2014-02-02
1442
Рис. 7. Схема платежей в системе взаиморасчётов по пластиковым картам через Интернет
На рисунке 7:
1. Покупатель формирует в электронном магазине корзину товаров и выбирает форму оплаты по пластиковым картам.
2. Магазин формирует заказ. Затем параметры пластиковой карты (номер карты, дата окончания действия, имя держателя и, возможно, дополнительные параметры идентификации) передаются платёжной системе для авторизации. Передача данных может быть выполнена двумя способами:
- через магазин (первый вариант приёма платежей по пластиковым картам – «Приём платежей непосредственно продавцом») При этом параметры карты вводятся непосредственно на сайте магазина, после чего они передаются платёжной системе Интернет (2а);
- через авторизационный сервер платёжной системы Интернет, который устанавливает с покупателем соединение по защищённому протоколу и принимает от покупателя параметры его карты (2б). Одновременно на авторизационный сервер передаются параметры интернет-магазина, номер заказа и его сумма (второй вариант приёма платежей по пластиковым картам – «Приём платежей через платёжную систему Интернет»).
|
|
|
Очевидны преимущества второго способа. В этом случае сведения о пластиковых картах не попадают в магазин, и, соответственно, снижается риск получения их третьими лицами или мошенничества продавца. И в том, и в другом случае при передаче реквизитов пластиковой карты все же существует возможность их перехвата злоумышленниками в Сети. Для предотвращения этого данные при передаче шифруются.
Шифрование, естественно, снижает возможности перехвата данных, поэтому связи покупатель-продавец, продавец- платёжная система Интернет, покупатель- платёжная система Интернет осуществляются при помощи защищённых протоколов обмена. Наиболее распространённым из них на сегодняшний день является протокол SSL (Secure Sockets Layer). Подробнее см. п. 3.5.3.
3. Авторизационный сервер платёжной системы Интернет частично проверяет принятую информацию и, если проверка успешна, передаёт запрос для дальнейшей авторизации традиционной платёжной системе.
4. Последующий шаг зависит от того, ведёт ли банк-эмитент онлайновую БД счетов. При наличии БД процессинговый центр передаёт банку-эмитенту запрос на авторизацию карты (4а) и затем, (4б) получает её результат. Если же такой базы нет, то процессинговый центр сам хранит сведения о состоянии счетов держателей карт (эти сведения регулярно обновляются банками-эмитентами), проверяет наличие данного магазина в традиционной платёжной системе, соответствие операции установленным системным ограничениям, наличие или отсутствие реквизитов карты в стоп-листах, то есть выполняет авторизацию.
|
|
|
5. Результат авторизации передаётся платёжной системе Интернет. При отрицательном результате авторизации процессинговый центр передаёт авторизационному серверу платёжной системы Интернет отказ от проведения платежа.
6. Платёжная система Интернет передаёт магазину результат авторизации и номер заказа.
7. Покупатель получает результат авторизации через магазин (7а) или непосредственно от платёжной системы Интернет (7б). При отрицательном результате авторизации покупатель получает отказ с описанием причины.
8. При положительном результате авторизации:
- магазин оказывает услугу, или отгружает товар (8а);
- процессинговый центр передаёт в расчётный банк сведения о совершённой транзакции (8б);
- банк-эквайер переводит на счёт магазина сумму оплаты за покупку (8в);
- деньги с карт-счёта покупателя в банке-эмитенте перечисляются через расчётный банк в банк-эквайер (8г).
Ибо наличная вещь, коль приятней её мы не знаем,
Нравиться больше всего и кажется полной достоинств.
Но постепенно затем предмет, оказавшийся лучше,
Губит её и всегда устарелые вкусы меняет.
Так отвратительны всем стали желуди, так в небреженьи
Ложа из листьев и трав постепенно оставлены были.
Также одежду из шкур оставили люди звериных,
Хоть и внушала она при открытьи столь сильную зависть,
Что несомненно убит был тайком её первый владетель.
Римский поэт и философ
Лукреций
В сложившейся в экономически развитых странах торговой схеме основным средством при проведении интернет-платежей являются кредитные карты. Уровень мошенничества с кредитными картами при совершении покупок в Интернете намного выше, чем при торговле через POS-терминал. В виду этого карточные платёжные системы вынуждены предъявлять повышенные требования к системам интернет-торговли. Так, например, если уровень чарджбэков у интернет-магазина превышает один процент, продавец должен выплачивать компаниям VISA и MasterCard сумму штрафы в размере 25,000-100,000 долл. – даже в том случае, если процент chargebacks составляет незначительную долю от суммы штрафов.
Большинство сделок, проводимых по пластиковым картам через Интернет, относится к сделкам, классифицируемым в международной практике как сделки типа MO/TO (mail order/telephone order). Правила карточной торговли обязывают продавца убедиться в том, что предъявитель карты является законным её держателем (аутентификация). В обыкновенном магазине кассир имеет эту возможность. При доставке товара, заказанного по телефону (или по почте), ответственность за аутентификацию несет служба доставки.
Соблюсти эти правила в Интернете сегодня в полной мере невозможно, особенно в отношении его главного товара – информации, которая может быть получена непосредственно в момент платежа. Интернет-магазин способен провести проверку платёжеспособности (авторизацию) карты, но не аутентификацию владельца. Пользователь, при оплате товара, передаёт через Интернет данные о номере, типе карты, сроке её действия и свои персональные данные (имя, адрес), продавец инициирует процесс списания средств с карты (charge). Однако проверить, является ли пользователь держателем карты или им предъявляются данные чужой карты, которые оказались известны ему без согласия её держателя, продавец не в состоянии.
Держатель карты в течение месяца получает выписку (стейтмент) по карточному счёту. В случае мошенничества (при использовании данных чужой карты), держатель карты опротестует операцию, которую он не совершал. И – по правилам карточных платёжных систем – опротестованные денежные средства безакцептно снимутся с магазина, совершившего операцию. В случае неплатёжеспособности интернет-магазина обязательства по возврату средств держателю карты ложатся на платёжную систему. Согласно правилам международных платёжных систем денежные средства, полученные по покупкам с помощью карт, либо зачисляются на счёт магазина через 60-120 дней после платежа и затем не могут быть списаны, либо зачисляются в течение 5-7 дней, но могут быть безакцептно списаны в течение 120 дней.
|
|
|
В этой ситуации интернет-магазин должен будет доказывать факт совершения покупки банку. При личном визите покупателя у интернет-магазина остаётся подпись под чеком или документы службы доставки товара. Но при продаже через Интернет, особенно при продаже виртуального товара, подобных документов не остаётся, и доказательство факта покупки становится весьма проблематичным.
В результате в большинстве случаев мошенничества с пластиковыми картами потери несет продавец, что увеличивает риск и стоимость торговых операций в Интернете и уменьшает их привлекательность для интернет-магазинов. Чаще всего это приводит к сужению географического региона, обслуживаемого данным интернет-магазином или платёжной системой.
Данные о пластиковой карте злоумышленник может получить в следующих случаях:
- если злоумышленник имеет доступ к трафику пользователя, а информация о карте передаётся открытым текстом, без использования протоколов защиты информации;
- при предъявлении данных о карте в фиктивный или недобросовестный интернет-магазин, собирающий эту информацию с криминальными целями. Это наиболее вероятно на специфических сайтах (азартные игры, порнография, сайтах, размещённых на территории государств с криминализированной экономикой);
- при «взломе» интернет-магазина, что тоже весьма вероятно. Например, в начале января 2000 г. была выкрадена и распространена в Интернете информация о кредитных картах 300.000 клиентов CD Universe после того как компания отказалась выплатить взломщику 100.000 долл. в качестве компенсации за неразглашение.
Мошенничества с пластиковыми картами имеют в основном латентный характер, поскольку наиболее распространённой стратегией мошенников является выполнение транзакций на небольшие суммы, которые часто остаются незамеченными пострадавшими владельцами карт-счетов.
|
|
|
Пример: В Интернет распространены информационные сайты, помогающие всевозможными рекомендациями и даже программными средствами совершить мошенническую транзакцию в платёжной системе на основе пластиковых карт. Например, сайты, распространяющие программу CreditMaster, которая генерирует правильные номера карт, эмитированных некоторыми банками, используя для генерации номеров тот же алгоритм, что и банк-эмитент.
Получив номер пластиковой карты, мошенник может эмпирически вычислить срок её действия (другой обязательный при оформлении транзакции параметр). Как справедливо указывает в своей книге «Безопасность платежей в Интернете» И. Голдовский [35, с. 64-65]: пластиковые карты обычно выпускаются сроком на два года. Параметр «срок действия карты» определяет месяц и последние две цифры года, когда действие карты заканчивается. Таким образом, мошеннику требуется перебрать всего лишь 24 возможных варианта значений этого параметра. В реальном мире сделать это не просто, но с помощью интернет-технологий решение подобной задачи не составляет труда: мошеннику нужно отправить не более 24 авторизационных запросов для того, чтобы определить верный срок действия карты.
Мошенничество с пластиковыми картами возможно даже без использования специальных программ генерации правильных номеров карт. В большинстве случаев номер карты представляет собой число, состоящее из шестнадцати десятичных цифр. Первые шесть цифр – код банка, выпустившего карту. Последняя цифра представляет собой контрольную сумму всех цифр номера. Кроме того, достаточно часто крупные и средние банки используют 7-ю и 8-ю цифры номера для идентификации своих филиалов и отделений.
Таким образом, как правило, только 7 цифр номера карты являются независимыми переменными. Остальные цифры определены платёжной системой и банком-эмитентом. Эти цифры не являются конфиденциальными хотя бы потому, что содержатся во множестве различных таблиц, доступных широкому кругу специалистов. Кроме того, чтобы выяснить значения зависимых переменных номера карты, мошеннику достаточно получить для себя в интересующем его банке пластиковую карту.
С учётом того, что средний банк выпускает под одним префиксом (первые 8-11 цифр карты) 50 000-500 000 карт, легко видеть, что, если банк генерирует номер карты по случайному закону, то плотность заполнения пространства возможных номеров карт (отношение числа выпущенных карт ко всему возможному множеству значений номера карты) составит 0,005-0,05. С учётом числа различных вариантов срока действия карты получается, что мошеннику требуется перебрать около 480-4800 различных вариантов параметров карты для достижения своей цели. Очевидно, такая задача является вполне решаемой с учётом того, что мошенник имеет возможность автоматически направить авторизационные запросы одновременно в достаточно большое число интернет-магазинов.
Значительная часть чарджбэков, в платёжных системах на основе пластиковых карт, приходится на транзакции «Cardholder Not Present» (держатель карты не представился, не прошел аутентификацию), характерных для интернет-коммерции.
Термин Cardholder Not Present (CNP) используется для обозначения трансакций по пластиковым картам, во время совершения которых держатель карты не присутствует лично в торговом предприятии, а сообщает реквизиты пластиковой карты заочно (письмом, по телефону, компьютерной сети и т.п.).
Стремясь сократить потери от мошенничества, банки устанавливают ограничения на приём платежей посредством интернет-коммерции магазинами без существенной (например, 2-х летней) кредитной истории или страхуют себя от чарджбэков путём замораживания поступивших средств на срок до 60 и более дней.
У платёжныхсистем на основе пластиковых карт применительно к интернет-коммерции имеются пять главных недостатков:
1) низкая безопасность;
2) высокая себестоимость транзакции;
3) отсутствие приватности;
4) сложность;
5) невозможность осуществления микроплатежей.
Высокая себестоимость транзакции платежа с использованием пластиковых карт в Интернете складывается из страховых отчислений, покрывающих потери от мошенничества, стоимости инфраструктуры, содержания аппарата сотрудников платёжной системы и тому подобного. Условия таковы, что платежи менее 5-10 долл. для продавцов становятся невыгодны. Иными словами, рынок микроплатежей традиционной схемой взаиморасчётов по пластиковым картам практически не обеспечивается.
