Мошенничество в розничных платежных системах
Учитывая все увеличивающееся количество электронных платежных инструментов, постоянный рост оплачиваемых по ним товаров и услуг, риск утраты электронных средств или захвата информации о них мошенниками резко возрастает.
По мере развития платежных услуг организации, их предоставляющие, обязаны следить за тем, чтобы системы безопасности платежных технологий отвечали требованиям различных платежных каналов и были достаточно мобильными в противостоянии действиям мошенников в постоянно меняющихся условиях.
Одним из методов предотвращения противоправных действий и минимизации рисков при проведении платежей в режиме реального времени является двухфакторное удостоверение подлинности платежного документа. В Европе несколько банков выпустили считывающие устройства для микропроцессорных карт, генерирующие одноразовый пароль для безопасного доступа к онлайновым банковским операциям. Сочетание инструментов выявления мошенничеств в режиме реального времени с информацией о деятельности клиента, полученной по другим каналам, дает банку более полную картину его поведения. Платеж можно задержать и подключить аналитика для более тщательной оценки.
Мощным инструментом противодействия мошенничеству стали логико-информационные возможности межсетевого протокола (IP). Они позволяют финансовым институтам осуществлять мониторинг сделок с учетом географического положения клиента, поставщика интернет-услуг и другой полезной информации, таким образом создавая стереотип проведения электронных банковских операций. При обнаружении необычных схем IP-адреса заносятся в черные списки или отслеживаются. Первым делом обращается внимание на частоту использования клиентом одного и того же IP-адреса или регистрацию с другого IP-адреса. Это позволяет быстро выявлять не вписывающиеся в обычный формат подозрительные сделки. Основным преимуществом IP-технологии является способность незамедлительно сориентировать банк на потенциальную мошенническую сделку.
Кроме борьбы с мошенничеством организациям, которые предоставляют платежные услуги, необходимо разъяснять потребителям этих услуг основные способы мошенничества. Далее приводятся наиболее распространенные способы захвата информации о платежных картах с целью осуществления противоправных действий.
Реквизиты банковских карт могут появиться в руках злоумышленников со взломанных серверов интернет-магазинов, платежных и расчётных систем, а также с персональных компьютеров (либо непосредственно, либо через программы удаленного доступа, так называемые «трояны» и «черви»). Кроме того, вредоносные программы могут распространяться через терминальные устройства по приему электронных платежных средств, которые по сути являются программно-аппаратным обеспечением платежных процедур.
Самый известный способ мошенничества — незаконное использование подлинной платежной карты, т. е. украденной у ее владельца или утерянной владельцем. В этих целях применяется и изготовление дополнительных копий платежных квитанций, что позволяет незаконно снять денежные средства со счета владельца банковской пластиковой карты.
К разряду незаконного использования подлинной банковской карты можно отнести и использование некоторого периода времени, проходящего между открытием счета и доставкой карточки владельцу, для совершения по ней недобросовестными работниками операций по снятию денег со счета. Сюда же относятся такие способы, как «превышение счета», «двойная прокатка», при которой продавец изготавливает несколько копий «слипа» (чека), которыми в дальнейшем оплачивается товар или услуга.
Способ «сбрить и наклеить», то есть частичная подделка путем удаления с карточки имеющегося номера и наклейки вместо него нового, срезанного с другой чужой банковской пластиковой карты. С этой же целью применяется и подделка электронного или магнитного носителя информации на банковской карте с дальнейшим снятием денежных средств через банкомат.
Известный способ — так называемый «белый пластик», то есть на чистый (без опознавательных знаков банка, выпустившего карту, платежной системы и голограммы) пластиковый бланк наносят данные уже существующих банковских платежных карточек и предъявляют его по предварительной договоренности для оплаты товаров и услуг. Отличить поддельные «слипы» (чеки) от настоящих в этом случае крайне трудно.
Способ мошенничества «скиминг». Его суть в том, что на гнездо банкомата, принимающего банковскую пластиковую карту, крепятся специальные накладки, которые считывают с нее информацию, пока банкомат выполняет затребованные операции с данной картой.
Еще одним способом мошенничества является фишинг. Его цель — получить информацию о ПИН-коде (логине и пароле) посредством организации массовых рассылок от имени популярных торговых и др. организаций («брендов») со ссылками на сайт, который непосвященному трудно отличить от действительно настоящего сайта. А далее, зайдя на такой сайт, владелец банковской пластиковой карты сам предоставляет информацию, необходимую для доступа к его денежным средствам.
Разновидности «фишинга» — это голосовой и электронный «фишинг». Обычно по телефону владельца банковской карты якобы «работник банка» просит об уточнении данных, или владельцу банковской пластиковой карты приходит по «электронной почте» письмо из банка либо с просьбой подтвердить данные карты, либо обновить их, либо сверить пароли и номер счета.
Также существует способ «фарминга», когда пользователи Интернет автоматически перенаправляются на специально разработанные и размещенные фальшивые сайты, позволяющие собирать конфиденциальную информацию.
Потери от мошенничества с кредитными и дебетовыми банковскими картами постоянно увеличиваются. Серьезное увеличение потерь от мошенничества с картами началось с 2003 года, когда банки начали вводить систему «chip-and-pin», которая предусматривает наличие у владельца кредитной или банковской карты специального устройства — валидатора. Если владелец карты намеревается осуществить онлайновый перевод средств, ему необходимо вставить свою карточку в это устройство и ввести ПИН-код, после чего устройство генерирует некое число. Это число необходимо ввести на Интернет-странице для подтверждения денежного перевода.
Во всех развитых странах заметна тенденция смещения мошеннических операций с картами с национальных рынков на международные, что обусловлено усилением внутренних мер по борьбе с данным видом преступлений. Например, значительные убытки при трансграничном использовании карт вынудили Испанию внедрить технологию EMV и оснастить банкоматы соответствующими чипами, чтобы не нести ответственности по картам иностранных эмитентов. Применение технологии EMV позволило уменьшить трансграничные преступления с картами в Европе, но отрасль остается крайне уязвимой для мошеннического применения украденных и фальшивых карт на других рынках. По некоторым данным, наиболее часто фальшивые британские карты используются в США, на которые приходится 12% международных убытков по картам британских эмитентов.
По типу мошенничества различаются оплата покупок и снятие наличности. Анализ зарубежных специалистов[11] показывает, что на национальных рынках платежей приблизительно 75–85% убытков приходится на мошенничества при покупке товаров, что обусловлено высокой степенью защиты банкоматов и оборудование их средствами видеозаписи.
Кроме вышеперечисленных способов захвата конфиденциальной платежной информации, появилась целая область деятельности, связанная с мошенничеством в системах электронного обмена информации, которая получила название «социальная инженерия». Социальная инженерия — это метод несанкционированного доступа к информации или системам хранения информации без использования технических средств. Метод основан на использовании слабостей человеческого фактора и считается очень разрушительным. Злоумышленник получает информацию, например, путем сбора информации о служащих объекта атаки с помощью обычного телефонного звонка или путем проникновения в организацию под видом ее служащего. Злоумышленник может позвонить работнику компании (под видом технической службы) и выведать пароль, сославшись на необходимость решения небольшой проблемы в компьютерной системе[12].
Основные положения лекции опубликованы в статье «Новые тенденции развития розничных платежных услуг», рубрика «Розничные платежи» методического журнала «Расчеты и операционная работа в коммерческом банке» №1/2010, Издательский дом «РЕГЛАМЕНТ». (http://www. /bank/raschet/2010_1.htm). ©.
[1] См.: Платежные и расчетные системы. Международный опыт. Вып. 1. Глоссарий терминов, используемых в платежных и расчетных системах / Центральный банк Российской Федерации, М.: Полиграф Сервис, 2007. 66 с. (www. cbr. ru).
[2] См.: Федеральный закон от 3 июня 2009 г. «О деятельности по приему платежей физических лиц, осуществляемой платежными агентами».
[3] Существуют различные определения электронных денег, Директива Евросоюза об эмитентах электронных денег (2000 г.) дает следующее определение: «денежная стоимость, представляющая собой особый вид права требования к организации — эмитенту, которое: 1) хранится на электронном носителе; 2) выпускается при получении денежных средств в стоимостном размере не меньшем, чем эмитированная денежная стоимость; 3) принимается как средство платежа другими (помимо эмитента) организациями».
[4] См.: Аналитическая записка «О регулировании дистанционного банкинга в России», май 2008 года (Notes on Regulation of Branchless Banking in Russia, May 2008), консультативной группы по оказанию помощи малоимущим слоям населения (CGAP) (www. cgap. org).
[5] В конце 2009 года наблюдательный совет банка развития России (ВЭБ) одобрил концепцию создания на базе Связь-банка и Почты России федерального почтового банка, который по размеру розничной сети может вдвое обойти Сбербанк.
[6] Более подробная информация о разработке УПП представлена на сайте www. mobilepaymentsrussia. ru.
[7] Федеральный закон , разъясняющий деятельность платежных агентов по приему платежей физических лиц, несколько сузил возможную сферу деятельности небанковских организаций, чем существенно ограничил конкуренцию банковских и небанковских организаций на рынке розничных платежных услуг.
[8] Более подробная информация об общей платформе для разработки финансовых сообщений приведена на сайте разработчиков стандарта ISO 20022 (www. iso20022.org).
[9] POS-терминал (от англ. Point Of Sale — точка продажи) — это программно-аппаратный комплекс для торговых и/или кассовых операций, который осуществляет прием платежей от клиентов. POS-терминал обычно имеет интерфейс взаимодействия с пользователем для облегчения поиска нужного товара и получения его характеристик — цены, сроков годности, аннотации и т. д.; формирования фискальных чеков; подсчета сдачи; выполнения различных отчетов.
[10] См.: Национальная карта пришла региональному банку / Газета «Коммерсантъ» № 000/П (4254) от 01.01.2001
[11] П. Уэлч. Мошенничество с пластиковыми картами в Европе / European Card Review, 2008, № 6, p. 22-24.
[12] Более подробно о методах социальной инженерии смотрите на сайте проекта, посвященного информационной безопасности в сфере Интернет мошенничества (www. socialware. ru).
|
Из за большого объема этот материал размещен на нескольких страницах:
1 2 3 4 5 6 |
