Мошенничество в платежной сфере. Бизнес-энциклопедия - Коллектив авторов - Страница 51

51

4.3.3.2. Поддельные карты

Поддельность объекта можно определить по совокупности следующих признаков:

— объект обладает характерными качествами подлинного;

— не соблюдены правила изготовления объекта (технические или правовые);

— цель изготовления или использования поддельного объекта — использование по назначению.

Для проведения транзакции по поддельной карте в ТСП злоумышленник должен представить к оплате карту, внешне похожую на настоящую, чтобы ее «поддельность» не была заметна для кассира. При этом ПИН-код злоумышленнику может не понадобиться, если он не требуется в качестве способа аутентификации держателя такой карты.

Мошенническая транзакция в банкомате может быть проведена только при условии знания злоумышленником ПИН-кода, при этом внешний вид поддельной карты не должен соответствовать оригиналу (может быть использован так называемый белый пластик), поскольку визуальная проверка подлинности карты не производится.

Из вышеизложенного следует, что при знании ПИН-кода поддельная карта будет использована в банкомате, а если ПИН-код неизвестен — то в ТСП. В обоих случаях для изготовления подделки нужны данные магнитной полосы карты — трека. Следует отметить, что в случае микропроцессорной карты для обеспечения обратной технологической совместимости карта часто содержит также и магнитную полосу. В настоящее время злоумышленники подделывают банковские карты, в основном используя существующие уязвимости карт с магнитной полосой. Также обнаружены и опубликованы уязвимости в технологии EMV, приводящие к компрометации данных карты и ПИН-кода, несанкционированной модификации параметров транзакции.

Таким образом, риск по поддельным картам можно рассматривать как сумму двух рисков: с неизвестным злоумышленнику ПИН-кодом и наличием поддельной карты, и поддельной карты с ПИН-кодом, то есть

Определим

С учетом доступных средств на счете клиента для проведения операций в ТСП риск по поддельной карте без знания злоумышленником ПИН-кода можно определить следующим образом:

Величина SсумТСП. может не равняться доступной сумме для совершения операций по счету карты, поскольку могут быть установлены лимиты на совершение операций в ТСП, которые в данном случае и будут являться ограничением для величины потерь по мошенническим операциям такого типа.

В случае если злоумышленнику известен ПИН-код:

Вероятность Рпод_ПИН (поп | кпр ? исп) в формуле (7) равна 1 (поскольку банкомат не осуществляет визуальную проверку подлинности карты) во всех случаях, кроме того, когда поддельная карта является картой с магнитной полосой без чипа, но содержит сервис-код микропроцессорной карты (первая цифра равна 2 или 6) и банкомат оборудован устройством чтения чипа — в этом случае обслуживания карты банкоматом по магнитной полосе не произойдет. Поэтому формулу (7) можно представить в виде

Величина SсумБКМ может не равняться доступной сумме для совершения операций по счету карты, поскольку могут быть установлены лимиты на совершение транзакций в банкоматах, которые в данном случае и будут являться ограничением для величины потерь по мошенническим операциям такого типа.

Исходя из формул (3), (6) и (9), риск по поддельной карте рассчитывается следующим образом:

4.3.3.3. Транзакции без присутствия карты

На сегодняшний день ведущие МПС поддерживают единственный протокол безопасной электронной коммерции — 3D Secure. Если транзакция без присутствия карты проведена не с использованием защищенного протокола, то ответственность за мошенничество возлагается на банк-эквайрер. Тем не менее до сих пор большая часть транзакций в Интернете проводится без использования безопасных протоколов. Часто для проведения транзакции в интернет-магазине достаточно просто номера карты, и, дополнительно, срока действия, кода верификации карты CVC2/CW2. Серьезной проблемой является кража данных о реквизитах карт с серверов интернет-магазинов, которые, несмотря на запреты и требования безопасности (включая PCI DSS), хранят в своих системах номера карт, сроки действия, CW2/CVC2, иные данные, используемые при осуществлении транзакций.

Из сказанного можно сделать несколько важных выводов:

• возможна компрометация данных банковских карт после проведения легальных транзакций в интернет-магазинах из-за хранения этих данных в автоматизированных системах этих магазинов;

• если интернет-магазин и банк-эквайрер поддерживают безопасный протокол 3D Secure, то ответственность за мошенническую транзакцию, как правило, лежит на эмитенте.

Определим

Из формул (3) и (11) следует, что риск по транзакциям без присутствия карты:

4.3.3.4. Украденные и утерянные карты

До момента вступления в силу положений Закона «О национальной платежной системе» № ФЗ-161 в части ответственности банков по несанкционированным транзакциям ответственность за совершенные по утраченным или украденным картам транзакции, в соответствии с договором между банком-эмитентом и держателем карты, часто лежала на последнем. В связи с новыми требованиями закона риски по таким транзакциям банк должен учитывать и обрабатывать, полностью перенести его на клиента теперь не представляется возможным.

Карта может быть утрачена вместе с ПИН-кодом либо без него. В первом случае, который означает совместное хранение карты и ПИН-кода держателем карты, злоумышленник скорее воспользуется картой для получения наличных денежных средств в банкомате. Если же ПИН-код неизвестен, то вероятно проведение мошеннических транзакций в ТСП. Также встречаются факты использования реквизитов физически утерянных карт в Интернете. Определим

При наличии у злоумышленника утраченной карты не требуется изготовление подделки или использование скомпрометированных данных — и подлинная карта, и ее реквизиты доступны. Таким образом, Рутр (исп | кпр) = 0 и с учетом (10) при условии использования поддельной карты либо в банкомате, либо в ТСП:

4.3.3.5. Использование данных клиента и информации по счету

Риск складывается из:

— риска, связанного с использованием персональных данных держателя карты или информации по его счету для открытия нового счета;

— риска, связанного с захватом уже открытого счета.