Предотвращение мошенничества с платежами: что работает, а что — лишь видимость.
Два платежных приложения, одна и та же угроза, противоположные результаты. С одной стороны — Cash App, чья материнская компания была обязана выплатить 175 миллионов долларов в начале 2025 года за то, как она обрабатывала заявления клиентов о мошенничестве. С другой — PayPal , через который в том году прошло более триллиона долларов, и при этом уровень убытков оставался на уровне около 0,08% от объема. Оба приложения сталкиваются с одними и теми же мошенниками, одними и теми же украденными картами, одними и теми же скриптами социальной инженерии. Так почему же одно приложение оказалось в пресс-релизе регулятора, а другое — в сноске к отчету о доходах?
Проблема не в бюджете. Проблема в том, на какие меры контроля делает ставку каждая компания. Большая часть того, что выдается за предотвращение мошенничества с платежами, — это показуха: это выглядит обнадеживающе, занимает слайд и практически ничего не предотвращает. Реальную работу выполняют несколько мер контроля. PayPal и Cash App — это наглядный пример того, как можно отличить одну компанию от другой, потому что в их случае оценку проводил регулятор. Это рабочий сценарий того, что работает, а что незаметно терпит неудачу.
Во сколько обходится экономике мошенничество с платежами сегодня?
Главные цифры настолько впечатляющие, что от них можно потерять голову. По данным сети Consumer Sentinel Network Федеральной торговой комиссии США , в 2024 году американцы потеряли 12,5 миллиардов долларов из-за мошенничества, что на 25% больше, чем годом ранее. Мировой ущерб от мошенничества с банковскими картами достиг 33,41 миллиарда долларов, и на Соединенные Штаты пришлось примерно 42% этих потерь при объеме операций с картами, составляющем около четверти от общего объема операций в мире.
Более важный факт скрывается за общими цифрами: куда на самом деле утекают деньги. Двумя основными способами оплаты по зафиксированным убыткам стали банковские переводы (2,09 млрд долларов) и криптовалюта (1,42 млрд долларов) — а не карты. Это не совпадение. Эти системы были созданы для быстрого перемещения денег, без встроенного механизма возврата средств. Карточные сети имеют многолетнюю систему разрешения споров. В случае переводов между счетами такой системы обычно нет. Мошенничество следует по пути наименьшей обратимости.
| Метрика (последняя) | Фигура | Источник |
|---|---|---|
| В США зафиксированы убытки от мошенничества в 2024 году. | 12,5 млрд долларов (+25% в годовом исчислении) | FTC Consumer Sentinel |
| Наиболее уязвимый метод: банковские переводы. | 2,09 млрд долларов США | Федеральная торговая комиссия, 2024 |
| Криптовалютные потери | 1,42 млрд долларов США | Федеральная торговая комиссия, 2024 |
| Глобальные потери от мошенничества с банковскими картами, 2024 год | 33,41 млрд долларов США | Отчет Нильсона |
| Доля США в мировом мошенничестве с банковскими картами | ~42% (при объеме ~26%) | Отчет Нильсона |
Наиболее распространенные виды мошенничества с платежами, ранжированные по типу плательщика.
В каждом руководстве по борьбе с мошенничеством вам предлагают один и тот же список из десятка типов атак. Гораздо полезнее отсортировать их по тому, кто в итоге понесет убытки, потому что именно это определяет, стоит ли вам беспокоиться. Распространенные виды мошенничества с платежами распределяют убытки неравномерно.
Мошенничество с использованием электронной почты и авторизованных платежей занимает первое место, поскольку обманом заставляет жертву отправлять деньги самостоятельно, и обычно жертва не может их вернуть. По данным UK Finance, только за первое полугодие 2025 года мошенничество с платежами достигло 257,5 млн фунтов стерлингов, что на 12% больше, чем годом ранее. Далее следует захват аккаунта: мошенник получает доступ к реальному аккаунту и опустошает его, а это значит, что законному владельцу приходится доказывать, что это был не он. Мошенничество с банковскими картами широко распространено, но для потребителей в основном компенсируется эмитентом посредством возврата платежей. Затем есть мошенничество по принципу «дружеского клиента», когда реальный клиент оспаривает реальную покупку — по оценкам, на него приходится от 75% до 79% возвратов платежей в электронной коммерции, и продавец платит. Мошенничество с использованием дипфейков и клонирования голоса — это новый вид мошенничества, сегодня небольшой по сумме, но быстро набирающий обороты. Схема проста: чем менее обратимым является способ оплаты, тем больше жертва мошенничества оказывается в руках человека, наименее способного его компенсировать.
Cash App: пример успешного предотвращения мошенничества.
Если вы хотите увидеть, как выглядит показная защита от мошенничества в масштабах предприятия, посмотрите на Cash App. К моменту вмешательства регулирующих органов у компании было около 56 миллионов активных аккаунтов и удобное, интуитивно понятное приложение. Чего ей не хватало, так это неприглядного механизма, скрывающегося за экраном: реальных расследований, работающей телефонной линии и какого-либо ощущения, что несанкционированный перевод — это проблема, которую компания должна решить.
Что на самом деле обнаружили регулирующие органы?
В январе 2025 года Бюро по защите прав потребителей финансовых услуг (CFPB) обязало компанию Block, материнскую компанию Cash App, выплатить 175 миллионов долларов — 120 миллионов долларов пострадавшим пользователям и штраф в размере 55 миллионов долларов . Текст решения стоит прочитать внимательно. CFPB заявило, что компания использовала «намеренно некачественные методы расследования», чтобы закрывать сообщения о мошенничестве в свою пользу. Клиенты, звонившие на линию по борьбе с мошенничеством, слышали неработающие, предварительно записанные сообщения; годами вообще не было возможности связаться с живыми операторами. В том же месяце коалиция из 48 государственных регуляторов добавила отдельный штраф в размере 80 миллионов долларов за нарушения в борьбе с отмыванием денег. Общая сумма ущерба: примерно 255 миллионов долларов. Всё это не было связано с хитрыми хакерами. Речь шла о компании, которая решила, что отвечать на телефонные звонки — это необязательно.
Почему необратимые P2P-передачи являются структурным недостатком
В основе истории с обеспечением соблюдения закона лежит продуманный дизайн. Cash App переводит деньги со счета на счет, как наличные. После того, как деньги переведены, нет платежной системы, которая могла бы это сделать. Это хорошо, пока кого-то не обманут или не взломают, и тогда модель «это как наличные» превращается в «вы остаетесь один на один со своими проблемами». Федеральный закон (Положение E) фактически требует от банков и платежных приложений расследовать несанкционированные электронные переводы и компенсировать пользователям убытки. Я постоянно возвращаюсь к тому, насколько обычным был этот сбой: не нарушение, а просто решение рассматривать несанкционированные переводы как проблему клиента. CFPB назвало это решение нарушением.
Как на самом деле работает система обнаружения мошенничества PayPal.
PayPal — это естественный пример того, что работает, но маркетинговая версия неверна. PayPal не застрахован от мошенничества, и притворство скрывает истинный урок. Собственная отчетность компании показывает, что в 2025 году потери от транзакций и кредитов составили 1,72 миллиарда долларов, что на 19% больше, чем годом ранее. Мошенничество в PayPal процветает. Разница лишь в том, что происходит дальше.
Защита покупателя и продавца как обратимый механизм
PayPal предусмотрел возможность отмены транзакции, чтобы защитить обе стороны сделки. Для соответствующих покупок действует защита покупателя, а продавцы получают собственную защиту, дополненную процедурой разрешения споров и рассмотрения претензий. В случае мошенничества система часто может вернуть покупателю деньги или отменить транзакцию, вместо того чтобы оставить его в безнадежной ситуации. Именно этого уровня защиты не хватало Cash App. Кроме того, это дорогостоящая, медленная и нестабильная система, и PayPal получает множество жалоб на нее. Но «разочаровывающий процесс разрешения споров» и «неработающая телефонная линия» — это не одна и та же категория неудач.
Оценка рисков с помощью машинного обучения в момент совершения транзакции.
Второй уровень — это обнаружение. PayPal оценивает транзакции в режиме реального времени по сотням сигналов — устройство, местоположение, история, скорость, поведение — чтобы выявить подозрительные транзакции до того, как деньги начнут перемещаться. Главный результат — уровень потерь, который держится на уровне около 0,08% от общего объема платежей, что близко к рекордно низкому показателю, даже несмотря на то, что абсолютные потери растут с увеличением масштаба. Если сопоставить эти две цифры, получится честная версия: больший объем означает больше мошеннических денег, но адаптивная оценка удерживает уровень потерь на низком уровне. Система не волшебная. Она просто поддерживается.
Что работает: передовые методы, позволяющие сократить мошенничество
Так что же на самом деле влияет на эти показатели? Отбросив презентации поставщиков, можно увидеть, что механизмы, действительно предотвращающие мошенничество, кратки и скучны. Их объединяет одна общая черта: они адаптируются или добавляют вторую независимую проверку, вместо того чтобы полагаться на один-единственный статичный механизм.
Многофакторная аутентификация — это самый дешевый и эффективный способ контроля. Microsoft сообщила, что MFA блокирует более 99,9% попыток автоматического взлома учетных записей, и что почти все взломанные учетные записи никогда не включали ее. Оценка транзакций с помощью машинного обучения, идентификация устройств по отпечаткам пальцев и поведенческая биометрия выявляют закономерности, которые не обнаруживаются стандартными правилами; один банк сообщил о сокращении потерь от мошенничества примерно на 35% после внедрения поведенческой аналитики, хотя эта цифра предоставлена поставщиком и должна рассматриваться как ориентировочная, а не как истина в последней инстанции. Надежная аутентификация клиентов с помощью 3D Secure 2 добавляет этап проверки при платежах по картам; это влечет за собой определенные издержки (примерно каждая пятая попытка аутентификации завершается неудачей), но это перекладывает ответственность и предотвращает реальную долю использования украденных карт. Проверки «Знай своего клиента» при регистрации и ограничения скорости транзакций завершают этот список.
| Контроль | Что это останавливает | Доказательство | Вердикт |
|---|---|---|---|
| Многофакторная аутентификация | захват аккаунта | Блокирует более 99,9% автоматизированных атак (Microsoft) | Работы |
| Машинное обучение / поведенческая оценка | Аномальные транзакции | Уровень потерь по модели PayPal составляет около 0,08%. | Работы |
| 3-D Secure 2 / SCA | Использование украденной карты | Перекладывание ответственности; примерно каждый пятый отказывается от своих обязательств. | Работает за счет трения. |
| Идентификация устройства по отпечатку | Мошенники-рецидивисты | Сигнал, соответствующий отраслевому стандарту | Работы |
| Проверка личности клиента (KYC) при регистрации нового сотрудника. | Синтетические идентичности | Нормативно-правовой базовый уровень | Работы |
Театрализованная система безопасности: неэффективная защита от мошенничества
Теперь о расточительных мерах, о средствах контроля, которые создают впечатление защиты от мошенничества, но практически ничего не дают. Хуже всего обстоят дела с контрольными вопросами. Ответы (девичья фамилия вашей матери, имя вашего первого питомца) легко угадать, получить путем сбора или взлома, а американский стандарт NIST официально запрещает аутентификацию на основе знаний в качестве допустимого фактора входа в систему. Это не «добавляет дополнительный уровень», а добавляет ложный.
Следующая ловушка — одноразовые SMS-коды. Они похожи на многофакторную аутентификацию, но используют номер телефона, который злоумышленник может украсть, заменив SIM-карту . Исследования показывают, что в 80% случаев такая операция проходит с первой попытки; только в 2024 году ФБР зафиксировало убытки от замен SIM-карт на сумму около 26 миллионов долларов. Кроме того, существуют статические, основанные только на правилах системы, которые никогда не обучаются, и медленные очереди ручной проверки, позволяющие мошенничеству быть раскрытым до того, как его проверит человек. Самый дорогостоящий трюк — это тот, которому нас научил Cash App: сделать переводы необратимыми по умолчанию и назвать это скоростью. Инженеры склонны рассматривать обратимость как препятствие, которое нужно устранить на этапе проектирования. Для жертвы же это и есть вся суть.
Мошенничество с захватом аккаунта: где происходит разделение моделей
Мошенничество с захватом учетных записей — это наиболее наглядный пример проверки всей этой ситуации, поскольку обе компании сталкиваются с одной и той же атакой: преступник получает учетные данные реального пользователя и пытается перевести деньги. Одинаковые входные данные, совершенно разные выходные.
Что касается предотвращения, то контрмеры хорошо отработаны: внедрение надежной многофакторной аутентификации (а не SMS-кодов), отслеживание поведенческих сигналов для входа в систему, не соответствующего владельцу, и ограничение подозрительной скорости транзакций. Но профилактика всегда дает сбой, и второй вопрос заключается в том, что происходит, когда это случается. Процесс отмены и разрешения споров в PayPal дает взломанному пользователю возможность вернуться. Историческая позиция Cash App, согласно которой несанкционированный перевод был проблемой пользователя, оставила их в тупике, что и превратило инцидент с безопасностью в дело о взыскании 175 миллионов долларов. Та же самая афера, противоположный исход, решенный выбором политики, а не фрагментом кода.
| Передний | PayPal | Cash App (до 2025 года) |
|---|---|---|
| Денежная модель | С обратной стороны картонная подложка, двусторонняя | Между счетами, необратимо |
| Когда случается мошенничество | Защита покупателя/продавца, процедура разрешения споров. | Рассматривается как проблема пользователя. |
| Обнаружение | Оценка рисков с помощью машинного обучения в реальном времени | Ограниченная, ориентированная на рост |
| Поддержка по борьбе с мошенничеством | Процесс рассмотрения претензий (медленный, но реальный) | Телефонная линия не работала годами |
| Регуляторная запись | В отчетности указан уровень убытков около 0,08%. | Постановление CFPB на сумму 175 млн долларов, штраф штата в размере 80 млн долларов. |
Как реагировать на мошенничество после его совершения
Обнаружение — это только половина дела; реакция — это та половина, которую фактически оценивают регулирующие органы. Когда несанкционированный перевод проскальзывает, в соответствии с американским Положением E для платежных приложений, действует следующее правило: незамедлительно провести расследование и компенсировать пользователю убытки, если перевод был несанкционированным. Это означает реальное расследование, доступность специалиста и ограниченное время. Ущерб, нанесенный Cash App в размере 175 миллионов долларов, не имел никакого отношения к взлому. Речь шла о том, как компания отреагировала впоследствии или отказалась это сделать. Необходимо выстраивать ответную реакцию, а не просто создавать барьер.
Тенденции в сфере мошенничества: куда движется профилактика
Следующий этап — гонка вооружений, в которой обе стороны используют одно и то же оружие. Генеративный ИИ является движущей силой наиболее быстрорастущего вектора атак: по прогнозам Deloitte, потери от мошенничества с использованием ИИ в США вырастут с 12,3 млрд долларов в 2023 году до примерно 40 млрд долларов к 2027 году, а по оценкам экспертов отрасли, к 2025 году ущерб от мошенничества с использованием дипфейков достигнет миллиардов долларов. Эта же технология также обеспечивает лучшую защиту. В отчете Нильсона говорится, что ИИ создал самые сильные модели борьбы с мошенничеством, которые когда-либо были в карточной индустрии. Побеждает тот, кто быстрее совершенствует модели, именно поэтому статические системы защиты обречены, а адаптивные — нет.
Что это означает для предотвращения мошенничества с платежами?
Урок от PayPal и Cash App не в том, чтобы «тратить больше на технологии». Обе компании потратили немало. Выигрышная ставка узкая и неброская: обратимость, подотчетность и несколько механизмов контроля, которые адаптируются, а не притворяются. Театральность дешевле, пока регулятор не оценит её в 175 миллионов долларов. Поэтому проведите аудит своей системы, сравнив её с таблицей выше, и задайте единственный важный вопрос. Если вы не можете отменить мошеннический перевод или ответить на звонок, когда клиента ограбили, у вас нет защиты от мошенничества с платежами. У вас есть логотип.
