12 августа, 2014, BIS Journal №3(14)/2014

Малоизвестное об известном


Безручко Оксана

начальник отдела информационной безопасности службы экономической безопасности (КБ «Независимый Строительный Банк» (ЗАО))

Некоторые особенности индустрии банковских карт, способные иметь решающее значение для безопасности пользования

Банковские карты давно стали привычным средством платежа. В той или иной степени в картах разбираемся мы все – и сотрудники банков, и клиенты. Но, как это часто бывает с чем-то привычным, знания наши иногда оказываются неполными или не совсем точными.

 

НОМЕР КАРТЫ

К примеру, всем известно, что при краже или утере карты нужно как можно скорее позвонить в банк и карту заблокировать. А что делать, если вы за границей и остались не только без карты, но и без телефона и наличных? Вот на такой экстренный случай необходимо знать, что почти в каждой стране существуют контактные центры основных международных платёжных систем, куда можно позвонить и заблокировать карту.

Нужно иметь ввиду, что при звонке потребуется как минимум номер карты. Блокировка карты через этот центр не бесплатна, конечно, но зачастую может быть оправданной, если сравнивать с остатком по счёту. Кроме того, в некоторых случаях через эти сервисные центры можно получить и наличные, а также оплатить гостиницу или билеты.

Или, например, оплата картами в интернете – казалось бы, что сложного? Ввели номер карты, срок действия, имя с фамилией и CVV2/CVC2 код, банк-эквайер эти данные проверил и по результатам проверки одобрил или отклонил операцию. На самом деле, с проверкой не всё так однозначно. По правилам платёжных систем, срок действия карты должен проверяться только на сравнение с текущей датой, то есть просто устанавливается, что срок действия карты не истёк. Фамилию и имя, если карта выпущена не американским (канадским, британским и ещё нескольких стран) банком, возможности проверить также, в большинстве случаев, нет. Остаётся CVV2/CVC2 код, но и он не является обязательным параметром, некоторые сайты его не запрашивают.

Сотрудникам банка-эмитента всё это необходимо учитывать и, для предотвращения мошеннических операций в интернете, иметь ввиду, что одного знания номера карты уже может быть достаточно для проведения не-санкционированной операции. Это – одна из причин, по которой не осуществляют сквозную нумерацию карт, а также не рекомендуют хранить номера карт в открытом виде.

3-D SECURE

Для эквайеров платёжными системами рекомендуется использовать расширенную проверку срока дей-ствия карты, то есть  проверять полное совпадение. Также, дополнительно к статичным CVV2/CVC2, рекомендуют использовать технологию 3-D Secure. На этой технологии имеет смысл остановиться чуть подробнее, т.к. она действительно существенно снижает вероятность мошенничества. 3-D Secure – общее наименование, у Visa эта услуга называется  Verified by Visa (VbV), у MasterCard MasterCard SecureCode (MCC). Смысл 3-D Secure заключается в проведении дополнительной проверки в режиме онлайн, когда при проведении операции на сайте предлагается ввести код подтверждения.

Иногда код этот используется многократно и тогда он в чём-то сродни PIN-коду для операций с картой. В большинстве же случаев используются одноразовые коды, которые могут присылаться в смс, выдаваться на скретч-карте или генерироваться какими-либо устройствами. Одноразовые коды, как несложно догадаться, способ более надёжный, чем постоянный код для всех операций.

Но внедрение любой новой технологии – это почти всегда затраты на оборудование и программное обеспечение. В случае с внедрением 3-D Secure, это ещё и вопросы времени на сертификацию в платёжных системах (тоже, надо сказать, не бесплатную). Основной причиной, по которой банками-эквайрами несмотря на затраты внедряется данная технология – перенос ответственности. В большинстве случаев, при проведении обычной операции в интернете ответственность за операцию несёт банк-эквайер. Если же при проведении платежа использовалась проверка с помощью 3-D Secure – происходит перенос ответственности на банк-эмитент, то есть в случае мошеннической операции банк-эквайер финансовых потерь не несёт.

Вообще, операции CNP (Card not present, без физического предъявления карты), в т.ч. операции в интернете, весьма подвержены мошенничеству. И если не предпринимать дополнительных защитных мер, полагаю, что вектор угроз сместится именно в эту сторону. Тому причиной не только постепенное расширение круга лиц, использующих преимущества интернет-платежей или электронной коммерции, но  и, как ни парадоксально, шаги, предпринимаемые Банком России.

EMV: ПЕРЕНОС ОТВЕТСТВЕННОСТИ

Дело в том, что с 1 января 2015 года (хотя уже была информация, что срок будет сдвинут) Банк России планировал запретить эмиссию карт, не снабженных чипом. Это реально должно помочь в борьбе со скиммингом, но тем больший интерес в определённых кругах будет к возможностям использовать реквизиты карт для несанкционированных операций в интернете.

И, как и в случае с интернет-платежами, точно так же не всё однозначно, а может даже ещё сложнее и при проведении операций с физическим предъявлением карты. Предположим, что светлое будущее уже наступило и все наши сограждане являются счастливыми обладателями чиповых карт (не будем принимать во внимание нынешние перипетии в работе международных платёжных систем в России, в моём светлом будущем они продолжают нормально работать).

Итак, предположим чиповая карта предъявляется в магазине. Но оборудование в магазине – способно ли оно работать с чипом? Если нет, то операцию попытаются провести по магнитной полосе. Но даже если оборудование позволяет работать с чипом, кассир может оказаться некомпетентен и попытается использовать магнитную полосу. С точки зрения покупателя, вообще несущественно, почему операция была не по чипу. А вот со стороны банка-эмитента разница принципиальная.

Международные платёжные системы для борьбы с мошенничеством активно продвигают использование чиповых технологий (стандарт EMV), для чего активно задействуют принцип переноса ответственности. В случае опротестования операции, проведённой при помощи не поддерживающего чипы терминала, ответственность за операцию ложится на банк-эквайер (хотя до 2017 года в этом вопросе ещё будут исключения в виде США, Китая и нескольких других стран).

Если же оборудование может работать с чипом, но операция прошла по магнитной полосе – вся ответственность ложится на эмитента, т.к. эмитент принимает решение, одобрить или нет такую операцию. И универсального ответа, как нужно поступать в таких ситуациях, не существует. Редко когда банки полностью запрещают проведение операций по полосе, т.к. это может вызвать неудобство для держателей карт. Однако если объем мошенничества по этой категории операций будет значительным, наверняка банк-эмитент задумается об отказе в авторизации операций, когда при имеющейся технической возможности почему-то не использовался чип.

Продолжим рассматривать операцию в магазине. Итак, карта в терминале и дальше вас просят ввести PIN-код. Между прочим, большинство карт сконфигурировано таким образом, что позволяет отказаться от ввода PIN-кода в POS-терминалах. С точки зрения клиента, возможность не вводить PIN-код в магазине, на глазах всей очереди и на неизвестно как настроенном оборудовании, несомненное преимущество. В случае отказа от ввода PIN-кода, аутентификация осуществляется путём сличения подписи на карте и на чеке. Правда, не все кассиры об этом знают, у меня однажды особо безграмотные даже пытались изъять карту, хоть на терминале и была надпись, что клиент отказался от ввода PIN-кода и необходимо взять подпись.

PIN-КОД

Ну да это нюансы, а реальность такова, что мы сегодня совершенно не можем быть уверены в том, насколько оборудование магазина позволяет со-хранить конфиденциальность данных карты, в т.ч. конфиденциальность PIN-кода. Возможно, многие помнят про полугодовой давности информацию об утечках информации из американских ритейловых сетей, когда скомпрометированы оказались данные десятков миллионов кредитных карт.

Именно по этой причине целесообразно PIN-код использовать исключительно тогда, когда без него проведение операции невозможно, например, в банкомате. Что касается банка-эмитента, то для него преимущества от возможности отказа ввода PIN-кода не очевидны. С одной стороны, снижается вероятность компрометации PIN-кода, с другой, двухфакторная аутентификация с применением PIN-кода более надёжна, чем аутентификация путём сличения подписи.

Но на вводе или не вводе PIN-кода операция не заканчивается, а наоборот – начинается самое технологически сложное и интересное, начинается согласованная работа микропроцессора карты, самого терминала, банка-эквайра, платёжной системы и банка-эмитента. Мы готовы ждать одобрения операции всего несколько секунд, а за это время все участники должны обменяться информацией, провести взаимную идентификацию, авторизацию, рассчитать риски и принять решение. И вот для упрощения и ускорения работы во многих случаях операции могут проводиться в офлайновом режиме. А иногда терминал позволяет проводить исключительно операции в офлайне, например, покупки на борту самолёта.

ОПЕРАЦИИ ОФЛАЙН

Решение о проведении офлайновой операции принимается совместно терминалом и картой (естественно, если карта позволяет проводить такие операции). Банк-эмитент о проведении операции узнаёт постфактум и никак не может влиять на процесс. Иногда сообщения об операциях могут приходить через несколько дней или даже недель. И вот здесь тоже кроется немалая опасность.

В последнее время всё чаще появляется информация о несанкционированных операциях при офлайновых транзакциях. К примеру, клиент сообщает об утере карты, банк карту блокирует, а мошенник с украденной картой направляется к офлайн-терминалу и т.к. операция проходит в офлайне, терминал не знает о том, что карта блокирована, операция проходит успешно и банку-эмитенту через некоторое время приходят сообщения об операциях по заблокированной карте.

В этой ситуации ответственность полностью на банке-эмитенте, т.к. именно он определяет настройки работы карты в режиме офлайн: возможность работы в этом режиме вообще, лимит операций, количество операций офлайн подряд и т.д. В случае поступления информации о несанкционированных операциях в офлайне, банк-эмитент может включить данные пластиковой карты в стоп-лист – специальный реестр с номерами блокированных карт. Включать карту в стоп-лист или нет, решает каждый банк самостоятельно, т.к. во-первых, услуга платная, во-вторых, действующая в определённом регионе (плата берётся за каждый регион в отдельности), в-третьих, ограниченная по времени (плата берётся за время нахождения в стоп-листе) и в-четвёртых, скорость доставки стоп-листов в терминалы может занимать определённое время, за которое количество и суммы несанкционированных операций могут оказаться весьма существенными. С учётом таких рисков, каждый банк для себя должен определить параметры настройки карт для операций в офлайне, ограничив суммы и количество операций офлайн, совершаемых подряд.

В заключение можно сказать, что все описанные в статье типы операций – лишь малая часть того, что существует в международных платёжных системах. Десятилетия работы позволили им накопить значительный опыт, разработать чрезвычайно подробные правила работы и механизмы разрешения спорных ситуаций. И для минимизации рисков желательно пользоваться этим опытом и, с учётом собственной политики обработки рисков, знать и учитывать рекомендации платёжных систем.

 

Интересно, как будут обстоять дела с правилами работы, решением спорных ситуаций и переносом ответственности в создаваемой национальной системе платёжных карт…

 

 

 

Смотрите также

Страхи и реалии

27 ноября, 2013
Подпишись на новости!
Подписаться