Безопасность карточного бизнеса : бизнес-энциклопедия
Шрифт:
Основная причина появления самой возможности мошенничества с украденными и утерянными картами — небрежность держателей банковских карт. Отношение большинства держателей к своим картам гораздо более легкомысленное, нежели к наличным деньгам. Отсюда вытекает и первая по значимости мера противодействия — необходимость обучения клиентов. За их просвещение взялся даже Банк России, выпустив «Памятку о мерах безопасного использования банковских карт» (Приложение к письму Банка России от 2 октября 2009 г. № 120-Т).
Мероприятия по противодействию мошенничеству:
• обязательное обучение держателей карт правилам безопасного хранения и использования карт: в виде раздаточных материалов, в виде обязательства клиента — условия договора, устное разъяснение при получении клиентом карты, информирование посредством интернет-сайта банка;
• корректное позиционирование продуктового ряда: наиболее безопасные дебетовые или электронные карты должны иметь приоритет в розничном распространении и быть ориентированы на рисковые сегменты клиентов;
• установка для определенных карточных продуктов ограничения на использование в операциях без он-лайн авторизации;
• обеспечение круглосуточной бесперебойной доступности колл-центра посредством специального легко запоминаемого телефонного номера, который всегда свободен для входящего звонка. Принятие звонка от клиента не должно прерываться рекламными или информационными сообщениями автоответчика;
• незамедлительно после или во время принятия сообщения от держателя банк должен заблокировать карту от он-лайн авторизации и, при необходимости, принять меры к минимизации рисков проведения подлимитных транзакций — поставить карту в «стоп-лист» платежной системы;
• использование фрод-мониторинга. Выявление нетипичной для держателя активности карты;
• использование услуги смс-информирования о проведенных авторизациях. Позволяет держателю выявить практически в режиме реального времени несанкционированное использование его карты или ее платежных реквизитов и заблокировать карту, пресечь таким образом дальнейшее ее использование мошенником;
• печать на лицевой или оборотной стороне карты цветной фотографии владельца карты.
Платежные системы подразумевают под «неполученными» карты, которые могли быть украдены при пересылке по почте. Частным случаем можно считать карты, украденные непосредственно в организации, занимающейся распространением карт собственным сотрудникам в рамках зарплатного проекта или своим клиентам в рамках доверенности от банка-эмитента. Основные риски для банка вытекают из того, что похищенные карты персонифицированы на реальных пользователей и являются по сути действующими, даже не смотря на их блокировку от авторизации. При этом на карте отсутствует подпись держателя на полосе для подписи, что дает дополнительное преимущество мошеннику. Вся ответственность за мошенничество в этом случае однозначно лежит на эмитенте.
Мероприятия по противодействию мошенничеству.
• Направлять персонализированные карты и конверты с ПИН-кодом в раздельных посылках в разное время (если возможно, разными почтовыми службами). Для адресных рассылок использовать только заказные письма.
• Блокировать карты на время доставки, активировать карты только по обращению клиента в банк и его идентификации.
• Размещать на полосе для подписи фотографическую копию подписи держателя, печатать на лицевой или оборотной стороне карты цветную фотографию владельца карты.
• Вводить в действие регламентные и инструктивные документы по процедурам хранения, персонализации, транспортировки, передачи карт, учета заготовок и персонализированных карт на всех стадиях процесса.
Поддельной называется карта, которая имеет внешние признаки действительной и легально выпущенной, однако печать, эмбоссирование, персонализация и кодирование карты были произведены с нарушением установленных платежной системой правил и не были санкционированы эмитентом. При этом либо печать карты была санкционирована эмитентом, но эмбоссирование или кодирование были произведены без его ведома; либо карта была выпущена с соблюдением всех необходимых правил, но впоследствии была переделана или в ее дизайне были произведены изменения, за исключением изменения подписи держателя или поля (панели) для подписи. Также поддельной считается карта, если на ней присутствуют признаки несоответствия стандартам платежной системы, логотип которой размещен на карте, не соответствуют или отсутствуют защитные признаки. Поддельная карта может быть изготовлена путем физического изменения подлинной или копирования, имитации подлинной.
Поддельная карта, переделанная из подлинной, — это утерянная/украденная/перехваченная карта с измененными платежными реквизитами и/или перекодированной магнитной полосой.
Первые попытки переделки карт проводились путем срезания эмбоссированных цифр номера карты и переклеивания их местами. Также практиковался метод заглаживания эмбоссированных символов на карте горячим утюгом для выдавливания поверх нового номера карты. Такие подделки определить визуально несложно, поэтому они прокатывались импринтером в торговых организациях в сговоре с продавцом. Для получения действительных номеров карт предпринимались многочисленные, и не всегда безуспешные, попытки подбора программными средствами номера карты и срока действия карты с последующей попыткой проведения операции оплаты через интернет-магазины. Этому риску подвергаются в основном эмитенты, установившие правило последовательной генерации номеров карт.
С повсеместным распространением электронных POS-терминалов мошенники переориентировались на перекодирование магнитной полосы, как наиболее технически простой и дешевый способ подделки. Перекодируют полосу чаще на подлинной карте — такая карта не вызывает подозрений при обслуживании в торговой сети. Однако хорошо обученный кассир обязан обратить внимание на несоответствие платежных реквизитов на самой карте и на бумажном чеке, где распечатываются данные с магнитной полосы.
Полностью поддельная карта имитирует подлинную платежными реквизитами, дизайном, названием банка-эмитента, защитными признаками платежной системы, кодированием магнитной полосы. Встречаются высококачественные подделки, изготовленные на профессиональном типографском оборудовании и персонализированные промышленными эмбоссерами. Это результат деятельности организованных преступных групп, работающих с международным размахом. Для небанковских специалистов, не имеющих доступа к BIN-Member tables (справочник соответствия БИНов названиям банков), выявить такую подделку весьма проблематично.
У кустарно подделанных карт не так много шансов быть принятыми в торгово-сервисной сети и практически нет шансов снять по ним наличные в офисах банков, где и кассиры более профессионально обучены и требуется удостоверение личности. Тем не менее подделки эволюционировали благодаря удешевлению и доступности микропроцессорной техники: мошенники стали использовать карты с магнитной полосой преимущественно для перекодирования информации на ней, т. е. нанесения данных, считанных с легальных карт. Мошенничество, связанное с копированием магнитной полосы карты (часто в совокупности с перехватом ПИН-кода), называется «скимминг» (skimming). Это явление получило в последние годы всемирное распространение, а в некоторых странах Восточной Европы и Юго-Восточной Азии приобрело глобальные масштабы. Мошенничество заключается в том, что магнитная полоса карты копируется с помощью накладки на слот кардридера банкомата (рис. 1.1).
ПИН-код копируется накладной клавиатурой (рис. 1.2) или записывается миниатюрной видеокамерой. Злоумышленники используют данные с магнитной полосы для изготовления клона карты и с ее помощью обналичивают деньги. Распознать эти накладки для неспециалиста затруднительно: внешне они имитируют штатные устройства. Скимминг может произойти и в торгово-сервисном предприятии, где кассир или официант в сговоре с преступниками незаметно прокатывает карту через считывающее магнитную полосу мобильное устройство. ПИН-код в этом случае подсматривается «из-за плеча» при обслуживании карты с чипом по процедуре Chip&PIN.