А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия

С повсеместным распространением электронных POS-терминалов мошенники переориентировались на перекодирование магнитной полосы, как наиболее технически простой и дешевый способ подделки. Перекодируют полосу чаще на подлинной карте — такая карта не вызывает подозрений при обслуживании в торговой сети. Однако хорошо обученный кассир обязан обратить внимание на несоответствие платежных реквизитов на самой карте и на бумажном чеке, где распечатываются данные с магнитной полосы.

Полностью поддельная карта имитирует подлинную платежными реквизитами, дизайном, названием банка-эмитента, защитными признаками платежной системы, кодированием магнитной полосы. Встречаются высококачественные подделки, изготовленные на профессиональном типографском оборудовании и персонализированные промышленными эмбоссерами. Это результат деятельности организованных преступных групп, работающих с международным размахом. Для небанковских специалистов, не имеющих доступа к BIN-Member tables (справочник соответствия БИНов названиям банков), выявить такую подделку весьма проблематично.

У кустарно подделанных карт не так много шансов быть принятыми в торгово-сервисной сети и практически нет шансов снять по ним наличные в офисах банков, где и кассиры более профессионально обучены и требуется удостоверение личности. Тем не менее подделки эволюционировали благодаря удешевлению и доступности микропроцессорной техники: мошенники стали использовать карты с магнитной полосой преимущественно для перекодирования информации на ней, т. е. нанесения данных, считанных с легальных карт. Мошенничество, связанное с копированием магнитной полосы карты (часто в совокупности с перехватом ПИН-кода), называется «скимминг» (skimming). Это явление получило в последние годы всемирное распространение, а в некоторых странах Восточной Европы и Юго-Восточной Азии приобрело глобальные масштабы. Мошенничество заключается в том, что магнитная полоса карты копируется с помощью накладки на слот кардридера банкомата (рис. 1.1).

ПИН-код копируется накладной клавиатурой (рис. 1.2) или записывается миниатюрной видеокамерой. Злоумышленники используют данные с магнитной полосы для изготовления клона карты и с ее помощью обналичивают деньги. Распознать эти накладки для неспециалиста затруднительно: внешне они имитируют штатные устройства. Скимминг может произойти и в торгово-сервисном предприятии, где кассир или официант в сговоре с преступниками незаметно прокатывает карту через считывающее магнитную полосу мобильное устройство. ПИН-код в этом случае подсматривается «из-за плеча» при обслуживании карты с чипом по процедуре Chip&PIN.

Доступ злоумышленников к данным магнитной полосы и ПИН-коду упростил им задачу получения наличных — часто мошенниками для этого используется так называемый «белый пластик». Это заготовки карт с кодированной магнитной полосой, но без каких-либо элементов дизайна. Чтобы «белый пластик» не бросался в глаза случайным прохожим или сотрудникам службы безопасности банка, которые будут просматривать записи с камеры банкомата, на карту наклеивают цветные стикеры, или пластик окрашивают любым доступным способом.

Были отмечены нетривиальные случаи использования для скимминга «доработанных» мошенниками POS-терминалов, перехвата информации посредством врезки в коммуникационные каналы связи, взлома баз данных ТСП или банковских процессингов.

Чаще всего держатель карты не замечает, где и когда он стал жертвой скимминга, а обнаруживает уже совершенные по его карте мошеннические транзакции. Ответственность за такого рода операции ложится на банк-эмитент.

Мероприятия по противодействию мошенничеству:

• обучение держателей мерам безопасного обслуживания карт (соблюдение мер, направленных на сохранение конфиденциальности платежных реквизитов карты и ПИН-кода);

• миграция на EMV карты и использование правила Chip&PIN (перенос рисков финансовой ответственности на эквайрера за проведение им операции с чтением только магнитной полосы карты);

• случайная генерация номеров карт;

• проверка CVV (CVC), CVV2 (CVC2) при авторизации, сверка срока действия карты в авторизационном запросе с параметром в базе данных процессинга;

• использование фрод-мониторинга авторизационного трафика с возможностью автоматически блокировать карту;

• использование услуги смс-информирования о проведенных авторизациях;

• установка лимитов снятия наличных денежных средств в банкоматах на ежедневной и ежемесячной основе;

• обучение сотрудников ТСП выявлению поддельных карт. Периодические тренинги и практикумы с аттестацией. Вознаграждение со стороны банка-эквайрера сотрудников ТСП за задержанную поддельную карту.

Платежная транзакция, совершаемая без предъявления карты, т. е. в условиях, когда в точке совершения транзакции отсутствует не только сама платежная карта, но и ее держатель, называется Card Not Present transaction. Такая транзакция совершается по указанию держателя карты, данному устно или письменно (факс, электронная почта и т. д.). Card Not Present мошенничество основывается на использовании платежных реквизитов банковской карты не ее законным владельцем. Оплату с использованием реквизитов платежного средства практикуют в интернет-магазинах и торговых точках, оформляющих заказы дистанционно через почту, телефон, электронную почту (mail order/telephone order (MO/TO) transaction) или интернет-сайты ТСП, использующие оформление транзакций по правилам электронной коммерции (e-commerce). У ТСП нет возможности проверить принадлежность карты ее законному держателю, нет возможности сличить подпись или проверить удостоверение личности. Серьезных мошенников интересует прежде всего покупка дорогого и легко реализуемого товара по реквизитам краденных банковских карт. Сегодня таким товаром являются компьютерная техника, фото/видео/ аудиотехника, мобильные телефоны и аксессуары к ним, прочие гаджеты. Однако физический товар требует реального адреса для доставки и получить его должно конкретное физическое лицо по предъявлении документа, удостоверяющего личность. Поэтому с точки зрения преступника эта схема рискованна и реализуема только через подставное лицо. Менее требовательные мошенники из числа компьютерных хулиганов довольствуются покупкой софта и мультимедийного контента, доступного для скачивания посредством Интернета, для покупки которых не требуется адрес доставки. Суммы таких операций не превышают 100 долл., но доставляют проблемы эмитенту в случае массового характера. Подобные разовые операции возможно опротестовать претензионными процедурами, массовые случаи могут потребовать предметного разбирательства непосредственно с банком-эквайрером и с привлечением платежных систем, когда торговую точку поставят перед выбором: или прекращать прием карт в оплату или совершенствовать защитные меры.