Мерчи + платежное поведение Статья №2 #Конкурс2018

LazyKid

New member
09.12.2018
14
48
3
#1
Здравствуйте, дорогие сокамерники.
С Вами снова Лейзи!


Каждый день мы сталкиваемся с гейтами и мерчантами.
Разнообразие и модификации будоражат голову.
Может случиться такое, что в двух разных шопах будет один и тот же мерч, но, на разных лицензиях/расширениях или по разному настроен.
Сегодня я постараюсь максимально подробно рассмореть самые распостраненные мерчи в базе и дать исчерпывающие рекомендации по вбиву в каждый из них. Указать на слабые и сильные стороны.


Поехали!

Как вы угадываете, какой мерч стоит в шопе? builtwith? Не актуально!
Смотрите исходный код? А может быть добавляете в корзину и смотрите ее интерфейс?
Хм. Как вариант. Интерфейс корзины вроде бы Authorize.net.
Раз, два, вбив, оплата... Твою мать... Это же шопифи.. Сколько же времени я потратил на этот сраный шоп?!


Да, по сути своей builtwith может помочь, в случае есть шоп не использует корзину, скоринг и мерч от разных девелоперов.
В противном, он покажет в заветном окне E-Commerce разработчика корзины. Что ближе, то и будет светиться. По факту, там может стоять шопифи или пп, а корзина бигкммерса, что он и покажет.


Так вот. Давайте же разберемся в этих самых.. Мерчантах.

На данный момент выделяю для себя наиболее распостраненные готовые решения. Не считая самописных:


  • Shopify:

Данный мерчант по истине самый продвинутый и жесткий по отношению к фроду.
Из коробки имеет кучу систем визуализированных в админке, оргомную базу шаблонов для разработки интерфейса, несколько вариантов бесплатных шоппинг карт + платные, чуеву долину подключаемых скоринг и АФ плагинов именных+от сторонных разработчиков и третьих мерчантов.
Менеджер шопа или департамент верификации в режиме онлайн получает уведомления в админке о том, сколько юзеров на данный момент серфят, что каждый из них смотрит, какие действия производит и все данные юзера.
Начиная от стандартных типа айпи, версия ОС, местолопожение, сервисы и тд, заканчивая кликами, просматриваемым товаром, временем затраченным на каждое действие и пр.
В общем, абсолютно ВСЁ, что вы делаете.
В режиме ОНЛАЙН вериф может провести аналитику ваших данных уже на этапе заполнения.


Например, проверить, были ли ордеры с данного айпи адреса и данных типа аудио и фингер принтов, расшаренного вебртц и проч, что подменяет Linken Sphere.
В режиме онлайн средства скоринга и аф рассчитывают ваш рейтинг, давая графические показатели менеджеру о том, кто находится по ту сторону монитора. Как правило, не ошибается.


Если учесть, что ШОПИФИ это не только абсолютно готовое решение для размещения шопа, котрое работает из коробки не требуя доролнительных вмешатьльств, так еще и самый защищенный поставщик, давайте по пунктам его методы детекта:

  1. Проверка е-маил адреса по собственной базе и базе партнерских мерчей на количество ордеров с рассчетом вероятности фродовой транзакции на основе прошлых данных. Если ордеров с данной электронной почты нет ни в одном мерче - это уже минус по скорингу
  2. Проверка расстояния между шиппинг и биллинг адресом 1544451644726.png
  3. Проверка точного совпадения АВС по биллингу
  4. Чек нахождения вбиваемой карты в блек листах 1544451947372.png
  5. Скоринг на основе анализа данных, передаваемых браузером на совпадение или несоответствие. 1544451536505.png
  6. Дистанция между геолокацией айпи, шиппинг и биллинг адресом + геолокацией из браузера
  7. Принадлежность айпи провайдеру стационарного интернета либо мобильного
  8. Проверка поведенческой активности в шопе и сопоставление данных с массивным обьемом информации предоставляемой партнерскими скоринг системами 1544452007358.png
  9. Анализ перехода, глубины и кол-ва кликов. 1544451482703.png

Как можно представить, это далеко не все возможности и заслуги мерчанта.
Кстати, не совсем верное утвеждение, что шопифи - мерчант.
В более чем 70% это всего лишь поставщик АФ и скоринг решения со своей формой и шоппинг картой, передающая данные чекаута на гейтвей Authorize.net, который мы рассмотрим дальше.
Сам по себе, авторайз самый легкий мерчант для вбивов. Скажем, золотая жила кардера.
Надеюсь, вы поняли глобальность намерений шопифи.
Вбить можно. Сложно, но можно.
Все что вам потребуется - максимальная хуманизация а-ля "я не робот" и идеальные настройки браузера в купе с подбором сокса и матчем биллинга к карте.



  • Authorize.net

Честно говоря, даже не знаю что про него написать.
Самый легкий в плане вбива мерчант - гейтвей.
Почти не имеет подключаемых решений сторонних разработчиков.
Все, что использует для отсеивания фродовых транзакций:


  1. Проверка совпадения АВС
  2. Проверка расстояние между айпи и холдером
  3. Блеки на айпи и чек прошлых ордеров если такие были с этого айпи
  4. Чек холдера на прошлые чарджи, платежное поведение и транзы по данным карты
  5. Чек номера телефона по паблик рекордс в автоматическом режиме
  6. чек принадлежности бина к стране, где делается покупка.
Остальное, что использует мерчант - нам никак не мешает!

Самое главное и интересное - авторайз моментально списывает бабки с карты после аппрува, что нам на руку.
Не нужно беспокоиться, есть ли на карте деньги, стоят ли лимити. Если ордер прошел, значит кэш списан в строну магазина.


Но, расслабляться не стоит. Авторайз может стоять как платежное решение, но корзина и скоринг могут стоять от шопифи. Так что, не радуйтесь сразу видя такую бляшку.



  • Big Commerce & Woo-Commerce

Данные мерчанты по своей сути почти одинаковы.
Используют одни и те же решения, отличаются лишь в интерфейсе.
Собственные средства абсолютно не эффективны и на момент декабря 2018 года еще можно встретить маленькие шопы с шаблонным интерфейсом, которые не используют абсолютно никакого скоринга и сторонних решений АФ, а доверяют полностью днищавой защите сабжа на этапе чекаута.
Все, что они могут сделать, так это:

  1. Проверка АВС
  2. Расстояние между айпи и холдером
  3. Скоринг по параметрам хуманизации
  4. Чек введенной информации в паблик рекордс
На первый взгляд - ничего сложного.
Но, шопов доверяющих данным поставщикам е-коммерции пересчитать по пальцам одной руки.
Встроенная поддержка плагинов сторонних разработчиков дает огромный плюс в работе с данными систмами.


Возвращаясь к шопифи, мы можем применить все параметры детекта к Биг и Ву - коммерсу.
Зайдя по линку ЛИНКУ вы можете посмотреть все доступные решения для противостояния фроду.
Эти же плагины без проблем прикручиваются к первому мерчу из нашего топа - ШОПИФИ.
Не буду дублировать методы детекта, так как они идентичны первому варианту.




И так. Собственно, рассмотренных 4 мерчанта самые распостраненные при вбиве в США.

Из всего вышеописанного, хочу подвести небольшой итог.

Не смотря на то, какой мерчант или платежный шлюз используется в шопе, никогда не пренебрегайте правилами успешного вбива. Вы никогда не знаете наверняка, скоринг система какого разработчика следит за вами на данный момент.
Если у вас не прошел платеж, но карта 100% валидна - это значит лишь то, что вы набрали слишком много фродбаллов. За исключением мелкого количества ситуацией, когда банк просто на просто отклонил транзу или залимитил карту.


НЕВОЗМОЖНО убить карту правильным вбивом так же, как не возможно залимитить ее(относится к случаю, когда платежное поведение соответствует и на карте достаточный баланс).
Если после чекаута карта заблокировалась или улетела во фрауд депт, это значит, что платежный шлюз передал банку информацию о том, что транзакция фродовая.


В случае, если ордер прошел но позже прилетел кенсл это значит лишь то, что в данном магазине все заказы верифицируются в ручную!


Спасибо за внимание.
Тему с мерчантами закрыли.
Если у Вас остались какие то вопросы, можете задавать их в топике и я обязательно отвечу.



Поехали далее.

Платежное поведение
Это будет коротко, но по делу


Друзья, а вы знаете, что "пользоваться телефоном" в нашей работе синоним слову "повысить шансы на успех"?
Покупая подписку на сервис с подменой номера звонящего - вы экономите деньги на карты и увеличиваете свой профит.


Ходит такое поверие, что можно купить карту самого высокого класса и успешно вбить часы ролекс за 100.000 долларов.
Пусть даже там будет баланс в 1.000.000 долларов, банк может заблокировать карту.


Было ли у вас такое, что вбивая на сумму в 1000 долларов - получали отказ на премиальном уровне карты.
Но, вбив в другое место гифт на 100 долларов - все проходило гладко как по маслу.
Спрашивается, почему? Там же баланс 10 тысяч зеленых...


KirillGochan
Прислал мне в личку лог с лекции от ВВХ. Там есть кое что интересное, но не раскрытое. Сейчас я об этом расскажу.

Изначально заострю внимание, что банку и шопу плевать на вас. Им не важно, сколько вам лет, что вы заказываете иксбокс или вертолет на радиоуправлении в свои 90 с хвостиком.
Не играет абсолютно никакой роли для шопа, какая сумма заказа. Главное, чтобы были деньги на карте и успешно пройдена авто-ручная верификация + скоринг и АФ.


Что же важно и почему не проходят ордера на высокие суммы? Что делать? Ведь я купил карту уровня инфинити:

Вместе в картой любого уровня, ты просто ОБЯЗАН пополнить себе аккаунт в сервисе подмены номера и пробить ссн-доб холдера.
Зачем?
Мы будем звонить в банк перед КАЖДЫМ вбивом.


Допустим, ситуация.

Карта куплена. Холдер г-н Джонсон Смит
Джонсон использует эту карту с уровнем Премьер на покупки исключительно в онлайне, оплату ежемесячных таксов на суммы менее 200 долларов и оплату онлайн игр.
Средний расход Джонсна по карте = 1000 долларов в месяц.
Естественно, мы об этом не знаем. Мы молодцы, купили карту, увидели цель и идем ее добиваться.
Прогрев, заполнение данных, в корзине лежит айтем за 2000 долларов.
Чекаут - деклайн. Черт с ним, не прошел АФ, думаем мы.


Второй шоп, дает всегда, золотой просто.
Прогрев больше по времени, заполнение данных, в корзине лежит айтем за 1300 долларов.
Чекаут - деклайн.... Что за фигня?..
Чек карты, карта живая...


Дубль три и банк уже блокирует карту по подозрению во фроде. Естественно, за час несколько транз онлайн на большие суммы.

Или наоборот, дубль три, вбив кроссовок на отличный билл-шип на сумму 200 баксов и трек через пару часов на почте.

Что пошло не так? Может денег недостаточно на балансе? Как избежать этой мешанины?

Здесь нам на помощь приходит звонок с подменой номера.
В подавляющем большинстве крупных и не очень банков, для того, чтобы узнать баланс и историю последних операций нужно лишь позвонить с биллинг номера и в тональном режиме набрать номер карты и зип.
В отдельных случаях понадобится ССН и-или ДОБ.
В очень редких случаях понадобится разговор с оператором лично либо предоставление ответа на секретный вопро или ввод пин-кода.


Звоним по номеру банка, который заблаговременно находим в интернете по запросу
"%bankname% balance check phone number"


Попадаем на автоматизированную систему и следуем инструкциям. Вводим номер карты и допустим ЗИП код.
Айвиар говорит нам актуальный баланс собственных средств и кредитного лимита(если есть).
Хм.. На карте Джонсона более чем 30000 суммано. Баланс хороший. А почему деклайны летят?
Неужто антифрод не прошел..? Настроил что то не так..?


Нет!

Нажимаем в тональном режиме циферку, к которой привязана история транзакций(слушаем айвиар).
Тут то мы понимаем, когда нам перечисляют историю трат, что холдер не имеет транзакций на большие суммы.
Максимально слышим списания в 200-300 долларов за одну транзакцию.


Хоть у нас и не имеется полного понимания картины, так как автоматически выдается только 5-10-20 последних транз(зависит от банка) но мы все равно можем предположить, сколько в среднем тратит за месяц холдер.
А если мы слышим по 5 последним транзам, что:
3 июня трата 150 долларов

12 июня трата 3 доллара
21 июня трата 230 долларов
23 июня трата 25 доллпров
30 июня трата 100 долларов

То, мы можем сделать точнейший вывод, что расходы холдера за последний месяц менее 1000 долларов.
А это значит, что банк будет автоматически блокировать транзакцию на единовременную покупку по сумме выше чем СРЕДНЯЯ месячная трата. Примерно так.
Естественно, что при сумме списаний в 1000 долларов за месяц небольшими транзакциями по карте холдера - банк просто на просто не даст вам сделать единовременную покупку на сумму в несколько раз превышающую.
Это не типичное платежное поведение, подозрение на фрод. Среднестатистический холдер позвонит в банк и предупредит о такой большой оплате.


В лучшем случае, банк просто откажет вам в оплате и шлюз даст деклайн.
В худшем карта улетит во фрод(можно вытащить) либо заблокируется с принудительным перевыпуском.


Теперь мы знаем, что делать и делаем красиво.

Приобрели карту г-ки Джулии Монтана уровня сигна
Звоним в банк, вводим данные в автоматизированную систему.
Чекаем баланс. Допустим, он составляет 15000 собственных средств.
Прослушиваем историю транзакций, которая нам говорит о том что:
16 июня трата 3200

18 трата 700
26 трата 2500
27 трата 460
30 трата 1600

На основе полученных данных делаем вывод, что транзакция в 2000-2500 долларов не будет неожиданностью для банка. А уже в 100-200 тем более.

Идем в шоп, греем, вбиваем инфрмацию, в корзине красуется айтем за 2000, чекаут - ордер прошел.
Ждем пару часов, трек на почте, значит все сделано красиво!)))
Ты лучший!



В случае, если у вас сложный вбив на огромную сумму и требуется детальный анализ информации - идите на сайт банка и делайте роллку.
Если банк дает возможность, то делайте гостевую. Меньше палева, алерты холдеру не придут и банк не закинет акк на верификацию.





Кто владеет информацией - владеет миром......и делает успехи!




Спасибо за внимание. На этом, пожалуй, закончу.
Если появятся какие либо вопросы - готов ответить на все в комментариях.
Мне очень важна ваша обратная связь.
Жду от вас предложения, на какую тему написать следующую статью, в какой материал углубиться и разжевать.

С Вами был Лейзи!

До новых встреч!
 

Вложения

JoraKornev

New member
11.12.2018
15
5
3
#2
Тс добавьте ещё yahoo и google как мерч без вбв в список пожалуйста , есть же об именно этих системах информация не менее актуальной этой ,тоисть ничего нового
 

LazyKid

New member
09.12.2018
14
48
3
#3
Тс добавьте ещё yahoo и google как мерч без вбв в список пожалуйста , есть же об именно этих системах информация не менее актуальной этой ,тоисть ничего нового
Будьте так добры, пожалуйста, информацию которая есть и не менее актуальна - в лс.

Гугл и яху как мерч добавлять какой смысл? Перелопатив тысячи шопов я не видел ни одного с гейтом яху или гугл.
У меня упор на вбив.
 

LazyKid

New member
09.12.2018
14
48
3
#5
смысл мне делиться с вами актуальным инфо
Вот, стоило начать с того, что "мифическая информация актуальнее есть, но я ее не дам"

Вся информация приведенная в статье актуальна на момент сегодняшнего дня.
Как минимум, лично ежедневно актуализирую, слежу за развитием сферы антифрода, разработкой и выходом новых плагинов.
Профессия у нас такая, всегда быть в курсе малейших изменений, чтобы под них подстроиться.

Извините, если где-то задел.
 
Симпатии: Понравилось haker80

JoraKornev

New member
11.12.2018
15
5
3
#6
ничего личного )) просто добавьте yahoo и гугл , если вам надо убедиться в существовании таких шопов я скину вам их )
 

LazyKid

New member
09.12.2018
14
48
3
#7
ничего личного )) просто добавьте yahoo и гугл , если вам надо убедиться в существовании таких шопов я скину вам их )
Давайте. Интересно очень.
Я ни разу не встречал такие шопы.
Все таки, основные мерчи и платежные шлюзы на данный момент в США - Авторайз, Шопифи, Биг и Ву коммерс. Если не брать во внимание аналоги последних типа мадженто и прочие
 

Flavio

New member
01.12.2018
3
6
3
#9
даже несказал что один из описаных выше мерчей имеет далеко невезде проверку адреса а может дажде 2? ,смысл в такой инфе непонятен конечно и где тут что дышит ? очки за 150$? которые никому нинужные и такой стафф никто не скупит?
 
Симпатии: Понравилось kerber

jAnAi

Member
07.09.2018
86
58
18
29
Острова Баунти
#12
даже несказал что один из описаных выше мерчей имеет далеко невезде проверку адреса а может дажде 2? ,смысл в такой инфе непонятен конечно и где тут что дышит ? очки за 150$? которые никому нинужные и такой стафф никто не скупит?
Эмм, скупают ))
 
17.12.2018
38
41
18
#13
яхо мерч часто тоже встречается, как то вбивал туда. вот в гугол деклайнило пару раз. больше не трогал
 

haker80

New member
29.12.2018
2
0
1
#14
Спасибо за внимание. На этом, пожалуй, закончу.
Если появятся какие либо вопросы - готов ответить на все в комментариях.
Мне очень важна ваша обратная связь.
Жду от вас предложения, на какую тему написать следующую статью, в какой материал углубиться и разжевать.


С Вами был Лейзи!
До новых встреч!
Великолепная статья, как и все остальные написанные вами!
Очень интересно было бы послушать про работу с ролками, информация есть, но довольно старая 2015, 2016...
 

nezranyst

New member
07.08.2019
5
0
1
#17
Кадр № 1

- ну почему у меня меньше чем у него
- алло доктор у него снова начались приступы неполноценности

Кадр № 2

ну что я хуже тебя выгляжу отдай ключи ну пжлст

Кадр № 3

- в таком образе я очень грозный?
- да если только почистите зубы, а то у вас уже кариез образовуется
 

О нас

  • Данный форум посвящен разработкам команды Tenebris, а также связанным с их использованием направлениями в деятельности пользователей. Мы рады приветствовать Вас на форуме и искренне надеемся, что отзывчивое сообщество позволит значительно повысить качество вашей и нашей работы. Присоединяйтесь!

Быстрая навигация

Меню пользователя