Мошенничество с кредитными картами
Подавляющее число случаев мошенничества с пластиковыми картами
происходит по вине банков либо из-за фундаментальных уязвимостей
платежных систем. Однако обнародование истинных причин, способствующих
случаям мошенничества с пластиковыми картами, как банкам, так и
платежным системам невыгодно: первым невыгодны факты, свидетельствующие
об их непрофессионализме (ведь это может отпугнуть новых клиентов и
побудить существующих к смене обслуживающего их финансового учреждения),
а платежные системы, упорно модернизирующие и адаптирующие к новым
условиям появившуюся в 50-е годы прошлого века и безнадежно устаревшую в
настоящее время систему расчетов, просто не хотят потерять свой бизнес,
успокаивая клиентов «новейшими системами безопасности, гарантирующими
сохранность ваших средств», что является по меньшей мере сознательной
ложью.
В последнее время в печати и Интернет-изданиях достаточно часто
появляются статьи об онлайновом мошенничестве с банковскими кредитными
картами, из которых следует, что оплата кредитной картой товаров и услуг
по Интернету однажды неминуемо обернется для ее владельца хищением
реквизитов карты и финансовыми убытками. В целом этот вид мошенничества
представляет собой реальную опасность для Интернет-коммерции. Попробуем
разобраться, насколько серьезны все эти угрозы, действительно ли
Интернет-торговцы и Интернет-покупатели так беззащитны перед мошенниками
и правда ли, что Интернет-мошенники настолько всесильны.
Что же может угрожать владельцу кредитной карты, который расплачивается
ей в Интернете? Правильный ответ вроде бы лежит на поверхности - данные
кредитной карты могут украсть. Действительно, за последние годы было
отмечено немало случаев крупных хищений баз данных с реквизитами
кредитных карт. Одним из “первенцев” был российский хакер Максим
Иваньков (Максус), похитивший базу кредитных карт в количестве около 300
тыс. штук в американском Интернет-магазине CD Universe. Он попытался
получить от CD Universe выкуп за эти данные в размере 100 тыс. долларов,
но после отказа магазина выложил около 25 тыс. номеров кредитных карт на
сайт американской компании Lightrealm Inc. Еще пример: в феврале 2003 г.
неизвестный хакер взломал систему защиты компании Data Processors
International и похитил реквизиты примерно 8 млн пластиковых карт,
принадлежащих практически всем международным платежным системам.
Однако сам факт хищения еще не наносит финансовых убытков” ни владельцу
кредитной карты, ни магазину, откуда эту карту украли, так как мошенник
должен еще каким-то образом воспользоваться средствами, имеющимися на
карт-счете. Тут могут существовать разные пути, основные из которых -
перевод денег с карт-счета куда-то, откуда их можно забрать, либо оплата
кредитной картой каких-либо товаров и услуг в Интернете.
В рамках международных платежных систем (Visa, MasterCard, American
Express, Diners Club) существует понятие “банк-эмитент”, т.е. банк,
который выпускает и выдает пользователю кредитную карту, и “банк-эквайр”,
который обеспечивает прием кредитных карт к оплате. Один и тот же банк
может выступать и как эмитент, и как эквайр. Когда владелец карты
осуществляет покупку в магазине, информация с кредитной карты из
магазина в форме запроса передается в обслуживающий его банк-эквайр и
оттуда в банк-эмитент. Банк-эмитент проверяет правильность информации о
карте и ее владельце, а также доступность средств на карт-счете и по
результатам проверки либо разрешает, либо не раз решает покупку.
Положительный ответ банка-эмитента является гарантией, что банк-эквайр
получит деньги и переведет их на счет магазина. По правилам
международных платежных систем в обычной офф-лайновой торговле
ответственность за мошеннические операции с пластиковыми картами несет
банк-эмитент, т.е. в случае мошенничества он возвращает пользователю
списанные средства за свой счет. В Интернет-коммерции ответственность за
мошеннические операции ложится уже на банк-эквайр, который чаще всего
перекладывает ее на магазин, и возврат средств владельцу карты
осуществляется за счет Интернет-магазина, через который прошла
мошенническая транзакция.
Первый вывод, который отсюда следует: встречающееся местами запугивание
владельцев кредитных карт, что, заплатив картой в Интернете, они рискуют
потерять со своего карт-счета много денег из-за мошенников, не имеет под
собой серьезных оснований, так как если владелец карты, выполнявший
рекомендации своего банка-эмитента, все же стал жертвой мошенничества,
то он имеет право оспорить транзакции, которые не совершал, и банк
обязан будет компенсировать ему потери.
Вывод второй: наиболее незащищенным звеном в схеме покупки в Интернете
является онлайновая торговая точка, так как в конечном итоге именно за
ее счет осуществляется возмещение убытков владельцу кредитной карты. Но
поскольку в мире работает огромное количество Интернет-магазинов,
принимающих к оплате кредитные карты, и многие из них успешно процветают
(к сожалению, к России это почти не относится), то, значит, существуют
системы защиты, которые могут достаточно эффективно противостоять
мошенничеству.
Интернет-магазины являются более привлекательными для мошенников с точки
зрения использования похищенных реквизитов кредитных карт, при этом речь
может идти как о покупке физических товаров, так и об оплате виртуальных
услуг (например, хостинг, доступ к платной информации и т.д.). Однако
магазины, так же как и системы электронных платежей, принимают меры по
противодействию мошенничеству. Антифродовая защита онлайновой торговой
точки может выстраиваться как непосредственно на стороне магазина, так и
на стороне обслуживающего его платежного шлюза или биллинговой компании.
Как правило, такая защита представляет собой определенный набор фильтров
и правил, если транзакция удовлетворяет этим правилам, то она
пропускается, в противном случае отклоняется. Такие фильтры могут
включать в себя:
механизмы обеспечения безопасности транзакций, предлагаемые платежными
системами, такие, как упоминавшиеся выше CVV2/CVC2 коды, а также для
определенных видов карт проверка AVS (Address Verification Service),
определяющая достоверность биллингового адреса владельца карты;
проверку информации, которую покупатель указывает о кредитной карте и о
себе при оформлении заказа (параметры карты, имя и адрес владельца,
адрес доставки товара и т.п.). Например, если домашний адрес владельца
карты отличается от адреса, указанного для доставки товара, то такая
транзакция будет рассматриваться более пристально и либо будет
отклонена, либо магазин свяжется с держателем карты для получения
дополнительной подтверждающей информации;
анализ данных Интернет-соединения пользователя с сайтом онлайнового
магазина (например, если покупатель заходит на сайт через анонимный
прокси-сервер, то такая транзакция с очень большой вероятностью будет
отклонена);
анализ статистических элементов, выявленных на основе изучения тактики
мошенников (большое количество транзакций с разных кредитных карт на
один адрес за ограниченный отрезок времени, несомненно, будет
восприниматься как признак мошенничества).
В своем противостоянии с мошенниками авторы платежных систем не
останавливаются на достигнутом и предпринимают дальнейшие действия по
повышению безопасности Интернет-транзакций с использованием банковских
карт. Так, с 1 апреля этого года начала действовать разработанная
платежной системой Visa технология 3D Secure. Суть ее заключается в том,
что банк-эмитент, поддерживающий данную технологию, может привязать к
карте специальную парольную фразу, которую он сообщает держателю карты.
При осуществлении покупки в онлайновом магазине, также использующем 3D
Secure, покупатель на сайте в специальном окошке вводит свой пароль,
который проверяется банком-эмитентом. Система построена так, что этот
пароль в шифрованном виде передается напрямую эмитенту и недоступен ни
магазину, ни банку-эквайру. Таким образом, предполагается, что
злоумышленник даже в случае хищения реквизитов кредитной карты в
результате взлома Интернет-магазина или платежного шлюза все равно не
сможет получить данный пароль, поскольку он известен только держателю
карты и банку, выдавшему карту.
Проблема мошенничества с банковскими картами в Интернете действительно
имеет место, и наблюдается достаточно острое противостояние банков и
платежных систем, с одной стороны, и мошеннических группировок - c
другой, существует множество мошеннических схем, многие из которых в
данной статье даже не были упомянуты, но при этом существуют также и
адекватные механизмы защиты от мошенничества, позволяющие удерживать его
в приемлемых для участников e-commerce пределах. К сожалению,
мошенничество как явление - неистребимо, поскольку в основе его лежит
человеческая психология, и оно будет развиваться и эволюционировать
вместе с технологическим развитием человечества, но потери от
мошенничества всегда можно свести к минимуму. Только для достижения
максимальной эффективности этот процесс должен быть поддержан на всех
уровнях, начиная с государственного (путем выработки единой
государственной политики противодействия высокотехнологическому
мошенничеству) и заканчивая конечными участниками системы платежей
(путем поддержки этой политики и выбора конкретных методов защиты).
Вернуться в раздел: Кредиты
© Alti.ru