вопросы
безопасности операций с
платежными
картами
Мельников Ю.Н. Д.И. Голзицкий
(г. Москва,
Московский Энергетический Институт, Россия)
В настоящее время использование
пластиковых карт как инструмента оплаты товаров и услуг перестало быть чем-то загадочным
для россиян. Все больше людей понимают преимущества использования карточек,
среди которых можно выделить удобство контроля собственных средств, отсутствие
необходимости декларирования сумм, находящихся на карточных счетах, при выезде
за границу, различные бонусные программы. Кроме того, росту числа платежных
карт, эмитированных российскими банками, способствует расширение спектра
банковских услуг и развитие рынка потребительского кредитования.
Но, к сожалению, при переходе от наличных
к использованию пластиковых карт клиенты очень незначительное время уделяют
ознакомлению с правилами их применения, и не многие имеют представление о
вероятных способах мошенничества.
Прежде всего, следует отметить, что карта
является средством доступа к вашему карточному счету, на котором
непосредственно хранятся ваши сбережения. Информация о счетах, хранящаяся на
банковских серверах, является лакомым куском для преступников. Но взлом
банковских систем является задачей, решение которой под силу очень
квалифицированным специалистам, обладающих серьезными знаниями в области
компьютерных и сетевых технологий. Данный вид преступлений, как правило,
сопровождается не только серьезными финансовыми потерями для банка, но и
значительным оттоком клиентов из-за потери к нему доверия.
Наличие необходимых знаний, информации о
составе, структуре защиты банковских систем, а также значительные материальные
затраты, требуемые для взлома, являются серьезным препятствием для людей,
желающих обогатиться за чужой счет. Гораздо легче получить доступ к банковскому
счету посредством мошеннических операций с пластиком. Здесь на руку
преступникам играет неосведомленность, а в большинстве случаев беспечность
клиентов.
Большинство операций, которые вы хотите
совершить при помощи вашей карты, требует авторизации, то есть разрешения,
предоставляемого вашим банком (эмитентом). При этом проверка производится
автоматически по ряду параметров, включая статус карты, срок ее действия,
наличие денежных средств и так далее. Если оплата производится, к примеру, в
магазине, то запрос формируется на POS-терминале (POS – Point of service), когда кассир прокатывает вашу карту
через считывающее устройство. Ответ на запрос содержит код авторизации, либо
причину отказа. Если операция подтверждена, кассир проводит аутентификацию
клиента, а также проверяет, не является ли карта поддельной. Аутентификация
производится посредством сравнения паспортных данных с информацией на карте и
чеке. Вместо предъявления паспорта может потребоваться ввод PIN (Personal Identification Number). Если мошенник завладел вашей картой, то
знание PIN сильно облегчает
ему жизнь и гарантирует быстрое обнуление вашего счета. Скорее всего мошенник
пойдет не в магазин за покупками и не поужинать в ресторан, а к ближайшему
банкомату, чтобы снять наличные. Узнать PIN можно с помощью психологического или
физического воздействия на владельца карты, но такие случаи редки. К сожалению,
некоторые клиенты записывают PIN прямо на карте, либо кладут PIN-конверт рядом с ней в кошелек, а при
потере очень удивляются, почему на счете ничего не осталось.
Банки заостряют внимание на том, что PIN необходимо запомнить, а PIN-конверт уничтожить или, по крайней мере,
хранить в укромном месте, и ни в коем случае не носить вместе с картой. При
наборе кода необходимо проверить, не наблюдает ли кто-нибудь за нажатием клавиш
через ваше плечо. Многие следуют этим рекомендациям, но это не исключает
возможность потери денег. Одним из слабых звеньев в системе оплаты может
являться кассир. Невнимательность кассиров при проверке того, что карта не
поддельная, а также того, что покупатель является тем, за кого себя выдает,
приводит к увеличению числа мошеннических операций.
Следует отметить, что злоумышленник,
пользуясь подделкой или украденной картой в магазине, идет на определенный риск
быть пойманным. Поэтому существует целый ряд других способов пластикового фрода
(fraud –
мошенничество), исключающих контакт с кассиром. Например, представьте ситуацию,
когда вы пытаетесь воспользоваться банкоматом, но после ввода PIN, почему-то карта остается внутри. Скорее
всего, это просто технический сбой, но если этот банкомат специально установлен
преступниками, чтобы завладеть вашей картой, то введенный вами PIN, находящийся в памяти считывающего
устройства, легко позволяет снять деньги с вашего счета. Не обязательно
устанавливать банкомат, можно у действующего банкомата разместить миниатюрную
видеокамеру, либо вставить в картридер считывающее устройство или пакет,
захватывающий вашу карту.
В
последнее время банки предлагают новые удобные средства для контроля состояния
вашего счета. Например, вы можете узнавать об успешных авторизациях посредством
SMS-сообщений,
поступающих на ваш мобильный телефон. Получив уведомление об операции, которую
вы не совершали, можно мгновенно заблокировать карту, отправив ответное SMS-сообщение.
Блокировка карты – процедура, позволяющая
избежать убытков. При потере или краже карты следует немедленно обратиться в
банк, чтобы приостановить операции по карте. Чем быстрее вы это сделаете, тем
больше вероятность сохранить деньги.
К сожалению, новые технологии платежей
приводят к появлению новых угроз для безопасности ваших средств. Быстрое
развитие сетевых сервисов, предоставляющих возможность оплаты товаров и услуг
через интернет, создало огромное поле деятельности для мошенников. Для
проведения операции зачастую достаточно лишь информации, которую можно
посмотреть непосредственно на карте. Это ее номер, срок действия, специальные
проверочные коды. Интернет-магазины ограничены в способах проверки клиентов,
заказывающих тот или иной товар. Аналогично, при заказе товаров по почте или с
помощью телефона присутствие клиента и его карты не требуется, а проверка
клиента также затруднительна. Чтобы избежать проблем, необходимо хранить в
секрете параметры вашей карты и соблюдать
элементарные меры безопасности.
Очень широкое распространение в последнее
время получает фишинг (fishing – рыбалка). Это мошенничество, направленное на получение
параметров реально существующих карт. Один из самых распространенных видов
фишинга – размещение в сети интернет фальсифицированных сайтов, дизайн которых
копирует внешний облик официального сайта банка. Под различными предлогами вам
предлагают указать номер карты, срок
действия, PIN-код и
отправить по указанной ссылке. Доверчивые клиенты, увидев надпись типа
«отправьте параметры вашей карты или счет будет блокирован», не задумываясь,
отправляют эту информацию прямо в руки мошенников. Еще один вид фишинга –
рассылка электронных писем аналогичного содержания клиентам банка.
Не стоит забывать и о поддельных картах.
Изготовление подделок продолжает оставаться одним из самых популярных способов
пластикового фрода. Первые фальшивые карты появлялись на заре пластикового
бизнеса. До сих пор встречаются карты, изготовленные по методу Shave and paste (сбрить и наклеить), когда
эмбоссированный номер срезается с одной карты и наклеивается на другую. Можно
встретить и «белый пластик» – заготовки без логотипов, магнитной полосы, но с
эмбоссированным номером реальных карт. Эти методы уже уходят в прошлое, подделки
совершенствуются параллельно с новыми способами защиты. Сейчас не составляет
труда копировать магнитную полосу, голограмму и другие защитные элементы.
Платежные системы уделяют значительное
внимание вопросу безопасности карт. Постоянно разрабатываются новые технологии
и методы защиты. В последние годы наблюдается интенсивный переход к
использованию микропроцессорных (чиповых) карт, чему способствовала разработка
спецификации EMV (EuroPay–MasterCard–Visa). С их помощью реализуются электронные
кошельки, электронные наличные и другие способы проведения платежей. Чиповые
карты значительно снижают возможность мошеннического использования и используют
механизмы авторизации, отличные от карт с магнитной полосой.
ЛИТЕРАТУРА
1.
А.А.Андреев,
М.Ю.Белов и др. Пластиковые карты. 4-е издание, переработанное и дополненное –
М.: Издательская группа «БДЦ-пресс», 2002. – 576 с.
2.
Информационно-аналитический
журнал ПЛАС, №6 ' 2004