12. aprill 2017
Tähelepanu! Artikkel on enam kui 5 aastat vana ning kuulub väljaande digitaalsesse arhiivi. Väljaanne ei uuenda ega kaasajasta arhiveeritud sisu, mistõttu võib olla vajalik kaasaegsete allikatega tutvumine.

Kuidas hoiduda kaardimakse pettustest?

LHV pank ja Eesti interneti kaardimakseid pakkuv ettevõte EveryPay on kokku pannud kaubanduse turvariskide maandamise artiklitesarja avaloos rida hoiatusi ja soovitusi, mida jälgida kaardimaksete turvalisuse tagamiseks e-kaubanduses.

On äärmiselt oluline, et kaupmehed teaksid, kuidas ennast kaitsta ja kaardimaksepettusi vältida. Kuigi kaardimaksepettused on levinud ka veebikaubanduses, on nüüdseks võetud seal kasutusele üsna palju pettuste ennetamise meetodeid. Üks neist on 3D Secure-autentimine, mida võib võrrelda traditsioonilises kaubanduses maksekaardi PIN-koodi sisestamisega.

Veebipoe makselahenduste loomise üks peamisi pidepunkte, millest alustada, on aga kaardimaksete teenusepakkuja valimine. “Soovitan kindlasti eelistada sellist pakkujat, kes suudab tagada turvalised maksed, kellel on parimad vahendid pettuste tõkestamiseks, kes arendab ennast pidevalt ja hoiab lahenduse nüüdisaegsena. Need on nõuded, alla mille ei tasu kaupmehel latti seada, et vältida ebaturvalise ostukoha kuvandi tekkimist,” annab nõu LHV kaardimaksete tootejuht Indrek Kaljumäe.

Pahavaraga nakatamine

Veebipoodide nakatamine pahavaraga ja sellega seotud probleemid on veel üks riskitegur. Rünnakute põhilised sihtmärgid on e-poed, mis kasutavad avatud koodiga tarkvara. Ründajate levinuim meetod on see, et nad kasutavad pahavara paigaldamiseks teadaolevaid turvaauke. Pahavara lisab lehele JavaScripti koodi, mis edastab makse sooritamise ajal vormi andmed ka kolmandale osapoolele.

Paljude kaardimakseplatvormide – näiteks kodumaise EveryPay lahenduse puhul – on selline andmete varastamine välistatud ning neid platvorme kasutavate veebipoodide kliendid on rünnakute eest kaitstud. Muid lahendusi kasutavad e-poed peaksid jälgima, et kõik vajalikud uuendused oleksid paigaldatud ja paroolid turvalised. Samuti tuleks lasta teha ründeteste.

Veebipoe kaitse lisaks turvalise platvormi kasutamisele

Kaardimaksete lahenduste ettevõtte EveryPay tegevjuht Lauri Teder annab põhilised soovitused, kuidas tagada veebipoe kaitse siis, kui turvaline platvorm on juba kasutusel.

Kasutada SSL-sertifikaate, mis kaitsevad kliendiandmete varastamise eest. Mitte salvestada tundlikke andmeid, näiteks krediitkaardi kehtivusaegu ega CVV2-koode. Piisab sellest, kui kaupmees säilitab need andmed, mida läheb vaja kliendile raha tagastamiseks.Nõuda klientidelt keerulisemaid paroole, mis sisaldavad nii numbreid kui ka tähti, nii suuri kui ka väikseid tähti.Paigaldada häiresüsteem, mis annaks automaatselt märku, kui tuvastab kahtlase aktiivsuse.Kaitsta veebipoe kõiki sektsioone (registreerimisvormid, otsingumootorid, sisselogimiskastid jm) lisatulemüüridega.Regulaarselt kontrollida süsteemi turvalisust, mis aitaks kiirelt märgata ebatavalist aktiivsust ja viiruseid. Nõuda sama ka platvormi pakkujalt.Kasutada kõikide programmide uusimaid versioone ja uuendada neid pidevalt.Kasutada pilvepõhist DDoS-kaitset.

Kaardiandmete varastamine

Kõige levinum pettuse liik e-kaubanduses on varastatud kaardiandmete kasutamine. Kaardiandmeid võivad kurjategijad kopeerida sularahaautomaadis või teenindusettevõtte makseterminalis (sagedasemad kohad võivad olla restoranid, baarid ja hotellid). Levinud on ka võltsankeetidega petukirjad, milles küsitakse kinnitamiseks kaardiandmeid. Sellele lisanduvad kaardi füüsiline vargus või isikuandmete ülevõtmine.

Varastatud kaardiandmeid kasutatakse seejärel nii ostude sooritamiseks enda tarbeks kui ka saadud kauba edasimüümiseks. Selliste petuskeemide või pettusekahtlusega tehingute tuvastamiseks tuleks jälgida riskinäitajaid. Kui on märgata suurt hulka tehinguid, mis teostatakse sama IP- või e-posti aadressi ja kaardinumbriga, võib kahtlustada, et tehingute taga on pettur, kes soovib enda kasutuses oleva kaardinumbri võimalikult kiiresti kaubaks teha. Sageli ostab pettur ühe tellimusega hulgaliselt sama toodet.

Kahtlusi peaks äratama veel suur tehingusumma, mis erineb tavaostudest. Pettur on valmis ostudeks “investeerima” tunduvalt rohkem raha kui aus kaardikasutaja.

Kuna petturi huvi on kaup võimalikult ruttu kätte saada (olenemata kohaletoimetamiskuludest), on riskirühmas ka kohaletoimetamise ekspressteenuse kasutamine, mis on kiirem ja kallim.

Jälgima peab aadresside erinevust või ebatavalisust. Tarneaadress erineb arveldusaadressist, ostja asukohariik erineb arveldusaadressist või kaardi väljaandja riigist, kasutatakse kehtetut e-posti aadressi – kõik need asjaolud viitavad petuskeemidele.

Kui harilikult sisaldab e-posti aadress kliendi ees- ja perekonnanime, siis petturid kasutavad aadressis tihti suvalisi sümboleid. Tähelepanu tuleks pöörata ka sagedastele kõnedele klienditoele: pettur soovib kauba võimalikult kiiresti kätte saada, mistõttu kontrollib ta tehingu ja saadetise staatust ebatavaliselt sageli.

Kaupmees peab olema hoolikas ja oma tehinguid jälgima. Tema ülesanne on veenduda, et tehingu dokumentatsioon oleks korras, võimaluse korral tuleks kahtlasi oste ja ostjaid kontrollida. Just kahtlaste tehingute kontrollimiseks võimaldab osa makselahenduste pakkujaid, nagu ka kodumaine ettevõte EveryPay, tööriistu, millega on võimalik tõsta kahtlasena tunduvaid tehinguid esile.

Pahatahtlikud tagasinõuded ja vaidlustused

Kui tarbija jaoks on internetis poodlemise suurim risk jääda ilma ostetud kaubast, siis e-kaupmehe jaoks on suurim peavalu tehingute pahatahtlik vaidlustamine. Vaidlustamise tõttu kaotab kaupmees negatiivse stsenaariumi korral nii raha kui ka toote ning on lisaks kohustatud maksma vaidlustuse tasu. Selle petuskeemi modus operandi on tegelikult teostatud tehingu järjekindel eitamine. Tehingu teostaja ei pruugi seejuures tõesti olla kaardiomanik ise, vaid näiteks mõni pereliige, kellel oli kaardile juurdepääs.

“Kui ostutehingu käigus on ilmnenud reaalne probleem ja kaupmees otsustab kliendile tehingu raha tagastada, tuleb sama kaardimakse tagastada. Tänapäevastes kaardimaksesüsteemides saab kaupmees raha tagastamise ise mugavalt korraldada,” ütleb Lauri Teder. Pangaülekandega või sularahas raha tagastamine võib pahatahtliku skeemi korral tuua kaasa aga uusi vaidlusi. Kui klient peaks näiteks pärast raha tagasisaamist väitma, et summa pole temani jõudnud, on seda kaarditehingu korral lihtne ja kiire tõestada.

Üks levinud pettuseliik on tehingu vaidlustamise õiguse pahatahtlik kuritarvitamine. Teatud juhtudel tagab sellises olukorras kaitse 3D Secure-autentimine, kuid mitte alati. Seetõttu tuleb iga tehingu kohta koguda võimalikult palju andmeid: logid, kliendi nõusoleku kinnitused ostu sooritamisel, elektroonne kirjavahetus ja e-teavitused, kauba saatmist ja kättesaamist kinnitavad dokumendid, allkirjastatud kullerikviitungid jne. Pahatahtliku vaidlustuse korral aitavad sellised andmed pangale tõestada, et tehing kindlasti toimus ja ostja sai tasutud kauba kätte.

Sama skeemi alla võib paigutada kliendid, kes ei ole saadud toote või teenusega rahul. Neil ei pruugi küll kauba kvaliteedi ja vaidlustuse suhtes õigus olla, kuid kuna tagasinõudega kaasneb alati lisakulu, siis tasub tagasimaksete korra reeglid läbi mõelda. Võimaluse korral tuleks kehtestada summa piir, mille korral pretensiooniga nõustumine ja tagastamine kaalub üles tagasinõudekulud.

Lisaks nimetatud petuskeemidele võib tagastuse küsimisel olla veel kaks kuritahtlikku stsenaariumi: tagastust küsitakse varastatud kaardiga sularahas tehtud tehingu eest või väidetavalt tagastatud kauba eest, mida tegelikult pole tagastatud või mis tagastati osaliselt. Nende petuskeemide ärahoidmiseks on jälle oluline kehtestada kindel tagasimaksekord (näiteks mitte teha tagasimakseid sularahas) ja teavitada kliente reeglitest.

Peamised meetodid pettuste ärahoidmiseks:

kaardiomaniku tuvastamine – CVC2-kontroll, programmi “Turvalised kaardimaksed internetis” (3DS) kasutamine;tehingute monitooring ja reeglite kehtestamine ebasoovitavate tehingute tagasilükkamiseks;kahtluse korral kauba mitteväljastamine ning tehingu tühistamine või tagastamine;kliendiga ühenduse võtmine nii andmete kontrollimiseks kui ka probleemide lahendamiseks ning võimalike tagasinõuete vältimiseks;selge tagasimaksete korra kehtestamine.

Kaubanduse turvariskide maandamise sarja järgmine artikkel räägib makseterminalidest.

Liitu Kaubanduse uudiskirjaga!
Liitumisega nõustud, et Äripäev AS kasutab sinu e-posti aadressi sulle uudiskirja saatmiseks. Saad nõusoleku tagasi võtta uudiskirjas oleva lingi kaudu. Loe oma õiguste kohta lähemalt privaatsustingimustest
Liitu Kaubanduse uudiskirjaga!
Liitumisega nõustud, et Äripäev AS kasutab sinu e-posti aadressi sulle uudiskirja saatmiseks. Saad nõusoleku tagasi võtta uudiskirjas oleva lingi kaudu. Loe oma õiguste kohta lähemalt privaatsustingimustest
Maarit EermeKaubandus.ee juhtTel: 514 4884
Cätlin PuhkanKaubandus.ee turunduslahenduste müügijuhtTel: 5331 5700
Merit VõigemastKaubandus.ee toimetajaTel: 5471 0757