Платежные карты: Бизнес-энциклопедия - Проект

В соответствии с данными EAST (European ATM Security Team) потери европейских банков в 2006 г. от скимминга через банкомат, трэппинга и спровоцированных возвратов составили в прошлом году 306 млн евро.

О краже данных пластиковой карты и ПИН-кода через банкомат с помощью накладного ридера и миниатюрной видеокамеры (накладной клавиатуры) с последующим выпуском белого пластика уже говорилось выше. Под трэппингом (trapping) понимается мошенничество, в соответствии с которым на ридер банкомата устанавливается устройство, препятствующее извлечению карты из банкомата после выполнения транзакции. Карту потом извлекает мошенник, которому к тому же к этому моменту известен ПИН-код держателя карты (с помощью видеокамеры или иным более изощренным способом).

Иллюстрацией трэппинга является мошенничество, известное как «ливанская петля». Почти цирковой способ мошенничества, при котором ничего не подозревающий держатель карты засовывал ее в заранее «обработанный» мошенником банкомат. Суть «обработки» банкомата состояла в том, что в прорезь карт-ридера банкомата вставлялся кусок фотопленки, концы которого незаметно укреплялись на внешней стороне банкомата. Фотопленка после совершения операции не давала возможность карте выйти из карт-ридера. Мошенник оказывался неподалеку и предлагал держателю карты свою помощь. Он рекомендовал ему вновь ввести свой PIN-код, а когда из этого ничего не получалось, вводил его сам со слов держателя, утверждая, что уже видел такие случаи раньше и при повторном вводе PIN-кода карта должна выйти из банкомата. Карта, конечно, не возвращалась, а мошенник советовал ее держателю придти на следующий день в банк (махинация проводилась в часы, когда отделение банка уже не работало), и тогда карта ему будет обязательно возвращена. После ухода держателя карты мошенник извлекал пленку вместе с картой из банкомата и опустошал счет держателя карты.

Метод спровоцированного возврата заключается в том, что мошенники извлекают из банкомата не все выданные банкоматом деньги, а только их часть. Оставленные мошенниками средства по тайм-ауту возвращаются банкоматом в диверт-кассету. После этого банкомат инициирует возврат средств. Иногда программное обеспечение банкомата (обслуживающего банка) не способно поддерживать частичный возврат (partial reversal) и в результате на счет клиента возвращается вся заказанная им сумма.

Существуют и другие виды мошенничества с использованием банкоматов. Например, в результате физического взлома банкоматов с целью извлечения из них денежных средств, грабежей инкассаторов и держателей карт, получивших деньги в банкомате, в прошлом году в Европе было потеряно около 28 млн евро. Более подробно о мошенничестве через банкоматы см. далее.

Цель настоящего раздела состоит в том, чтобы показать читателю, что, несмотря на многообразие методов, в случае карт с магнитной полосой не существует эффективного универсального решения для защиты банка (держателя карты) от мошенничества.

Сегодняшние эмитенты карт с магнитной полосой используют комплексный подход для борьбы с фродом, состоящий из следующих элементов защиты:

• утвержденной руководством банка и доведенной до заинтересованных подразделений политики эмиссии карт, описывающей эмитируемые банком карточные продукты, их потребителей, процедуры обработки заявлений клиентов, доставки и выдачи карт, средства и системы защиты банка от мошенничеств, распределение ответственности между подразделениями банка, поведение персонала и руководства банка в случае обнаружения атак и т. п.;

• установки необходимых проверок в системах авторизации транзакций банка;

• поддержания стоп-листов скомпрометированных карт;

• системы мониторинга транзакций, позволяющих определить подозрительные транзакции;

• предоставления платежной системе отчетности о случаях мошенничества по картам банка;

• работы с клиентами банка;

• предоставления клиентам банка услуги смс-уведомлений о выполненных по карте клиента операциях.

Большое значение для борьбы с мошенничеством имеет работа эмитентов с держателями карт и обслуживающих банков с торговыми предприятиями.

Рассмотрим, каким образом перечисленные элементы защиты банка помогают справиться с карточным фродом.

Украденные (потерянные) карты

Для борьбы с этим видом мошенничества используются следующие элементы защиты:

• блокировка карты в системе эмитента с выдачей кода ответа о необходимости захвата карты; этот метод является особенно эффективным для дебетовых карт, операции по которым происходят только в режиме реального времени;

• помещение карты в стоп-листы платежной системы, рассылаемые обслуживающим банкам, а также в стоп-листы резервных систем авторизации; этот элемент защиты особенно полезен в случае, когда украденная карта является кредитной и по ней возможна авторизация в оффлайновом режиме без обращения к эмитенту;

• размещение на обратной стороне карты фотографии ее держателя; этот элемент защиты основан на использовании психологического фактора — мошенник испытывает дискомфорт при обращении с подобной картой в торговое предприятие, понимая, что кассир может поинтересоваться, почему на карте помещена чужая фотография;

• использование средств мониторинга транзакций, которые позволяют определить изменение «рисунка» операций по картам пострадавшего клиента (чтобы обойти возможные средства борьбы с кражей карты со стороны эмитента, мошенник пытается поскорее воспользоваться картой и снять находящиеся на ней денежные средства) и обратиться к клиенту для получения разъяснений о причинах такого изменения;

• использование смс-уведомлений по карточным операциям; такие уведомления могут помочь клиенту обнаружить факт пропажи/кражи карты.

Борьбе с этим видом мошенничества способствуют общие тенденции карточного рынка по более интенсивному использованию онлайновых авторизаций, а также увеличению доли дебетовых карточных продуктов.

Очевидно, что все перечисленные методы, взятые в совокупности, не предоставляют 100 %-ной гарантии того, что фрода удастся избежать. Это связано с тем, что с момента обнаружения этого вида мошенничества до момента «включения» элементов защиты уходит несколько дней, которых бывает достаточно для того, чтобы опустошить счет, связанный с украденной (потерянной) картой.

Неполученные карты

Помимо средств, описанных в предыдущем разделе, для борьбы с этим видом мошенничества дополнительно используются следующие элементы защиты:

• выпуск карт в заблокированном состоянии со статусом «новая карта» (new card), и их разблокировка клиентами либо в отделениях и банкоматах с помощью специальной операции разблокировки, требующей от клиента знания ПИН-кода, либо через телефонные звонки по кодовому слову (например, девичьей фамилии матери);

• выдача карт через отделения банка и использование специализированных курьерских служб вместо обычной почты для доставки карт из центра их персонализации в отделения банка.

Выпуск карт в заблокированном виде является наиболее эффективным методом борьбы с рассматриваемым видом мошенничества.

Поддельные карты

Сегодня различают два способа подделки карт. Первый способ (подделка с чистого листа) состоит в подборе мошенниками правильного набора реквизитов карты (реквизитов, совпадающих с реквизитами одной из эмитированных банком карт), состоящих из номера карты, срока действия карты и значения CVC/CVV или CVC2/CVV2. В этом случае эффективными являются следующие элементы защиты:

• генерация номеров карт по случайному закону;

• расширенная проверка срока действия карты;

• CVV/CVC, CVV2/CVC2.

Поясним смысл этих элементов защиты. Обычная проверка срока действия карты состоит в том, что номер карты, нанесенный на магнитную полосу или эмбоссированный на передней панели карты, сравнивается с текущей датой. При расширенной проверке помимо обычной проверки с текущей датой значение срока действия карты проверяется на равенство со значением срока действия карты в базе данных процессингового центра банка. Таким образом, мошеннику требуется угадать точное значение срока действия карты. Поскольку карта обычно выпускается сроком на 2 года, вероятность подбора точного значения ее срока действия равна 1/24.

Генерация случайных номеров карт позволяет защитить эмитента от подбора мошенником правильного номера карты. Обычно номер карты состоит из 16 цифр, из которых первые 8 представляют собой префикс карты, используемый для идентификации банка и его филиала. Последняя цифра номера карты является функцией от первых 15 цифр (вычисляется по правилу luhn check parity). Поэтому остается 7 независимых цифр номера карты, использование которых позволяет банку эмитировать до 10 млн карт. Этот диапазон карт можно заполнять с любой заранее заданной максимальной плотностью заполнения X. Под плотностью заполнения понимается отношение количества выпущенных карт ко всему диапазону возможных значений номеров карт (10 млн карт). Если при этом номера карт генерируются по случайному закону, то вероятность того, что мошенник, выбирая наугад какой-то номер карты, угадает его, не превышает максимальную плотность заполнения диапазона номеров карт. Очевидно, это увеличивает накладные расходы мошенника, тем самым снижая его привлекательность подделки. Таким образом, использование эмитентом генерации случайных номеров карт, проверки CVC/CVC2, расширенной проверки срока действия карты требует от мошенника (не знающего реквизитов карт) перебрать n = (24 × 1000)/X = 24000/X различных сочетаний реквизитов карты, для того чтобы с вероятностью 1 добиться успеха. При X = 1 требуется перебрать 24 000 различных значений, а при X = 0,1 — 240 000,0 вариантов. Это делает практически неинтересным для мошенника попытки подбора правильных реквизитов карт. Получается, что стоимость подбора выше потенциальной добычи. Вероятность того, что правильные реквизиты карты будут определены за k попыток (k ≤ n), равна в нашем случае k/n. Поэтому чтобы обеспечить высокую вероятность достижения успеха, мошеннику придется перебрать порядка n различных комбинаций реквизитов карты.