2014-02-02
1211
Модификации карточных систем
Технологии снижения рисков платёжных систем в Интернете
В настоящее время наиболее универсальной и распространённой разновидностью пластиковых карт являются кредитные карты. Схема оплаты по картам, разработанная под традиционные формы продажи не подходит для интернет-торговли. Основным её недостатком является низкая надёжность. Существует три схемы передачи информации о реквизитах пластиковых карт при осуществлении оплаты в Интернете.
1. Передача данных открытым текстом. Это самый простой способ передачи информации (как при телефонном или почтовом заказе). Недостатки очевидны: информация легко может быть перехвачена с помощью специальных фильтров и использована во вред владельцу карты. У продавца возможны неприятности, связанные с отказами от оплаты. Этот способ утратил свою практическую ценность.
2. Шифрование передаваемых реквизитов карты. Несколько более защищённый вариант по сравнению с предыдущим – передача с помощью защищённых протоколов (например, протокола SSL). Хотя воспользоваться перехваченной во время транзакции информацией практически невозможно, такая информация находится под угрозой изъятия на сервере продавца. К тому же существует возможность мошенничества у покупателя: приобрести информационные товары, а затем инициировать процедуру возврата платежа (чарджбэк) – доказать, что это именно он пользовался своей картой, а не мошенник, весьма трудно.
|
|
|
3. Использование электронных удостоверений – применение специальных защищённых протоколов обмена информацией с использованием удостоверяющих клиента и продавца электронных сертификатов и цифровой подписи, исключающих возможность отказа от выполнения условий соглашения и «подмену» идентификатора клиента. В таких системах информация о реквизитах пластиковой карты попадает в процессинговый центр, минуя сервер продавца на основе защищённых протоколов обмена.
Большинство интернет-магазинов для того чтобы удостовериться, что осуществляющее в Интернете расчеты по пластиковой карте лицо является держателем данной карты, просят его предоставить следующую информацию:
- имя держателя, указываемое на пластиковой карте;
- номер карты (карт-счета);
- дата истечения срока действия карты;
- адрес получения стейтментов;
- домашний (рабочий) телефон держателя карты;
- адрес электронной почты держателя карты;
- имя получателя товара;
- адрес доставки;
- номер телефона, установленного по месту доставки заказа и т.д.
Имя, номер счета, дата истечения срока действия и адрес держателя карты используются для предварительной идентификации плательщика. Банк-эмитент определяет, соответствуют ли представленные адрес и имя той информации, которая зарегистрирована для данного номера карт-счета.
|
|
|
Адрес электронной почты тоже играет важную роль. Исследования в области онлайновых мошенничеств показали, что 97,3% всех мошеннических заказов содержали адреса, зарегистрированные в бесплатных службах электронной почты. Для дополнительной проверки таких заказов проводят сравнение адреса плательщика с адресом доставки. Несовпадение адресов должно вызывать подозрение, особенно в тех случаях, когда адрес доставки находится за рубежом. Далее служба доставки осуществляет телефонный звонок для согласования времени доставки. Принадлежность телефонного номера заказчику тоже может быть проверена.
Параллельно определяется местоположение заказчика по IP-адресу его компьютера, оно сравнивается с адресом держателя карты и адресом доставки. Несовпадение адресов увеличивает вероятность того, что транзакция мошенническая.
Кроме того, системами безопасности предприятий интернет-торговли отслеживаются повторяющиеся попытки оформления заказов, поступающие с одного и того же IP-адреса, но с разными номерами карт. Это может свидетельствовать об использовании генератора номеров пластиковых карт.
Более сложные системы выявления мошенничества основаны на использовании нейронных сетей. Нейронная сеть может анализировать транзакции, сравнивая их с содержащимися в БД шаблонами известных типов мошеннической деятельности. Эти системы, называемые также системами упреждающего статистического моделирования, обладают достаточно высокой точностью. Но их внедрение и настройка требуют больших затрат времени и труда.
Альтернативный подход заключается в использовании услуг третьих фирм, имеющих собственную службу удостоверения личности клиента. В процессе идентификации покупатель перенаправляется на соответствующий веб-ресурс, который пытается удостовериться в подлинности его личности. Обычно участники такой системы должны зарегистрироваться специальным образом или разместить средства на некоем страховом депозите.
Участникам предлагается раскрыть персональные данные в обмен на гарантии безопасности операций через Интернет и обязательства по неразглашению полученной информации. Кроме того, обеспечивается усложненный механизм доступа с дополнительной идентификацией держателя карты. Клиент при этом защищен от попадания реквизитов его карты в руки третьих лиц, в том числе и самого продавца. Недостатком этого подхода является то, что клиенты (покупатели) должны предварительно устанавливать отношения с третьей фирмой, предоставляя ей удостоверяющие документы, а также усложненная процедура платежа, дополнительное увеличение стоимости транзакции для держателя пластиковой карты.
Другой подход к защите электронных платежей состоит в выдаче пользователям персонального идентификатора, который они и используют вместо данных пластиковой карты. Персональный идентификатор передаётся на сервер системы взаиморасчётов, где преобразуется в данные пластиковой карты, и далее по закрытым банковским сетям они пересылаются в процессинговый центр, где используются для подтверждения кредитоспособности покупателя, перевода денег на счёт продавца и других необходимых операций. Для получения от покупателя подтверждения покупки, перед тем как дать команду на перечисление средств, может использоваться электронная почта.
Нужно отметить, что для пластиковых карт, используемых в традиционной торговой сети, самым простым способом защиты транзакции от мошенничества является использование ПИН-кода для идентификации держателя карты его банком-эмитентом. В интернет-коммерции этот способ не эффективен.
|
|
|
Идея проверки ПИН-кода была реализована для повышения безопасности транзакций по картам STB CARD (более подробно она описана в книге И. Голдовского «Безопасность платежей в Интернете» [35, с. 72-73]).
При выпуске карты STB, клиент может получить не только обычный ПИН-код, но и код, называемый ПИН-2. ПИН-2 представляет собой 16-ти значный буквенно-цифровой код, используемый специально для расчетов в сети Интернет.
Оформив заказ в интернет-магазине, и выбрав оплату с помощью карты STB, клиент переключается магазином на авторизационный сервер (подробнее рис. 7 вариант транзакции 2б), который производит все операции, связанные с проведением платежа. Клиент заполняет предоставленную авторизационным сервером специальную форму, где указывает номер карты, срок ее действия, свои реквизиты и ПИН-2. ПИН-2 используется для формирования платежного документа и подписи реквизитов платежа, что позволяет в дальнейшем подтвердить их целостность и принадлежность владельцу карты. Благодаря использованию технологии ПИН-2 решается проблема отказов от платежей покупателями (чарджбэков), т.к. такая транзакция признается сторонами совершенной с использованием аналога собственноручной подписи держателя карты.
Минусы данного подхода состоят в следующем:
- использование длинного (шестнадцать шестнадцатеричных цифр) ключа делает его применение на практике крайне неудобным для держателя карты;
- защита от подмены основана на надёжности аутентификации клиентом сервера интернет-магазина (форма, запрашивающая ПИН-2, может быть представлена держателю карты мошенником, выдающим себя за интернет-магазин).
Обеспечить надежную защиту от указанной подмены можно с помощью электронного бумажника клиента (специального ПО, которое клиент может «скачать» на свой компьютер с сайта платёжной системы). Такой электронный бумажник может использовать сколь угодно мощные средства шифрования данных. Секретные ключи держателя карты могут храниться в порядке повышения надёжности их хранения на диске компьютера, дискете или микропроцессорной карте. Доступ к электронному бумажнику должен производиться по паролю его владельца.
|
|
|
В качестве дополнительной проверки, помимо номера карты, срока её действия, некоторые торговые предприятия требуют сообщить специальный цифровой код, называемый в системе VISA – Card Verification Value 2 (CVV2), в системах Europay и MasterCard – Card Verification Code 2 (CVC2), а также Four-digit Batch Code (4DBC) для American Express. В случае CVV2 и CVC2 этот цифровой код состоит из трёх десятичных цифр и получается с помощью специального открытого алгоритма, применяемого к таким параметрам карты как номер карты и срок её действия. Алгоритм использует пару секретных ключей, известных только эмитенту карты. Таким образом, зная номер карты и срок её действия, вычислить цифровой код без знания секретных ключей невозможно.
Использование цифрового кода CVV2 / CVC2 в некоторой степени помогает борьбе с мошенничеством, но не решает проблемы в целом. Действительно, несмотря на то, что применение этого кода потребует от мошенника знания дополнительного шифра, сам код является статической информацией и, следовательно, рано или поздно попадёт в руки мошенников теми же способами, что и номер карты.
Существует ещё один способ повышения безопасности транзакции – использование метода VISA Address Verification System (AVS). Система AVS запрашивает у клиента адрес на который держателю карты приходят выписки – стейтменты, выполняет проверку соответствия этого адреса адресу, зарегистрированному эмитентом карты, и возвращает код, указывающий соответствуют ли друг другу эти адреса.
У метода AVS два недостатка. Во-первых, он, также как и методы проверки ПИН-2, CVC2 / CVV2 и 4DBC статичен и, следовательно, попадание в руки мошенников нового параметра является лишь вопросом времени. Во-вторых, этот метод поддерживается только системой VISA и, хотя на долю этой платёжной системы в мире приходится более 50% всех транзакций, это все-таки не весь рынок платежей в Интернете. Иными словами, метод AVS на сегодняшний день не универсален.
Средствами дополнительной идентификации в традиционной розничной торговле стало использование айндент-принтера, печатающего информацию на карте в углублениях, нанесения подписи при помощи лазера, «Track-2 Data Extension» – использование второй дорожки (для магнитных карт), использование специальных оттенков цветов для разных карточных продуктов, а также введение голограмм. Многие эмитенты помещают на карту фото её держателя.
