равна в нашем случае
Другой сегодня самый распространенный подход к созданию поддельных карт основывается на скимминге — краже мошенниками данных магнитной полосы реальной карты и, возможно, ПИН-кода ее держателя во время выполнения операции с использованием этой карты. В данном случае к элементам защиты эмитента следует отнести:
• проверку соответствия имени банка и префикса карты (например, с использованием директории VISA interchange directory); мошенники пользуются только доступной им информацией о карте и имеющимися под рукой заготовками карт;
• поддержку стоп-листов имен «держателей» поддельных карт; опыт показывает, что мошенники используют весьма ограниченный набор таких имен; поэтому дополнительная проверка держателя карты с именем из стоп-листа может оказаться весьма целесообразной;
• средства мониторинга транзакций;
• SMS-оповещения о выполненных по карте операциях;
• обучение персонала торгового предприятия;
• обучение держателей карт — любая информация о карте является ценной для мошенников, поэтому реквизиты карты нужно охранять; нельзя оставлять карту без персонального контроля; обучение тому, как вести себя с чеками и стейтментами и т. д.;
• на уровне платежных систем — определение точек компрометации Common purchase point реквизитов карт и использования украденных реквизитов
Коротко остановимся на обучении персонала торговых предприятий. С точки зрения безопасности банк должен провести обучение персонала торгового предприятия по следующим вопросам:
• как определить, принимает ли торговое предприятие данную карту;
• как визуально проверить подлинность карты;
• как хранить и обрабатывать слипы;
• как использовать «код ответа 10» (специальный код ответа, используемый в случае голосовой авторизации, когда покупатель показался продавцу подозрительным);
• как реагировать на ответ «захватить карту» и что делать с захваченной картой.
Очень важной с точки зрения безопасности операции является визуальная проверка продавцом подлинности карты. Анализ фрода показал, что в большинстве случаев мошенничества, связанного с подделкой карт крупнейших платежных систем VISA и MasterCard, можно было бы избежать, если бы продавец выполнял следующие визуальные проверки карты:
• на наличие 4 напечатанных цифр под (над) эмбоссированным номером карты;
• на наличие микропечати VISA по периметру логотипа карты VISA;
• на наличие голубя на картах VISA и букв M и C на картах MasterCard, появляющихся при облучении карты ультрафиолетом;
• при наклоне голограммы карты VISA должен появиться летящий голубь, а карты MasterCard — надпись «MasterCard».
• сравнение номера карты на чеке терминала и на карте;
• на наличие эмбоссированных секретных символов на карте (летящие буквы V и М).
Однако практика показала, что эти проверки торговыми точками зачастую не производятся. В результате платежные системы отказались от использования эмбоссированных секретных символов, а также некоторых видов микропечати.
К сожалению, скимминг является чрезвычайно эффективным способом подделки карт, и технология карт с магнитной полосой не может предложить эффективных универсальных методов борьбы с ним. Например, под кураторством MasterCard была разработана технология MagnePrint, суть которой состоит в следующем. Магнитная полоса карты состоит из миллиардов крошечных частиц определенного размера и расположения, создающих естественный уникальный шум при считывании магнитной полосы. Этот шум не может быть подделан и используется в технологии MagnePrint для аутентификации карты. Шум кодируется в элемент данных длиной 54 байта и хранится в системе эмитента. Компания MagTek изготовила карт- ридеры, способные считывать шум.
Слабость метода состоит в том, что элемент данных, кодирующий шум, является статическим. Поэтому фрод, по-прежнему, возможен из торговых точек, нацеленных на мошенничество. Кроме того, метод работает только в случае онлайновой авторизации транзакции.
В результате в начале третьего тысячелетия стало ясно, что в основе наиболее эффективных способов борьбы с поддельными картами лежит технология микропроцессорных карт. При этом неважно, где располагается микропроцессор — на пластиковой карте, в сотовом телефоне или ином устройстве, находящемся в руках клиента банка.
На сегодняшний день ведущие платежные системы поддерживают единственный протокол безопасной электронной коммерции — 3D Secure (в платежной системе Visa этот протокол продвигается под брэндом Verified by VISA, а в системе MasterCard — под брэндом MasterCard SecureCode). По мнению экспертов, повсеместное использование этого протокола торговыми предприятиями, обслуживающими банками и эмитентами карт уменьшит фрод в области электронной коммерции не менее чем на 80 %, доведя его до уровня ниже 5–7 базисных пунктов.
Требования международных платежных систем к безопасности операций ЭК формулируются следующим образом:
• должна обеспечиваться взаимная аутентификация участников электронной покупки (покупателя, торгового предприятия и его обслуживающего банка);
• реквизиты платежной карты (номер карты, срок ее действия, CVC2/CVV2, и т. п.), используемой при проведении транзакции ЭК, должны быть конфиденциальными для торгового предприятия;
• невозможность отказа от операции для всех участников транзакции электронной коммерции.
К сожалению, первый безопасный протокол электронной коммерции Secure electronic transaction (SET), удовлетворяющий всем перечисленным выше требованиям, сегодня платежными системами больше не поддерживается. Это связано с дороговизной и сложностью внедрения протокола SET.
Для стимулирования внедрения протокола 3D Secure платежные системы ввели сдвиг ответственности, называемый merchant only liability shift, в соответствии с которым при поддержке торговой точкой протокола 3D Secure ответственность за мошенничество в ЭК, связанное с отказом держателя карты от совершения операции, возлагается на эмитента. В платежной системе Visa ответственности merchant only liability shift носит глобальный характер. В MasterCard сдвиг ответственности merchant only liability shift касается всех регионов за исключением Северной Америки (США и Канада), в которой ответственность за результат операции возвращается к эмитенту только в случае поддержки 3D Secure всеми участниками транзакции ЭК — онлайновым магазином, обслуживающим банком и банком-эмитентом (так называемая full authentication-авторизация).
Напомним, что для CNP-транзакций без использования защищенного протокола ответственность за мошенничество возлагается на обслуживающий банк. Таким образом, в случае использования торговой точкой 3D Secure восстанавливается нормальное распределение ответственности, характерное для платежных операций других типов.
Протокол 3D Secure с точки зрения обеспечиваемой им защиты значительно слабее протокола SET. Он в общем случае не обеспечивает аутентификации держателем карты торгового предприятия и прозрачности данных о реквизитах карты для торгового предприятия. В то же время он проще при внедрении и аппаратно-программные решения, реализующие 3D Secure, существенно дешевле аналогичных решений для протокола SET.
Наиболее серьезной проблемой безопасности протокола 3D Secure является его беззащитность от атак типа «man-in the-middle». Например, при использовании держателем карты протокола 3D Secure мошеннические онлайновые магазины могут применять следующую процедуру компрометации пароля
