LHV Paytechi juht Lauri Teder paneb südamele, et me elame ajastul, mil digipettuste arv kasvab murettekitava tempoga, isegi kiiremini kui e-kaubandus ise.
Ainuüksi 2025. aastal kaotasid Eesti inimesed digipetturitele ligikaudu 23 miljonit eurot. Kogu maailmas kokku ulatusid e-kaubanduse pettusekahjud 2024. aastal 44 miljardi dollarini ja aastaks 2029 prognoositakse selle kasvu 107 miljardi dollarini. Need arvud ei ole abstraktsed. Iga arvu taga on kaupmehed, kes jäid ilma müügitulust, ja kliendid, kes kaotasid usalduse.
Hea uudis selle kõige juures on see, et suur osa riskidest on ennetatavad. Selleks tuleb aga mõista, millega täpselt on digikuritegevuse puhul tegu.
Petturite sihikul on inimene
Esimene ja olulisim tõdemus: tänapäeva pettuste algpõhjus ei ole enam tehnoloogiline turvaauk, vaid inimlik nõrkus. Kurjategijad on professionaalid, kes teadlikult rõhuvad inimeste nõrkustele ja kasutavad neid süstemaatiliselt ära.
Kolm põhjust, miks kaupmehed satuvad riskiolukorda
Maksete vastuvõtmisel on kaupmehe riskidel üldjoontes kolm allikat.
-
Pahatahtlik klient – klient kasutab varastatud kaardiandmeid või esitab alusetu tagasinõude (ingl friendly fraud). Varastatud kaardi- või makseandmetega tehingu tegemine on üks levinumaid pettuseviise. Sellega võib kaasneda hilisem tehingu vaidlustus ja finantskahju. Alusetu tagasinõue on olukord, kus klient üritab meelega või kogemata väita, et tema pole teatud tehingut teinud, ning nõuab raha tagasi kas otse kaupmehelt või vaidlustuse kaudu.
-
Nõrk infoturve – rahvusvahelise turbestandardiga PCI DSS on kaardiorganisatsioonid kehtestanud endale nõuded, millega kaitstakse maksekaartide andmeid. Kui süsteemid neile nõuetele ei vasta, avatakse kurjategijatele uks pangakontode ülevõtmisele ja veebilehe sisu muutmisele viisil, mis võimaldab neil koguda sinu klientide või pangakaardi andmeid. Selle valdkonna suurimad ohud on nõrgad paroolid ja töötajate langemine õngitsuskirjade ohvriks. Selle tagajärg võib olla mainekahju, trahvid või kulukad kohustuslikud uurimised. Soovitame tutvuda kaupmeestele loodud PCI DSS-i tutvustusega.
-
Puudulikud siseprotsessid – ilma selgete reeglite ja koolitatud töötajateta jäävad kahtlased kaarditehingud märkamata või luuakse soodne pinnas eksimusteks, millel võivad olla kallid tagajärjed. Sellised juhtumid on näiteks raha tagastamine muule kui algsele maksevahendile, kiirustamisest tingitud vead ja kauba/teenuse väljastamine olukorras, kus on selged pettuse tunnused.
Tunne oma klienti ja äri
Parim pettusevastane tööriist on teadlikkus. Kui tunned oma klienti ja äri, saad heale kliendile pakkuda paremat kasutajamugavust ning tundmatu kliendi puhul oma riske maandada.
Küsi endalt kolm küsimust.
1. Mida sa müüd? Kas sinu toode on lihtsalt rahaks tehtav? Kinkekaardid, elektroonika ja luksuskaubad on petturite lemmiksihtmärgid. Suurema riskiga toodetel peab olema rangem kontroll.
2. Kes on sinu klient? Millises riigis ta asub ja millise riigi maksevahendit ta kasutab? Mis on tema tavaline ostumuster ehk keskmine summa, kogus ja sagedus? Siin on üks oluline nüanss: VIP-kliendi tehingud on sageli väga sarnased petturi tehingutega. Seega ei tähenda suuremad summad ja korduvostud automaatselt usaldusväärset klienti: tuleb vaadata tema käitumismustrite kogumit, mitte üksikut signaali. Kasuta mustrite märkamiseks pettuste ennetamise erinevaid vahendeid. Näiteks kui järsku soovib USA kaardiga klient sinult osta suure summa eest või ta kasutab mitut pangakaarti, et sooritada edukas ost, siis võib olla tegu pettusega. Vahel püüavad kurjategijad katsetada oste erinevates summades, et teada saada, kui palju raha on maksekaardil. See on nagu turvavärav füüsilises poes.
3. Milline on sobiv maksemeetod? Kaardi- või pangamakse, Apple Pay või Google Pay – igal meetodil on oma riskiprofiil ja vastutuse jaotus. Näiteks 3D Secure autentimine nihutab vaidluse korral vastutuse kaardiomaniku pangale. Ilma 3D Secure kaitseta kannab võimaliku kahju kaupmees ise. Teatud tehingute puhul tasub kaaluda eelautoriseerimist. Tea, et Apple Pay ja Google Pay maksed on tugevalt autenditud, mis tähendab, et kaupmehe vaatest on ka teatud vaidlustuste korral vastutus kaardiomaniku poolel. Samas on need meetodid kliendi jaoks väga mugavad. Pangamakset ei saa klient nii kergelt vaidlustada, kuid kaardimakse on tema jaoks tihti eelistatum, sest sellega võivad kaasneda boonused või ostukindlustus.
Kui midagi tundub liiga hea või liiga pakiline, võta aeg maha
See on lihtsaim, kuid tähtsaim reegel. Petturid töötavad kiiruse ja emotsioonidega – nad loovad kunstliku surve, et sa tegutseksid enne mõtlemist.
Soovitused pettuste ennetamiseks ja riskide maandamiseks
-
Järgi standardi PCI DSS nõudeid, need on infoturbe miinimumreeglid. Hoolitse selle eest, et kõik töötajad kasutaksid turvalisi paroole ning oleksid kursis digiturvalisuse reeglitega.
-
Ole kursis levivate pettuseliikide ja -trendidega ning sellega, kuidas ennast ja ettevõtet sellistes olukordades kaitsta. Näiteks on abiks väiksemad makselimiidid ja neljasilmaprintsiip.
-
Kui sinu toodet või teenust on lihtne edasi müüa, siis jälgi hoolega sellise mustriga pettusi, mille puhul petturist klient üritab saada näiteks varastatud maksevahendiga toote kätte selleks, et see hiljem odavalt edasi müüa.
-
Tunne oma tavaklienti. Sea sisse pettuste ennetamise reeglid, et sa märkaksid eristuvaid tehinguid ja saaksid hinnata nende autentsust. Kui tegu on suure ostuga ning sa näed seda klienti esimest korda, siis leia põhjus ja helista talle. Nii saad veenduda, kas ta on päris klient, mitte pettur. Kui märkad, et sinu kliendid kasutavad välismaa pangakaarte või erinevaid pangakaarte, siis ole valvas ja veendu, et tegu poleks petturiga.
-
Tagastuse korral tagasta raha alati samale maksevahendile, millega ost tehti. Kui see oli kaardimakse, siis tee tagasimakse kaardile, ja kui algne makse tehti pangas, siis tee tagastus pangakontole.
-
Hoia oma müügidokumentatsioon korras. Nii saad vaidlustuse korral kiiresti esitada kõik vajalikud müügi, makse ja transpordiga seotud tõendusmaterjalid.
-
Tuvastatud kliendile võid pakkuda laiendatud maksemeetodite valikut. Esmakordse või autentimata kliendi jaoks vali sellised meetodid, mille tehingu eest ei vastuta sina. Sellised meetodid on näiteks tugevalt autenditud kaardimaksed (3D Secure), Apple Pay, Google Pay ja pangamakse.
Kokkuvõttes ei kao veebimaksete riskid kuhugi, kuid nendega saab teadlikult töötada. Alusta kolmest asjast: tunne oma klienti ja tema ostumustrit, vali riskiprofiilile vastav maksemeetod ning hoia oma protsessid ja töötajad digipettustega valdkonnaga kursis. Ja kui midagi tundub liiga hea või liiga kiireloomuline, siis võta aeg maha. See mõttepaus on sageli väärt rohkem kui ükski tehniline lahendus.
