах эволюционируют в сторону P2P-переводов (person-to-person) с автоматизацией операций в системах дистанционного банковского обслуживания (ДБО) с помощью ботов и специальных инструментов, мискодинга (замены назначения платежей) с использованием сайтов-витрин, редиректов и хешированием доменов в URL браузера. Так, H2H-переводы (Host-to-Host) становятся наиболее важной инфраструктурной частью платежных посредников в проведении высокорисковых операций.
Для финансовых организаций переводы в нелегальные казино и другие сомнительные транзакции приводят к увеличению объемов мошеннической активности в системах ДБО, повышенному вниманию регулирующих органов, а затем и вовсе могут стать причиной отзыва лицензии Центральным Банком РФ.
Устойчивость рынка высокорисковых платежей в большей мере обеспечивается за счет его способности быстро адаптироваться к изменяющимся правилам. Развитие платежных технологий C2C-переводов позволило серому сектору сохранить часть потока карточных переводов в кассу нелегальных ресурсов. Отчасти, даже сыграло на руку — часть платежей проходят по схеме С2А (customer-to-account), что исключает из схемы опротестование транзакций на уровне платежных систем (chargeback), а значит появляется меньше участников платежного рынка.
В классической схеме Р2Р (person-to-person) выступают три основных стороны:
Для клиента такого нелегального ресурса схема выглядит как пополнение счета, где достаточно указать номер банковской карты. На самом деле, за зачислением такого депозита стоит автоматизированный процесс. Через банк-эквайер платеж направляется на карту дропа, относящегося к инфраструктуре платежного посредника. После чего денежные потоки размываются и происходит взаимозачет между платежным посредником и казино. Эквайер в таком случае является наиболее уязвимым звеном.
Во время отзыва лицензии у популярного сервиса электронных кошельков количество переводов на банковские карты подставных лиц (дропов) выросло на 50% относительно среднесуточного количества. Так в феврале этого года было зафиксировано две волны роста числа подобных операций, и в целом их количество было в три раза больше по сравнению с январем.
В этот же период примерно на 50% в объявлениях на теневых ресурсах увеличилась стоимость заказа банковских карт, оформленных на дропов. Если в 2023 году стоимости карты, оформленной на подставное лицо, составляла около 20 тысяч рублей, то в этом году она обойдется уже порядка 30 тысяч рублей. Последнее время такие банковские карты массово регистрируются на приезжих из стран СНГ.
Масштабы серого рынка платежей шире, чем использование P2P-переводов с карты на карту. Часть схем сомнительных операций разработана специально под альтернативные платежные методы, в том числе, электронные кошельки. Популярный способ расчетов предоставляет пользователям и владельцам нелегальных сервисов больше возможностей для проведения транзакций, чем банковские карты. Учитывая тенденцию развития в e-commerce собственных электронных кошельков, увеличивается риск вовлечения новых платежных методов в серые схемы.
Операции Host-To-Host (H2H) содержат минимум информации об отправителе, только реквизит, и не имеют сессионных данных с устройства отправителя. Проверить легитимность подобной операции по реквизиту отправителя практически невозможно, а сервис финансовых услуг (мерчант) может быть заинтересован в мошенничестве или нарушении требований регулятора, то есть фактически выступать в роли кошелька для нелегального бизнеса.
Нелегальные платежи могут скрываться с помощью автоматических переадресаций с одного URL-адреса на другой, то есть редиректов, а также зеркал и хешированных доменов — это один и самых простых путей скрыть платежный трафик. Так развлекательный сайт в интернете может на самом деле оказаться платежной страницей, которая перенаправляет в электронный кошелек.
Поведенческий анализ позволяет системе Fraud Protection обнаружить мискодинг у расчетных каналов банков. Для проведения серых операций финансовые посредники закупают каналы с вполне легитимным номером классификации вида деятельности торговой точки (MCC, Merchant Category Code),например, открывают С2С канал под цветочный магазин или сервис приема чаевых. но на самом деле под ними также редиректы и иные методы сокрытия входящего трафика на платежные формы запрещенных сервисов. Так, в подобных каналах пользователи часто совершают платежи на сумму в 500, 1000, 2000 рублей, которые часто указываются в быстрых кнопках пополнения депозита в сервисах с азартными играми, а также поток операций имеет характерный рост в вечернее время с пиком в 22.00–23.00 по пятницам и субботам.
«У нелегального бизнеса до сих есть много путей, как можно подставить банки перед регулятором и провести незаконную транзакцию. В противодействии незаконным операциям финансовым организациям помогут решения с анализом сессионных и поведенческих данных пользователей. Если говорить про переводы Host-To-Host, решением для банков являются инструменты национального антифрода, которые могут обрабатывать транзакции и оценивать как отправителя, так и получателя платежа в синхронном режиме», – Татьяна Никулина, Аналитик департамента Fraud Protection компании F.A.C.C.T.
Защититься от подобных операций банкам могут помочь антифрод-решения с анализом сессионных и поведенческих данных, а также новые технологии выявления подозрительной активности, способные анализировать как отправителя, так и получателя платежа.
Для оценки риска транзакции и проверки получателя (KYC, know your customer) модули решения F.A.C.C.T. Fraud Protection могут реализовать сбор и обмен как кросс-канальными сессионными данными, в том числе идентификаторов устройств, параметров сетевого подключения, индикаторов компрометации, так и обезличенных персональных и транзакционных данных в режиме реального времени.