Банковские карты — безопасное будущее платежей или лазейка для мошенников?!
16 февраля 2017
Рубрика: Обзоры и мнения.
Автор: .

Ежесекундно 35 человек в мире становятся жертвами кражи цифровых данных, из них 5 человек являются жертвами мошенничества с банковскими картами.

Больше всего подвержены фроду в США. Исследования, проведенные в 2015 году, показали, что 47% мошеннических действий с картами приходилось именно на Соединенные Штаты. Согласно этим исследованиям, за 2014 год около 32 млн. пользователей карт стали жертвами мошенников. Около 90% этих потерь были возмещены, что обошлось финансовым учреждениям в среднем в $12,75 на карту. 45% этих действий было осуществлено посредством онлайн-краж данных и 37% относилось к подделке банковских карт (относится лишь к картам с магнитной полосой).

Общие потери от этих мошенниче­ских действий составили в 2014 году в странах ЕС 1,3 млрд. евро, в США около $4,3 млрд.

Банковские карты стали неотъемлемой частью нашей жизни и все больше вытесняют из нее наличные деньги. Во всем мире пластиковые карты не только удобный способ платежей, но и причина развития онлайн-торговли и банковских услуг.

Но всегда находятся те, кто не прочь незаконно обогатиться, пользуясь новейшими технологиями, а также незнанием людей этих самых технологий. Еще чаще, просто пользуясь доверием и простотой обычных людей.

Глоссарий. Основные термины. Что нужно знать:

  • Фрод (от английского fraud – мошенничество) – вид мошенничества в области информационных технологий, в частности, несанкционированные действия и неправомочное пользование ресурсами и услугами в сетях связи. В нашем случае включает в себя кражу данных карты в Интернете, копирование информации, содержащейся на магнитной полосе карты, а также мошенничество при оплате при физическом отсутствии карты (чаще онлайн);
  • Банк-эмитент – банк, выпустивший пластиковую карту;
  • CVC2 (CVV2) код – трехзначный код проверки подлинности карты платежной системы. Обычно наносится на полосе для подписи держателя после номера карты либо после последних 4 цифр номера карты. Он используется в качестве защитного элемента при проведении онлайн-транзакции. Разница в названиях связана с разной расшифровкой у разных платежных систем. У VISA это CVV2, у MasterCard – CVC2;
  • Мерчант – продавец, торговая точка или интернет-магазин;
  • Эквайринг – это выпуск торгового или интернет (виртуального) терминала для мерчанта. Другими словами, передача терминала в реальную точку торговли или подключение виртуального терминала в интернет-магазин;
  • Процессинг – обработка операций с пластиковыми картами.

Онлайн-оплата и риски

Для того чтобы понять, как может осуществляться кража данных, представим, как происходит онлайн-оплата с карты, к примеру, в интернет-магазине. После осуществления всех действий, связанных с выбором товара, клиент попадает на страницу оплаты, где он должен ввести номер карты, свои имя и фамилию, как на карте, срок действия карты и CVC2 (или CVV2) код. Дополнительно может потребоваться адрес владельца карты — это тоже один из способов проверки. После этого система проверяет данные и оплата происходит. Вот чаще всего на этом этапе и осуществляется кража данных карты.

Согласно правилам международных платежных систем клиент не должен страдать от мошеннических действий, в таких случаях ущерб должен возмещать банк-эмитент. Это и понятно, доверие к картам международных платежных систем не должно быть подорвано. В то же время есть и исключения из этих правил. Если клиент стал сам виновником действий, которые привели к мошенническим действиям, банк не возмещает ущерб.

Рассмотрим, как могут исчезать деньги с карты. Широко распространены следующие способы карточного фрода:

  1. Фишинг (phishing: от английского fishing — рыбалка и password — пароль) — действия, вследствие которых сам клиент — владелец карты, передает данные своей карты мошенникам.

Как это обычно происходит. На электронную почту владельца приходит письмо от его банка, интернет-магазина или платежной системы, в котором будет ссылка на сайт и просьба совершить какие-либо действия. При этом адрес будет похож на адрес вашего банка, известного вам интернет-магазина, повторяя также стиль, оформление и дизайн. В итоге вы введете данные своей карты и CVC2 (или CVV2) код. И все, мошенникам надо всего лишь небольшое время, чтобы «увести» средства с вашей карты.

В 2015 году Лаборатория Каспер­ского обнаружила 148 395 446 случаев фишинга. Популярным методом фишинга остаются и почтовые рассылки. Мошенники использовали как традиционные методы (в тексте письма содержалась ссылка, ведущая на фишинговый сайт), так и вложения в формате PDF. Текст в сообщении в таких случаях, чтобы обойти спам-фильтрацию, был сведен к минимуму.

Всплеск фишинговых атак приходится, как правило, на праздники, когда пользователи используют популярные сервисы для онлайн-покупок.

Ниже пример письма — попытки «фишинга» клиентов PayPal:

Dear PayPal ® customer,

We recently reviewed your account, and we suspect an unauthorized transaction on your account.

Protecting your account is our primary concern. As a preventive measure we have temporary limited your access to sensitive information.

Paypal features.To ensure that your account is not compromised, simply hit «Resolution Center» to confirm your identity as member of Paypal.

Login to your Paypal with your Paypal username and password.

Confirm your identity as a card member of Paypal.

Please confirm account information by clicking here Resolution Center and complete the «Steps to Remove Limitations.»

*Please do not reply to this message. Mail sent to this address cannot be answered.

Copyright © 1999–2007 PayPal. All rights reserved.

На что стоит обратить внимание в этом письме.

Первое и самое главное — куда в данном случае ведет ссылка — на адрес http://paypal-secure-check.com, ко­торый похож на сайт PayPal (https://www.paypal.com), но находится на абсолютно другом сервере. Во-вторых, сайт PayPal обеспечивает защищенное соединение — https://, а фальшивый сайт такого не обеспечивает — http://.

  1. Man in the middle (Человек посередине)— в этом случае с помощью технических и программных средств мошенник встает между клиентом и сервером банка (или процессинга). Вы считаете, что мошенник — это банк, а банк видит его (мошенника) как клиента. В итоге клиент ничего не подозревает и вводит данные, которые уходят к мошенникам.
  2. Взлом браузера— в данном случае на компьютер внедряется вредоносное ПО, которое перехватывает данные из браузера в режиме реального времени.
  3. Взлом базы банка/платежного провайдера— это наиболее сложный способ украсть данные, при котором злоумышленники получают доступ к данным тысяч и даже миллионов клиентов и их банковских карт банка или процессинга. Обычно с учетом репутационной составляющей о таких взломах становится известно редко.

Летом 2014 года хакеры завладели данными 83 млн. клиентов крупного американского банка JPMorgan Chase. Несмотря на то, что хакеры не заполучили самое ценное — пароли и номера счетов, теоретически у них появилась возможность идентифицировать личность как клиента банка. По мнению экспертов, атака была проведена с целью продажи конфиденциальных данных третьи лицам, которые в дальнейшем могли ее использовать для трудно распознаваемых форм фишинг-атак.

Обеспечение безопасности

Что же делают платежные системы и банки, чтобы не допустить такого рода мошенничества?

Одним из самых эффективных инструментов, представленных платежной системой Visa, стал протокол 3D Secure. Он был внедрен в рамках развития услуги Verified by Visa. Позже этот протокол был принят и другими платежными системами как дополнительный уровень безопасности и еще один шаг для подтверждения личности плательщика. К сожалению, данную технологию поддерживают не все банки и это не является абсолютной гарантией целостности средств на карте, это лишь дополнительный уровень защиты.

В отличие от обычного платежа без 3DS, здесь участвуют три стороны или домена — домен эквайера (сторона банка мерчанта), домен эмитента (сторона банка картодержателя) и домен взаимодействия.

На практике это выглядит так. После нажатия «оплатить» вас отправляют на дополнительную страницу, где нужно ввести код, который пришел в виде SMS. Хотя бывают и другие способы реализации — наборы кодов на карте, выданной вместе с картой, или запрос кода в банке и др. Оплата осуществляется после того, как вы ввели этот код.

К сожалению, к протоколу 3DS подключены не все банки и она не гарантирует защиты средств на карте. Также она не подразумевает гибкую настройку под клиента или угрозы, не в этом ее предназначение.

По этой причине банки-эмитенты запускают у себя специализированные программные системы так называемого фрод-контроля, основная цель которых в соответствии с заранее определенными правилами проверять каждую оплату, каждую транзакцию на предмет наличия в нем элементов фрода.

При осуществлении оплаты система фрод-контроля собирает ряд параметров и показателей. К примеру, статистика оплат по карте — сумма, где чаще всего оплачивается, какого рода товары обычно покупаются, IP компьютера, с которого осуществляется оплата. В целом создаются различного рода правила и фильтры, которые сравнивают «обычное» использование карты с осуществляемым платежом. В зависимости от расхождений каждой операции можно присуждать разный уровень риска, и исходя из него, можно осуществлять действия вплоть до приостановки самого платежа.

К примеру, при оплате в интернет-магазине может проверяться:

  1. Страна, из которой совершается платеж.
  2. IP-адрес, с которого совершается платеж.
  3. Страна банка-эмитента.
  4. Сумма платежа.
  5. История карты.

Все это сравнивается с предыдущими действиями владельца и существующими в системе фрод-контроля профилем среднестатистического покупателя интернет-магазина. Исходя из этого, присуждается уровень риска операции.

Самый простой и часто используемый фильтр — это местонахождение карты. К примеру, оплата в магазине через POS-терминал в Чехии, и через час попытка оплатить в интернет-магазине с сингапурским IP. Или в истории оплат есть только оплаты в России и вдруг оплата в США, что тоже может означать риск. По этой причине многие банки рекомендуют клиентам предупреждать свой банк о возможной поездке и использовании карты в другой стране, иначе можно остаться с неработающей картой за рубежом.

В любом случае самое главное в системе фрод-контроля — это свод правил и фильтров, потому что мошенники развивают свои методы, и систему контроля тоже необходимо постоянно развивать. Надо отметить, существуют страны с высоким риском фрода — т.н. черный список. Также есть списки черных IP-адресов, возможно даже создание «серых списков» неблагонадежных клиентов и т.д.

К сожалению, автоматизированные системы имеют и свои недостатки, иногда рисковую метку может получить вполне себе благонадежный клиент, просто с нестандартной операций, что чревато потерей клиентов. Поэтому и важна постоянная работа с системой и ее раз­витие.

Еще одни жертвы мошенников

Когда говорят о фроде, часто забывают и о другой жертве этих действий — о продавцах (мерчантах). Хотя они часто тоже становятся жертвами недобросовестных клиентов.

В этом отношении очень популярен среди мошенников так называемый «дружественный чарджбэк» (friendly chargeback).

Чарджбэк (chargeback) — это процесс оспаривания банком операции по карте, произведенной картодержателем в торговой точке или интернет-магазине. Чаще всего процедура инициируется картодержателем. Но в ряде случаев инициатором может выступать банк. Сама про­цедура производится следующим образом. Картодержатель подает в банк-эмитент заявление, в котором указывает причину, почему он считает операцию недействительной или мошеннической. Далее банк проводит расследование и в случае правоты заявителя списывает с торговой точки опротестованную сумму платежа и возвращает ее плательщику, то есть чарджбэк происходит за счет торговой точки.

Кстати, платежная система PayPal является очень популярной именно по причине того, что система защищает покупателя. Например, если продавец не выполнил свою часть сделки, то можно спокойно оспорить сделку и вернуть средства. При этом многие даже не знают, что международные платежные системы тоже имеют аналогичный механизм — чарджбэк.

Причинами для инициирования чардж­бэка могут быть:

  • товар оплачен, деньги с карты списаны, но товар не отправлен. Продавец не может доказать, что отправил товар. Другими словами, товар/услуга не предоставлены;
  • полученный товар или услуга значительно отличаются от заказанной продукции, товар неполноценный;
  • сумма платежа отличается от суммы покупки;
  • по карте произошло двойное списание средств;
  • операцию провел не владелец карты — к примеру, карта украдена.

Бывает так, что один человек делает покупку по карте, а второй под предлогом того, что в первый раз слышит о покупке и ничего такого не покупал, и знать не знает ни о магазине, ни о купленном товаре подает жалобу в банк — сидел пил кофе, а деньги «улетели». Само собой, в некоторых случаях эти люди заодно с мошенниками. Хотя бывает, что карточные данные у него «увели». А как это сделали — мы уже выше написали.

Проблема в том, что по правилам системы именно мерчанту (торговцу) необходимо доказать свою правоту, иначе он потеряет товар, оплату, комиссию платежа и, более того, может выплатить штраф (в среднем от $25 до $100 за каждый случай). Кроме того, банки отслеживают количество чарджбэков по каждому мерчанту и если количество превысит установленный банком лимит, то ему могут и закрыть эквайринг.

С другой стороны, количество требований на чарджбэк тоже отслеживается банком и может повлиять на репутацию картодержателя, вплоть до отнесения его в разряд фродеров со всеми вытекающими отсюда последствиями.

Использование 3DS снижает риск чарджбэков, так как часть причин отпадает, так как оплата с применением 3DS приравнивается к самоличному вводу PIN, и клиент не может сказать, что это не он или не был в курсе операции.

В итоге, мы выяснили, что чардж­бэки ухудшают репутацию продавца, а количество запросов на чарджбэки — репутацию владельца карты. Это в какой-то мере является сдерживающим фактором для обеих сторон — покупатель боится инициировать чарджбэк, если не уверен в себе, а продавец по возможности уладит спор, не доводя его до процедуры чарджбэка. Иначе есть риск попасть в фильтры и правила системы фрод-контроля.

Подводя итоги по вопросам безопасности пользования пластиковыми картами, можно сказать следующее:

  1. При всех рисках пластиковые карты сами по себе очень удобный и безопасный продукт и операции с ними безопаснее, чем при обращении с кошельком или наличными. При этом главное — соблюдать ряд правил.
  2. Банки и платежные системы не остаются в стороне и создают многочисленные системы защиты клиента (и себя) от мошеннических действий и уловок. Более того, эти системы постоянно совершенствуются.
  3. В группе риска не только клиенты, но и торговцы. Но существующие правила направлены на защиту интересов всех участников процесса осуществления платежей с применением пластиковых карт.

ОСНОВНЫЕ ПРАВИЛА ПОЛЬЗОВАНИЯ ПЛАСТИКОВЫМИ КАРТАМИ, КОТОРЫЕ ПОМОГУТ ЗАЩИТИТЬСЯ ОТ МОШЕННИКОВ

1. PIN-код нужно держать в недоступном для других месте и никому их не называть. Кроме того, нельзя записывать PIN-код на пластиковой карточке, поскольку в случае кражи посторонние лица могут с нее без проблем снять деньги.
2. Нельзя просить незнакомых людей помочь вам воспользоваться пластиковой карточкой. PIN-код нужно вводить самостоятельно, не показывая его окружающим и не произнося вслух.
3. Не стоит заходить в личный кабинет своего банка с чужого компьютера, особенно в общественных местах (к примеру, из интернет-кафе). Даже дома надо заходить только с компьютера, защищенного антивирусными программами (то же касается покупки в интернет-магазинах).
4. Нельзя предоставлять информацию о своей карточке третьим лицам, даже если они обращаются якобы от имени банка или другого сервиса. Банки не звонят и не присылают на e-mail сообщения, в которых просят клиентов уточнить номер банковской карты и срок ее действия; CVV2-код карты; PIN-код; коды, которые приходят в SMS-сообщениях. Эти данные также нельзя сообщать, общаясь по телефону с сотрудниками банка (или других банков). Сотрудники не имеют права уточнять их по телефону.
5. Будьте осторожны, если вам приходит SMS неизвестного автора с просьбой отправить на другой номер, полученный код или странный набор команд. Вероятно, это мошенничество.
6. Во время покупок в Интернете будьте бдительны и не разглашайте личные данные. Во время таких покупок необходимо указывать только номер карты, срок действия и CVV2-код. Для безопасности нельзя передавать код CVV2 посторонним. Если вас просят сообщить дату и год рождения, девичью фамилию матери или другие личные данные или набрать различные комбинации цифр на телефоне, то вы имеете дело с мошенником. В случае перевода денег мошеннику их можно будет вернуть только по решению суда.
7. В случае кражи или потери карты рекомендуется как можно быстрее позвонить или пойти в банк для того, чтобы ее заблокировать.

Автор: Шухратбек Курбанов

Orphus system
Подписывайтесь на канал infoCOM.UZ в Telegram, чтобы первыми узнавать об ИКТ новостях Узбекистана
В Telegram
В WhatsApp
В Одноклассники
ВКонтакте