Антифрод в интернет-заказах: правила и проверка качества

Что такое антифрод и почему заказы надо проверять

Антифрод в интернет-заказах - это набор понятных проверок, которые помогают отличить обычный заказ от подозрительного до того, как вы потратите деньги на сборку, доставку и поддержку. Для малого ритейла это редко про «сложные системы». Чаще - про четкие правила и дисциплину: что проверяем всегда, что уточняем, а что сразу останавливаем.

Потери от мошенничества обычно выглядят не как одна большая авария, а как серия мелких ударов по марже. Это чарджбэк по карте, отправка товара «в никуда», возврат уже использованного товара, оплата чужими данными. К этому добавляются прямые расходы на курьера, упаковку и повторную логистику. Даже если спор потом решится в вашу пользу, время и нервы команды никто не вернет.

Малый бизнес уязвим по двум причинам: исторических данных мало (сложно понять, что для вас «нормально»), а выделенной команды, которая вручную разберет каждый спорный случай, часто нет. Поэтому лучше начинать с быстрых проверок там, где риск выше: дорогие позиции, экспресс-доставка, первый заказ нового клиента, нестандартные адреса.

Чтобы не путать фрод с обычными ошибками клиента, смотрите на сочетания сигналов. Ошибки обычно случайные и легко исправляются: человек перепутал индекс, не поднял трубку, опечатался в почте. Фрод чаще выглядит как попытка ускорить процесс и избежать контакта.

Удобное правило на старте - делить заказы на три корзины:

• Зеленая: все сходится, отправляем без задержек.
• Желтая: есть 1-2 странности, уточняем по телефону или просим подтвердить детали.
• Красная: несколько сильных сигналов, останавливаем и проверяем оплату и получателя.

Пример: новый клиент оформляет дорогой товар с экспресс-доставкой, просит «не звонить» и указывает адрес без квартиры. Это не приговор, но повод перевести заказ в желтую или красную корзину, чтобы не оплачивать риск из своего кармана.

Модель угроз: какие схемы встречаются в интернет-заказах

Чтобы антифрод работал, полезно заранее описать, от чего именно вы защищаетесь. У малого ритейла обычно нет ресурса проверять каждый заказ вручную, поэтому важнее знать типовые схемы и заранее решить, какой риск вы готовы принять.

Чаще всего встречаются: оплата украденной картой (покупки на крупную сумму, пока карту не заблокировали), подмена получателя (в последний момент просят изменить адрес, телефон или ФИО), массовые тестовые покупки (много мелких заказов, чтобы проверить платеж и лимиты магазина), захват аккаунта (оформление из чужого профиля с сохраненными данными), а также возвратный фрод (получили товар и пытаются вернуть деньги через спор по платежу или заявляют «не получал заказ»).

Полезно разделять фрод при самовывозе и при доставке: сигналы разные. При самовывозе важны человек, который придет за заказом, и совпадение данных с оплатой (а также частота смены контактов). При доставке чаще всплывают подозрительные адреса, просьбы оставить «у двери», частые переносы времени, несоответствие региона и телефона.

Мошенники быстро обходят простые блокировки. Заблокировали «подозрительный IP» - сменят сеть. Режете по сумме - раздробят корзину на несколько заказов. Блокируете один телефон - возьмут виртуальный номер. Поэтому надежнее смотреть не на один признак, а на комбинации.

Приемлемый риск - это баланс. Например, вы готовы дополнительно проверять 2-5% заказов, чтобы сократить потери, но не хотите тормозить всех. Реалистичная цель на старте - не «поймать 100%», а аккуратно снижать ущерб и количество спорных заказов без заметного падения продаж.

Какие данные собирать, чтобы правила работали

Правила держатся на тех данных, которые вы действительно сохраняете. Для малого ритейла лучше начать с небольшого, но стабильного набора. Тогда проверки будут опираться на факты, а не на догадки.

Минимальный набор полей по заказу

Достаточно полей, которые чаще всего отличают обычную покупку от рискованной:

• Контакты: телефон, email, признак подтверждения (код, звонок, мессенджер).
• Адрес доставки: город, улица, индекс, комментарий курьеру, точка самовывоза.
• Состав корзины: товары, количество, общая сумма, скидки/промокоды.
• Оплата: способ, статус платежа, банк/платежный провайдер (если доступно), признак 3DS.
• История клиента: число заказов, доля отмен и возвратов, средний чек, «новый/повторный».

Этого хватает, чтобы запускать базовые правила вроде «новый клиент + дорогая корзина + доставка на новый адрес».

Какие события и исходы фиксировать

Храните не только итог, но и путь к нему. Одна попытка оплаты - одно событие с временем, результатом и причиной отказа. То же относится к смене адреса, отмене, возврату, обращению в поддержку.

Чтобы данные не превратились в хаос, задайте единые справочники причин. Не «клиент передумал/передумал/не актуально», а один код причины плюс короткий комментарий. Тогда вы сможете сравнивать периоды и видеть аномалии.

Для разметки и проверки правил достаточно нескольких исходов:

• Нормальный заказ (доставлен/выдан без проблем).
• Чарджбэк/спор по оплате.
• Фрод подтвержден (внутреннее расследование, подтверждение от провайдера или службы доставки).

Пример: если вы не отличаете «отмена из-за отсутствия товара» от «отмена после проверки», любое правило по отменам будет шуметь и давать ложные срабатывания.

Признаки риска: быстрые сигналы, которые видны сразу

Самые полезные сигналы - те, которые видно за секунды и можно проверить без сложных инструментов. Один красный флаг еще не делает заказ мошенническим, но 3-4 вместе уже повод остановиться и уточнить.

Что чаще всего выдает риск сразу

Частые маркеры выглядят так:

• Контакты кажутся «временными»: странный email, телефон часто меняется, номер не отвечает на звонок, но активно пишет в чат.
• Доставка не бьется с логикой: город в адресе один, а в комментарии просят привезти в другой; слишком подробные или нервные инструкции курьеру; один и тот же адрес всплывает в разных заказах на разные имена.
• Платеж ведет себя нестабильно: несколько отказов подряд, потом внезапно другая карта; попытки разбить оплату на части там, где это не типично для вашего магазина.
• Поведение «спешит»: несколько заказов за минуту, одинаковые товары разными заказами, резкая смена корзины перед оплатой.
• Время и ритм необычные: всплеск заказов ночью, особенно если раньше такого не было, или заявки идут пачкой с короткими интервалами.

Как быстро проверить, не тратя время команды

Сначала проверьте связность данных: имя, телефон, email, адрес и история. Если имя одно, а телефон уже встречался с другим именем и другим городом доставки, риск растет. Если адрес повторяется, уточните коротким вопросом, почему так (офис, пункт выдачи, общежитие).

Мини-сценарий: за 2 минуты пришли два заказа на дорогой товар. В первом - отказ по оплате, во втором - другая карта. В комментарии к доставке просят «не звонить» и «оставить у двери». По отдельности это может быть случайностью, но вместе - повод поставить заказ на ручную проверку и запросить подтверждение по телефону или через повторное согласование адреса.

Набор правил на старте: что внедрить в первую очередь

На старте удобно строить антифрод в три слоя: жесткие стоп-правила, правила повышенного риска и правила доверия. Так вы быстро отсекаете явный фрод и не мешаете нормальным клиентам.

1) Стоп-правила: блокируем почти без ошибок

Стоп-правила должны срабатывать редко, но точно. Если правило срабатывает часто, это уже не стоп, а риск, который нужно подтверждать.

• Оплата не прошла, но клиент пытается оформить доставку или просит отгрузку.
• Один и тот же email или телефон за короткое время делает много заказов на разные адреса.
• Явно поддельные данные: невалидный телефон, адрес не существует, индекс не совпадает с городом.
• Несовпадение страны карты и страны доставки при дорогом товаре и экспресс-доставке.

2) Правила повышенного риска: отправляем на ручную проверку

Ручная проверка - это не расследование, а быстрый контакт: уточнить детали, подтвердить адрес, при необходимости попросить сменить способ оплаты.

• Очень дорогая корзина и первый заказ (часто так покупают электронику).
• Много попыток оплаты разными картами с одного аккаунта.
• Доставка «до двери» или на пункт выдачи с частыми правками адреса.
• Несовпадение имени получателя с именем плательщика плюс новый аккаунт.

3) Правила доверия: уменьшаем трение

Правила доверия помогают не раздражать постоянных покупателей. Сюда обычно попадают клиенты с историей выкупа, корпоративные заказы с доменной почтой компании, повторная доставка на уже подтвержденный адрес. Для них можно повышать лимиты и реже требовать подтверждение.

Исключения задавайте явно: белый список клиентов, список корпоративных контрагентов, партнерские доставки (курьерские службы, маркетплейсы). Исключение должно быть узким (по ID клиента, договору, конкретному адресу), иначе оно превращается в дыру.

Как настроить антифрод пошагово без сложных систем

Антифрод можно запустить и без отдельной платформы. Важнее не количество правил, а то, чтобы у каждого было понятное действие и чтобы вы могли потом проверить, сработало ли оно правильно.

Сначала договоритесь о цели и цене ошибки. Для магазина с низкой маржой «пропустить фрод» часто дороже, чем «случайно задержать честного клиента». А если вы продаете редкий товар с длинным сроком поставки, лучше мягко проверять, чем резко отменять.

Дальше выберите небольшой стартовый набор правил и заранее назначьте реакцию. Не делайте все «в блок». Удобно держать четыре типа решений: пропустить, задержать до проверки, попросить уточнение (звонок, подтверждение), отменить.

Чтобы правила не превратились в хаос, заведите журнал причин. Это может быть поле в админке, метка в CRM или таблица, где для каждого заказа фиксируются: какие правила сработали, какое действие выбрали, чем закончилась история (выкуп, отмена, чарджбэк, возврат). Без этого вы не поймете, какие правила помогают, а какие только мешают продажам.

Запуск лучше делать аккуратно:

• Определите, какие потери для вас критичны (фрод, возвраты, чарджбэки) и сколько времени вы готовы тратить на проверки.
• Возьмите 5-10 простых правил и назначьте для каждого действие.
• Записывайте причины и итог по каждому спорному заказу.
• 1-2 недели работайте в режиме наблюдения: правила помечают, но не блокируют.
• После наблюдения включайте блокировки точечно, начиная с самых «чистых» сигналов.

Пример: новый клиент оформляет дорогой заказ, просит срочную доставку и меняет адрес через 10 минут. В режиме наблюдения вы отметите заказ как «задержать», запросите подтверждение и запишете причину. Через две недели станет видно, сколько таких случаев были честными, и вы выберете: всегда задерживать, блокировать только при повторных признаках или снизить чувствительность правила.

Скоринг и пороги: когда блокировать, а когда уточнять

Скоринг нужен, чтобы быстро отделять обычные заказы от спорных и не тормозить доставку всем подряд. Самый простой подход - копить баллы за риск-сигналы и сравнивать сумму с порогами.

Удобно начать с весов 1, 3 и 5 баллов: 1 балл - слабый сигнал, 3 - заметный, 5 - сильный. Пример для старта:

• 1 балл: новый аккаунт или первый заказ без других странностей.
• 1 балл: адрес доставки отличается от адреса плательщика (если вы это видите) и это редко встречается у вашей аудитории.
• 3 балла: несколько попыток оплаты подряд или частые смены способа оплаты за короткое время.
• 3 балла: корзина нетипична для этого клиента (в 5-10 раз дороже обычных покупок).
• 5 баллов: несостыковки в контактах (номер не отвечает, подозрительный email, «технический» адрес) плюс спешка «отправьте срочно».

Задайте пороги и четкие действия. Важно, чтобы у каждого статуса был владелец и срок.

• 0-2 балла (низкий риск): пропускаем автоматически.
• 3-6 баллов (средний риск): уточняем 1-2 факта (звонок, короткое сообщение, просьба подтвердить адрес). Желательно уложиться в 10-20 минут с момента заказа.
• 7+ баллов (высокий риск): стоп/отмена до выяснения, либо предоплата только безопасным способом, либо ручная проверка старшим смены.

Чтобы антифрод не превратился в постоянные задержки, ограничьте ручную проверку по времени и объему: например, не более 2-5% заказов в день и не дольше 30 минут на один заказ. Если очередь растет, лучше временно поднять порог для ручной проверки, чем держать всех клиентов в ожидании.

Как проверять качество правил на реальных данных

Правила хороши ровно настолько, насколько помогают на реальных заказах. Проверку удобнее делать как небольшой эксперимент: берете понятный период, фиксируете версию правил и сравниваете результат до и после.

Как собрать датасет для проверки

Начните с 4-12 недель данных. Если есть сильная сезонность, добавьте прошлогодний похожий период (распродажи и праздники), иначе цифры будут обманчивыми.

Для каждого заказа сохраните: дату, канал (сайт, маркетплейс, мессенджер), категорию товара, сумму, способ оплаты, доставку, сработавшие правила и итог.

Разметка должна быть простой и одинаковой для всех:

• фрод (чарджбэк, подтвержденное мошенничество, отказ в выдаче по безопасности)
• легитимный (успешная доставка, нет возврата по причине мошенничества)
• спорный (возврат по обычным причинам, недостаточно данных)

Спорные случаи лучше не «додумывать», а держать отдельно, чтобы не портить оценку.

Метрики, которые стоит считать

Обычно достаточно трех показателей:

• доля пойманного фрода: сколько мошеннических заказов вы остановили;
• доля ложных блокировок: сколько хороших заказов вы зря отклонили или задержали;
• чарджбэк-рейт: как меняется доля чарджбэков от всех оплаченных заказов.

Сравнивайте правила честно: «до и после» при одинаковых условиях. Отдельно смотрите разрезы по каналам и категориям. Часто правило отлично работает на дорогой электронике, но заметно портит конверсию в недорогих товарах.

Практичный пример: на распродаже выросли заказы с экспресс-доставкой и новой географией. Если вы оцениваете качество только по спокойной неделе, правило «новый адрес + срочная доставка = блок» будет выглядеть идеальным, а в пик сезона даст всплеск ложных блокировок. Поэтому тестируйте на свежих данных и отмечайте периоды, где поведение покупателей меняется.

Пример сценария: один спорный заказ и решения по шагам

Ситуация: в интернет-магазине появляется заказ от нового клиента на дорогой товар (например, смартфон или игровая приставка). Клиент выбирает срочную доставку на вечер, а при оплате видно несколько неудачных попыток подряд. Через пару минут оплата все же проходит.

Такой набор событий редко бывает полностью случайным. Каждый сигнал по отдельности может быть нормальным, но вместе они повышают риск.

Как срабатывают правила

Сначала вы смотрите на быстрые признаки: новый аккаунт, высокая сумма, срочная доставка, серия отказов по оплате, несостыковки в контактах. Дальше важно не «рубить с плеча», а выбрать действие по уровню риска.

Один из рабочих вариантов по шагам:

• Система помечает заказ как «на проверке» и ставит паузу на отгрузку на 30-60 минут.
• Менеджер звонит клиенту: отвечает ли номер, совпадает ли имя, уверен ли человек в деталях заказа.
• При доставке курьером уточняются детали адреса: подъезд, этаж, домофон, ориентир. На простых деталях мошенники часто путаются.
• Если остаются сомнения, просят подтвердить оплату безопасным способом: например, назвать последние 4 цифры карты и точную сумму (без запроса полного номера или кода).
• Если клиент нервничает, отказывается отвечать или меняет условия (адрес, получателя), заказ переводят в «отмена по риску» или предлагают самовывоз с документом.

Как зафиксировать исход и улучшить правила

Записывайте результат проверки, а не просто «отменили/отпустили». Минимум: какие сигналы сработали, какое действие выбрали, чем закончилась история (успешная доставка, возврат, чарджбэк, жалоба клиента). Через 2-4 недели будет видно, какие правила дают много ложных срабатываний, а какие реально ловят проблемные заказы. Тогда вы подстроите пороги без лишних отказов честным покупателям.

Частые ошибки и ловушки при внедрении антифрода

Самая частая проблема на старте - слишком жесткие правила. Например, блокировать все заказы из «подозрительного» города, по определенному индексу или запрещать покупки новым клиентам. Так вы быстро снизите фрод, но одновременно срежете продажи и получите волну недовольства. Мошенники обычно просто обходят такие запреты, а нормальные покупатели уходят.

Вторая ловушка - нет разметки, значит нет понимания, что работает. Если вы не отмечаете итог по каждому «подозрительному» заказу (фрод, честный, спорный), правила живут на ощущениях. Через месяц вы уже не вспомните, почему заказ был отменен: правило сработало верно или вы потеряли хорошего клиента.

Отдельная боль - смешивать причины. Возвраты из-за брака, ошибок комплектации или доставки часто случайно попадают в «мошенничество». В итоге вы пытаетесь лечить антифродом проблему качества сервиса. Это портит статистику и приводит к неверным выводам: правило кажется полезным, хотя оно всего лишь отсекает клиентов, которые чаще возвращают товар по бытовым причинам.

Еще одна ловушка - игнорировать клиентский опыт. Долгие проверки без объяснений, молчание в чате, задержки отгрузки «на всякий случай» превращают антифрод в наказание для честных.

Чтобы не застрять в этих ошибках, держите простой порядок:

• Делайте правила мягкими: не «блок», а «уточнить» для части случаев.
• Введите статусы исхода проверки и причину решения.
• Разделяйте фрод и операционные возвраты в отчетах.
• Ограничьте время ручной проверки (например, до 30-60 минут).

Пример: новый клиент делает срочный заказ дорогого товара и просит сменить адрес после оплаты. Это повод не отменять автоматически, а быстро запросить подтверждение по телефону или через безопасный канал и зафиксировать исход. Без такой дисциплины вы либо потеряете продажу, либо пропустите реальный риск.

Короткий чек-лист: готов ли ваш антифрод к работе

Если антифрод держится на паре «подозрительных» правил в голове у менеджера, он будет работать только до первой волны мошенничества или до всплеска ложных блокировок. Готовность - это когда решения повторяемы, объяснимы и проверяемы.

Если на любой пункт вы отвечаете «нет», это не провал, а конкретное место, которое надо закрыть:

• Есть 2-3 уровня риска (низкий, средний, высокий) и для каждого уровня прописано действие: пропустить, уточнить данные, отложить и проверить, отменить.
• Каждый «остановленный» или отмененный заказ получает понятную причину в журнале (не «подозрительный», а «несовпадение имени и получателя», «слишком много попыток оплаты», «аномальная доставка»).
• Метрики считаются регулярно (хотя бы раз в неделю): доля чарджбэков, отмен, ручных проверок и ложных блокировок (когда клиент оказался нормальным).
• Есть владелец правил: кто может менять правила, кто утверждает и где хранится актуальная версия (чтобы не было «у каждого своя»).
• Любое изменение правил проходит мини-тест на данных: сколько заказов оно заденет, сколько из них было проблемными и как это повлияет на продажи.

Хороший признак зрелости: вы умеете откатить правило за 10 минут, если оно внезапно «положило» конверсию, и при этом можете объяснить, почему это произошло. Тогда антифрод становится управляемым, а не реактивным.

Следующие шаги: как масштабировать антифрод без перегрузки команды

Чтобы антифрод не превратился в бесконечные ручные проверки, масштабируйте его как продукт: небольшие улучшения каждую неделю, измеримые цели и понятные причины решений. Если у вас пока только базовые проверки, начните с дисциплины данных и процесса, а не со сложных инструментов.

Минимум, который можно сделать за неделю и уже увидеть эффект:

• Введите 5 стартовых правил (например: несовпадение имени и карты, много попыток оплаты, необычно дорогая корзина для нового клиента, повторяющиеся адреса доставки, несколько аккаунтов на один телефон).
• Заведите журнал причин: почему заказ прошел, ушел на уточнение или был отклонен (короткие коды причин).
• Запустите пилот в режиме наблюдения: неделю не блокируйте автоматически, а отмечайте, какие заказы правила бы остановили.
• Настройте простую очередь на уточнение: кто звонит, что спрашивает, сколько времени это занимает.
• Согласуйте метрики: доля ручных проверок, доля отмен, чарджбэки, время обработки спорного заказа.

Переходить от правил к более умным моделям и автоматизации стоит, когда ручная очередь растет, правила начинают конфликтовать, а качество сложно объяснить. Типичный сигнал: вы добавляете новые исключения быстрее, чем снижаются потери. Тогда помогает фрод-скоринг для малого ритейла: правила остаются, но итоговый риск считается суммарно, с порогами для блокировки и уточнения.

Под рост заранее подготовьте инфраструктуру: единый формат логов, хранение истории заказов и решений, регулярные отчеты по причинам и результатам. Даже простая схема «событие - правило - решение - итог» резко упрощает улучшения.

Если нужен интегратор, GSE.kz может помочь с системной интеграцией и инфраструктурой под антифрод-аналитику: серверы и рабочие места для команды, решения для дата-центров и поддержка 24/7, чтобы проверки работали стабильно и без лишней нагрузки на сотрудников.