Поскольку продукцию и услуги нашей компании клиенты могут оплачивать электронными платежными средствами (с помощью банковской карты или через систему PayPal), нам, как и многим продавцам по всему миру, приходится иметь дело с попытками разного рода мошенников обманным путем получить доступ к платным товарам или услугам. Автоматическое выявление таких попыток оплаты — задача слишком нетривиальная, и в любом случае не гарантирует стопроцентного результата ввиду большого количества факторов. Поэтому проверка электронных платежей возложена на плечи живых сотрудников.

Для чего вообще нужна такая проверка? Ведь, если деньги получены, то вполне логично просто предоставить заказчику оплаченный товар или услугу. Однако нельзя забывать о том, что мошенник может предоставить украденные платежные данные другого человека, в результате чего денежные средства списываются со счета жертвы, а мошенник получает доступ к товару или услуге, за которые сам ничего не заплатил. Человек, чьи платежные данные используются для такой «покупки», вправе обратиться в свой банк с требованием вернуть денежные средства на свой счет.

Возврат (именуемый по-английски chargeback или чарджбек) выполняется по первому требованию владельца карты, причем за счет продавца, т. е. деньги переводятся обратно с его счета на счет реального владельца карты. Таким образом банки и платежные системы борются с недобросовестными продавцами. Кроме возврата средств продавец, как правило, обязан уплатить штраф. Чтобы избежать мошенничества, мы тщательно следим за тем, чтобы отгружались только заказы, оплаченные реальными заказчиками. Помимо штрафов, в случае большого количества возвратов компании может быть отказано в приеме платежей банковскими картами, поэтому ответственное отношение к проверке платежей является обязательным требованием.

Статистика

Ниже приведены собранные нами данные об обработке заказов, оплаченных с помощью пластиковых карт за последние 5 лет:

• 6,17% (1048 из 16973) заказов вызвали подозрение, и заказчикам были отправлены запросы на подтверждение платежа.
• Более 46% (486 из 1048) подозрительных заказов действительно оказались мошенническими. В их числе есть некоторый процент реальных заказчиков, которые отказались отправлять копии документов. Некоторые из таких клиентов впоследствии пишут письмо в нашу службу поддержки и объясняют причину отказа. Однако большинство из тех, кто не ответил на запрос — вероятнее всего, действительно мошенники, пытавшиеся оплатить заказ по чужой карте.
• Почти 2% (11 из 562) заказов, для которых клиенты подтвердили платеж, тем не менее стали причиной возврата средств. Это весьма интересная группа заказчиков, в которую входят либо мошенники, имеющие на руках чужую карту или ее изображение, либо так называемые «чарджбек-мошенники». Такие «заказчики» оплачивают и получают товар (обычно нематериальный, например, программное обеспечение), после чего направляют в свой банк требование возврата денег, заявляя что их карта якобы была использована третьими лицами (мошенниками). Один из способов борьбы с чарджбек-мошенниками — это сохранять информацию о доставке оплаченного товара заказчику. Если точно известно, что заказчик получил оплаченный товар, и есть документальное подтверждение этого факта, продавец в большинстве случаев может обоснованно оспорить чарджбек и вернуть деньги.
• 0,67% (107 из 15925) заказов были отгружены без запроса копий документов заказчиков, которые на деле оказались мошенниками. С такими преступниками бороться сложнее всего, т. к. их платежи очень похожи на транзакции, сделанные реальными заказчиками. С накоплением опыта обработки заказов доля таких заказов постепенно уменьшается, и с их наличием пока приходится мириться как с неизбежным следствием лояльного отношения к заказчикам.

Как происходит проверка

Если подлинность плательщика вызывает сомнения у проверяющего, то в  этом случае он отправляет заказчику так называемый «запрос на подтверждение». Это электронное письмо со стандартным текстом, которое содержит просьбу выслать электронной почтой сканированную копию документов, идентифицирующих личность плательщика, а также изображение пластиковой карты, с помощью которой был сделан платеж. Если после получения копий документов у проверяющего сотрудника не останется сомнений в валидности платежа, то заказ отгружается и заказанный товар или услуга предоставляются заказчику.

Представим себя на месте обычного заказчика (не мошенника), который решил что-то заказать в интернете. Человек заполнил форму заказа, корректно указал платежные данные и с полным правом ожидает, что в указанный срок ему предоставят заказанное. Логично предположить, что получение запроса на подтверждение платежа от продавца может показаться лишним раздражающим обстоятельством. Поэтому, получив такой дополнительный запрос, заказчик может и отказаться от покупки — не всем хочется преодолевать лишние «препятствия» в процессе покупки. Да и отправка копий документов через интернет многим может показаться небезопасной.

Именно поэтому мы стараемся избегать отправки запросов на подтверждение всегда, когда это возможно, и если вероятность чарджбека в дальнейшем минимальна. В ходе работы с самыми разными клиентами в течение нескольких лет у нас сформировался принцип «если нет явных признаков мошенничества, заказ отгружается». Даже если соблюдение этого принципа иногда приводит к возвратам, мы стремимся соблюдать максимально возможную степень лояльности к собственным клиентам.

Из-за неоднозначности критериев оценки проверка платежей сродни искусству, однако есть и конкретные правила, которым необходимо следовать, чтобы не стать жертвой интернет-мошенников. В инструкции сотрудника, проверяющего заказы, имеется специальный раздел, посвященный правилам обработки платежей банковскими картами и через PayPal. Главным критерием, на который обращается внимание при поступлении платежа, является наличие заказов, ранее оплаченных этим же клиентом. Если заказов с этого адреса раньше не поступало, это повод обратить на него особое внимание. Мы проверяем следующие факторы:

1. Стоимость заказа. Если из ассортимента нашей продукции оплачен самый дорогой товар, велики шансы того, что мошенник пытается оплатить его за чужой счет.
2. IP-адрес плательщика. С помощью специальных онлайн-сервисов мы проверяем, какой стране соответствует IP-адрес, с которого выполнена оплата. Всегда подозрительно, когда страна проживания заказчика не совпадает с названием страны, из которой пришел платеж.
3. Время оплаты. Когда известна страна, автоматически становится известным предположительный часовой пояс плательщика. Крайне редко реальный заказчик оплачивает товар или услугу в 3—4 часа ночи. Как правило, платежи выполняются в светлое время суток или, как минимум, до полуночи.
4. Адрес электронной почты. Если почтовый адрес заказчика создан с помощью бесплатного сервиса и до символа @ содержит бессмысленный набор символов, это верный признак попытки мошеннической оплаты. Если же адрес создан на доменном имени существующего сайта и имеет вид sales@…, payment@… и т. п., как правило, это сотрудник реально существующей компании, и вероятность мошенничества в таком случае минимальна.
5. Количество попыток оплаты. Если мошенник ранее пытался оплатить заказ, но ему это не удалось, то мы видим в истории платежей такие неудачные попытки. Даже если после нескольких попыток оплаты с нескольких банковских карт одна транзакция все же будет принята процессинговым центром, мы считаем своим долгом дополнительно убедиться в том, что имеем дело не с мошенником.
6. Наличие запросов в службу поддержки. Если заказчик «вдруг» решил купить что-то, не задав ни одного вопроса службе поддержки (а ведь некоторые делают это, как минимум, чтобы убедиться в наличии и оперативности службы поддержки продавца!), это бывает подозрительно, особенно в совокупности с несколькими другими факторами, перечисленными выше.
7. Наличие информации о компании, указанной заказчиком. Если заказчик во время оформления заказа сообщил название своей компании, мы выполняем поиск дополнительной информации в интернете, чтобы найти подтверждения связи человека с таким именем и данной компании (организации). Если таких подтверждений найти не удается, то платеж попадает в категорию подозрительных.

Вывод

В качестве итога подчеркну, что, если бы проверка платежей не выполнялась, мы имели бы 604 случая чарджбека, что составляет 3,56% от общего числа заказов, оплаченных банковской картой (16973). Это более чем в пять раз превышает фактическую долю чарджбеков — 0,7% (т. е. 118 из 16973). Главный вывод отсюда — проверка электронных платежей обязательна, т. к. позволяет интернет-продавцам обезопасить себя от затрат, связанных с выплатой штрафов, и опасности отказа от приема платежей банковскими картами со стороны банков-эквайеров и международных платежных систем.

Как только вы опубликуете адрес электронной почты на своем сайте, на этот адрес уже на следующей день начнет приходить спам. Как оградить себя от незатребованной рекламы и получать только реальные запросы от ваших клиентов?

Приведем конкретные числа из собственного опыта. Мы оказываем поддержку клиентов по электронной почте уже более пяти лет, и за это время адреса нашей службы поддержки не менялись. Естественно, за это время только ленивые спамеры не добавили эти адреса в свои базы данных.

Первым «бойцом» на пути спама выступает наш почтовый сервер, который уже на этапе предварительной обработки отвергает более 90% писем! На сервере выполняется многоэтапная фильтрация. Начинается все с проверки IP-адреса отправителя на предмет его отсутствия в черном списке спамеров и наличия корректной DNS-записи на почтовом сервере отправителя. Затем заголовки писем проверяются на соответствие стандартам RFC, а также проверяется фактическое наличие адреса отправителя на данном почтовом сервере. Затем выполняется проверка содержимого письма на принадлежность к спаму. В случае получения отрицательных результатов хотя бы на одном из этих этапов проверки почтовый сервер отвергает сообщение и возвращает на сервер отправителя соответствующий код ошибки.

Не все сообщения, прошедшие спам-фильтр почтового сервера, являются реальными запросами клиентов. Согласно нашей статистике за последние три месяца (с 25 августа по 25 ноября 2010 г.), успешно прошли спам-фильтр почтовика 9324 сообщения; из них только 3056 (примерно треть) были подтверждены отправителями, а почти 6000 запросов остались неподтвержденными:

Что означает строка «не подтверждены отправителем»? Это результат работы дополнительного внутреннего спам-фильтра в нашей системе приема и обработки запросов — приложении WebAsyst Поддержка. Он работает следующим образом: каждый раз при получении сообщения с адреса, который не зарегистрирован в системе, автоответчик отправляет в ответ сообщение с просьбой подтвердить отправку запроса. Для подтверждения необходимо перейти по специальной ссылке, которая присутствует в тексте автоматического ответа. Такое действие для каждого почтового адреса нужно выполнить только один раз, после чего такой адрес становится зарегистрированным в нашей базе данных. Все последующие сообщения с этого адреса пройдут «мимо автоответчика» и не потребуют подтверждения.

Из таблицы выше видно,  что большинство сообщений, дошедших до нашей базы данных (а именно 5939 из 9324, т. е. примерно 64%) не были подтверждены отправителями, так как тоже являются спамом. Обратите внимание на то, что 329 сообщений были удалены операторами. Это такие сообщения, которые либо были  подтверждены отправителем, либо пришли  с ранее зарегистрированных (т. е. подтвержденных) адресов, но тем не менее были вручную классифицированы оператором как спам! Что делать, бывает и такое.

Помимо приема запросов в виде электронных сообщений на  адреса электронной почты, мы также принимаем запросы через веб-форму, размещенную на нашем сайте, и через личные кабинеты зарегистрированных клиентов. Подробно об этом написано в нашей статье «Прием запросов и заявок от клиентов: электронная почта, веб-форма или личный кабинет?».

Запросы, поданные через веб-форму на сайте или через личный кабинет клиента, поступают непосредственно в базу данных «Поддержки», поэтому для них нет возможности задействовать спам-фильтр почтового сервера. Веб-форма имеет свои средства защиты, одним из которых является так называемся «капча» —  картинка с символами, которые необходимо ввести в веб-форму перед отправкой запроса. Капча позволяет отвергнуть попытки спам-роботов отправить сообщение через форму. Вторым этапом фильтрации спама является отправка запроса на подтверждение, как для запросов, поступающих по электронной почте.

Самым надежным способом защиты от спама является прием запросов из личного кабинета. Поскольку доступ к кабинету предоставляется только зарегистрированным клиентам и требует  ввода логина и пароля, то поступление спама из личных кабинетов почти полностью исключено.

В таблице ниже показана наша статистика для всех трех способов приема запросов за три месяца. В колонке «Email» данные показаны в сравнении с аналогичными характеристиками для двух других способов приема запросов: веб-формой и личным кабинетом.

Для эффективной защиты от спама при приеме электронных запросов используйте следующие приемы:

1. Предоставьте всем клиентам защищенные личные кабинеты, из которых они смогут писать вам запросы — это почти 100%-ная защита от спама.
2. Разместите на своем сайте веб-форму с «капчей», через которую будут отправлять запросы незарегистрированные клиенты.
3. Если необходимо получать запросы по электронной почте, настройте спам-фильтр на почтовом сервере и в дополнение к этому используйте отправку авто-запроса на подтверждение для новых клиентов.

Принимать письменные запросы от посетителей сайта можно несколькими способами:

Способ 1: по электронной почте. Для реализации этого способа достаточно опубликовать на странице вашего сайта специально предназначенный электронный адрес, например, support@mycompany.ru.

Способ 2: через веб-форму, размещенную на вашем сайте для общего пользования. Обычно такая форма содержит поля для ввода имени клиента, его электронного адреса (для получения ответа), темы запроса и, собственно, область для ввода текста запроса.

Способ 3: через личный кабинет. Отличается от предыдущего способа тем, что для отправки запроса требуется авторизация клиента, т. е. ввод логина и пароля. В личном кабинете клиента, кроме формы отправки запроса, также отображается контактная информация о клиенте, имеется страница подписки на новости и т. д.

Ответ на вопрос «какой способ приема сообщений предпочтительнее» во многом зависит от того, какие функции выполняет ваш сайт и какого рода запросы вы ожидаете от своих клиентов. Если ваш сайт представляет из себя личную страничку с информацией о вашем хобби, то вам вполне достаточно разместить на сайте только адрес своей личной электронной почты (т. е. воспользоваться 1-м способом). Если же ваш сайт — это интернет-магазин, продающий технически сложный продукт, нуждающийся в послепродажной поддержке и обслуживании, то для вас, вероятно, наиболее эффективным будет 3-й способ.

Следующая таблица поможет вам быстро сравнить некоторые основные возможности и ограничения описанных способов приема сообщений (запросов клиентов):

Давайте рассмотрим подробнее каждую из перечисленных возможностей.

Быстрое написание и отправка запроса

Для многих самый быстрый способ отправить запрос — это щелкнуть по ссылке с почтовым адресом, чтобы открыть привычную почтовую программу, написать и отправить запрос. К примеру, веб-форма (2-й способ) позволяет сделать то же самое, не покидая сайт, однако в ней необходимо ввести собственный электронный адрес для получения ответа (в почтовой программе этого делать не нужно). Из личного кабинета запрос отправить уже не так просто. Чтобы отправить самый первый запрос, клиенту необходимо прежде создать свой личный кабинет (зарегистрироваться). А для отправки последующих запросов потребуется авторизация — ввод логина и пароля.

Классификация запроса перед отправкой

Довольно надежным способом классификации запросов, направляемых по электронной почте, является сам адрес, на который отправляется запрос. Например, вы можете предложить своим клиентам несколько адресов для отправки запросов на различные темы: contact@mycompany.ru — для запросов общего характера, techsupport@mycompany.ru — для технических вопросов и billing@mycompany.ru — для отправки вопросов по оплате и бухгалтерским документам.

Снабдив эти адреса соответствующими комментариями на сайте, вы вправе ожидать, что ваши клиенты будут им следовать. Однако на практике ничто не помешает клиенту отправить сложный технический вопрос на адрес бухгалтерии по причине банальной невнимательности.

При использовании 2-го или 3-го способов в форму запроса можно добавить одно или несколько специальных полей, в которых клиент сможет самостоятельно выбрать категорию своего запроса, например, из такого списка:

• технические возможности продукта;
• цены и сроки поставки;
• возврат денежных средств.

Вероятность правильного выбора категории в этом случае гораздо выше, чем при выборе электронного адреса.

Автоматическая подборка тематических статей

На большинство часто задаваемых вопросов у вас наверняка имеются стандартные ответы, которые вполне могут удовлетворить клиента. Если форма запроса устроена таким образом, что при ее заполнении требуется выбрать категорию (как описано выше) либо другие дополнительные характеристики, уточняющие запрос, то на основании этого выбора ваша система сможет автоматически извлекать из базы знаний подходящие ответы и предлагать их клиентам еще до отправки запроса! Во многих случаях автоматически предложенные ответы окажутся достаточными, и отправка запроса не потребуется. Таким образом, предварительно создав хорошую базу знаний и настроив автоматическую подборку статей, вы сможете существенно уменьшить количество поступающих однотипных запросов.

Гарантия доставки запроса

Существуют десятки причин, по которым сообщение электронной почты может не дойти до адресата: сбой на почтовом сервере клиента, блокировка IP-адресов провайдерами почтовых систем, спам-фильтры и т.д. По этой причине описанный выше 1-й способ отправки не позволяет на 100% гарантировать доставку запроса. При отправке же через веб-форму или личный кабинет запрос сразу попадает в вашу базу данных (а большинство веб-форм для отправки сообщений работают именно так), поэтому в таком случае доставка сообщения от клиента гарантирована.

Гарантия доставки ответа

Вы можете предпринять все возможные меры, чтобы максимально увеличить вероятность получения электронных сообщений из различными почтовыми программами ваших клиентов, но гарантировать доставку ваших ответов на все запросы клиентов не в вашей власти. Любое ответное сообщение может быть отвергнуто почтовым сервером клиента или попасть в папку «Спам», где его просто никто не увидит.

Личный кабинет (3-й способ) является гарантированным местом, где клиент в любое время сможет увидеть свой запрос и ваш ответ.

100%-ная защита от спама

Многие знают по собственному опыту, что публикация электронного адреса на сайте — это прямой путь к получению десятков или сотен рекламных сообщений (в зависимости от популярности вашего сайта) уже на следующий день. Эффективный способ уменьшения количества спама при использовании 1-го или 2-го способов приема запросов — это отправка авто-ответов на все запросы, приходящие с неизвестных вам (т. е. незарегистрированных в вашей клиентской базе) адресов. И даже несмотря на то, что большинство почтовых систем умеет это делать, такая мера не является гарантированной защитой от спама.

Личный кабинет клиента — это закрытый ресурс, в котором только сам клиент может отправить вам запрос. Маловероятно, что ваши клиенты будут пользоваться собственными личными кабинетами для отправки спама в ваш адрес. Даже если это случится, то вы сможете просто удалить «нежелательного» клиента из базы данных.

Однозначная идентификация клиента

Основным признаком идентификации клиента при получении запроса по электронной почте (1-й способ) или из веб-формы (2-й способ) является адрес электронной почты. Однако люди часто пользуются несколькими почтовыми адресами, поэтому, например, если клиент при покупке продукта на вашем сайте указал один адрес, а запросы по вопросам технической поддержки отправляет с другого, то автоматически установить связь между этими адресами довольно сложно.

Надежным способом однозначной идентификации клиентов является использование личного кабинета. При входе в личный кабинет клиент проходит авторизацию, поэтому все его последующие действия в кабинете будут однозначно связаны именно с ним.

Заключение

Итак, какой же способ получения запросов предпочтительнее? На этот вопрос нет однозначного ответа. Как мы говорили в самом начале статьи, окончательный выбор зависит от того, какие функции выполняет ваш сайт, а также от общего характера вашей деятельности.

Предлагаем вам придерживаться следующих общих рекомендаций:

Все три описанных способа приема запросов реализованы в приложении WebAsyst Поддержка: вы можете подписаться на бесплатную пробную версию, а также купить скрипты для установки на собственном веб-сервере.