сохранение конфиденциальности платежных реквизитов карты и ПИН-кода);
• миграция на EMV карты и использование правила Chip&PIN (перенос рисков финансовой ответственности на эквайрера за проведение им операции с чтением только магнитной полосы карты);
• случайная генерация номеров карт;
• проверка CVV (CVC), CVV2 (CVC2) при авторизации, сверка срока действия карты в авторизационном запросе с параметром в базе данных процессинга;
• использование фрод-мониторинга авторизационного трафика с возможностью автоматически блокировать карту;
• использование услуги смс-информирования о проведенных авторизациях;
• установка лимитов снятия наличных денежных средств в банкоматах на ежедневной и ежемесячной основе;
• обучение сотрудников ТСП выявлению поддельных карт. Периодические тренинги и практикумы с аттестацией. Вознаграждение со стороны банка-эквайрера сотрудников ТСП за задержанную поддельную карту.
Платежная транзакция, совершаемая без предъявления карты, т. е. в условиях, когда в точке совершения транзакции отсутствует не только сама платежная карта, но и ее держатель, называется Card Not Present transaction. Такая транзакция совершается по указанию держателя карты, данному устно или письменно (факс, электронная почта и т. д.). Card Not Present мошенничество основывается на использовании платежных реквизитов банковской карты не ее законным владельцем. Оплату с использованием реквизитов платежного средства практикуют в интернет-магазинах и торговых точках, оформляющих заказы дистанционно через почту, телефон, электронную почту (mail order/telephone order (MO/TO) transaction) или интернет-сайты ТСП, использующие оформление транзакций по правилам электронной коммерции (e-commerce). У ТСП нет возможности проверить принадлежность карты ее законному держателю, нет возможности сличить подпись или проверить удостоверение личности. Серьезных мошенников интересует прежде всего покупка дорогого и легко реализуемого товара по реквизитам краденных банковских карт. Сегодня таким товаром являются компьютерная техника, фото/видео/ аудиотехника, мобильные телефоны и аксессуары к ним, прочие гаджеты. Однако физический товар требует реального адреса для доставки и получить его должно конкретное физическое лицо по предъявлении документа, удостоверяющего личность. Поэтому с точки зрения преступника эта схема рискованна и реализуема только через подставное лицо. Менее требовательные мошенники из числа компьютерных хулиганов довольствуются покупкой софта и мультимедийного контента, доступного для скачивания посредством Интернета, для покупки которых не требуется адрес доставки. Суммы таких операций не превышают 100 долл., но доставляют проблемы эмитенту в случае массового характера. Подобные разовые операции возможно опротестовать претензионными процедурами, массовые случаи могут потребовать предметного разбирательства непосредственно с банком-эквайрером и с привлечением платежных систем, когда торговую точку поставят перед выбором: или прекращать прием карт в оплату или совершенствовать защитные меры.
Качественно высокого уровня безопасности в e-commerce операциях позволяет добиться использование протокола 3D Secure, известного также как MasterCard SecureCode и Verified by VISA. Данная технология обеспечивает взаимную аунтентификацию всех участников электронной сделки: держателя карты, ТСП и банка-эквайрера. Однако существенные финансовые затраты на сертификацию для банков- эквайреров являются сегодня сдерживающим фактором для массового продвижения этой технологии.
Еще одной разновидностью CNP-фрода являются подписки на периодическое предоставление услуг с регулярной их оплатой (recurring transactions): доступ к сайтам для взрослых, рассылка новостной и рекламной информации и т. п. С держателя карты без предварительного уведомления ежемесячно начинают списывать по нескольку долларов за подобные услуги. Эмитентом такие операции успешно опротестовываются.
Актуальны случаи, когда недобросовестные сотрудники турагентств бронируют номера в гостиницах за границей по случайно попавшим в их поле зрения реквизитам карт с целью получения въездных виз клиентам с индивидуальными турами. После получения визы эти лица не утруждают себя отменить бронь номера, и с законного держателя карты гостиница удерживает стоимость проживания за сутки, так называемое «no show fee».
Помимо финансовых затрат со стороны банка на фрод-мониторинг, страхование рисков, оплату высококвалифицированных специалистов по претензионной работе мошенничество влечет невосполнимые репутационные риски. Даже сам факт возможности мошенничества является сильным сдерживающим фактором популяризации оплаты товаров и услуг в сети Интернет по банковским платежным картам.
По данным НАФИ, лишь 18 % россиян совершают покупки в сети Интернет, 36 % из них используют для оплаты товаров и услуг банковские платежные карты. Webmoney и Яндекс-деньги популярны у 54 и 49 % опрошенных.
Мероприятия по противодействию мошенничеству:
• обучение держателей карт мерам безопасного обслуживания карт, в частности не передавать реквизиты карты третьим лицам. Рекомендации клиентам использовать для оплаты товаров и услуг в Интернете только специализированные карточные продукты типа «виртуальная карта» (Virtual card);
• контроль за транзакционной активностью ТСП, периодическая проверка соответствия деятельности ТСП заявленной им при заключении договора с банком-эквайрером;
• выполнение со стороны банка-эмитента и банка-эквайрера требований PCI DSS по сокрытию информации о платежных реквизитах карт в электронных базах данных;
• использование фрод-мониторинга авторизационного трафика;
• переход участников электронной коммерции на использование протокола 3D Secure.
Цель ID Theft — получение мошенником дебетовой банковской карты или карты с кредитным лимитом на чужое или подставное лицо. На такой карте отсутствует подпись владельца, что упрощает ее незаконное использование. Финансовые обязательства возникают у третьего лица — законного владельца карты, но фактически убытки несет банк-эмитент, который или не может юридически обоснованно предъявить клиенту счет, или не способен осуществить возврат средств от неплатежеспособного клиента.
Дебетовые карты активно используются мошенниками для «отмывания» — обналичивания денежных средств, полученных противозаконным путем.
Для получения таких карт используются украденные/утерянные/поддельные документы, удостоверяющие личность, а также подставные заведомо неплатежеспособные лица — финансово неграмотные пенсионеры или студенты, алкозависимые личности и прочие граждане, желательно имеющие легальную регистрацию места жительства.
Мошенники подготавливают правильным образом анкету подставного лица, указывают «заряженные» телефоны ложных работодателей, завышают реальный доход, оформляют регистрацию на липовые адреса. Зачастую подставное лицо появляется в банке для подачи документов на оформление карты в компании сопровождающего, представляющегося его родственником или доверенным лицом. Анкета подставного лица с заявлением на выпуск карты (равно как и само лицо с сопровождающим «родственником») может кочевать из банка в банк, выискивая брешь в скоринг-системах.
Отдельная разновидность этого мошенничества — перехват счета (Account takeover) — более распространена в европейских странах и США. В этом случае мошенник получает данные о реквизитах карты/счета (например, из оказавшихся в его распоряжении банковских выписок держателя карты), далее следует звонок в банк об изменении домашнего адреса и запрос новой карты с ее доставкой по новому адресу.
Мероприятия по противодействию мошенничеству:
• детальная проверка анкет потенциальных клиентов для обнаружения несоответствий. Проверка
