Попал мне в руки клиент - сейлс менеджер заказал для него тренинг по процессингу, вести выпало мне, ну я и провела. Объяснила, какие транзакции и какие ошибки что значат, как отменять транзакции, ждущие обработки и возвращать бабло по обработанным, как статистику собирать и т. д. Конфигурация у клиента была самая базовая - один аккаунт, обычный процессинг, без 3д-аутентификации, без фрод превеншна, ваще без ничего. Но какие-то он платежи уже начал принимать. Я как-то даже не интересовалась, что за перцы, тренинг и тренинг, все равно вопросы одни и те же, мы их по очереди ведем, каждому хоть раз в месяц да выпадает. Провела и забыла.
Тут звонит этот клиент. Ларису Иванну, мол, хочу, которая тренинг вела, вопросы появились. Переводят звонок на меня, и я с первого вопроса буквально охреневаю.
Клиент рассказывает, что пришли к нему какие-то чуваки (видимо, знакомые), нагенерировали номеров кредиток по известным BIN-ам, они залупили с этих номеров транцакции, и они прошли! И теперь непонятно, кто будет отвечать, если вдруг что.
Открываю аккаунт клиента - и правда, висят там в очереди платежи, еще не обработанные, но банк (по БИНу которого генерили номера) их уже подтвердил. Причем на приличную сумму - штук 20 платежей по 45 евро, несколько по паре сотен и один почти на 700 евро.
Пацаны, говорю, давайте, пока не поздно, вы эти платежи отмените. Смотрите, они еще не обработаны, деньги останутся на картах и вам ничего за это не будет.
Клиент замялся и сказал, что уже ваще-то поздно, потому что они со своей стороны уже все выслали.
Что выслали, говорю? Вы ж дигитальные клиенты, что вы можете выслать, кроме наилучших пожеланий? Купоны, говорят, выслали. Виртуальные. Уже. У нас же бизнес-модель. Только вы нам расскажите, что у вас там с фрод превеншном, и прилетят ли нам чарджбэки за эти транзакции.
Фрод превеншн, говорю, вы у нас не купили. Чарджбэки прилетят, если окажется, что к картам был несанкционированный доступ. Тут уж ничего не поделаешь.
Но как же так, говорит клиент. У нас же бизнес! Мы теряем деньги! Наверное же теряем! Мы все честно выслали!
Открываю сайт клиента посмотреть, что у них там за бизнес. Оказывается, они продают купоны во всякие популярные интернет-магазины - со скидкой, например купон на 120 евро можно купить за 100 евро. Сказать, что на такие "бизнесы" слетаются мошенники, как мухи на говно - это еще ничего не сказать. Это ж можно намыть десятки тысяч и тут же их реализовать совершенно легально!
Объяснила клиенту, что он идиот, что самое лучшее, что он может сделать - это закрыть свой бизнес на пару недель прям щас, а тем временем устроить себе ликбез по секьюрити, дать нам прикрутить себе фрод превеншн, 3-д авторизацию, поправить имплементацию со своей стороны, чтобы предоставлять нам хоть какие-то данные по клиентам для анализа (они нам для обработки ничего не присылали, кроме собсно номера кредитки), и закрутить гайки, чтобы уже хрен с ней, с недополученной прибылью, но чтобы они хотя бы в три дня не разорились (хотя они, наверное, уже).
Клиент обещал подумать и отключился.
Решила я этого клиента погуглить - просто на всякий случай. И тут же нашла форум, на которым совершенно открытым текстом рассказывалось, что, мол, пацаны, смотрите - лох открыл бизнес и не заблокировал БИНы такого-то банка, а этот банк не проверяет CVV2 при авторизации, так что айда генерировать лун-валидные номерки по заданному БИНу.
От 23-го января сего года тема.
А, ну и да. Почти все транзакции у клиента были для карт этого банка, который не проверяет. Успешные транзакции, и в самом деле.
Но поскольку клиент был из тех, кто задает вопрос и не слушает ответ, если тот отличается от того, что звучит у него в голове... Жалко его, конечно. Но не сильно.