Безопасность использования банковских карт

Знать каждому: ситуации мошенничества, способы обезопасить себя, законодательство – кто крайний?

Специалисты нашей компании работают с банковскими картами с 2005 г. Речь идет о приеме платежей в розничных торговых точках. Много позже, после деталного изучения вопроса , мы стали принимать платежи с банковских карт через интернет.

Накоплен какой-то опыт, информация и множество вопросов от наших покупателей. Попробуем кратко поделиться с Вами.

 

История вопроса.

Современные платежные системы стали появляться в 50-х годах прошлого века. В разное время практиковались разные способы мошенничества. Придумают жулики способ, поворуют денег – правоохранительные органы совместно с финансистами придумают, как бороться с этим способом. Мошенники придумают что-то новое. И так далее...

 

Наиболее распространенными схемами мошенничества с банковскими картами по данным APACS (Association for Payment Clearing Services - Ассоциация систем клиринговых платежей - Великобритания), в 2008-2009 гг. являются следующие:

 

Оглашение сведений о ПИН-коде самим держателем карты. Имеется ввиду, к примеру, запись ПИН-кода на карте или каком-либо носителе (лист бумаги, записная книжка, мобильный телефон), хранимом вместе с картой. Соответственно, если карта утеряна или украдена (вместе с сумкой, бумажником), у мошенника оказывается и карта и персональный код.

 

Дружественное мошенничество. Использование в своих целях карты с предварительной осведомленностью о ПИН-коде членами семьи, близкими друзьями, коллегами по работе. То есть людьми, имеющими доступ к месту хранения карты.

 

Подглядывание из-за плеча. Мошенник вполне может узнать ПИН-код держателя банковской карты, подглядывая из-за его плеча, пока тот вводит код в банкомате. Затем злоумышленник осуществляет кражу карты и использует ее в своих целях.

 

"Ливанская петля". Как вариант подглядывания из-за плеча. Пока владелец карточки погружает ее в банкомат, она застревает. В это время подходит "советчик", который рекомендует срочно идти и звонить в сервисную службу, к примеру. Владелец карты уходит, а тем временем "советчик", видевший как он набирал ПИН-код, вытаскивает карту и снимает деньги.

 

Фальшивые банкоматы. Мошенники разрабатывают и производят фальшивые банкоматы, либо переделывают старые, которые выглядят как настоящие. Размещаются банкоматы в наиболее оживленных местах. После введения карты и ПИН-кода обычно на дисплее фальшивого банкомата появляется надпись, что денег в банкомате нет или, что банкомат не исправен. К тому времени мошенники уже скопировали с магнитной полосы карты информацию о счете данного лица и его персональный идентификационный номер.

 

Копирование магнитной полосы (skimming). Данный вид мошенничества предусматривает использование особых видов устройств, считывающих информацию с магнитных полос карт. Обычно это специально изготовленные клавиатуры, которыми накрывают существующие. Законный держатель банковской карты проводит операцию с вводом персонального идентификационного номера (ПИН), в это время, дополнительно установленное устройство считывает и записывает информацию на магнитной полосе. Т.е. у злоумышленников появляется данные необходимые для дальнейшего изготовления поддельной карты и ее использования в своих целях.

 

Ложный ПИН-ПАД. Держателю карты может быть предложено ввести ПИН-код не в настоящий ПИН-ПАД (устройство для ввода ПИН-кода), а в его имитацию, которая запомнит введенный код. Такие ложные устройства иногда устанавливают рядом со считывающими датчиками, предназначенными для прохода в помещение с банкоматом с использованием в качестве идентификатора (электронного ключа) банковской карты.

 

Ограбление держателей банковских карт. Самый незамысловатый способ. Клиент снял наличность - жулик ограбил.

 

Фишинг (от англ. Phishing). В вольном переводе "закидывание удочки". Термин появился для обозначения новых схем, в результате которых путем обмана становятся доступны реквизиты банковской карты и ПИН-код. Чаще всего используется в виде рассылки через Интернет писем от имени банка или платежной системы с просьбой подтвердить указанную конфиденциальную информацию на сайте организации. Подробней о методе было написано в одной из предыдущих статей.

 

Вишинг (англ. vishing) - новый вид мошенничества - голосовой фишинг, использующий технологию, позволяющую автоматически собирать информацию с доверчивых держателей карт, такую как номера карт и счетов.

Мошенники моделируют звонок автоинформатора, получив который держатель получает следующую информацию:

• автоответчик предупреждает потребителя, что с его картой производятся мошеннические действия, и дает инструкции - перезвонить по определенному номеру немедленно. Злоумышленник, принимающий звонки по указанному автоответчиком номеру, часто представляется вымышленным именем от лица финансовой организации;
• когда по этому номеру перезванивают, на другом конце провода отвечает типично компьютерный голос, сообщающий, что человек должен пройти сверку данных и ввести 16-значный номер карты с клавиатуры телефона;
• как только номер введен, вишер становится обладателем всей необходимой информации (номер телефона, полное имя, адрес), чтобы, к примеру, обложить карту штрафом;
• затем, используя этот звонок, можно собрать и дополнительную информацию, такую, как PIN-код, срок действия карты, дата рождения, номер банковского счета и т.п.

 

Неэлектронный фишинг. Данный вид связан с осуществлением покупок в торговых организациях посредством обязательного ввода ПИН-кода. В схемах неэлектронного фишинга создаются реальные торгово-сервисные предприятия/офисы банков, либо используются уже существующие. Держатели платежных карт совершают покупки товаров, получают услуги либо снимают денежные средства в кассе банка. Операции производятся с использованием банковских микропроцессорных карт и сопровождаются введением клиентом своего ПИН-кода. Сотрудники мошеннических предприятий негласно копируют информацию с магнитной полосы карты и производят запись персонального идентификационного номера. Далее мошенники изготавливают поддельную банковскую карту, и в банкоматах производится снятие денежных средств со счета клиента.

 

Мошенничество при покупках через интернет.

В целом этот вид мошенничества представляет собой реальную опасность для интернет-коммерции. Что же может угрожать владельцу кредитной карты, который расплачивается ей в интернете? Например, данные кредитной карты могут украсть. Действительно, за последние годы было отмечено немало случаев крупных хищений баз данных с реквизитами кредитных карт. Одним из “первенцев” был российский хакер Максим Иваньков, похитивший базу кредитных карт в количестве около 300 тыс. штук в американском CD Universe. Он попытался получить от компании выкуп за эти данные в размере 100 тыс. долларов, но после отказа магазина выложил около 25 тыс. номеров кредитных карт на сайт американской компании Lightrealm Inc. Еще пример: в феврале 2003 г. неизвестный хакер взломал систему защиты компании Data Processors International и похитил реквизиты примерно 8 млн пластиковых карт, принадлежащих практически всем международным платежным системам.

Однако сам факт хищения еще не наносит финансовых убытков” ни владельцу кредитной карты, ни магазину, откуда эту карту украли, так как мошенник должен еще каким-то образом воспользоваться средствами, имеющимися на карт-счете. Тут могут существовать разные пути, основные из которых - перевод денег с карт-счета куда-то, откуда их можно забрать, либо оплата кредитной картой каких-либо товаров и услуг в интернете.

В рамках международных платежных систем (Visa, MasterCard, American Express, Diners Club) существует понятие “банк-эмитент”, т.е. банк, который выпускает и выдает пользователю кредитную карту, и “банк-эквайр”, который обеспечивает прием кредитных карт к оплате. Один и тот же банк может выступать и как эмитент, и как эквайр. Есть понятие платежной системы – финансовой организации. Когда владелец карты осуществляет покупку в магазине, информация с кредитной карты, минуя магазин, через платежную систему, в форме запроса передается в обслуживающий его банк-эквайр и оттуда в банк-эмитент. Банк-эмитент проверяет правильность информации о карте и ее владельце, а также доступность средств на карт-счете и по результатам проверки либо разрешает, либо не разрешает покупку. Положительный ответ банка-эмитента является гарантией, что банк-эквайр получит деньги и переведет их на счет магазина. По правилам международных платежных систем в обычной офф-лайновой торговле ответственность за мошеннические операции с пластиковыми картами несет банк-эмитент, т.е. в случае мошенничества он возвращает пользователю списанные средства за свой счет. В интернет-коммерции ответственность за мошеннические операции ложится уже на банк-эквайр, который чаще всего перекладывает ее на магазин, и возврат средств владельцу карты осуществляется за счет интернет-магазина, который получил деньги.

Встречающееся местами запугивание владельцев кредитных карт, что, заплатив картой в интернете, они рискуют потерять со своего карт-счета деньги , не имеет под собой серьезных оснований. Даже став жертвой мошенничества, владелец имеет право оспорить транзакции, которые не совершал, и банк обязан будет компенсировать ему потери.

Наиболее незащищенным звеном в схеме покупки в интернете является онлайновая торговая точка, так как в конечном итоге именно за ее счет осуществляется возмещение убытков владельцу кредитной карты. Но поскольку в мире работает огромное количество интернет-магазинов, принимающих к оплате кредитные карты, и многие из них успешно процветают, то, значит, существуют системы защиты, которые могут достаточно эффективно противостоять мошенничеству.

Антифродовая защита онлайновой торговой точки может выстраиваться как непосредственно на стороне магазина, так и на стороне обслуживающего его платежного шлюза или биллинговой компании. Как правило, такая защита представляет собой определенный набор фильтров и правил, если транзакция удовлетворяет этим правилам, то она пропускается, в противном случае отклоняется.

С 1 апреля этого года начала действовать разработанная платежной системой Visa технология 3D Secure. Суть ее заключается в том, что банк-эмитент, поддерживающий данную технологию, может привязать к карте специальную парольную фразу, которую он сообщает держателю карты. При осуществлении покупки в онлайновом магазине, также использующем 3D Secure, покупатель на сайте в специальном окошке вводит свой пароль, который проверяется банком-эмитентом. Система построена так, что этот пароль в фифрованном виде передается напрямую эмитенту и недоступен ни магазину, ни банку-эквайру. Таким образом, предполагается, что злоумышленник даже в случае хищения реквизитов кредитной карты в результате взлома интернет-магазина или платежного шлюза все равно не сможет получить данный пароль, поскольку он известен только держателю карты и банку, выдавшему карту.

Наблюдается достаточно острое противостояние банков и платежных систем, с одной стороны, и мошеннических группировок - c другой, существует множество мошеннических схем, многие из которых нами даже не были упомянуты, но при этом существуют также и адекватные механизмы защиты от мошенничества, позволяющие удерживать процесс в строгих пределах.

К сожалению, мошенничество как явление - неистребимо, поскольку в основе его лежит человеческая психология, и оно будет развиваться и эволюционировать вместе с технологическим развитием человечества, но потери от мошенничества можно свести к минимуму.

 

Кто крайний?

По законогдательству России и некоторых других государств, в случае мошенничества крайним может оказывается добросовестный продавец, который принял деньги. Деньги будут возвращены законному владельцу карты.

 

Или крайним оказывается банк, выдавший пластиковую карту. Правда, у банка есть штат юристов, который захочет отстаивать прежде всего интересы банка.

 

Ситуация, когда жуликом оказался продавец товаров и услуг, возможна в том случае, если пользователь карты – крайне неосторожный человек.  Например, для платежа через интернет никогда не требуется вводить свой ПИН-код. А незадачливый покупатель получил от мошенников какое-то письмо по электронной почте или SMS, где его попросили указать Пин-код. И он его указал. Чтобы такими играми  занимался нормальный продавец - исключено полностью. Для того, чтобы получить разрешение на прием платежей через банковскую карту, неважно, в он- или офф-лайне, продавец проходит жесточайший банковский контроль. Многократно. А если возникает какое-то подозрение – платеж просто не проходит. Трудно сказать, как дело обстоит в Европе, но в России и США – очень строго, доходит идиотизма .

 

В реальности, от всякого рода мошенничества страдают все: и банки, и добропорядочные продавцы с покупателями, поэтому будем ограждать себя от мошенничества, а жуликов - от соблазна кражи чужих денег.

 

Посудите сами:

Мошенник завладел не только банковской картой, номером ПИН-кода, но и дополнительной картой с временными секретными кодами. Также он украл паспорт держателя карты. В паспорте указано место регистрации (жительства), во время оплаты дистанционным способом его необходимо указать при оформлении платежа. Мошенник и жертва примерно одного возраста и пола, поэтому мошеннику каким-то образом удалось переклеить фотографию. При этом законный владелец всего этого добра пока еще не обратился не только в милицию, но даже не удосужился позвонить в банк, чтобы немедленно заблокировать карту.

 

Маловероятно, но теоретически возможно. Далее:

 

 

 

 

Из приведенной схемы может создаться впечателение, что наиболее интересный для жулика способ воспользоваться чужими деньгами – это купить и оплатить товар через интернет. Мы тоже так думали, но это ошибочное мнение, сейчас поймете почему.

 

Жулик призвел оплату через интернет.

 

Платеж прошел по банку и зафиксирован (это не на рынке – рассчитались и разбежались). Когда он получит товар?

 

№1. Если плптельщик находится в в Москве, мы, по нашим правилам, не примем от него перевод.. Мы предложим покупателю произвести оплату через любой из наших магазинов или произвести оплату наличными. Другие магазины, например, OZON.RU, платеж примет, если сумма маленькая, то выдаст заказ через 2-3 дня с момента оплаты. Если сумма большая – может провести дополнительную проверку.

 

№2. Мошенник находится в другом городе. Время доставки, например, до Санкт-Петербурга, два-три дня. За получением заказа надо прийти в пункт выдачи, тот же OZON.RU,  или указать адрес, место и время. В обоих случаях, надо появиться лично и показать документ, удостоверяющий личность. Даже неосторожный преступник задумается: ждет его заказ или люди в погонах? Может быть, правоохранительные органы договорились с банком какое-то время не блокировать карту, но выслеживать преступника?

 

Риск очень велик.... Да и вместо денег получишь какую-то штуковину, которую потом предстоит обменивать на водку и остальные прелести жизни.

 

А для покупателя, продавца и для банка - риски минимальные.

 

Поэтому не удивляйтесь, что при оплате пластиковыми картами  с Вас ни продавец, ни банк, не взимают комиссию. Рискуя не меньше, а больше, чем Вы, торговые и финансовые организации стимулируют Вас на безопасные платежи.

 

Чего нельзя делать – три простых правила:

1. Вводить, писать, сообщать, показывать свой пин-код.
2. Давать карту в чужие руки. Например, в малознакомом ресторанчике.
3. Пользоваться незнакомым банкоматом.

 

А если снимаем наличность, то в кассе банка или в банкомате, расположенном на территории банка.

 

Что нужно делать – три простых правила:

1. Хранить ПИН-код своей карты в недоступном месте или в виде, непонятном для жулика ( некий почтовый или электронный адрес, номер телефона и проч).
2. Подключите сервис, предлставляемый банками бесплатно или за символическую плату – SMS оповещение о проведенной операции с Вашей карты.
3. А вообще – изначальное предназначение карты – уход от наличных денег. Именно они таят основные опасности. Используем безопасные безналичные расчеты. А для всякой мелочи, особенно в куротных городках – немного наличных  в кармане.