Безопасность карточного бизнеса : бизнес-энциклопедия - А. Алексанов

Р(поп|кпр-исп) — вероятность проведения несанкционированной операции (успех попытки проведения);

P(обн) — вероятность обнаружения несанкционированной операции эмитентом.

В соответствии с общепринятой классификацией существуют следующие типы мошенничества:

1) использование украденных или утерянных карт;

2) использование неполученных карт;

3) использование поддельных карт;

4) проведение операции с использованием реквизитов карты без ее присутствия;

5) несанкционированное использование персональных данных держателя карты и информации по счету клиента;

6) другие виды мошенничества.

Следует отметить, что последний тип мошенничества относится к таким несанкционированным операциям, тип которых (из 1–5) определить затруднительно. Фактически данный тип используется для информирования МПС о мошенничестве при условии сложности однозначного установления его типа, т. е. в расчетах можно ограничиться типами 1–5, если устранять неоднозначности присвоением известных типов.

Далее рассмотрим особенности мошеннических операций типов 1–5 и расчет вероятности успешного проведения мошеннической операции Рмош по формуле (2).

В соответствии с договором между клиентом и банком ответственность по операциям по украденной/утерянной карте лежит на клиенте до момента уведомления банка об утере/краже. Данный риск является не банковским, а клиентским, поэтому рассчитывать его для банка-эмитента далее не будем.

Данный риск существует для банка в том случае, если технологически предусмотрена возможность получения клиентом карты иная, чем лично в руки. Безопасность получения карты держателем обеспечивается организационными и технологическими мерами (например, активация карты клиентом, отсутствие денежных средств на карте до момента активации). В связи с этим данный тип мошенничества рассматривать при расчете рисков не будем.

Поддельность объекта можно определить по совокупности следующих признаков:

• объект обладает характерными качествами подлинного;

• не соблюдены правила изготовления объекта (технические или правовые);

• цель изготовления или использования поддельного объекта — использование по назначению.

Для проведения операции по поддельной карте в ТСП злоумышленник должен представить к оплате карту, внешне похожу на настоящую, чтобы ее «поддельность» не была заметна для кассира. При этом ПИН-код злоумышленнику может не понадобиться, если он не требуется в качестве способа аутентификации держателя такой карты.

Мошенническая операция в банкомате может быть проведена только при условии знания злоумышленником ПИН-кода, при этом внешний вид поддельной карты не должен соответствовать оригиналу (может быть использован так называемый «белый пластик»), поскольку визуальная проверка подлинности карты не производится.

Из вышеизложенного следует, что при знании ПИН-кода поддельная карта будет использована в банкомате, а если ПИН-код не известен — то в ТСП. В обоих случаях для изготовления подделки нужны данные магнитной полосы карты — трека. Следует отметить, что микропроцессорная карта для обеспечения обратной технологической совместимости содержит также и магнитную полосу. В настоящее время злоумышленники подделывают банковские карты, в основном используя существующие уязвимости карт с магнитной полосой. Также обнаружены и опубликованы уязвимости в технологии EMV, приводящие к компрометации данных карты и ПИН-кода, несанкционированной модификации параметров транзакции.

Таким образом, риск по поддельным картам можно рассматривать как сумму двух рисков: с неизвестным злоумышленнику ПИН-кодом и наличием поддельной карты, и поддельной карты с ПИН-кодом, т. е.

SFRпод = SFRпод.крт + SFRпод. ПИН, (3)

где SFR под. крт — риск по операциям с поддельной картой без знания ПИН-кода;

SFRпод. ПИН — риск по операциям с поддельной картой при известном ПИН-коде.

Определим

где Рпод. кртмош — вероятность осуществления мошеннической операции по поддельной карте при условии, что злоумышленнику не известен ПИН-код;

Рпод. крт (кпр) — вероятность компрометации данных магнитной полосы карты;

Рпод. крт (исп|кпр) — вероятность использования скомпрометированных данных для проведения операции;

Рпод. крт (поп|кпр исп) — вероятность принятия к оплате поддельной карты;

Рпод. крт (обн) — вероятность обнаружения несанкционированной операции эмитентом.

Для проведения операций в ТСП риск по поддельной карте без знания злоумышленником ПИН-кода можно определить следующим образом:

Величина SТСПсум может не равняться доступной сумме для совершения операций по счету карты, поскольку могут быть установлены лимиты на совершение операций в ТСП, которые в данном случае и будут являться ограничением для величины потерь по мошенническим операциям такого типа. В случае если злоумышленнику известен ПИН-код

Рпод. ПИН(кпр) — вероятность компрометации данных магнитной полосы карты и ПИН-кода;

Рпод.ПИН(исп|кпр) — вероятность использования поддельной карты для проведения операции в банкомате;

Рпод.ПИН(поп|кпр исп) — вероятность принятия к оплате поддельной карты;

РподПИН(обн) — вероятность обнаружения несанкционированной операции эмитентом.

Вероятность Рпод. ПИН (поп|кпр исп) в формуле (7) равна 1 (поскольку банкомат не осуществляет визуальную проверку подлинности карты) во всех случаях, кроме того, когда поддельная карта с магнитной полосой без чипа, но содержит сервис-код микропроцессорной карты (первая цифра равна 2 или 6) и банкомат оборудован устройством чтения чипа, — в этом случае обслуживания карты банкоматом по магнитной полосе не произойдет. Поэтому формулу (7) можно представить в виде

Из формул (1) и (8) следует, что

где SFRпод. ПИН — риск по поддельной карте при известном злоумышленнику ПИН-коде;