Инструкция по карточной безопасности

Кирилл Пугачев, Руководитель проектов ЗАО «Банк Сосьете Женераль Восток».
Илья Черниговский, Старший специалист отдела авторизации ЗАО «Райффайзенбанк Австрия».

Какими методами пользуются преступники, чтобы завладеть средствами, лежащими на вашем банковском счете? Как оспорить транзакцию, которую вы не совершали?

Рынок пластиковых карт в России за последние годы увеличился в несколько раз. На конец первого полугодия 2007 года объем эмиссии карт составил около 92 млн штук, а отметку 100 млн, по оценке Центробанка, Россия преодолеет уже в начале 2008-го. С ростом количества «пластика» увеличивается и число мошеннических операций с ним. При этом ситуация осложняется тремя обстоятельствами. Во-первых, держатели карт проявляют безграмотность при их использовании. В частности, не считают нужным прислушиваться к рекомендациям банков по обеспечению элементарных условий безопасности. Во-вторых, в условиях высокого уровня недоверия друг к другу банки с неохотой идут не только на создание объединенных процессинговых центров, но и на обмен опытом. В-третьих, приобретение соответствующих программных приложений и создание подразделений, обеспечивающих их эффективную работу, требует значительных вложений средств, которые многие банки считают неоправданными.

Классификация видов

Для понимания схем и технологий мошенничества необходимо в первую очередь усвоить несколько основополагающих моментов:
а) на самой карте денег нет — они размещены на счете, карта является только ключом доступа к нему и расположенным на нем средствам;
б) «пластик» для банка всего лишь физический носитель реквизитов карты, которые при обработке операций отправляются в банк для принятия решения о проведении операции, — соответственно, поддельный «пластик», на котором хранится та же информация, что и на подлинном, будет автоматически распознан банком как настоящий;
в) физическое присутствие карты не является обязательным для проведения операции, иногда достаточно ручного ввода реквизитов карты.

Мошенничества принято делить на две группы: с точки зрения выпуска (эмиссии) карт это кража или подделка карт, кража идентификаторов держателя «пластика» и с точки зрения обслуживания (эквайринга). Инициаторами последних чаще всего становятся торговые предприятия (поддельные/искаженные слипы, повторный ввод операций и т. д.). Начнем с мошенничеств, связанных с выпуском карт.

Подделка — изготовление карт, реквизиты которых полностью повторяют реквизиты реальных карт, выпущенных эмитентом. По поддельному «пластику» можно совершать операции, выдавая его за настоящий. Сегодня это самый распространенный вид мошенничества (по данным платежных систем, на его долю приходится приблизительно 30—40% всех мошеннических операций). Правда, карты достаточно хорошо защищены от подбора реквизитов, поэтому для мошенников этот метод не является рентабельным. Им легче просто украсть реквизиты карт, и здесь у них в наличии целый арсенал приемов.

Скимминг (skimming) — незаметное для держателя реальной карты копирование данных с магнитной полосы с помощью специальных устройств недобросовестными сотрудниками торговых предприятий. После эти данные копируются на другую карту, изготовленную мошенниками, или на заготовку карты.

Фишинг (phishing) — мошенники от имени банка связываются с клиентом по электронной почте и просят его подтвердить некоторые конфиденциальные данные своей карты. Также широко распространен телефонный фишинг, когда держатель «пластика» получает телефонный звонок либо с информацией о том, что по его карте произведен платеж на некую сумму, либо с просьбой погасить просроченную задолженность по кредиту. При этом, как правило, информирование происходит в автоматическом режиме («электронный голос»), а название банка, из которого пришел звонок, не уточняется. Для получения дополнительной информации рекомендуется следовать указаниям системы. Владелец карты соединяется с оператором и узнает, что является клиентом или заемщиком банка, с которым на самом деле никаких отношений не поддерживает, но оператор любезно предлагает свою «помощь» в прояснении ситуации, для чего просит сообщить конфиденциальные данные имеющейся у владельца карты для поиска в «межбанковской системе».

Кража данных с серверов интернет-магазинов — интернет-магазины не имеют права сохранять у себя реквизиты карт, однако они часто этим грешат, давая тем самым мошенникам возможность за один раз получить секретные данные большого количества карт.

Получение данных от сотрудников банка — по статистике источником 20% всех финансовых потерь банка являются нечестные сотрудники, 10% — обиженные банковские служащие, 55% — халатность персонала.
Также карта может быть «взломана» вместе с PIN-кодом при пользовании банкоматом. Для этого мошенники используют: дополнительное оборудование — картридеры, накладные клавиатуры, микрокамеры, которые устанавливаются на банкомат и считывают реквизиты карт и значения введенных PIN; поддельные банкоматы — устройства, внешне дублирующие банкомат, которые также считывают реквизиты карт. Нередко используется трюк «Ливанская петля»: мошенник помещает в прорезь считывающего устройства банкомата кусок фотопленки, закрепив его концы на внешней стороне банкомата. После совершения операции фотопленка не дает карте выйти из прорези, и мошенник, предлагая свою помощь, узнает PIN-код держателя «пластика», уверяя, что при повторном вводе кода он должен выйти из банкомата. После нескольких неудач мошенник убеждает держателя, что, пока карта в банкомате, с ней ничего не случится и блокировать ее необязательно, и рекомендует ему обратиться в банк на следующий день, когда будут работать инженеры или инкассаторы. После того как владелец карты уходит, мошенник, уже зная PIN-код, извлекает фотопленку вместе с картой. Есть еще один трюк, к которому прибегают мошенники. Обычно применяется в магазинах: покупателю предлагают редкую и приятную услугу — выдачу наличных из собственной кассы без комиссии. Он дает свою карту, по ней проводят настоящую операцию через настоящий терминал, затем клиент вводит свой PIN на фальшивой клавиатуре. Картхолдер уходит с полученными деньгами, в его выписке появляется якобы безналичная операция покупки в данном магазине на сумму полученных наличных, а в магазине остаются реквизиты карты и ее PIN — все, что нужно для подделки карты.

Следующим после подделки «пластика» по общему количеству мошеннических операций идут CNP-транзакции (в интернет-сети). После получения реквизитов карт мошенникам вовсе не обязательно копировать их на «пластик». Во-первых, это несет для них дополнительные издержки. Во-вторых, есть более удобный способ их использования, а именно проведение операций, когда ни карта, ни держатель не присутствуют при проведении операции. Такие операции называются CNP-транзакциями (Card Not Present). Самые распространенные из них — покупки в интернете и бронирование отелей, автомобилей или авиабилетов. Для совершения мошенничества в случае CNP-транзакции достаточно знать самые простые карточные реквизиты —ее номер и срок действия. В некоторых случаях также запрашивается значение CVC2/CW2 (Card Verification Code/ Value — дополнительный код безопасности, указывается на оборотной стороне карты на полосе для подписи). В настоящее время в Европе на этот вид мошенничества, по данным платежных систем, приходится около 25-27% всего объема карточных преступлений.

Следующий по популярности вид мошенничества — операции по украденным или потерянным картам. Они происходят во временной промежуток между утратой или кражей «пластика» и его блокировкой в системе. Сегодня на такое преступление приходится 25-30% всех мошеннических операций.

Со стороны эквайринга или обслуживания мошенничеств не меньше. Основной метод — повторение слипов или изменение их содержимого. Способ заключается в том, что сотрудники торгового предприятия делают более одного слипа на электронном терминале или более одного отпечатка карты на импринтере с целью создания новых платежных документов или изменения суммы транзакции после подписания слипа клиентом.

Еще один метод — «возврат покупки». Довольно часто банки получают звонки от клиентов с вопросом, почему не зачисляется на счет возврат средств от магазина. Банк в этих ситуациях просит клиента написать заявление, подтверждающее данное зачисление. Ведь мошенники, даже располагая реквизитами карты, вовсе не уверены, что на карточном счете есть средства, которыми они могут воспользоваться. Поэтому либо сотрудник торгового предприятия, в котором клиент совершал покупку, либо просто хакер от имени магазина может совершить операцию возврата, которая увеличит баланс по карте. Далее мошенник пользуется зачисленными средствами, а торговое предприятие, в свою очередь, отзывает возврат, так как оно его не совершало. Клиент при этом может уйти в минус, и, даже если расследование завершится возмещением суммы мошеннических операций, проценты за овердрафт ему могут не вернуть.

Если вы все-таки стали жертвой мошенников, то необходимо незамедлительно блокировать карту и оформить заявление о несогласии с операцией. Причины для несогласия могут быть разными, но на начальном этапе речь о мошенничестве может идти только при выполнении следующих условий:
а) карта в момент проведения операции находилась у вас на руках;
б) операция прошла в незнакомой вам торговой точке (банкомате) или же в такой, услугами которой вы пользовались, но уже завершили все расчеты и никаких дополнительных списаний от них быть не может.

Кто же платит за обман

Итак, участниками транзакции являются держатель карты, торговая точка
и обслуживающие их банки — эмитент и эквайер соответственно. Теоретически любой
из них может быть виновником возникновения убытков и, соответственно, первым
кандидатом в плательщики.

Рассмотрим классический случай: держатель карты сообщает, что в своей выписке
он видит транзакцию, которую не совершал. Для того чтобы возместить клиенту убытки,
необходимо выяснить целый ряд вопросов. Действительно ли он не совершал транзакцию
или он просто не хочет за нее платить? Если человек говорит правду, то есть ли его вина
в том, что по его карте произведена транзакция другим лицом?
Суть претензионной работы как раз и состоит в том, чтобы выяснить причину
возникновения убытков, найти виновную сторону и урегулировать финансовые вопросы
между участниками процесса. В тех случаях, когда со стороны клиента не выявлено
нарушений правил использования карты, эмитент обязан вернуть ему деньги. Однако
он сделает все, чтобы не возмещать потери клиента из собственных средств, а возложить
эти расходы на других участников транзакции — торговую точку и ее эквайера.
В то же время эквайер будет отстаивать интересы свои и своего клиента — торговой
точки. Понятно, что без четких правил и наличия органа, регулирующего данный процесс,
банки могут спорить бесконечно долго, в то время как клиент будет ждать, когда же ему
возместят потери. Регулирующим органом выступает платежная система. Во-первых, она
формирует единые для всех участников правила, алгоритм и сроки процесса. Кроме того,
в сложных случаях, когда спорщики сами не могут прийти к соглашению, платежная
система выносит свое решение и «карает» за необоснованную настойчивость
проигравшую сторону.

Сам процесс расследования происходит по следующей схеме:
1. Эквайер делает представление суммы к списанию. Держатель карты оспаривает сумму.
Эмитент направляет эквайеру требование на предоставление документов,
подтверждающих правомерность списания. Срок ожидания — 30 дней.
Здесь два варианта: а) эквайер предоставил документы, клиент с ними ознакомлен,
согласен и подтверждает операцию — вопрос исчерпан; б) эквайер не предоставил
документы в течение 30 дней, они оформлены некорректно или их подлинность вызывает
сомнения.
В случае второго варианта банк-эмитент списывает оспариваемую сумму со счета
эквайера (так называемый возвратный платеж) и зачисляет ее на свой счет (клиенту
деньги на этом этапе не возвращаются). При этом он указывает причину своих действий
и приводит аргументы в пользу их правомерности. Далее в течение 45 дней эмитент
ожидает реакции эквайера. Если последний признает правоту эмитента, то обычно
он ничего не отвечает эмитенту, при необходимости удерживает сумму операции со своей
торговой точки. Эмитент же, выждав 45 дней, зачисляет сумму на счет клиента. В случае
если эквайер не среагировал должным образом на запрос подтверждающих документов,
но он может их предоставить или считает, что в этой ситуации ни он, ни его торговая точка
не несут ответственности за убытки клиента, то расследование переходит на следующий
этап.
2. Эквайер повторно списывает сумму со счета эмитента и зачисляет ее на свой счет.
Этот шаг обязательно сопровождается предоставлением подтверждающих документов
и аргументов в свою пользу. Далее ситуация развивается по двум сценариям. Первый
— эмитенту нечего противопоставить аргументам эквайера, и в случае отсутствия вины
держателя карты сумма возмещается ему из доходов эмитента. Второй — доводы эквайера не доказывают полностью его правоту, или при проведении транзакции имеет место одновременное наступление случаев, при которых ответственность ложится на разные стороны процесса. Расследование переходит на новую стадию.
3. В течение 60 дней с момента возвратного платежа эмитент делает заявку
на рассмотрение дела в арбитражном комитете платежной системы, и начинается предарбитражное урегулирование. Эмитент и эквайер обсуждают между собой сложившуюся ситуацию, приводят аргументы и доказательства своей правоты. Возможно принятие компромиссного решения, как, например, оплата убытков пополам. Если и на этом этапе им не удалось договориться, то они передают случай в арбитражный комитет.
4. До арбитража доходит очень небольшое количество расследований, обычно сторонам
удается урегулировать вопрос еще на ранних этапах. Реже дело доходит
и до предарбитражного обсуждения. Арбитражный комитет — это специальная комиссия
при платежной системе, которая рассматривает все доводы сторон и выносит свое
решение. Его решение обязательно к исполнению, а апелляция возможна только
в исключительных случаях и только для расследований на суммы свыше 5 тыс. долларов.
Проигравшая сторона платит штрафы в пользу платежной системы и победителя.
Средства зачисляются на счет клиента (если только не доказана необоснованность его
заявления или вина в наступлении рассматриваемого случая).
В редких случаях, когда факт мошенничества очевиден, сумма операции является
крупной, невиновность клиента не вызывает сомнений, а вопрос стоит остро для
репутации банка, он может еще на начальном этапе возместить сумму клиенту, а уже
после урегулировать финансовые вопросы с эквайером. Однако такое происходит
в исключительных случаях, во всех же остальных клиенту нужно подготовиться к тому, что
ждать, скорее всего, придется не один месяц.
Отдельно остановимся на расследованиях, связанных с операциями в банкоматах.

В случае элементарной невыдачи денег держателю карты собственник банкомата
— эквайер проверяет по запросу эмитента наличие излишка купюр в банкомате
и технических сбоев при обслуживании конкретной карты. Расследование состоит из двух
этапов:
1) возвратный платеж, после которого эквайер и проводит внутреннее
расследование по банкомату;
2) если фактор выдачи им не обнаружен,
то он предоставляет эмитенту копии технических отчетов (логов) из банкомата и производит повторное представление суммы к списанию. С мошенничеством такая
ситуация никак не связана.
В ситуации если в банкомате произведена мошенническая операция по снятию наличных,
то банкомат, естественно, в расследовании не участвует, а эмитент (возможно, вместе
с эквайером) проводит работу по выявлению точки компрометации карты и виновности
держателя. Чаще всего ответственность за подобные случаи ложится на эмитента,
поэтому многие банки страхуют подобные операции и после возмещения суммы клиенту
получают компенсацию от страховых компаний.

Техника безопасности, Инструкция по карточной безопасности

Техника безопасности
1. При утере или краже карты необходимо незамедлительно ее заблокировать.
2. Никогда и никому не сообщайте свой PIN-код и не храните его вместе с картой (это
нарушение условий договора с банком). Что касается хранения PIN в мобильном
телефоне, то для мошенников не составит труда его там найти, если только вы не
зашифровали его так, что инициалы записи никак не ассоциируются со словом PIN.
3. Регулярно проверяйте свои выписки, желательно пользоваться системами SMS-
оповещения о транзакциях по карте и интернет-доступа к вашим выпискам.
4. Не сообщайте номер вашей карты по телефону, факсу или электронной почте незнакомым или малоизвестным компаниям.
5. Делая покупки в интернете, старайтесь расплачиваться на широко известных и
проверенных сайтах.
6. Старайтесь пользоваться банкоматами, расположенными в освещенных и охраняемых
помещениях. Перед тем как вставить карту, визуально проверьте банкомат на наличие
дополнительных устройств. Если вам потребовалось усилие для того, чтобы вставить
карту в банкомат, лучше вытащить ее и воспользоваться другим.
7. Не храните на вашем карточном счете большие суммы денег. Для хранения средств
лучше открыть отдельный счет, а на карточный переводить столько, сколько вам
необходимо для совершения текущих операций.
8. Для активного пользования интернетом лучше также открыть отдельную карту и хранить на ней ровно столько денег, сколько требуется. Некоторые банки предлагают виртуальные карты, предназначенные для использования только в Сети.
9. Не игнорируйте звонки из банка. Если с учетом распространения случаев телефонного
фишинга вы сомневаетесь в правдивости звонка, перезвоните в банк и уточните причину
обращения к вам.
10. Незнакомая операция, даже на 1 доллар, уже повод для беспокойства. При обнаружении
незнакомой операции независимо от ее суммы, незамедлительно свяжитесь с банком для
уточнения деталей этой операции.

Источник: http://www.expert.ru/