Sektor bankowości przeszedł w ostatniej dekadzie ogromną transformację, z jej ogromnym przyśpieszeniem spowodowanym pandemią. Konsumenci coraz częściej skłaniają się do podejmowania decyzji finansowych bez konieczności odwiedzania oddziałów czy wykorzystywania aplikacji bankowych. Usługi Kup Teraz – Zapłać Później (KTZP) reprezentują tę transformację w obszarze płatności i gwałtownie się rozwijają.
Rozwiązanie KTZP umożliwia konsumentom uzyskanie linii kredytowej w punkcie sprzedaży. Usługa taka jest atrakcyjna dla klientów ze względu na brak pobierania opłat od transakcji gdy zapłata jest przeprowadzona na czas oraz ze względu na dostępność online i w tradycyjnym handlu. Klienci wolą korzystać z tego instrumentu finansowego bardziej niż innych rozwiązań, z którymi wiążą się słabe doświadczenia jak karty kredytowe, pożyczki krótkoterminowe czy inne schematy finansowania.
Adaptacja KTZP stale rośnie. Sukces tego rozwiązania – miksu technologii i perspektywicznego nastawienia biznesu do zagospodarowania segmentu – zależy od niezakłóconego doświadczenia użytkownika. Składają się na to szybki dostęp do kasy (kilka kliknięć), spójne doświadczenie we wszystkich kanałach web, brak opłaty procesowej i uzyskanie natychmiastowego kredytu bez wydłużonego procesu akceptacji.
Zobacz również: Kolejne sklepy wprowadzają płatności odroczone. To nowa forma zakupów „na kreskę”
Niemniej praktyki, które utrzymują doświadczenie użytkownika na prostym i angażującym poziomie wykorzystywane są też przez atakujących systemy i usługi KTZP celem oszustwa i zarobienia na nim.
Jak działa system KTZP
Usługi KTZP są dostarczane przez firmy fintech i banki. Handel subskrybuje te usługi i dostarcza je do konsumentów jako mechanizm płatności. Ten mechanizm jest zwykle uruchamiany w punkcie sprzedaży – zarówno cyfrowym jak fizycznym. Na platformie e-commerce konsumentowi oferuje się KTZP jako opcję zapłaty w chwili gdy z koszyka zakupowego przechodzi do kasy. Jeśli konsument wybierze KTZP jest przekierowywany do dostawcy usługi.
Po weryfikacji użytkownika, dostawca usługi udostępnia mu bezpłatną linię kredytową. Proces płatności obejmuje m.in. kody QR, mobilne potwierdzenia transakcji czy wpisywanie haseł jednorazowych wysyłanych na telefon.
Techniki oszustw w praktyce
Przejęcie konta KTZP zwykle udostępnia wstępną (ograniczoną) linię kredytową dla nowych kont, której wielkość rośnie wraz z czasem, liczbą udanych transakcji – historią płatności. Oszuści atakują więc istniejące bogate w linię kredytową konta. Ich metody to kombinacja phishingu, upychania poświadczeń, klonowania kart SIM.
Wykorzystywanie linii kredytowej fałszywych kont Większość systemów KTZP umożliwia rejestrację poprzez dostarczanie kopii dokumentów potwierdzających tożsamość. Wykorzystując takie dokumenty pozyskane ze skradzionych maili czy wycieków danych, cyberkryminaliści tworzą fałszywe konta wykorzystując proste mechanizmy legitymizacji konsumentów w pozyskaniu kredytu. W skrajnych przypadkach dochodzi do zmowy oszustów z handlowcami celem zamiany kredytu na gotówkę.
Spłaty kredytu skradzioną kartą kredytową Większość usług KTZP umożliwia konsumentom rozliczanie kredytów za pomocą kart kredytowych. Oszuści korzystają z tej funkcji i spłacają swoje długi za pomocą skradzionych danych kart. Dla oszukanych takie transakcje prowadzą do obciążeń zwrotnych i innych wydatków związanych z rozliczeniem oszustwa.
Solidna obrona – mechanizmy śledcze i prewencyjne
Weryfikację użytkownika podczas procesu rejestracji KTZP sprawia, że proces rejestracji jest łatwy – użytkownik przesyła dokumenty w celu potwierdzenia swojej tożsamości. Ten proces musi być pozbawiony luk i niezbyt złożony. Systemy KTZP powinny obejmować uwierzytelnianie biometryczne (tj. odcisk palca, twarz lub inne czynniki) z kontrolą ich aktualności. Powinna również obejmować kontrolę fałszywych dokumentów (weryfikacja hologramów, oryginalnych fontów) w ramach procesu rejestracji, co zapobiega tworzeniu fałszywej tożsamości.
Wykrywanie i zapobieganie przejęciom kont wymaga zabezpieczeń, które obejmują:
- Wykrywanie zautomatyzowanych i ręcznych działań polegających na wypełnianiu poświadczeń i wdrażanie środków zaradczych, takich jak limity stawek i czasowe zawieszanie kont.
- Zbieranie i analizowanie dodatkowych informacji kontekstowych, takich jak urządzenie użytkownika, lokalizacja i pora dnia oraz wykorzystywanie ich w połączeniu z innymi czynnikami uwierzytelniającymi.
- Wdrożenie solidnego, opartego na ryzyku systemu uwierzytelniania wieloskładnikowego.
- Ochrona przed użyciem skradzionych kart kredytowych wymaga wdrożenia i egzekwowania protokołu 3D Secure dla kart.
- Wykrywanie anomalii transakcyjnych wiąże się ze zbieraniem niezbędnych danych telemetrycznych dotyczących danych transakcji użytkownika, w tym informacji o punktach końcowych. Wykorzystanie algorytmów uczenia maszynowego do wykrywania anomalii transakcyjnych pozwala zauważyć m.in. zmowę między kupującym a sprzedającym.
Ostatecznie systemy BNPL zwiększają siłę nabywczą konsumentów zapewniając przewagę nad innymi instrumentami kredytowymi, z których korzysta sektor finansowy. Mechanizm KTZP pasuje do obecnej dynamiki rynku, niemniej wymaga zabezpieczeń – oszuści potrafią czerpać korzyści z systemu. Ich ataki psują ratingi kredytowe użytkowników i stanowią zagrożenie dla systemów. Firmy muszą wdrożyć mechanizmy bezpieczeństwa w celu ochrony przed nadużyciami systemu, w tym:
- Wykrywanie i blokowanie złośliwych z intencji ludzi i botów.
- Wdrażanie systemów uwierzytelniania i autoryzacji opartych na ryzyku.
- Opracowywanie inteligentnych procesów onboardingu użytkowników, które obejmują sztuczną inteligencję (np. porównywanie selfie ze zdjęciem z dowodu), celem wyeliminowania z procesu skradzionych informacji i danych.
- Monitorowanie cykli życia kont i transakcji pod kątem nietypowych działań.
Ireneusz Wiśniewski, dyrektor zarządzający F5 Poland