Запобігання шахрайству з платежами: що працює, а що не так
Два платіжні додатки, та сама загроза, протилежні результати. В одному кутку – Cash App, материнській компанії якої на початку 2025 року було наказано виплатити 175 мільйонів доларів за те, як вона розглядала заяви про шахрайство з боку клієнтів. В іншому – PayPal , який того року переміг понад трильйон доларів і все ще зберіг рівень збитків близько 0,08% від обсягу. Обидва стикаються з тими ж шахраями, тими ж викраденими картками, тими ж сценаріями соціальної інженерії. То чому один потрапив до прес-релізу регулятора, а інший – до примітки до звіту про прибутки?
Розрив не в бюджеті. Йдеться про те, на які засоби контролю робить ставку кожна компанія. Більшість того, що видає за запобігання шахрайству з платежами, є театром: це виглядає обнадійливо, заповнює слайд і майже нічого не зупиняє. Фактичну роботу виконує кілька засобів контролю. PayPal та Cash App є чистим природним експериментом для розрізнення цих двох систем, оскільки в їхньому випадку регулятор зробив оцінку за нас. Це робочий посібник з того, що витримує, а що тихо провалюється.
Скільки зараз коштує економіці шахрайство з платежами
Цифри заголовків достатньо великі, щоб заціпеніти. Американці повідомили про втрати в 2024 році через шахрайство у розмірі 12,5 мільярда доларів, що на 25% більше за один рік, згідно з даними мережі Consumer Sentinel Network Федеральної торгової комісії (FTC) . Шахрайство з картками у світі сягнуло 33,41 мільярда доларів, і Сполучені Штати понесли приблизно 42% цих збитків, що становить приблизно чверть світового обсягу карткових операцій.
Більш корисний факт ховається під загальними сумами: куди насправді витікають гроші. Двома найбільшими способами оплати за кількістю зареєстрованих втрат були банківські перекази (2,09 мільярда доларів) та криптовалюта (1,42 мільярда доларів), а не картки. Це не випадковість. Ці рейки були створені для швидкого переміщення грошей вперед, без вбудованого способу їх повернення. Карткові мережі мають за плечима десятиліття механізмів вирішення суперечок. Перекази з рахунку на рахунок зазвичай не мають жодних. Шахрайство йде шляхом найменшої оборотності.
| Метрика (остання) | Фігура | Джерело |
|---|---|---|
| Збитки від шахрайства, зафіксовані у США, 2024 рік | 12,5 млрд доларів США (+25% у порівнянні з аналогічним періодом минулого року) | Споживчий страховий орган Федеральної торгової комісії (FTC) |
| Метод найбільших збитків: банківські перекази | 2,09 млрд доларів США | Федеральна торгова комісія, 2024 |
| Збитки від криптовалют | 1,42 млрд доларів США | Федеральна торгова комісія, 2024 |
| Глобальні втрати від шахрайства з картками, 2024 | 33,41 млрд доларів США | Звіт Нільсона |
| Частка США у світовому шахрайстві з картками | ~42% (при ~26% об'єму) | Звіт Нільсона |
Поширені типи шахрайства з платежами, ранжовані за тим, хто платить
Кожен посібник з шахрайства надає вам один і той самий простий список із десятка типів атак. Корисніше сортувати їх за тим, хто фактично несе збитки, оскільки саме це вирішує, чи варто вам звертати на це увагу. Поширені типи шахрайства з платежами не розподіляють біль рівномірно.
Компрометація ділової електронної пошти та авторизовані push-платежі посідають чільне місце, оскільки вони обманом змушують жертву самостійно надіслати гроші, і жертва зазвичай не може їх повернути. UK Finance зафіксувала шахрайство з push-платежами на суму 257,5 мільйонів фунтів стерлінгів лише за першу половину 2025 року, що на 12% більше, ніж роком раніше. Далі йде захоплення облікового запису: шахрай отримує доступ до реального рахунку та зливає з нього кошти, що означає, що законний власник повинен довести, що це був не він. Шахрайство з картками поширене, але для споживачів здебільшого поглинається емітентом через зворотні платежі. Також існує дружнє шахрайство, коли реальний клієнт оскаржує реальну покупку — воно призводить приблизно до 75%-79% зворотних платежів в електронній комерції, а платить продавець. Deepfake та шахрайство з клонуванням голосу — це новий вид шахрайства, невеликий у доларах сьогодні, але швидко зростаючий. Закономірність проста: чим менш оборотний спосіб оплати, тим більше шахрайства потрапляє до людини, яка найменше здатна його сприйняти.
Cash App: тематичне дослідження в театрі запобігання шахрайству
Якщо ви хочете побачити, як виглядає театр запобігання шахрайству в масштабах, зверніть увагу на Cash App. На момент приходу регуляторів у нього було близько 56 мільйонів активних облікових записів і стильний, зручний додаток. Чого в нього не було, так це невиразного механізму за екраном: реальних розслідувань, робочої телефонної лінії та будь-якого відчуття, що несанкціонований переказ коштів – це проблема компанії, яку вона має вирішити.
Що насправді виявили регулятори
У січні 2025 року Бюро фінансового захисту споживачів зобов'язало Block, материнську компанію Cash App, виплатити 175 мільйонів доларів — 120 мільйонів доларів — постраждалим користувачам та штраф у розмірі 55 мільйонів доларів . Варто читати формулювання цього рішення повільно. CFPB заявило, що компанія використовувала «навмисно неякісні методи розслідування», щоб закрити повідомлення про шахрайство на свою користь. Клієнти, які телефонували на лінію шахрайства, отримували «мертве», попередньо записане повідомлення; роками взагалі не було жодних живих агентів, з якими можна було б зв'язатися. Того ж місяця коаліція з 48 державних регуляторів додала окремий штраф у розмірі 80 мільйонів доларів за провали у боротьбі з відмиванням грошей. Загальний ризик: приблизно 255 мільйонів доларів. Жодна з цих причин не стосувалася хитрих хакерів. Йшлося про компанію, яка вирішила, що відповідати на телефонні дзвінки необов'язково.
Чому незворотні P2P-перекази є структурним недоліком
За історією правозастосування стоїть вибір дизайну. Cash App переміщує гроші з рахунку на рахунок, як готівку. Як тільки вони зникають, немає жодної карткової мережі, яка б могла їх повернути. Це нормально, доки когось не обдурять або не зламають, і тоді модель «це як готівка» перетворюється на «ви самі по собі». Федеральний закон (Положення E) фактично вимагає від банків та платіжних додатків розслідувати несанкціоновані електронні перекази та виправляти користувачів. Я постійно повертаюся до того, наскільки звичайною була ця помилка: не порушення, а лише рішення розглядати несанкціоновані перекази як проблему клієнта. CFPB назвала це рішення порушенням.
Як насправді працює система виявлення шахрайства в PayPal
PayPal — це природний приклад «того, що працює», але маркетингова версія хибна. PayPal не є повністю вільним від шахрайства, і вдавання, що це не так, приховує справжній урок. Його власні звіти показують втрати від транзакцій та кредитів у розмірі 1,72 мільярда доларів у 2025 році, що на 19% більше, ніж роком раніше. Шахрайство живе та процвітає всередині PayPal. Різниця полягає в тому, що відбувається далі.
Захист покупця та продавця як шар оборотності
PayPal вбудував у продукт функцію зворотності, щоб захистити обидві сторони транзакції. Відповідні покупки мають Захист покупців, а продавці отримують власне покриття з процесом розгляду спорів та претензій на вершині. У разі шахрайства система часто може повернути покупцеві кошти або скасувати транзакцію, а не залишити його без уваги. Це саме той рівень, якого бракувало Cash App. Він також дорогий, повільний і сповнений крайніх випадків, і PayPal отримує багато скарг на нього. Але «розчаровуючий процес розгляду спорів» та «недіюча телефонна лінія» – це не одна й та сама категорія невдачі.
Оцінка ризиків машинного навчання під час транзакції
Другий рівень – це виявлення. PayPal оцінює транзакції в режимі реального часу за сотнями сигналів – пристрій, місцезнаходження, історія, швидкість, поведінка – щоб позначити ті, що мають підозри, перш ніж гроші перемістяться. Головним результатом є рівень збитків, який коливається поблизу 0,08% від загального обсягу платежів, що близько до рекордно низького рівня, навіть попри те, що абсолютні збитки зростають із масштабом. Прочитайте ці два числа разом, і ви отримаєте чесну версію: більший обсяг означає більше шахрайських грошей, але адаптивне скорингове стримує рівень. Система не магія. Вона просто підтримується.
Що працює: найкращі практики, що зменшують шахрайство
То що ж насправді змінює число? Якщо забрати колоди продавців, то елементи керування, які дійсно запобігають шахрайству, стануть короткими та нудними. У них є одна спільна риса: вони адаптуються або додають другу незалежну перевірку, замість того, щоб довіряти єдиним статичним воротам.
Багатофакторна автентифікація – це найдешевший високоефективний контроль. Microsoft повідомила, що багатофакторна автентифікація блокує понад 99,9% автоматичних спроб компрометації облікового запису, і що майже всі скомпрометовані облікові записи ніколи не вмикали її. Машинне навчання, оцінка транзакцій, зняття відбитків пальців пристроїв та поведінкова біометрія виявляють закономірності, які пропускають фіксовані правила; один банк повідомив про скорочення збитків від шахрайства приблизно на 35% після впровадження поведінкової аналітики, хоча ця цифра є показником, наданим постачальником, і її слід сприймати як орієнтовну, а не як євангельську. Надійна автентифікація клієнтів за допомогою 3-D Secure 2 додає етап перевірки до карткових платежів; вона несе певні витрати (приблизно кожна п'ята спроба автентифікації не завершується), але вона перекладає відповідальність і зупиняє реальну частку використання викрадених карток. Перевірки «Знай свого клієнта» під час реєстрації та обмеження швидкості доповнюють список.
| КОНТРОЛЬ | Що це зупиняє | Докази | Вердикт |
|---|---|---|---|
| Багатофакторна автентифікація | Захоплення облікового запису | Блокує >99,9% автоматизованих атак (Microsoft) | Твори |
| ML / поведінкове оцінювання | Аномальні транзакції | Рівень втрат у стилі PayPal становить близько 0,08% | Твори |
| 3-D Secure 2 / SCA | Використання викраденої картки | Зміна відповідальності; ~1 з 5 відмовляється | Працює з тертям |
| Зняття відбитків пальців пристрою | Зловмисники-рецидивісти | Сигнал галузевого стандарту | Твори |
| KYC під час реєстрації | Синтетичні ідентичності | Базовий рівень нормативних актів | Твори |
Театр безпеки: захист від шахрайства, який не спрацьовує
А тепер про марнотратство бюджету, про засоби контролю, які виглядають як захист від шахрайства, але майже нічого не дають. Найгіршим винуватцем є питання безпеки. Відповіді (дівоче прізвище вашої матері, ваш перший домашній улюбленець) можна вгадати, скопіювати або пошкодити, а американський орган зі стандартизації NIST тепер офіційно забороняє автентифікацію на основі знань як дійсний фактор входу. Вона не «додає шар». Вона додає хибний.
Одноразові SMS-коди – це наступна пастка. Вони схожі на багаторазову аварійну реєстрацію (MFA), але вони пов’язані з номером телефону, який зловмисник може вкрасти шляхом заміни SIM-картки , що, за даними галузевих досліджень, вдається з першої спроби приблизно у 80% випадків; ФБР зафіксувало приблизно 26 мільйонів доларів збитків від заміни SIM-картки лише у 2024 році. Потім є статичні механізми, що працюють лише з правилами та ніколи не навчаються, та повільні черги ручної перевірки, які дозволяють шахрайству зникнути до того, як людина подивиться на це. Найдорожчий театральний виступ з усіх – це той, якого нас навчив Cash App: зробити перекази незворотними за замовчуванням і назвати це швидкістю. Інженери схильні трактувати оборотність як тертя, яке потрібно усунути при розробці. Для жертви це вся суть.
Шахрайство із захопленням облікового запису: де моделі розділилися
Шахрайство із захопленням облікового запису — це найчистіший тест у всій суперечці, оскільки обидві компанії стикаються з однаковою атакою: злочинець отримує облікові дані реального користувача та намагається перевести гроші. Ті самі вхідні дані, зовсім різні вихідні дані.
Щодо запобігання, то контраргументи добре налагоджені: застосовувати сильну багатофакторну автентифікацію (не SMS-коди), стежити за поведінковими сигналами щодо входу, який не відповідає власнику, та обмежувати підозрілу швидкість. Але запобігання завжди має невеликі протічки, і друге питання полягає в тому, що відбувається, коли це трапляється. Процес зворотності та оскарження PayPal дає користувачеві, який отримав викрадений кошт, шлях назад. Історична позиція Cash App, що несанкціонований переказ був проблемою користувача, залишила його в скрутному становищі, що саме й перетворило інцидент безпеки на справу про відповідальність на 175 мільйонів доларів. Те саме шахрайство, але з протилежним кінцем, вирішене вибором політики, а не фрагментом коду.
| Фронт | PayPal | Додаток Cash (до 2025 року) |
|---|---|---|
| Модель грошей | Картонне покриття, двостороннє | З рахунку до рахунку, незворотне |
| Коли шахрайство стикається | Захист покупця/продавця, шлях вирішення спорів | Розглядається як проблема користувача |
| Виявлення | Оцінка ризиків ML у режимі реального часу | Обмежений, орієнтований на зростання |
| Підтримка у разі шахрайства | Процес розгляду претензій (повільний, але реальний) | Роками не працює телефонна лінія |
| Нормативний запис | Рівень збитковості ~0,08% розкрито у звітності | Наказ CFPB на суму 175 мільйонів доларів, державний штраф у розмірі 80 мільйонів доларів |
Як реагувати на шахрайство після того, як воно сталося
Виявлення – це лише половина справи; реакція – це половина того, що регулятори фактично оцінюють. Коли несанкціонований переказ прослизає, правовим підставою для платіжних додатків у США є Положення E: негайно розслідувати та відшкодовувати користувачеві збитки, якщо переказ не був авторизований. Це означає справжнє розслідування, доступну людину та час. Рахунок Cash App у 175 мільйонів доларів не мав нічого спільного зі зломом. Йшлося про те, як компанія відреагувала після цього або відмовилася. Створіть реакцію, а не просто стіну.
Тенденції шахрайства: куди прямує запобігання
Наступний етап — це гонка озброєнь, яка ведеться з використанням однієї й тієї ж зброї з обох сторін. Генеративний штучний інтелект є рушійною силою найшвидше зростаючого вектора атаки: Deloitte прогнозує, що втрати від шахрайства, спричиненого штучним інтелектом, у США зростуть з 12,3 мільярда доларів у 2023 році до приблизно 40 мільярдів доларів до 2027 року, а шахрайство, спричинене діпфейками, за оцінками галузі, зросло до мільярдів у 2025 році. Та ж технологія також забезпечує найкращий захист. У звіті Нільсона ШІ приписують створення найсильніших моделей боротьби з шахрайством, які коли-небудь мала індустрія карткових карток. Той, хто виконує ітерації швидше, виграє раунд, саме тому статичний захист приречений, а адаптивний — ні.
Що це означає для запобігання шахрайству з платежами
Урок з PayPal та Cash App не полягає в тому, щоб «витрачати більше на технології». Обидва витратили чимало. Виграшна ставка вузька та не надто приваблива: зворотність, підзвітність та кілька елементів контролю, які адаптуються, а не вдають. Театр дешевший, аж до того моменту, коли регулятор встановить за нього ціну в 175 мільйонів доларів. Тож перевірте свій власний стек за таблицею вище та поставте єдине важливе питання. Якщо ви не можете скасувати шахрайський переказ або підняти слухавку, коли клієнта грабують, у вас немає запобігання шахрайству з платежами. У вас є логотип.
