Платежные карты: Бизнес-энциклопедия - Проект

Генерация случайных номеров карт позволяет защитить эмитента от подбора мошенником правильного номера карты. Обычно номер карты состоит из 16 цифр, из которых первые 8 представляют собой префикс карты, используемый для идентификации банка и его филиала. Последняя цифра номера карты является функцией от первых 15 цифр (вычисляется по правилу luhn check parity). Поэтому остается 7 независимых цифр номера карты, использование которых позволяет банку эмитировать до 10 млн карт. Этот диапазон карт можно заполнять с любой заранее заданной максимальной плотностью заполнения X. Под плотностью заполнения понимается отношение количества выпущенных карт ко всему диапазону возможных значений номеров карт (10 млн карт). Если при этом номера карт генерируются по случайному закону, то вероятность того, что мошенник, выбирая наугад какой-то номер карты, угадает его, не превышает максимальную плотность заполнения диапазона номеров карт. Очевидно, это увеличивает накладные расходы мошенника, тем самым снижая его привлекательность подделки. Таким образом, использование эмитентом генерации случайных номеров карт, проверки CVC/CVC2, расширенной проверки срока действия карты требует от мошенника (не знающего реквизитов карт) перебрать n = (24 × 1000)/X = 24000/X различных сочетаний реквизитов карты, для того чтобы с вероятностью 1 добиться успеха. При X = 1 требуется перебрать 24 000 различных значений, а при X = 0,1 — 240 000,0 вариантов. Это делает практически неинтересным для мошенника попытки подбора правильных реквизитов карт. Получается, что стоимость подбора выше потенциальной добычи. Вероятность того, что правильные реквизиты карты будут определены за k попыток (k ≤ n), равна в нашем случае k/n. Поэтому чтобы обеспечить высокую вероятность достижения успеха, мошеннику придется перебрать порядка n различных комбинаций реквизитов карты.

Другой сегодня самый распространенный подход к созданию поддельных карт основывается на скимминге — краже мошенниками данных магнитной полосы реальной карты и, возможно, ПИН-кода ее держателя во время выполнения операции с использованием этой карты. В данном случае к элементам защиты эмитента следует отнести:

• проверку соответствия имени банка и префикса карты (например, с использованием директории VISA interchange directory); мошенники пользуются только доступной им информацией о карте и имеющимися под рукой заготовками карт;

• поддержку стоп-листов имен «держателей» поддельных карт; опыт показывает, что мошенники используют весьма ограниченный набор таких имен; поэтому дополнительная проверка держателя карты с именем из стоп-листа может оказаться весьма целесообразной;

• средства мониторинга транзакций;

• SMS-оповещения о выполненных по карте операциях;

• обучение персонала торгового предприятия;

• обучение держателей карт — любая информация о карте является ценной для мошенников, поэтому реквизиты карты нужно охранять; нельзя оставлять карту без персонального контроля; обучение тому, как вести себя с чеками и стейтментами и т. д.;

• на уровне платежных систем — определение точек компрометации Common purchase point реквизитов карт и использования украденных реквизитов (collusive merchants).

Коротко остановимся на обучении персонала торговых предприятий. С точки зрения безопасности банк должен провести обучение персонала торгового предприятия по следующим вопросам:

• как определить, принимает ли торговое предприятие данную карту;

• как визуально проверить подлинность карты;

• как хранить и обрабатывать слипы;

• как использовать «код ответа 10» (специальный код ответа, используемый в случае голосовой авторизации, когда покупатель показался продавцу подозрительным);

• как реагировать на ответ «захватить карту» и что делать с захваченной картой.

Очень важной с точки зрения безопасности операции является визуальная проверка продавцом подлинности карты. Анализ фрода показал, что в большинстве случаев мошенничества, связанного с подделкой карт крупнейших платежных систем VISA и MasterCard, можно было бы избежать, если бы продавец выполнял следующие визуальные проверки карты:

• на наличие 4 напечатанных цифр под (над) эмбоссированным номером карты;

• на наличие микропечати VISA по периметру логотипа карты VISA;

• на наличие голубя на картах VISA и букв M и C на картах MasterCard, появляющихся при облучении карты ультрафиолетом;

• при наклоне голограммы карты VISA должен появиться летящий голубь, а карты MasterCard — надпись «MasterCard».

• сравнение номера карты на чеке терминала и на карте;

• на наличие эмбоссированных секретных символов на карте (летящие буквы V и М).

Однако практика показала, что эти проверки торговыми точками зачастую не производятся. В результате платежные системы отказались от использования эмбоссированных секретных символов, а также некоторых видов микропечати.

К сожалению, скимминг является чрезвычайно эффективным способом подделки карт, и технология карт с магнитной полосой не может предложить эффективных универсальных методов борьбы с ним. Например, под кураторством MasterCard была разработана технология MagnePrint, суть которой состоит в следующем. Магнитная полоса карты состоит из миллиардов крошечных частиц определенного размера и расположения, создающих естественный уникальный шум при считывании магнитной полосы. Этот шум не может быть подделан и используется в технологии MagnePrint для аутентификации карты. Шум кодируется в элемент данных длиной 54 байта и хранится в системе эмитента. Компания MagTek изготовила карт-ридеры, способные считывать шум.

Слабость метода состоит в том, что элемент данных, кодирующий шум, является статическим. Поэтому фрод, по-прежнему, возможен из торговых точек, нацеленных на мошенничество. Кроме того, метод работает только в случае онлайновой авторизации транзакции.

В результате в начале третьего тысячелетия стало ясно, что в основе наиболее эффективных способов борьбы с поддельными картами лежит технология микропроцессорных карт. При этом неважно, где располагается микропроцессор — на пластиковой карте, в сотовом телефоне или ином устройстве, находящемся в руках клиента банка.

На сегодняшний день ведущие платежные системы поддерживают единственный протокол безопасной электронной коммерции — 3D Secure (в платежной системе Visa этот протокол продвигается под брэндом Verified by VISA, а в системе MasterCard — под брэндом MasterCard SecureCode). По мнению экспертов, повсеместное использование этого протокола торговыми предприятиями, обслуживающими банками и эмитентами карт уменьшит фрод в области электронной коммерции не менее чем на 80 %, доведя его до уровня ниже 5–7 базисных пунктов.

Требования международных платежных систем к безопасности операций ЭК формулируются следующим образом:

• должна обеспечиваться взаимная аутентификация участников электронной покупки (покупателя, торгового предприятия и его обслуживающего банка);

• реквизиты платежной карты (номер карты, срок ее действия, CVC2/CVV2, и т. п.), используемой при проведении транзакции ЭК, должны быть конфиденциальными для торгового предприятия;

• невозможность отказа от операции для всех участников транзакции электронной коммерции.

К сожалению, первый безопасный протокол электронной коммерции Secure electronic transaction (SET), удовлетворяющий всем перечисленным выше требованиям, сегодня платежными системами больше не поддерживается. Это связано с дороговизной и сложностью внедрения протокола SET.

Для стимулирования внедрения протокола 3D Secure платежные системы ввели сдвиг ответственности, называемый merchant only liability shift, в соответствии с которым при поддержке торговой точкой протокола 3D Secure ответственность за мошенничество в ЭК, связанное с отказом держателя карты от совершения операции, возлагается на эмитента. В платежной системе Visa ответственности merchant only liability shift носит глобальный характер. В MasterCard сдвиг ответственности merchant only liability shift касается всех регионов за исключением Северной Америки (США и Канада), в которой ответственность за результат операции возвращается к эмитенту только в случае поддержки 3D Secure всеми участниками транзакции ЭК — онлайновым магазином, обслуживающим банком и банком-эмитентом (так называемая full authentication-авторизация).

Напомним, что для CNP-транзакций без использования защищенного протокола ответственность за мошенничество возлагается на обслуживающий банк. Таким образом, в случае использования торговой точкой 3D Secure восстанавливается нормальное распределение ответственности, характерное для платежных операций других типов.