Проблемы безопасности в области использования платежных карточек

2 ПРОБЛЕМЫ БЕЗОПАСНОСТИ В ОБЛАСТИ ИСПОЛЬЗОВАНИЯ ПЛАТЕЖНЫХ КАРТОЧЕК

 

История злоупотреблений с платежными карточкам началась с момента их появления. Все начиналось просто: мошенники пользовались потерянными или украденными карточками. Тогда же появились и первые подделки. Информация о счете, эмбоссированная на карточке, удалялась бритвенным лезвием, а на ее место наклеивался новый номер, срезанный с другой карточки. Этот простейший метод получил настолько широкое распространение в мире, что для него даже родилось специальное название: shave & paste ("сбрить и наклеить").

В конце 70-х годов появилась очень распространенная сегодня схема мошенничества, получившая название "белый пластик", явившаяся, по сути, дальнейшим развитием метода shave & paste. Номера настоящих карточек эмбоссировались на заготовках платежных карточек, не имевших "опознавательных знаков" банка и платежной системы (отсюда и название - "белый пластик"). Чтобы воспользоваться "белым пластиком", преступникам приходилось вступать в сговор с кассирами торговых предприятий. Кассиры делили с мошенниками доходы от операции после оплаты фальшивого счета банком. Кроме того, в практике мошенничества по схеме "белый пластик" нередко создаются целые фиктивные предприятия. Эквайрерам торговых точек необходимо быть очень осторожными в выборе клиентов.

В 1981-82 гг. подделки карточек стали массовыми в полном смысле этого слова. Изображение наносилось на карточки методом шелкографии. На полученных таким образом поддельных карточках эмбоссировались номера действительных. При достаточно высоком качестве подделки эти карточки можно было использовать без сговора с кассирами. Индустрия платежных карточек быстро приняла меры по борьбе с этим видом мошенничества: изображение на карточки стали наносить методом литографической печати и дополнять его сложными для подделки элементами, например голограммами.

Серьезной проблемой стал перехват карточек, отправляемых держателям по почте. В этом случае, мошенники получают в руки настоящую карточку, а банк-эмитент или держатель узнают о случившемся только после получения первой выписки о состоянии счета. Сегодня, для борьбы с этой проблемой, многие эмитенты проводят окончательную персонализацию карточек лишь после того, как они попадут к законным владельцам.

С развитием рынка розничных безналичных платежей умножилось и число способов мошенничества с платежными карточками. Значительное распространение, например, получили мошенничества с карточками в сфере телемаркетинга.

Введение магнитной полосы на платежных карточках преподносилось прессой как средство, которое сведет уровень мошенничества к нулю. Однако оказалось, что развитие техники мошенничеств практически не отстает от развития техники обеспечения безопасности. В качестве меры защиты информации на магнитной полосе эмитенты стали применять специальные проверочные коды. Примером их могут служить код CVV (Card Verification Value) в системе VISA и код CVC (Card Verification Code) в системе Europay. Введение CVV и CVC существенно снизили возможность использования карточек с подделанной магнитной полосой. Однако эти коды явились слабой защитой от копирования магнитной полосы. Голограммы также стали предметом подделок, сегодня карточки с поддельными голограммами массово изготавливаются в Азии.

Платежная карточка - это персонифицированный платежный инструмент, предоставляющий владельцу возможность безналичной оплаты товаров и услуг, а также получения наличных средств в отделениях (филиалах) банков и банковских автоматах (банкоматах). Принимающие карточку предприятия торговли и сервиса, отделения банков образуют сеть точек обслуживания карточки (или приемную сеть).

Гарантом выполнения платежных обязательств, возникающих в процессе обслуживания платежных карточек, является выпустивший их банк-эмитент.

В зависимости от предоставляемых лимитов и условий, карточки делятся на два основных вида: дебетовые и кредитные. Владелец дебетовой карточки должен заранее внести на свой счет в банке-эмитенте некоторую сумму. Ее размер и определяет лимит доступных средств. При оплате посредством кредитной карточки наблюдается другая схема: для обеспечения платежей владелец карточки может не вносить предварительно средства, а получить в банке-эмитенте кредит.

Как кредитная, так и дебетовая карточки могут быть также корпоративными.

Корпоративные карточки компании связаны с каким-либо одним ее счетом. Они могут иметь разделенный и неразделенный лимиты. Корпоративные карточки позволяют компании детально отслеживать служебные расходы сотрудников.

Махинации с платежными карточками распространяются в основном на кредитные карточки, поскольку при использовании дебетовой карточки всегда проводится авторизация, то есть делается запрос платежной системе о подтверждении полномочий предъявителя карточки и его финансовых возможностях.

Одна из основных функций платежной карточки - обеспечение идентификации ее владельца как субъекта платежной системы. Целесообразно хранить данные на карточке в виде, обеспечивающем проведение процедуры автоматической авторизации. Для этого на настоящий момент в системе электронных платежей существует три механизма: использование карточек со штрих-кодом, карточек с магнитной полосой и смарт-карт.

В карточках со штрих-кодом в качестве идентифицирующего элемента используется штриховой код, аналогичный коду, применяемому для маркировки товаров. Карточки со штрих-кодом слабо защищены от подделки, что делает их малопригодными для использования в платежных системах.

Карточки с магнитной полосой на сегодняшний день наиболее распространены. Их защищенность существенно выше, чем у карт со штрих - кодом. Однако и такой тип карт относительно уязвим для мошенничества. Тем не менее, развитая инфраструктура существующих платежных систем, и, в первую очередь, мировых лидеров "карточного" бизнеса - компаний Маstеr Саrd/Еurорау является причиной интенсивного использования карточек с магнитной полосой и сегодня. Для повышения защищенности карточек системы VISA и Маstеr Саrd/Еurорау используются дополнительные графические средства защиты: голограммы и нестандартные шрифты для эмбоссирования (нанесения рельефного шрифта).

В смарт-картах носителем информации является уже микросхема. В простейших из существующих смарт-карт (карт - памяти) объем памяти может иметь величину от 32 байт до 16 килобайт. Карты подразделяются на два типа: с незащищенной (полнодоступной) и защищенной памятью. Уровень защиты карт памяти выше, чем у магнитных карт, и они могут быть использованы в прикладных системах, включая те, в которых финансовые риски связаны с мошенничеством. Смарт-карты дороже, чем магнитные карточки. Их стоимость непосредственно зависит от стоимости микросхемы, определяемой, в свою очередь, емкостью памяти. Несмотря на это, смарт-карты рассматриваются в настоящее время как наиболее перспективный вид пластиковых карт.

Но карточный бизнес основан на балансе интересов трех сторон: банков, торгово-сервисных компаний и владельцев карточек. Для банков в переходе на микропроцессорные карты есть смысл, поскольку это - повышение надежности и сокращение мошенничества за счет более точной идентификации участников транзакций. Для владельцев карточек, если речь идет об обычных кредитных или дебетовых продуктах, по большому счету все равно, будут ли такие карточки содержать магнитную полосу или микропроцессор. Для предприятий торговли и сервиса переход на микропроцессорные технологии связан с колоссальными затратами: сертификацией терминалов, их модернизацией или заменой, подготовкой персонала.

Поэтому, чтобы осуществить массовый переход на микропроцессорные технологии, банки совместно с торгово-сервисными компаниями и поставщиками технологий и карточек должны найти взаимовыгодное решение. По оценкам специалистов, емкость отечественного рынка смарт-карт через два-три года составит примерно 5 млн. карточек в год.

На сегодняшний день из известных видов мошенничеств “лидирует” полная подделка карты. На заготовки полностью подделанных карточек наносятся логотип эмитента, поле для проставления подписи, точно воспроизводятся все степени защиты. В данном случае используются подлинные реквизиты существующих карт. На международном рынке в изготовлении и использовании поддельных пластиковых карт “лидирует” Юго-Восточная Азия, откуда осуществляется большинство операций. Активно действующие “филиалы” есть в Испании, Италии и Великобритании.

При достаточно высоком качестве подделки эти карточки можно использовать без сговора с кассирами. Индустрия платежных карточек принимает меры по борьбе с этим видом мошенничества путем усложнения степеней защиты (изображение на карточки стали наносить методом литографической печати, дополнять его сложными для подделки элементами, например, голограммами).

Затем по частоте совершения следуют преступления, которые можно объединить в группу “незаконное использование подлинной карточки”. Сюда можно отнести:

•  “превышение счета” (floor limit);

•  операции с краденой, потерянной карточкой;

•  так называемая “двойная прокатка” (изготовление продавцом нескольких копий слипа, которые используются в дальнейшем для оплаты товара).

Пути незаконного приобретения карточек различны: умышленная передача третьим лицам, преступное завладение картой (утрата при пересылке по почте, кража и т.п.)

Известны случаи, когда недобросовестные работники банков и фабрик по изготовлению карточек пользуются задержкой между открытием счета и доставкой карточки владельцу и совершают операции в этот период.

Имеют место факты, когда владельцы карточки заявляют её как украденную или потерянную. Как правило, пока процессинговый центр включит номер в стоп-лист и известит торговые точки, проходит несколько дней. За это время владелец старается провести операции, а затем заявляет претензии банку.

К незаконному использованию подлинной карты, пожалуй, следует отнести и частичную подделку (фальсификацию). Этими деяниями фактически началась история злоупотреблений с пластиковыми карточками. Преступник (чаще всего владелец) изменяет лишь некоторые реквизиты – номер, либо фамилию. Соответственно, товар приобретается, но не оплачивается.

Банковские платежные карты, доставляемые по почте, как правило, похищаются при пересылке клиенту от эмитента или изготовителя. Такие карты имеют ряд предпочтений для преступного использования:

• утрата (кража) подобных карт замечается с большим опозданием, в результате чего нет возможности немедленно заблокировать карточку;

• карты в момент утраты, как правило, не подписаны, поэтому преступник сам может поставить подпись на карточку, позднее при их использовании нет необходимости подделывать подпись на дебетовом счете.

За рубежом стали известны случаи, когда преступники специально устраивались на работу, на почту или в частные службы доставки, чтобы во время работы непосредственно изымать отправления с банковскими картами или перенаправлять их на подготовленный ими самими почтовый адрес.

Другой распространенный вид преступлений - незаконное использование подлинных карточек. Сюда относятся операции с украденной или утерянной карточкой, изготовление продавцом дополнительных копий платежных квитанций, которые в дальнейшем используются для снятия денег со счетов.

Большая проблема состоит ещё в том, что для оплаты заказанного товара достаточно указать реквизиты карточки. Следовательно, любая информация о карточке для владельца может обернуться невосполнимыми потерями. А способов выманивания реквизитов карточек у владельцев - великое множество.

С помощью Интернета производится более тридцати видов мошеннических действий.

Растущий вал преступлений в этой сфере, по мнению некоторых, грозит подорвать авторитет карточек как надежного финансового инструмента. Однако пессимистический взгляд на сложившуюся ситуацию вовсе не означает, что нет выхода из создавшегося положения. Он есть, надо только усилить внимание к вопросам безопасности пластиковых карточек от посягательств извне. Для этого нужно принять следующие меры:

• увеличить число степеней защиты платежных карточек;

• обезопасить микропроцессоры от нежелательных атак извне;

• хранить платежные карточки в надежных местах и подальше от посторонних глаз;

• незамедлительно блокировать счета в банке в случае утраты платежной карточки;

• защитить компьютерные сети от взломщиков.

Нужно отметить, что сейчас существуют надежные средства защиты компьютерных данных, но они, конечно, требуют дополнительных расходов. Многие банки не уделяют внимание таким вопросам как:

• Существует ли в банке служба безопасности?

• Контролирует ли она телефонный ввод и силовой кабель?

• Разграничены ли полномочия сотрудников банка, ведающих пластиковыми карточками?

Такая беспечность банка в будущем приведет его к крупным неприятностям. Он уязвим для вмешательства, это просто находка для электронных и прочих воров.

"Пластиковые" посягательства - совершенно новый  для нашей действительности вид  преступлений, и развивается он  не по дням, а по часам.

Банки вынуждены искать все новые и новые способы борьбы с мошенничеством. Застой в области защиты очень опасен, поэтому технологии защиты необходимо постоянно совершенствовать, а внедрять - быстро и в широких масштабах, что очень непросто. Однако темп роста злоупотреблений по карточкам вынуждает всех участников "карточного" бизнеса решать эту проблему.

Как уже отмечено, преступность в сфере платежных карточек развивается параллельно с самой индустрией карточек. Опыт международных платежных систем по внедрению "карточных" программ в разных странах показал, что развитие мошенничества подчиняется определенным закономерностям. Показателем уровня преступности служит отношение потерь платежных систем от мошенничества к обороту по картсчетам. В течение первых двух лет с начала внедрения пластиковых карточек в масштабе страны уровень преступности остается практически нулевым, а затем быстро возрастает до 0,7-0,8% и некоторое время удерживается на этой отметке. Столь резкий рост обусловлен рядом негативных факторов, характерных именно для данного этапа развития рынка. К глобальным факторам такого рода можно отнести следующее:

• отсутствие законодательной и нормативной базы по платежных карточкам;