Платежные карты: Бизнес-энциклопедия
Шрифт:
В последнее время активно используются и другие способы кражи данных магнитной дорожки карт. В частности, в банкоматах мошенники используют накладной ридер, записывающий данные магнитной дорожки карт, а также видеокамеру или накладную клавиатуру для кражи значения ПИН-кода.
Еще 3–4 года тому назад в Европе подделка карт являлась самым распространенным видом мошенничества, на который по данным крупнейших платежных систем приходилось 34–37 % всего объема фрода. В связи с активной миграцией на микропроцессорные карты сегодня в Европе и Азиатско-Тихоокеанском регионе уровень мошенничества по поддельным картам существенно снизился.
Card not present-фрод. По определению CNP-транзакция (card not present)
Существуют три основных вида CNP-транзакций: рекуррентные платежи, MO (ТО) — транзакции и транзакции электронной коммерции (далее — ЭК). Под транзакцией электронной коммерции понимается CNP-транзакция, при совершении которой обмен данными между держателем пластиковой карты и торговым предприятием по реквизитам карты и платежа происходит через Интернет.
К 2010 г. прогнозируется, что среднемировая доля CNP-транзакций достигнет 40 % от всего торгового оборота в секторе B2C. При этом на операции электронной коммерции будет приходиться 60 % всего объема CNP-транзакций, из которых примерно 60 % операций будут оплачиваться с использованием пластиковой карты.
Сегодня на долю ЭК приходится около 18 % всех карточных операций «Покупка». Рост оборотов ЭК составляет около 40 % в год. Каждый десятый житель планеты является онлайновым покупателем.
Возможность совершить покупку заочно (при отсутствии покупателя в точке продажи) всегда являлась привлекательной как для покупателя, так и для продавца. Для покупателя — из-за удобства способа покупки (не выходя из дома, в любое время суток, в спокойном режиме без очереди и т. п.), для продавца — главным образом, благодаря возможности снижения накладных расходов на организацию торговли и возможности круглосуточно рекламировать свой товар широкой аудитории потенциальных покупателей.
На первом этапе развития «заочной» торговли наиболее распространенным способом заказа товара во время проведения покупки были почта, телеграф и телефон. Поэтому подобные транзакции получили название MO/TO [Mail Order (Telephone Order)] транзакций. Единственная проблема в то время состояла в организации расчетов за такие покупки. Продавцу хотелось заранее идентифицировать покупателя и убедиться в его кредитоспособности. С распространением пластиковых карт эта проблема в определенной степени решилась — у торговых предприятий появилась возможность получить относительно надежные гарантии кредитоспособности покупателя.
Относительность гарантии заключалась в том, что при заочных покупках вероятность мошенничества по кредитным картам становится недопустимо высокой. В связи с повышенным риском мошенничества по CNP-транзакциям, с одной стороны, и привлекательностью подобных операций с точки зрения торговых предприятий и, следовательно, обслуживающих их банков, с другой, платежные системы разрешают подобные операции, меняя при этом распределение ответственности за финансовый результат операции в случае возникновения мошенничества. Это изменение формулируется следующим образом: если транзакция электронной коммерции выполнена без использования надежной технологии, ответственность за мошенничество по таким операциям лежит на обслуживающем банке.
Сегодня под надежной технологией в международных платежных системах понимается обязательная онлайновая авторизация с использованием алгоритма 3D Secure [158] .
При поддержке этой технологии торговым предприятием распределение ответственности по операции становится классическим: в случае корректного представления данных обслуживающим банком ответственность за результат операции несет эмитент.Уровень мошенничеств по CNP-транзакциям в мире составляет примерно 70 базисных пунктов (в Европе 25–35 базисных пунктов), т. е. на порядок выше, чем в среднем по карточному бизнесу. По признанию международных платежных систем 80 % всех отказов от платежей (chargeback) в карточной индустрии приходится на операции электронной коммерции.
158
См. раздел «Платежные карты в системах электроной комерции» настоящего издания.
Для совершения мошенничества в случае CNP-транзакции, для обработки которой не используется протокол 3D Secure, достаточно знать самые простые реквизиты карты — ее номер, срок действия и, возможно, значение CVC2/CVV2. Поэтому для повышения безопасности по правилам платежных систем все CNP-транзакции должны выполняться только в режиме реального времени.
В ЭК отмечается высокий уровень латентности: по данным мирового банка до 80 % всех случившихся мошенничеств банками не объявляется. Даже если учитывать только объявленный фрод, то по данным крупнейших платежных систем в настоящее время в Европе на ЭК приходится около 25–30 % всего карточного фрода.
В связи с миграцией банковской эмиссии на микропроцессорные карты CNP-фрод становится объектом повышенного интереса со стороны криминальных структур. Как и прогнозировали эксперты, в странах, мигрировавших на чип, отмечается резкий рост мошенничества по транзакциям ЭК. Так в Великобритании в 2005 г. скорость годового роста CNP-фрода составила 21 %, а в абсолютном выражении на этот вид мошенничества пришлось 183,2 млн фунтов стерлингов, что почти в 2 раза превысило потери банков от поддельных карт и более чем в 2 раза — потери от использования украденных (потерянных) карт. В 2006 г. тенденция продолжилась, и CNP-фрод вырос на 16 % по сравнению с 2005 г. На него в 2006 г. уже приходилась половина всех потерь английских банков по карточным операциям! По данным APACS за первую половину 2007 г. рост CNP-фрода составил 44 % в сравнении с аналогичным периодом 2006 г., достигнув размера 137 млн фунтов стерлингов за шесть месяцев.
Кража персональных данных (ID theft). Кража персональных данных клиентов с целью их использования в карточных мошенничествах бывает следующих видов: мошеннические аппликации, перехват счета, Phishing, утечка информации из процессинговых центров (главным образом торговых предприятий), перехват данных при их передаче по сетям. Другими словами, при использовании этого вида мошенничества кража данных, достаточных для осуществления карточного фрода, производится без непосредственного использования карты (данные крадутся не с карты, как в случае скимминга).
Мошеннические аппликации (fraudulent applications): мошенник использует чужое удостоверение личности (найденное/украденное/подделанное) для подачи заявления на получение кредитной банковской карты с указанием адреса, по которому карта может быть легко и безопасно получена.
Перехват счета (account takeover): мошенник получает данные о реквизитах карты/счета, например, из оказавшихся в его распоряжении банковских стейтментов держателя карты, далее звонит в банк и сообщает об изменении своего адреса, а чуть позже запрашивает новую карту с доставкой ее по «новому» адресу.