Мошенничество с кредитными картами в Интернете
В последнее время в печати и Интернет-изданиях достаточно часто появляются статьи об онлайновом мошенничестве с банковскими кредитными картами, из которых следует, что оплата кредитной картой товаров и услуг по Интернету однажды неминуемо обернется для ее владельца хищением реквизитов карты и финансовыми убытками.
В целом этот вид мошенничества представляет собой реальную опасность для Интернет-коммерции. Попробуем разобраться, насколько серьезны все эти угрозы, действительно ли Интернет-торговцы и Интернет-покупатели так беззащитны перед мошенниками и правда ли, что Интернет-мошенники настолько всесильны. Прежде всего, несколько цифр: по данным Федеральной торговой палаты США, ежегодный ущерб от мошенничества с пластиковыми картами составляет более 2 млрд долларов. Какая часть этих убытков приходится на Интернет-платежи, не уточняется, но, по ряду оценок, убытки от мошенничества в Интернет-коммерции составляют около 1% от оборота. Между тем, по данным американской организации Internet Fraud Complaint Center (www.ifccfbi.gov), в 2002 году только 12% онлайновых преступлений были связаны с хищением информации о кредитных картах (пальму первенства, как и прежде, прочно удерживают интернет-аукционы)
Что же может угрожать владельцу кредитной карты, который расплачивается ей в Интернете? Правильный ответ вроде бы лежит на поверхности - данные кредитной карты могут украсть. Действительно, за последние годы было отмечено немало случаев крупных хищений баз данных с реквизитами кредитных карт. Одним из "первенцев" был российский хакер Максим Иваньков (Максус), похитивший базу кредитных карт в количестве около 300 тыс. штук в американском Интернет-магазине CD Universe. Он попытался получить от CD Universe выкуп за эти данные в размере 100 тыс. долларов, но после отказа магазина выложил около 25 тыс. номеров кредитных карт на сайт американской компании Lightrealm Inc. Еще пример: в феврале 2003 г. неизвестный хакер взломал систему защиты компании Data Processors International и похитил реквизиты примерно 8 млн пластиковых карт, принадлежащих практически всем международным платежным системам.
Однако сам факт хищения еще не наносит финансовых убытков" ни владельцу кредитной карты, ни магазину, откуда эту карту украли, так как мошенник должен еще каким-то образом воспользоваться средствами, имеющимися на карт-счете. Тут могут существовать разные пути, основные из которых - перевод денег с карт-счета куда-то, откуда их можно забрать, либо оплата кредитной картой каких-либо товаров и услуг в Интернете.
Осуществимость обоих этих способов будет рассмотрена более подробно, но сначала один принципиальный момент. В рамках международных платежных систем (Visa, MasterCard, American Express, Diners Club) существует понятие "банк-эмитент", т.е. банк, который выпускает и выдает пользователю кредитную карту, и "банк-эквайр", который обеспечивает прием кредитных карт к оплате. Один и тот же банк может выступать и как эмитент, и как эквайр. Когда владелец карты осуществляет покупку в магазине, информация с кредитной карты из магазина в форме запроса передается в обслуживающий его банк-эквайр и оттуда в банк-эмитент. Банк-эмитент проверяет правильность информации о карте и ее владельце, а также доступность средств на карт-счете и по результатам проверки либо разрешает, либо не раз решает покупку. Положительный ответ банка-эмитента является гарантией, что банк-эквайр получит деньги и переведет их на счет магазина. По правилам международных платежных систем в обычной офф-лайновой торговле ответственность за мошеннические операции с пластиковыми картами несет банк-эмитент, т.е. в случае мошенничества он возвращает пользователю списанные средства за свой счет. В Интернет-коммерции ответственность за мошеннические операции ложится уже на банк-эквайр, который чаще всего перекладывает ее на магазин, и возврат средств владельцу карты осуществляется за счет Интернет-магазина, через который прошла мошенническая транзакция.
Первый вывод, который отсюда следует: встречающееся местами запугивание владельцев кредитных карт, что, заплатив картой в Интернете, они рискуют потерять со своего карт-счета много денег из-за мошенников, не имеет под собой серьезных оснований, так как если владелец карты, выполнявший рекомендации своего банка-эмитента, все же стал жертвой мошенничества, то он имеет право оспорить транзакции, которые не совершал, и банк обязан будет компенсировать ему потери.
Вывод второй: наиболее незащищенным звеном в схеме покупки в Интернете является онлайновая торговая точка, так как в конечном итоге именно за ее счет осуществляется возмещение убытков владельцу кредитной карты. Но поскольку в мире работает огромное количество Интернет-магазинов, принимающих к оплате кредитные карты, и многие из них успешно процветают (к сожалению, к России это почти не относится), то, значит, существуют системы защиты, которые могут достаточно эффективно противостоять мошенничеству.
Теперь вернемся к способам обналичивания украденных реквизитов кредитной карты. Для рассмотрения варианта перевода средств по схеме "карт-счет жертвы - счет злоумышленника" возьмем в качестве примера платежную систему PayPal (www.paypal.com). Эта система была основана в 1998 году американцем Питером Тиелом и выходцем с Украины Максом Левчиным, она предоставляет своим пользователям возможность принимать и отправлять платежи при помощи электронной почты. Для того чтобы стать пользователем системы, необходимо заполнить специальную регистрационную форму и открыть персональный счет в системе, причем пополнять счет можно в том числе и при помощи кредитной карты. Пользователю система PayPal предоставляет возможность перевести определенную сумму со своего персонального счета другому пользователю PayPal или совершенно постороннему лицу, имеющему адрес электронной почты.
Появление подобной системы открывало широкие возможности для деятельности мошенников, так как достаточно было зарегистрироваться в ней, используя украденные реквизиты кредитной карты, пополнить свой счет и затем перевести деньги и обналичить их, поэтому авторами PayPal последовательно был предпринят целый ряд мер, призванных обеспечить защиту от мошеннических транзакций, а именно:
введение региональных ограничений. Полноценным пользователем системы PayPal может стать только резидент США (и еще небольшого ряда государств), имеющий банковский счет в одном из банков США;
верификация банковского счета. В процессе регистрации пользователь вводит реквизиты своего банковского счета, на который впоследствии система делает два микроплатежа на сумму менее 1 доллара. После получения данных платежей необходимо ввести их суммы в специальное регистрационное окно системы, после чего в случае их совпадения счет будет считаться верифицированным;
проверка СVV2/СVС2-кодов. СVV2-код для карт платежной системы Visa (CVC2 для MasterCard) - это трехзначное число, которое наносится на обратную сторону карты и предназначено для повышения безопасности Интернет-транзакций;
антифродовый (от fraud - мошенничество) анализ счетов в системе PayPal и осуществляемых по ним операций на основе определенного набора правил;
блокирование подозрительных счетов. Очевидно, что, получив только реквизиты кредитной карты в результате взлома Интернет-магазина, злоумышленник вряд ли сможет перевести с нее средства при помощи PayPal или аналогичной системы с соответствующими антифродовыми настройками.
Интернет-магазины являются более привлекательными для мошенников с точки зрения использования похищенных реквизитов кредитных карт, при этом речь может идти как о покупке физических товаров, так и об оплате виртуальных услуг (например, хостинг, доступ к платной информации и т.д.). Однако магазины, так же как и системы электронных платежей, принимают меры по противодействию мошенничеству. Антифродовая защита онлайновой торговой точки может выстраиваться как непосредственно на стороне магазина, так и на стороне обслуживающего его платежного шлюза или биллинговой компании. Как правило, такая защита представляет собой определенный набор фильтров и правил, если транзакция удовлетворяет этим правилам, то она пропускается, в противном случае отклоняется. Такие фильтры могут включать в себя:
механизмы обеспечения безопасности транзакций, предлагаемые платежными системами, такие, как упоминавшиеся выше CVV2/CVC2 коды, а также для определенных видов карт проверка AVS (Address Verification Service), определяющая достоверность биллингового адреса владельца карты;
проверку информации, которую покупатель указывает о кредитной карте и о себе при оформлении заказа (параметры карты, имя и адрес владельца, адрес доставки товара и т.п.). Например, если домашний адрес владельца карты отличается от адреса, указанного для доставки товара, то такая транзакция будет рассматриваться более пристально и либо будет отклонена, либо магазин свяжется с держателем карты для получения дополнительной подтверждающей информации;
анализ данных Интернет-соединения пользователя с сайтом онлайнового магазина (например, если покупатель заходит на сайт через анонимный прокси-сервер, то такая транзакция с очень большой вероятностью будет отклонена);
анализ статистических элементов, выявленных на основе изучения тактики мошенников (большое количество транзакций с разных кредитных карт на один адрес за ограниченный отрезок времени, несомненно, будет восприниматься как признак мошенничества).
В качестве примера подобной антифродовой системы можно привести Advanced Fraud Screen (разработка компании Cybersource, www.cyber-source.com), которая проверяет несколько десятков параметров и выставляет свою оценку риска каждой транзакции, которая может колебаться от 0 до 99.
Справедливости ради необходимо отметить, что все подобные антифродовые системы не обеспечивают стопроцентную защиту от мошенников, каждый из элементов фильтра можно обойти, однако это кропотливый и трудоемкий процесс, описание которого выходит за пределы данной статьи. Важно то, что если несколько лет назад можно было покупать товары по сгенерированным номерам кредитных карт и без проблем заказывать доставку, например в Москву, то теперь покупка по ворованной кредитной карте выливается в сложную и затратную схему из нескольких участников, каждый из которых в любой момент может быть либо задержан правоохранительными органами, либо, что называется, "кинуть" партнера. Поэтому этот ранее достаточно доходный вид криминального бизнеса сейчас представляет своего рода лотерею, в которой риск несомненен, а выигрыш сомнителен.
В своем противостоянии с мошенниками авторы платежных систем не останавливаются на достигнутом и предпринимают дальнейшие действия по повышению безопасности Интернет-транзакций с использованием банковских карт. Так, с 1 апреля этого года начала действовать разработанная платежной системой Visa технология 3D Secure. Суть ее заключается в том, что банк-эмитент, поддерживающий данную технологию, может привязать к карте специальную парольную фразу, которую он сообщает держателю карты. При осуществлении покупки в онлайновом магазине, также использующем 3D Secure, покупатель на сайте в специальном окошке вводит свой пароль, который проверяется банком-эмитентом. Система построена так, что этот пароль в шифрованном виде передается напрямую эмитенту и недоступен ни магазину, ни банку-эквайру. Таким образом, предполагается, что злоумышленник даже в случае хищения реквизитов кредитной карты в результате взлома Интернет-магазина или платежного шлюза все равно не сможет получить данный пароль, поскольку он известен только держателю карты и банку, выдавшему карту.
Однако основная особенность 3D Secure заключается не в технологическом решении, а в том, что она осуществляет перераспределение ответственности за мошеннические транзакции: в том случае, если мошенническая транзакция прошла через Интернет-магазин, использующий решение 3D Secure, то ответственность за нее, по правилам Visa, будет нести уже не банк-эквайр, а банк-эмитент, причем не имеет значения, использует эмитент технологию 3D Secure или нет. Выгода использования 3D Secure для онлайновой торговой точки понятна, эмитенты же попадают в более сложную ситуацию, поскольку оказываются перед выбором: или приобрести весьма недешевое решение 3D Secure и обезопасить себя от мошенников, или закрыть свои карты для использования в Интернет-магазинах и уступить в конкурентной борьбе другим банкам, или ничего не делать и надеяться, что мошенничество обойдет их стороной.
Нельзя исключать, что на начальных этапах внедрения 3D Secure может произойти некоторый всплеск мошенничества (что, впрочем, в финансовом смысле опять же не отразится на владельцах кредитных карт) за счет банков-эмитентов третьей категории, которые не предпримут никаких действий. Мошенники - достаточно гибкая и оперативная среда, которая мгновенно реагирует на появление уязвимостей в системе платежей. К примеру, после введения РауРаL'ом проверки CVV2/CVC2 кодов они достаточно быстро выяснили, что через этот фильтр успешно проходят кредитные карты определенного типа с универсальным кодом 000. Подобная ситуация наблюдалась и с одной из российских электронных платежных систем. Но если такие банки и будут, то, наученные горьким опытом, они со временем перейдут в одну из первых двух категорий, тем самым оставив злоумышленникам еще меньше шансов на удачное проведение мошеннических акций.
Итак, что мы наблюдаем в итоге? Проблема мошенничества с банковскими картами в Интернете действительно имеет место, и наблюдается достаточно острое противостояние банков и платежных систем, с одной стороны, и мошеннических группировок - c другой, существует множество мошеннических схем, многие из которых в данной статье даже не были упомянуты, но при этом существуют также и адекватные механизмы защиты от мошенничества, позволяющие удерживать его в приемлемых для участников e-commerce пределах. К сожалению, мошенничество как явление - неистребимо, поскольку в основе его лежит человеческая психология, и оно будет развиваться и эволюционировать вместе с технологическим развитием человечества, но потери от мошенничества всегда можно свести к минимуму. Только для достижения максимальной эффективности этот процесс должен быть поддержан на всех уровнях, начиная с государственного (путем выработки единой государственной политики противодействия высокотехнологическому мошенничеству) и заканчивая конечными участниками системы платежей (путем поддержки этой политики и выбора конкретных методов защиты).
Источник:
http://finance.bigmir.net/