Кое что о проверках мерчей для новичков

[Rudel 394]

Многие как я понял методичку не читают вообще. Тут напишу вкрадце немного инфы о мерчах, об их сверках.

• AVS
• CVV
• Совпадение IP / геолокации / BIN

AVS - Address Verification Service

Обеспечивает проверку введенного биллинг адреса холдера. Может быть Mutch или non-mutch. Т.е. нет каких то очков, вроде Fraud Score, есть только "зачет" или "незачет". По некоторым данным (по моим тестам так и есть) проверяется только номер дома (улицы) и zip. Т.е. если у холдера биллинг адрес 2233 pacific street 12345 (12345 - zip), мы можем ввести в поле 2233 lubaya ulica 12345. Город и штат тоже можно ставить любые, но я бы не советовал вообще менять билл адрес, если он правильный, т.к. велика вероятность ручной проверки ордера и любой америкос знает, что зип начинающийся с нуля или единицы не может соответствовать зипу штата Missouri например. На счет зипов - юса идет справа налево снизу вверх (я про карту). Чем ниже и правее, тем меньше первая цифра зипа и тем меньше разница во времени у нас с ними. Но плюс тут в том, что можно попробовать найти карту под адрес дропа - нужны только одинаковый зип и номер улицы. Шанс найти карту не большой, но он есть и тогда можно спокойно слать на "billing address".

Проверка по AVS доступна практически в любом юса мерче (но не во всех) и 90% мерчей ответят вам автоматическим деклайном, даже если карта будет жива и на ней будет баланс, но проверка по AVS покажет "незачет".

AVS проверяется только у карт США, Канады и UK. Возможно есть еще пара мелких стран. У Европейских СС нет проверки AVS.

CVV – Card Verification Value

Это трёхзначный код (иногда четырехзначный, amex например), называют его по разному - CVV2, CVC2, CID, Verification number. Но смысл один - это трёхзначный код на обратной стороне карты, некая дополнительная верификация, т.к. этот код обычно не замагничен на магнитную полосу карты и не может быть прочитан через скимак.

Верификация по CVV коду есть практически у всех мерчей (кстати говоря, пресловутый avtorize.net вполне возможно, хоть на сайтах и имеется поле для его ввода, не сверяет CVV. Я подумал об этом только сейчас, поэтому не проверял и не могу сказать точно. Но знаю, что я бил мерч avtorize.net без ввода CVV кода). И тут так-же, как и с AVS, есть только "зачет" или "незачет".

Так же 90% мерчей выдадут вам автоматический деклайн, если CVV не будет соответствовать карте.

CVV код есть у карты любой страны. (возможно у карт типа Discover его нет, вместо него пишут 000 или 0000 в поле ввода cvv кода)

Совпадение по IP / геолокации/ BIN

Эта система сравнивает местонахождение IP адреса покупателя с географическим положением холдера. Т.е. можно сравнить БИН карты. Если БИН европейский, а адрес указан США, это вызовет вопросы. Так же вызовет вопросы IP Ньй-Йорка, но часовой пояс Москвы.

Есть несколько шлюзов, проверяющих местоположение IP адреса. Каждый сайт пользуется разными шлюзами, именно поэтому в MinFraud'e Чекера IP показывает штата NY, а во Whoer.net IP будет штата MA. Так же именно поэтому мы часто ругаем socks/ssh сервисы, которые заявляют, что носок штата NY, а при проверке во вхуере оказывается, что это штат PA.
Я рекомендую пользоваться сервисом https://www.maxmind.com , на мой взгяд он более точен, т.к. на сколько я знаю обрабатывает информацию с нескольких шлюзов и выводит более реальную.

Несовпадение IP и BIN или часового пояса или IP и адреса холдера уже не имеют оценок таких, как "зачет" и "незачет". Тут будет уже добавление Fraud Score. А как известно, чем он выше, тем выше шанс ручной проверки и отмены ордера.

Так же иногда проверяют телефонный номер (работает только для США). Т.е. каждый штат имеет свои первые три цифры. Как у нас код города, у них есть что-то подобное. В одном штате могут быть разные цифры, но принадлежать они будут одному штату.

Иногда в некоторых шопах (особенно с электроникой) помимо стандартной информации для вбива, могут быть дополнительные поля, куда нужно ввести название банка выпустившего карту и телефон службы поддержки банка. Не стоит сразу забивать на этот шоп и думать, что шоп будет звонить в банк. Они просто сверят введенный вами банк по бину (соответствует или нет) и сверят телефон с базой данных банковских телефонов.

Помимо этого вычисляется в автоматическом режиме шанс того, что пользователь использует прокси, путем тех же proxy score. Базы у всех мерчей разные и если в одном мерче ваш IP адресс будет кристально чистым, то в другом он может иметь крайне высокий proxy score. Так что сервисы чека ip адреса на proxy score - не панацея, но всё-же не стоит пренебрегать ими.

Так же есть базы электронных почт, которые замечены в мошеннических действиях. Поэтому не стоит использовать одну и ту же почту несколько раз.

Еще некоторые шопы проверяют адреса - если адрес подозрителен и есть в их списке, скорее всего вам ничего не вышлют. Я имею ввиду адреса посредников. Но тут уже зависит всё от разогрева шопы и легенды - в любом случае, нужно держать постоянную связь с шопом.