Платежные карты: Бизнес-энциклопедия

держателей карт, получивших деньги в банкомате, в прошлом году в Европе было потеряно около 28 млн евро. Более подробно о мошенничестве через банкоматы см. далее.

Методы защиты для карт с магнитной полосой в проекции на отдельные виды мошенничеств

Цель настоящего раздела состоит в том, чтобы показать читателю, что, несмотря на многообразие методов, в случае карт с магнитной полосой не существует эффективного универсального решения для защиты банка (держателя карты) от мошенничества.

Сегодняшние эмитенты карт с магнитной полосой используют комплексный подход для борьбы с фродом, состоящий из следующих элементов защиты:

• утвержденной руководством банка и доведенной до заинтересованных подразделений политики эмиссии карт, описывающей эмитируемые банком карточные продукты, их потребителей, процедуры обработки заявлений клиентов, доставки и выдачи карт, средства и системы защиты банка от мошенничеств, распределение ответственности между подразделениями банка, поведение персонала и руководства банка в случае обнаружения атак и т. п.;

• установки необходимых проверок в системах авторизации транзакций банка;

• поддержания стоп-листов скомпрометированных карт;

• системы мониторинга транзакций, позволяющих определить подозрительные транзакции;

• предоставления платежной системе отчетности о случаях мошенничества по картам банка;

• работы с клиентами банка;

• предоставления клиентам банка услуги смс-уведомлений о выполненных по карте клиента операциях.

Большое значение для борьбы с мошенничеством имеет работа эмитентов с держателями карт и обслуживающих банков с торговыми предприятиями.

Рассмотрим, каким образом перечисленные элементы защиты банка помогают справиться с карточным фродом.

Украденные (потерянные) карты

Для борьбы с этим видом мошенничества используются следующие элементы защиты:

• блокировка карты в системе эмитента с выдачей кода ответа о необходимости захвата карты; этот метод является особенно эффективным для дебетовых карт, операции по которым происходят только в режиме реального времени;

• помещение карты в стоп-листы платежной системы, рассылаемые обслуживающим банкам, а также в стоп-листы резервных систем авторизации; этот элемент защиты особенно полезен в случае, когда украденная карта является кредитной и по ней возможна авторизация в оффлайновом режиме без обращения к эмитенту;

• размещение на обратной стороне карты фотографии ее держателя; этот элемент защиты основан на использовании психологического фактора — мошенник испытывает дискомфорт при обращении с подобной картой в торговое предприятие, понимая, что кассир может поинтересоваться, почему на карте помещена чужая фотография;

• использование средств мониторинга транзакций, которые позволяют определить изменение «рисунка» операций по картам пострадавшего клиента (чтобы обойти возможные средства борьбы с кражей карты со стороны эмитента, мошенник пытается поскорее воспользоваться картой и снять находящиеся на ней денежные средства) и обратиться к клиенту для получения разъяснений о причинах такого изменения;

• использование смс-уведомлений по карточным операциям; такие уведомления могут помочь клиенту обнаружить факт пропажи/кражи карты.

Борьбе с этим видом мошенничества способствуют общие тенденции карточного рынка по более интенсивному использованию онлайновых авторизаций, а также увеличению доли дебетовых карточных продуктов.

Очевидно, что все перечисленные методы, взятые в совокупности, не предоставляют 100 %-ной гарантии того, что фрода удастся избежать. Это связано с тем, что с момента обнаружения этого вида мошенничества до момента «включения» элементов защиты уходит несколько дней, которых бывает достаточно для того, чтобы опустошить счет, связанный с украденной (потерянной) картой.

Неполученные карты

Помимо средств, описанных в предыдущем разделе, для борьбы с этим видом мошенничества дополнительно используются следующие элементы защиты:

• выпуск карт в заблокированном состоянии со статусом «новая карта» (new card), и их разблокировка клиентами либо в отделениях и банкоматах с помощью специальной операции разблокировки, требующей от клиента знания ПИН-кода, либо через телефонные звонки по кодовому слову (например, девичьей фамилии матери);

• выдача карт через отделения банка и использование специализированных курьерских служб вместо обычной почты для доставки карт из центра их персонализации в отделения банка.

Выпуск карт в заблокированном виде является наиболее эффективным методом борьбы с рассматриваемым видом мошенничества.

Поддельные карты

Сегодня различают два способа подделки карт. Первый способ (подделка с чистого листа) состоит в подборе мошенниками правильного набора реквизитов карты (реквизитов, совпадающих с реквизитами одной из эмитированных банком карт), состоящих из номера карты, срока действия карты и значения CVC/CVV или CVC₂/CVV₂. В этом случае эффективными являются следующие элементы защиты:

• генерация номеров карт по случайному закону;

• расширенная проверка срока действия карты;

• CVV/CVC, CVV₂/CVC₂.

Поясним смысл этих элементов защиты. Обычная проверка срока действия карты состоит в том, что номер карты, нанесенный на магнитную полосу или эмбоссированный на передней панели карты, сравнивается с текущей датой. При расширенной проверке помимо обычной проверки с текущей датой значение срока действия карты проверяется на равенство со значением срока действия карты в базе данных процессингового центра банка. Таким образом, мошеннику требуется угадать точное значение срока действия карты. Поскольку карта обычно выпускается сроком на 2 года, вероятность подбора точного значения ее срока действия равна ¹/₂₄.

Генерация случайных номеров карт позволяет защитить эмитента от подбора мошенником правильного номера карты. Обычно номер карты состоит из 16 цифр, из которых первые 8 представляют собой префикс карты, используемый для идентификации банка и его филиала. Последняя цифра номера карты является функцией от первых 15 цифр (вычисляется по правилу luhn check parity). Поэтому остается 7 независимых цифр номера карты, использование которых позволяет банку эмитировать до 10 млн карт. Этот диапазон карт можно заполнять с любой заранее заданной максимальной плотностью заполнения X. Под плотностью заполнения понимается отношение количества выпущенных карт ко всему диапазону возможных значений номеров карт (10 млн карт). Если при этом номера карт генерируются по случайному закону, то вероятность того, что мошенник, выбирая наугад какой-то номер карты, угадает его, не превышает максимальную плотность заполнения диапазона номеров карт. Очевидно, это увеличивает накладные расходы мошенника, тем самым снижая его привлекательность подделки. Таким образом, использование эмитентом генерации случайных номеров карт, проверки CVC/CVC₂, расширенной проверки срока действия карты требует от мошенника (не знающего реквизитов карт) перебрать n = ^{(24 ? 1000)}/_X = ²⁴⁰⁰⁰/_X различных сочетаний реквизитов карты, для того чтобы с вероятностью 1 добиться успеха. При X = 1 требуется перебрать 24 000 различных значений, а при X = 0,1 — 240 000,0 вариантов. Это делает практически неинтересным для мошенника попытки подбора правильных реквизитов карт. Получается, что стоимость подбора выше потенциальной добычи. Вероятность того, что правильные реквизиты карты будут определены за k попыток (k ? n),