SaaS платежі

Що таке перевірка швидкості?

Автор: Олександра Бутенко, Копірайтер

Перевірено: George Ploaie, Головний операційний директор (COO)

Що таке перевірка швидкості транзакцій

Що таке перевірка швидкості?

Перевірка швидкості — це механізм оцінки ризиків (у реальному часі), що відстежує частоту певної дії клієнта протягом періоду часу, який компанія визначила як цільовий. Система реагує на дії, що відбуваються з частотою, яка перевищує встановлений ліміт, наприклад, коли клієнт намагається здійснити платіж частіше ніж раз на секунду, шляхом їх позначення або блокування.

Чому контроль швидкості транзакцій (Velocity Checking) має значення для платежів за підписку SaaS?

Веб-сторінки, пов'язані з продажем SaaS-продуктів, іноді позначаються як початкові точки доступу для автоматизованого програмного забезпечення, що відповідає їхній характерній публічній доступності (і зазвичай не вимагають пароля для первинної взаємодії із сервісом). Впровадження перевірок швидкості дозволяє керувати щонайменше трьома найчастішими категоріями зловживань:

  •       Тестування карток передбачає використання автоматизованих систем для надсилання численних скомпрометованих номерів карток через транзакційний портал мерчанта для визначення їхнього операційного статусу. Операційні витрати мерчанта включають такі статті, як комісії за обробку та фінансові зобов'язання, пов'язані з чарджбеками.
  •       Під час креденшл стаффінгу боти виконують автоматизовані послідовності входу, щоб перевірити, чи значна кількість імен користувачів та паролів, отриманих внаслідок попередніх зборів даних, є функціональними на SaaS-платформі.
  •       Створення численних тимчасових безкоштовних облікових записів за допомогою скриптів дозволяє отримати доступ до різних платних послуг, таких як хмарні обчислення або інструменти для скрапінгу, без відповідної підписки. Наразі функції доступні цим користувачам безкоштовно, і майбутня монетизація не передбачається.

Які дані використовуються для контролю швидкості транзакцій (Velocity Check)?

Дійсно потужний набір правил швидкості враховуватиме лише частоту “кліків”, а також аналізуватиме комбінації інформації, пов'язаної з ідентифікацією, щоб виявити шахрая, який намагається замаскуватися під:

  • Журнал транзакцій: Система показує частоту використання одного номера кредитної картки, ідентифікатора облікового запису або платіжної адреси особи протягом заданого періоду часу.
  • Відбитки пристрою: Записує точну комбінацію апаратного забезпечення, версії браузера та роздільної здатності екрана. Сценарій, за якого профіль браузера показує 20 використань протягом двох хвилин у супроводі різних імен користувачів, відповідає результату класифікації як блокування.
  • IP Геолокація: Кількість разів, коли запит надходить з однієї й тієї ж IP-адреси. Система також налаштована на виявлення випадків “неможливих переміщень”, таких як вхід з Нью-Йорка, а потім з Токіо протягом п'ятихвилинного інтервалу.
  • Аналіз поведінки електронної пошти: Вивчення поведінки певної кількості облікових записів, зареєстрованих лише за допомогою тимчасових поштових провайдерів, або через різні варіації однієї базової електронної адреси (наприклад, [email protected], [email protected] тощо).

 

Як впровадити контроль швидкості транзакцій (Velocity Checking) у білінговій системі SaaS?

Залежно від розміру компанії інженерні команди зазвичай обирають один із двох основних варіантів реалізації:

  • Постачальник платіжних послуг: Його інформаційна панель пропонує можливості для визначення правил, що запобігають спробам тестування карток на початковому етапі. Використання цієї функціональності не потребує модифікацій основної системи чи додаткового програмування.
  • Індивідуальна антишахрайська перевірка (Виділений API): За кілька кроків до того, як дія клієнта досягне вашої білінгової системи, ви маєте право її перехопити та надіслати API-запит зовнішньому постачальнику рішень із запобігання шахрайству. Цей рівень аналізу базується на глибокому відстеженні даних у додатку та складному історичному прийнятті рішень, і приймає рішення дозволити або заблокувати ще до того, як щось буде передано далі по платіжному процесу.

Як налаштувати правила контролю швидкості транзакцій (Velocity Rules), не викликаючи різкого зростання помилкових відмов?

Конкретні набори правил визначають ситуації, коли справжні користувачі можуть зіткнутися з перешкодами доступу (наприклад, забутий пароль або обмежений доступ до інтернету). Ось кілька порад, які допоможуть вам налаштувати ваші правила:

  • Перегляньте історичні базові показники: Отримайте уявлення про реальну активність користувачів, переглядаючи журнали клієнтів протягом періодів високого навантаження, наприклад, великих запусків продуктів, щоб побачити, як швидко людина могла працювати на максимумі. Початкові ліміти шахрайства може бути встановлений на рівні, що перевищує типові людські пороги.
  • Використовуйте динамічні ковзні вікна: Замість того, щоб перезапускати лічильник після півночі, впроваджуйте ковзні часові вікна (наприклад, максимум 3 спроби на 60-секундне вікно).
  • Поділяйте за рівнем довіри користувача: Дозволяйте швидші перевірки швидкості для добре відомих, давно авторизованих користувачів; тим часом, застосовуйте суворі перевірки швидкості для незареєстрованих гостьових оформлень замовлень або нових облікових записів.

 

Що таке помилка "Velocity Check Failed" і як її обробити?

Ця ознака пов'язана з тим, що обсяг вхідних запитів перевищує налаштований максимальний поріг протягом певного періоду. Просте, загальне повідомлення про помилку (у поєднанні з блокуванням подальших спроб) може інформувати неавторизовані сторони про аспекти заходів безпеки. Ця комбінація також впливає на досвід автентифікованих користувачів. Один ефективний спосіб вирішити проблему переповнення – це запровадити CAPTCHA або багатофакторна автентифікація (MFA), оскільки це зупиняє автоматизацію бота, принаймні на деякий час, і водночас дає людському користувачеві змогу завершити свою роботу.

Висновок

Швидкість перевірок є ключовою першою лінією захисту для сучасних білінгових інфраструктур SaaS. Вимірювання частоти подій користувача в реальному часі та ковзні часові вікна можуть дозволити програмній платформі ідентифікувати та зменшити шкідливу автоматизацію, запобігаючи перевантаженню системи та уникненню певних штрафів, пов'язаних з обробкою. ​‍​‌‍​

Готові розпочати?

Ми були на вашому місці. Дозвольте нам поділитися нашим 20-річним досвідом та втілити ваші глобальні мрії в реальність.
Мозаїчне зображення
ukУкраїнська