Платежные карты: Бизнес-энциклопедия

карточного мира, в котором присутствуют карты и терминалы, поддерживающие только магнитную полосу, на безопасность карточных операций.

Анализ будет проводиться в виде оценки безопасности операций в разрезе упомянутых ранее основных видов мошенничества.

Поддельные микропроцессорные карты

Начнем с самого распространенного вида мошенничества — поддельных карт. Уже говорилось о том, что методы динамической аутентификации карты (онлайновые и оффлайновые) наносят сокрушительный удар по этому виду фрода. Не зная соответствующего ключа карты или эмитента или системы, на уровне криптостойкости алгоритма RSA в случае оффлайновой динамической аутентификации карты и алгоритма 3DES для онлайновой аутентификации чиповую карту подделать невозможно.

В то же время, при неправильной персонализации карт или выборе слабого метода ее аутентификации мошенничества вида «поддельная карта» возможны. Ниже мы попытаемся систематизировать возможные способы подделки карты.

Итак, представим, что в левой руке у нас имеется реальная гибридная карта, эмитированная банком — участником некоторой платежной системы, а в правой руке — «чистая» заготовка для гибридной карты или карты с магнитной полосой. Кроме того, как у всякого уважающего себя мошенника, у нас имеются программатор для используемого на заготовке карты чипа, средства персонализации магнитной полосы карты, а также машина для персонализации пластика (печать, эмбоссирование и т. п.).

В зависимости от того, какая карта находится в нашей левой руке, мы предложим различные способы мошенничества вида «Поддельная карта», при которых на основе данных карты левой руки в правой руке у нас появится карта, которую при определенных обстоятельствах можно будет успешно использовать в платежной сети.

В первую очередь все возможные способы мошенничества разобьем на два класса: подделка чипа и подделка магнитной полосы карты.

Подделка магнитной полосы. Возможные схемы подделки магнитной полосы гибридной карты показаны на рис. 3.

Случай 1, вариант 1. Service code 2xx. В правой руке у нас карта только с магнитной полосой, на которую перенесена информация с магнитной полосы карты, расположенной в левой руке. Мы пытаемся использовать карту в гибридном терминале, принимающем микропроцессорные карты и карты с магнитной полосой. Терминал должен проверить значение кода обслуживания (service code) на магнитной полосе, и если оно равно 2XX, он должен требовать выполнения транзакции с использованием чипа.

Терминал не должен допускать операции по магнитной полосе, если значение кода обслуживания равно 2XX и терминал не принимал решения о переходе в режим Fallback после попытки использовать для выполнения операции чип карты. Необходимо иметь ясную инструкцию для кассира и четкое сообщение на дисплее терминала о том, что транзакция должна быть обязательно выполнена с использованием чипа или быть отвергнута.

В некоторых реализациях приложения терминала, несмотря на предупреждения, продавец все-таки имеет возможность обойти сформулированное выше правило и провести операцию с использованием магнитной полосы. В этом случае ответственность за возможное мошенничество с точки зрения платежной системы лежит на обслуживающем банке.

Несмотря на то, что ответственность в рассматриваемом случае лежит на обслуживающем банке, эмитенту все-таки рекомендуется отвергать транзакции, в которых в терминах MasterCard элемент данных POS data (DE 061) указывает на то, что терминал может выполнить операцию по чипу, но проводит ее по магнитной полосе и при этом POS Entry mode (DE022) не равен 80X (случай fallback), а равен, например, 90Х (магнитная полоса) или 05Х (чип).

Рассмотрим теперь «Случай 1. Вариант 1. Магнитный терминал». В правой руке у нас та же карта, что и в предыдущем случае. На карте в этом случае для большей убедительности может дополнительно находиться неперсонализированный чип. Мы пытаемся использовать эту карту в терминале, принимающем только карты с магнитной полосой.

Если транзакция была авторизована эмитентом, то случится мошенничество, и отвечать за него будет:

• обслуживающий банк, если этот банк и эмитент поддельной карты расположены в зоне принятого в платежной системе сдвига ответственности chip liability shift;

• эмитент — во всех остальных случаях.

Для защиты от мошенничества, когда на поддельной карте нет чипа, на дисплее магнитных терминалов в случае появления карты с service code=2XX должно появиться сообщение о необходимости проверки кассиром торгового предприятия наличия на карте чипа. Если чипа нет, кассир должен отклонить прием карты.

Случай 1, вариант 2. Service code 1xx. На карту только с магнитной полосой копируются данные первой и второй дорожек гибридной кредитной карты с изменением значения кода обслуживания на 1XX. Карта используется в оффлайновом режиме для выполнения подлимитных операций (размер операции меньше значения (terminal floor limit). Использование карты в режиме реального времени имеет мало шансов на успех, поскольку при изменении кода обслуживания нарушается целостность записи второй дорожки магнитной карты, и проверка значения CVV/CVC в процессинговом центре эмитента этот факт обнаружит. В этом случае есть все возможности успешно использовать поддельную карту независимо от того, является ли терминал гибридным или принимает только карты с магнитной полосой.

Если поддельная карта используется в гибридном терминале, то вся ответственность за мошенничество лежит на эмитенте карты. Это на сегодняшний день самая серьезная брешь в концепции миграции на чип.

Действительно, и карта и терминал поддерживают новую технологию, и все-таки подделка карты возможна без каких-либо нарушений правил приема карты со стороны торгового предприятия. Чтобы избежать этого вида мошенничества, платежные системы ввели правило, в соответствии с которым все транзакции по картам с магнитной полосой в терминалах, поддерживающих онлайновый режим работы, должны направляться на авторизацию к эмитенту.

Если поддельная карта используется в терминале, принимающем только карты с магнитной полосой, то за мошенничество отвечает:

• обслуживающий банк, если этот банк и эмитент карты, которая был поддельна расположены в зоне принятого в платежной системе сдвига ответственности;

• эмитент — во всех остальных случаях.

Случай 2. Гибридная карта с «кривым» чипом (инициализация Fallback на поддельную магнитную полосу). Используется заготовка гибридной карты с «кривым» (например, сожженным или неправильно персонализированным) чипом. В этом случае заготовка будет стоить дороже (примерно на 50 центов), но на магнитную полосу можно наносить информацию, скопированную с магнитной дорожки реальной гибридной карты, и использовать ее как в магнитном, так и в гибридном терминале.

Если поддельная карта используется в гибридном терминале, то вся ответственность за мошенничество лежит на эмитенте карты.

Если терминал принимает только карты с магнитной полосой, то за мошенничество отвечает:

• обслуживающий банк, если этот банк и эмитент карты которая была поддельна, расположены в зоне принятого в платежной системе сдвига ответственности;

• эмитент — во всех остальных случаях.

Единственная контрмера для борьбы с этим видом мошенничества — организация в процессинговом центре эмитента мониторинга количества fallback-транзакций, выполненных по каждой карте эмитента. Если число fallback-операций для некоторой карты оказалось выше порогового значения, то это является