Платежные карты: Бизнес-энциклопедия
Шрифт:
Несмотря на то, что ответственность в рассматриваемом случае лежит на обслуживающем банке, эмитенту все-таки рекомендуется отвергать транзакции, в которых в терминах MasterCard элемент данных POS data (DE 061) указывает на то, что терминал может выполнить операцию по чипу, но проводит ее по магнитной полосе и при этом POS Entry mode (DE022) не равен 80X (случай fallback), а равен, например, 90Х (магнитная полоса) или 05Х (чип).
Рассмотрим теперь «Случай 1. Вариант 1. Магнитный терминал». В правой руке у нас та же карта, что и в предыдущем случае. На карте в этом случае для большей убедительности может дополнительно
Если транзакция была авторизована эмитентом, то случится мошенничество, и отвечать за него будет:
• обслуживающий банк, если этот банк и эмитент поддельной карты расположены в зоне принятого в платежной системе сдвига ответственности chip liability shift;
• эмитент — во всех остальных случаях.
Для защиты от мошенничества, когда на поддельной карте нет чипа, на дисплее магнитных терминалов в случае появления карты с service code=2XX должно появиться сообщение о необходимости проверки кассиром торгового предприятия наличия на карте чипа. Если чипа нет, кассир должен отклонить прием карты.
Случай 1, вариант 2. Service code 1xx. На карту только с магнитной полосой копируются данные первой и второй дорожек гибридной кредитной карты с изменением значения кода обслуживания на 1XX. Карта используется в оффлайновом режиме для выполнения подлимитных операций (размер операции меньше значения (terminal floor limit). Использование карты в режиме реального времени имеет мало шансов на успех, поскольку при изменении кода обслуживания нарушается целостность записи второй дорожки магнитной карты, и проверка значения CVV/CVC в процессинговом центре эмитента этот факт обнаружит. В этом случае есть все возможности успешно использовать поддельную карту независимо от того, является ли терминал гибридным или принимает только карты с магнитной полосой.
Если поддельная карта используется в гибридном терминале, то вся ответственность за мошенничество лежит на эмитенте карты. Это на сегодняшний день самая серьезная брешь в концепции миграции на чип.
Действительно, и карта и терминал поддерживают новую технологию, и все-таки подделка карты возможна без каких-либо нарушений правил приема карты со стороны торгового предприятия. Чтобы избежать этого вида мошенничества, платежные системы ввели правило, в соответствии с которым все транзакции по картам с магнитной полосой в терминалах, поддерживающих онлайновый режим работы, должны направляться на авторизацию к эмитенту.
Если поддельная карта используется в терминале, принимающем только карты с магнитной полосой, то за мошенничество отвечает:
• обслуживающий банк, если этот банк и эмитент карты, которая был поддельна расположены в зоне принятого в платежной системе сдвига ответственности;
• эмитент — во всех остальных случаях.
Случай 2. Гибридная карта с «кривым» чипом (инициализация Fallback на поддельную магнитную полосу). Используется заготовка гибридной карты с «кривым» (например, сожженным или неправильно персонализированным) чипом. В этом случае заготовка будет стоить дороже (примерно на 50 центов), но на магнитную полосу можно наносить информацию,
Если поддельная карта используется в гибридном терминале, то вся ответственность за мошенничество лежит на эмитенте карты.
Если терминал принимает только карты с магнитной полосой, то за мошенничество отвечает:
• обслуживающий банк, если этот банк и эмитент карты которая была поддельна, расположены в зоне принятого в платежной системе сдвига ответственности;
• эмитент — во всех остальных случаях.
Единственная контрмера для борьбы с этим видом мошенничества — организация в процессинговом центре эмитента мониторинга количества fallback-транзакций, выполненных по каждой карте эмитента. Если число fallback-операций для некоторой карты оказалось выше порогового значения, то это является сигналом эмитенту провести расследование для того, чтобы убедиться в том, что операции были выполнены законным держателем карты.
Платежные системы также предпринимают меры по ограничению использования режима Fallback в странах, где уровень соответствия терминалов и карт стандарту EMV, достаточно высокий. В частности, в Европе уже сегодня от этого режима отказались при обработке банкоматных транзакций. В ближайшем будущем сегодня обязательное требование по поддержке fallback в POS-терминалах станет опциональным и на страновом уровне будет определяться, считать ли резервную авторизацию по магнитной полосе обязательной, или нет.
Подделка чипа. Клонированная карта — это карта, выпущенная неавторизованным лицом от имени авторизованного эмитента платежной системы. При этом факт того, что карта является клонированной, терминал в случае обработки транзакции в оффлайновом режиме определить не может.
Для клонирования SDA-карты всего лишь требуется иметь микропроцессорную карту с программатором к ней и общее знание стандарта EMV. В качестве карты может рассматриваться, например, широкодоступная карта с микропроцессором PIC16F84.
Далее на «чистую» микропроцессорную карту «переносятся» данные с реальной SDA-карты, включая данные FCI template, AIP, AFL и записи из файлов, определенные в AFL. Среди данных линейных файлов имеется объект signed static application data, представляющий собой подписанные эмитентом критичные данные карты.
Карта стандартным образом поддерживает команды SELECT, GET PROCESSING OPTIONS, READ RECORD. В ответ на команду VERIFY карта всегда отвечает подтверждением правильности введенного PIN-кода.
В ответ на команду GENERATE AC карта отвечает следующим образом:
• если терминал просит ARQC или AAC, карта отвечает криптограммой AAC, в качестве которой берется произвольное шестнадцатеричное 16-ти разрядное число;
• если терминал просит TC, карта отвечает ТС и в качестве криптограммы использует произвольное шестнадцатеричное 16-ти разрядное число.
Таким образом, если терминал считает, что транзакция может быть одобрена в оффлайновом режиме, транзакция клонированной картой будет одобрена. Во всех остальных случаях клонированная карта будет настаивать на отклонении транзакции в оффлайновом режиме. Отсюда следует, что клонированная карта не может быть заблокирована эмитентом через процедуру script processing.