А. Алексанов - Безопасность карточного бизнеса : бизнес-энциклопедия

Качественно высокого уровня безопасности в e-commerce операциях позволяет добиться использование протокола 3D Secure, известного также как MasterCard SecureCode и Verified by VISA. Данная технология обеспечивает взаимную аунтентификацию всех участников электронной сделки: держателя карты, ТСП и банка-эквайрера. Однако существенные финансовые затраты на сертификацию для банков-эквайреров являются сегодня сдерживающим фактором для массового продвижения этой технологии.

Еще одной разновидностью CNP-фрода являются подписки на периодическое предоставление услуг с регулярной их оплатой (recurring transactions): доступ к сайтам для взрослых, рассылка новостной и рекламной информации и т. п. С держателя карты без предварительного уведомления ежемесячно начинают списывать по нескольку долларов за подобные услуги. Эмитентом такие операции успешно опротестовываются.

Актуальны случаи, когда недобросовестные сотрудники турагентств бронируют номера в гостиницах за границей по случайно попавшим в их поле зрения реквизитам карт с целью получения въездных виз клиентам с индивидуальными турами. После получения визы эти лица не утруждают себя отменить бронь номера, и с законного держателя карты гостиница удерживает стоимость проживания за сутки, так называемое «no show fee».

Помимо финансовых затрат со стороны банка на фрод-мониторинг, страхование рисков, оплату высококвалифицированных специалистов по претензионной работе мошенничество влечет невосполнимые репутационные риски. Даже сам факт возможности мошенничества является сильным сдерживающим фактором популяризации оплаты товаров и услуг в сети Интернет по банковским платежным картам.

По данным НАФИ, лишь 18 % россиян совершают покупки в сети Интернет, 36 % из них используют для оплаты товаров и услуг банковские платежные карты. Webmoney и Яндекс-деньги популярны у 54 и 49 % опрошенных.

Мероприятия по противодействию мошенничеству:

• обучение держателей карт мерам безопасного обслуживания карт, в частности не передавать реквизиты карты третьим лицам. Рекомендации клиентам использовать для оплаты товаров и услуг в Интернете только специализированные карточные продукты типа «виртуальная карта» (Virtual card);

• контроль за транзакционной активностью ТСП, периодическая проверка соответствия деятельности ТСП заявленной им при заключении договора с банком-эквайрером;

• выполнение со стороны банка-эмитента и банка-эквайрера требований PCI DSS по сокрытию информации о платежных реквизитах карт в электронных базах данных;

• использование фрод-мониторинга авторизационного трафика;

• переход участников электронной коммерции на использование протокола 3D Secure.

Цель ID Theft — получение мошенником дебетовой банковской карты или карты с кредитным лимитом на чужое или подставное лицо. На такой карте отсутствует подпись владельца, что упрощает ее незаконное использование. Финансовые обязательства возникают у третьего лица — законного владельца карты, но фактически убытки несет банк-эмитент, который или не может юридически обоснованно предъявить клиенту счет, или не способен осуществить возврат средств от неплатежеспособного клиента.

Дебетовые карты активно используются мошенниками для «отмывания» — обналичивания денежных средств, полученных противозаконным путем.

Для получения таких карт используются украденные/утерянные/поддельные документы, удостоверяющие личность, а также подставные заведомо неплатежеспособные лица — финансово неграмотные пенсионеры или студенты, алкозависимые личности и прочие граждане, желательно имеющие легальную регистрацию места жительства.

Мошенники подготавливают правильным образом анкету подставного лица, указывают «заряженные» телефоны ложных работодателей, завышают реальный доход, оформляют регистрацию на липовые адреса. Зачастую подставное лицо появляется в банке для подачи документов на оформление карты в компании сопровождающего, представляющегося его родственником или доверенным лицом. Анкета подставного лица с заявлением на выпуск карты (равно как и само лицо с сопровождающим «родственником») может кочевать из банка в банк, выискивая брешь в скоринг-системах.

Отдельная разновидность этого мошенничества — перехват счета (Account takeover) — более распространена в европейских странах и США. В этом случае мошенник получает данные о реквизитах карты/счета (например, из оказавшихся в его распоряжении банковских выписок держателя карты), далее следует звонок в банк об изменении домашнего адреса и запрос новой карты с ее доставкой по новому адресу.

Мероприятия по противодействию мошенничеству:

• детальная проверка анкет потенциальных клиентов для обнаружения несоответствий. Проверка клиентских данных в базах данных бюро кредитных историй, правоохранительных органах, иных источников информации;

• профессиональное взаимодействие между службами безопасности банков по выявлению «гастролеров» — мошенников, обращающихся поочередно в разные банки;

• разъяснительная работа с лицами, замеченными в регулярном обналичивании больших сумм денежных средств;

• использование фрод-мониторинга для выявления фактов обналичивания денежных средств. Критерием для мониторинга являются транзакции на суммы более 300 тысяч рублей;

• установка заградительных тарифов за снятие наличных денежных средств, превышающих установленный лимит;

• всесторонняя идентификация клиента при принятии заявления о каких-либо изменениях анкетных данных.

Целью мошенничества является регистрация предприятия в банке на услугу «Торговый эквайринг» с открытием расчетного счета или перечислением на счет в другом банке, совершение ряда операций по утерянным, украденным или/и поддельным картам, получение по операциям возмещения от банка-эквайрера и последующее исчезновение до момента обнаружения мошенничества.

В ТСП могут проводиться операции как с использованием POS-терминала, так и импринтера. Последний расширяет возможности мошенников для использования эмбоссированного «белого пластика» без кодированной магнитной полосы. По совершенным операциям банк-эквайрер получает опротестования, которые становятся его убытками. Повышенный риск представляют такие «одноразовые» торговые предприятия в среде Интернет-торговли, где мошенникам нет необходимости использовать реальный пластик. Убытки от их деятельности могут иметь на порядки больший размер.