Платежные карты: Бизнес-энциклопедия
Шрифт:
• изменение содержимого слипов (altered sales drafts);
• перехват счета магазина (account takeover);
• использование отчетности легально существующего торгового предприятия (laundering);
• мошенничества в банкоматах.
Повторение слипов и (или) изменение содержимого слипов. Недобросовестные сотрудники торгового предприятия делают на импринтере более одного отпечатка карты (multiple imprints), используя их в дальнейшем для генерации новых платежных документов, или изменяют значения размера транзакции уже после того, как клиент подписал слип (altered sales drafts).
Electronic Data Capture Fraud.
Перехват счета. «Перехват» счета магазина (Merchant Account Takeover). Мошенники имеют все необходимые данные магазина (название, имена руководства, идентификатор торгового предприятия и т. п.) и, возможно, торговые слипы. Далее следует письмо (звонок) в банк, извещающее об изменении расчетного счета магазина. В результате возмещения по операциям, выполненным в реальном торговом предприятии, попадают на счета мошенников. По данным Visa средние потери банка от подобного мошенничества составляют примерно 100 тыс. долл.
Использование отчетности легально существующего торгового предприятия (laundering). В этом случае магазин A некоторой платежной системы предоставляет возможность магазину B, не имеющему договора с каким-либо банком на прием карт этой платежной системы, обычно за определенную комиссию, принимать карты данной платежной системы. При этом если B — мошенник, то A по прошествии некоторого времени остается один на один с отказами от платежей, пришедшими по операциям, якобы совершенным магазином B. По данным Visa потери магазина A в среднем составляют около 500 тыс. долл.
Мошенничества в банкоматах. До сих пор речь шла о мошенничестве в торговых предприятиях. В последнее время стало появляться все больше сообщений о случаях мошенничества с использованием банкоматов. Операции через банкоматы характеризуются повышенной безопасностью, поскольку авторизация таких операций осуществляется эмитентом в онлайновом режиме с обязательной проверкой персонального идентификатора (PIN-кода) держателя карты. Факт повышенной безопасности операций через банкоматы подтверждается и статистикой — объем мошенничеств через банкоматы на порядок ниже аналогичного показателя для торговли.
И все-таки последние сообщения платежных систем говорят о том, что мошенники постепенно подбираются и к банкоматам. В 2004 г. потери только банков Великобритании от мошенничества, связанного главным образом со скиммингом в банкоматах, составили 75 млн фунтов стерлингов (около 15 % всего карточного мошенничества в стране). Правда, в 2005 г. и 2006 г. уровень банкоматного мошенничества в Великобритании снижался, достигнув в 2006 г. отметки в 61,9 млн фунтов стерлингов. Но и этот уровень примерно в 1.5 раза выше уровня 2003 г., т. е. говорить о том, что проблема с банкоматным фродом стабилизировалась, преждевременно.
В соответствии с данными EAST (European ATM Security Team) потери европейских банков в 2006 г. от скимминга через банкомат, трэппинга и спровоцированных возвратов
О краже данных пластиковой карты и ПИН-кода через банкомат с помощью накладного ридера и миниатюрной видеокамеры (накладной клавиатуры) с последующим выпуском белого пластика уже говорилось выше. Под трэппингом (trapping) понимается мошенничество, в соответствии с которым на ридер банкомата устанавливается устройство, препятствующее извлечению карты из банкомата после выполнения транзакции. Карту потом извлекает мошенник, которому к тому же к этому моменту известен ПИН-код держателя карты (с помощью видеокамеры или иным более изощренным способом).
Иллюстрацией трэппинга является мошенничество, известное как «ливанская петля». Почти цирковой способ мошенничества, при котором ничего не подозревающий держатель карты засовывал ее в заранее «обработанный» мошенником банкомат. Суть «обработки» банкомата состояла в том, что в прорезь карт-ридера банкомата вставлялся кусок фотопленки, концы которого незаметно укреплялись на внешней стороне банкомата. Фотопленка после совершения операции не давала возможность карте выйти из карт-ридера. Мошенник оказывался неподалеку и предлагал держателю карты свою помощь. Он рекомендовал ему вновь ввести свой PIN-код, а когда из этого ничего не получалось, вводил его сам со слов держателя, утверждая, что уже видел такие случаи раньше и при повторном вводе PIN-кода карта должна выйти из банкомата. Карта, конечно, не возвращалась, а мошенник советовал ее держателю придти на следующий день в банк (махинация проводилась в часы, когда отделение банка уже не работало), и тогда карта ему будет обязательно возвращена. После ухода держателя карты мошенник извлекал пленку вместе с картой из банкомата и опустошал счет держателя карты.
Метод спровоцированного возврата заключается в том, что мошенники извлекают из банкомата не все выданные банкоматом деньги, а только их часть. Оставленные мошенниками средства по тайм-ауту возвращаются банкоматом в диверт-кассету. После этого банкомат инициирует возврат средств. Иногда программное обеспечение банкомата (обслуживающего банка) не способно поддерживать частичный возврат (partial reversal) и в результате на счет клиента возвращается вся заказанная им сумма.
Существуют и другие виды мошенничества с использованием банкоматов. Например, в результате физического взлома банкоматов с целью извлечения из них денежных средств, грабежей инкассаторов и держателей карт, получивших деньги в банкомате, в прошлом году в Европе было потеряно около 28 млн евро. Более подробно о мошенничестве через банкоматы см. далее.
Цель настоящего раздела состоит в том, чтобы показать читателю, что, несмотря на многообразие методов, в случае карт с магнитной полосой не существует эффективного универсального решения для защиты банка (держателя карты) от мошенничества.
Сегодняшние эмитенты карт с магнитной полосой используют комплексный подход для борьбы с фродом, состоящий из следующих элементов защиты:
• утвержденной руководством банка и доведенной до заинтересованных подразделений политики эмиссии карт, описывающей эмитируемые банком карточные продукты, их потребителей, процедуры обработки заявлений клиентов, доставки и выдачи карт, средства и системы защиты банка от мошенничеств, распределение ответственности между подразделениями банка, поведение персонала и руководства банка в случае обнаружения атак и т. п.;