Операции без присутствия карты

Операции без присутствия карты (англ. Card not present transaction, CNP) — тип транзакций по банковским платёжным картам, при которых держатель карты со своей картой физически не присутствует во время и в месте проведения оплаты. Ситуация чаще применяется при заказе и оплате товара через интернет, по почте, факсу, телефону (mail order/telephone order (MO/TO)). Такие транзакции весьма подвержены мошенничеству с платёжными картами.

При операции без присутствия карты основной трудностью продавца, принявшего заказ, является проверка, действительно ли держатель карты разрешил транзакцию. Как правило, проверяется номер карты (PAN), срок действия карты (expired) и верификационный код (например, для карт Visa — CVV2).

Если заявлено о мошеннической операции CNP, то банк-эквайрер, обслуживающий счёт продавца, на который поступили деньги от мошеннической транзакции, должен возместить средства, в то время как по операции с магнитной полосой ответственность за возврат несёт эмитент карты.[1] Из-за большого риска некоторые эмитенты карт взимают повышенную оплату за проведение CNP. Защитой для эквайрера является использование протокола 3-D Secure, который позволяет производить дополнительные проверки держателя карты и переносить ответственность на банк-эмитент.

Мошенничество с заказом по почте

править

Если карта физически не присутствует, когда покупатель производит оплату, то продавец вынужден полагаться на те данные, которые держатель карты (или кто-то, претендующий на такового) представил косвенно, будь то по почте, телефону или через интернет.

Компании-перевозчики могут гарантировать доставку товаров, но они, как правило, не требуют проверки идентификации покупателя и не участвуют в обработке платежей продавцу. Недавние превентивные меры позволяют продавцам осуществлять доставку только на адрес, подтверждённый держателем карты, и банковские системы предлагают торговым предприятиям простые методы проверки этой информации. До ввода этих мер противодействия с 1992 года был распространён данный вид мошенничества. Мошеннику, именуемому кардером, достаточно было перехватить информацию о банковской карте добросовестного держателя, а затем перехватить доставку, чтобы товар не был доставлен к нему домой, например, стоя на крыльце дома в отсутствие владельцев жилья.

Транзакции на небольшие суммы, как правило, менее подвержены проверке и имеют меньше шансов скрупулёзного исследования со стороны эмитента карты или торгово-сервисного предприятия. Потому торговые точки через с CNP-операциями должны принимать дополнительные меры предосторожности от воздействия мошенников и связанных с этим потерь, это выражается в более высокой плате банку-эквайреру за право принимать платежи без присутствия карты. Преступники делают ставку на то, что множество превентивных мер против мошенничества не используют для транзакций на малые суммы.

Ассоциации торговых компаний разработали некоторые профилактические меры, такие как одноразовые номера карт, но они не увенчались успехом. Покупатели желают пользоваться возможностями своей карты без каких-либо неприятностей и ограничений и у них мало стимулов использовать дополнительные меры безопасности из-за законных ограничений прав держателя карты по возврату незаконно списанных средств. Торгово-сервисные предприятия реализуют профилактические меры, но рискуют потерять свой бизнес, если покупатели не будут использовать такие меры.

За период с 2006 по 2010 годы Федеральная торговая комиссия США выявила мошеннических оплат по кредитным и дебетовым картам на суммы свыше 10 млн долларов. Преступники использовали более 100 счетов продавцов для проведения операций оплаты.[1][2]

Каждый счёт был закреплён за идентификационным номером работодателя, принадлежащим продавцу с хорошо известным наименованием.[2][3]

Каждый счёт продавца был привязан к федеральному телефонному номеру в коде 8-800.[2] Каждый счёт был привязан к веб-сайту, созданному для него. Они также имели физические адреса у компаний, сдающих в аренду виртуальный офис, по каждому из счетов продавца. Предоставляющие такие услуги компании не знали и не участвовали в аферах с обманом и перенаправляли любые обращения, поступившие в такой офис, в службы автоматической обработки почты, которые сканируют пришедшие с физических почтовых адресов письма и направляют их в документе PDF на электронную почту, созданную мошенниками.[1][2] Также мошенники на предмет их онлайн-проверки использовали IP-адреса в соседних с диапазонами от реального продавца, чтобы не вызывать лишних подозрений в случае больших расхождений.[2]

За четырёхлетний период таким образом было похищено по 9 долларов с более чем 1 миллиона платёжных карт.[2] Каждой картой оплачивалось лишь единожды. Компании, обслуживающие кредитные карты, расследовали только случаи с операциями от 10 и выше долларов, потому что затраты на расследование слишком существенные. Затем полученные преступным путём средства переводились на банковские счета в Литве, Эстонии, Латвии, Болгарии, Кипре и Киргизии, чтобы их не отследили и не вернули. Мошенники экспериментировали с оплатами в 20 центов и такие оплаты привлекли больше подозрений, чем платежи по 9 долларов.[1] По всему объёму этих операций о мошеннических оплатах или оспаривании платежа владельцем карты было заявлено примерно в 10 % случаев.[2][3]

Предотвращение мошенничества с операциями без карты

править

Поскольку траты в интернете растут, ожидается и больше случаев мошенничества с онлайн-операциями. Для борьбы с интернет-мошенничеством при операциях без наличия карты были приложены усилия по всему миру. В 2001 году Visa создала стандарт аутентификации для платежей без карты под названием 3 Domain Secure, который обычно называют 3D Secure. 3D Secure обеспечивает трехуровневую защиту для дополнительной безопасности потребителей.[4]

Благодаря усилиям сети компаний, среди которых American Express, Discover, JCB, Mastercard, UnionPay и Visa, 3D Secure была усовершенствована до своей последней формы — 3D Secure 2.0. Эти шесть компаний вместе, как группа EMVCo, работают над развитием всемирной системы, позволяющей принимать защищенные платежные транзакции.[4] Использование 3D Secure наиболее распространено в европейских странах, таких как Бельгия, Швейцария и Нидерланды, хотя ожидается, что в ближайшие годы оно будет набирать обороты во всем мире.[4]

Система 3D Secure 2.0 не лишена критики, порицатели этого метода указывают на ряд его недостатков, среди которых замедление транзакций и привнесение сложных юридических проблем.[5] Еще одна проблема заключается в том, что аутентификация 3D Secure отрицательно влияет на коэффициент конверсии транзакций. Дополнительные уровни аутентификации требуют от потребителей больше действий, следовательно, некоторых клиентов могут отпугнуть дополнительные усилия, требуемые для завершения транзакции, и они могут отказаться от операции.[4]

Критики этой системы предлагают подход, очень похожий на технологию чипов, недавно введенную для борьбы с методом обмана под названием кардинг. Для мошенничества с кредитной картой путем кардинга преступники копируют украденные данные клиента на пустые карты, чтобы использовать их для незаконных покупок.[5] Этот подход, направленный на сокращение случаев мошенничества с транзакциями без карты, включал бы такую же технологию чипов, которую используют для борьбы с кардингом путем стандартизации платежей смарт-картами для таких устройств, как компьютеры, планшеты и смартфоны. Этот подход, использующий аппаратные средства, многие рассматривают как более надежный способ сокращения случаев мошенничества с операциями без наличия карты.

Недавно был представлен альтернативный метод — с использованием динамических, или постоянно меняющихся чисел CVV Архивная копия от 29 апреля 2017 на Wayback Machine. Код CVV фактически уподобляется двухфакторной аутентификации, так как предоставляет дополнительное подтверждение того, что человек, делающий покупку, действительно обладает заявленной картой. Это делает данные, украденные во время крупных взломов последних лет, менее ценными, поскольку коды CVV перестали быть статичными: числа CVV, указанные в базе данных, больше не релевантны, ведь они меняются динамически. Это решает проблему, с которой столкнулись многие розничные компании: уменьшение эффективности кодов CVV, вследствие рассекречивания многих из них из-за крупномасштабных утечек данных. Компания по предотвращению мошенничества Forter в своей презентации исследования о случае с онлайн-магазином цифровых товаров Fiverr отметила, что краденные данные, продаваемые на незаконных интернет-площадках, включают CVV по умолчанию. По этой причине, Fiverr обнаружили, что отказ от требования CVV на их сайте не привел к росту случаев мошенничества. Применение динамических кодов может снова сделать числа CVV полезными для предотвращения попыток мошенничества.

Примечания

править
  1. 1 2 3 4 Stross, Randall (August 21, 2010). "$9 Here, 20 Cents There and a Credit-Card Lawsuit". New York Times. Архивировано 3 апреля 2015. Дата обращения: 24 августа 2010. If a credit card is physically swiped in the transaction, the bank that issued the card is on the hook for fraudulent charges. If it is a phone or Internet purchase — called a card-not-present transaction — the bank that hosted the merchant account that received the ill-gotten charges must make restitution, said Ms. Litan, the Gartner analyst.
  2. 1 2 3 4 5 6 7 "FTC Says Scammers Stole Millions, Using Virtual Companies". PCWorld. June 27, 2010. Архивировано 19 августа 2010. Дата обращения: 25 августа 2010. The scammers stayed under the radar by charging very small amounts — typically between $0.25 and $9 per card — and by setting up more than 100 bogus companies to process the transactions. ... According to the FTC, the fraudsters charged 1.35 million credit cards a total of $9.5 million, but only 78,724 of these fake charges were ever noticed.
  3. 1 2 "FTC Cracks Down On Micropayment Credit Card Scam". CRN. June 28, 1010. Архивировано 19 декабря 2010. Дата обращения: 25 августа 2010. Altogether, the thieves charged a total of $9.5 million from a total of 1.35 million compromised cards over a period of four years starting in 2006. However, only about 10 percent of the fraudulent charges were ever reported or contested, according to the FTC.
  4. 1 2 3 4 Global Card-Not-Present Authentication Standards in 2017 (PDF). GPayments. Дата обращения: 3 мая 2017. Архивировано 26 апреля 2017 года.
  5. 1 2 How to solve the Card Not Present fraud conundrum - Security - iTnews. Дата обращения: 3 мая 2017. Архивировано 26 апреля 2017 года.