CNP - фрод в деталях или современная тенденция в сфере мошенничества по банковским картам

CNP - фрод в деталях или современная тенденция в сфере мошенничества по банковским картам

Дистанционная торговля с применением банковских карт растет огромными темпами по всему миру. Возможность совершать покупки, не выходя из дома, в любое время дня и ночи, без очередей, всегда являлась привлекательной для покупателя. Данная сфера выгодна и для продавца, в первую очередь благодаря возможности снижения накладных расходов на организацию процесса торговли, круглосуточной рекламы и своей продукции.

Страны с самым высоким уровнем дистанционной торговли, в % от общего объема по стране (2015 год)

В России рынок дистанционных продаж товаров и услуг с применением банковских карт только набирает обороты, и большинство людей предпочитают оплачивать покупки по старинке - лично, данный показатель в нашей стране примерно 5%. Также эксперты прогнозируют значительный рост этого показателя в Китае, Японии, Южной Кореи и Индии в ближайшие годы.

Особая привлекательность сферы дистанционной торговли для покупателей и продавцов - одна из причин популяризации этой сферы и среди карточных мошенников.

CNP-фрод (Card Not Present Fraud) - тип мошенничества с банковскими картами, при котором клиент при покупке физически не предоставляет карту продавцу (любые онлайн-покупки).

Для оплаты достаточно предоставить реквизиты карты:

  • Номер карты
  • Имя держателя
  • Срок действия карты
  • Код безопасности CVV2/CVC2

Вся эта информация находится на карте, поэтому держателю важно соблюдать необходимые меры безопасного использования карты и ее хранения. CNP-фрод за последние годы выбился в лидеры в общем объеме карточного мошенничества. В развитых странах его доля составляет уже более 70%.

Доля CNP – фрода в ряде стран в общем объёме карточного мошенничества за 2016 год, %

Специалисты выделяют следующие основные причины роста CNP-фрода:

  1. Миграция банков на микропроцессорные технологии: банковская эмиссия EMV-карт, адаптация банкоматов на чтение микропроцессорных карт, размещение чиповых терминалов в ретейлерах и т.д. В США, например, процесс миграции на чиповые технологии начался лишь в 2015 году, поэтому доля CNP фрода в общем объёме мошеннических операций ниже, чем в ряде других высокоразвитых стран. Но уже сейчас потери от CNP фрода в США составляют 4 млрд долл, а к 2020 году, по прогнозам аналитиков, цифра составит 7,2 млрд долл.
  2. Рост объемов электронной коммерции
  3. Рост случаев кражи личных данных держателей карт (фишинг, вишинг, фарминг, хакерские атаки на процессинговые центры банков, атаки на онлайн магазины, которые зачастую не стремятся к безопасному хранению реквизитов карт клиентов)
  4. Сложности с предотвращением такого вида мошенничества, поскольку продавец не может лично проверить банковскую карту клиента на наличие признаков возможного мошенничества

Первая причина, считают эксперты, самая главная. Микропроцессорные технологии значительно усложнили жизнь мошенникам, промышляющим таким видом карточного фрода, как мошенничество по поддельным картам (Counterfeit card fraud). Ранее данный вид мошенничества был лидером в карточном фроде, теперь ему на смену пришел CNP-фрод. Почему?

"Белый пластик" - это карта с работающей магнитной полосой. На поддельной карте может присутствовать и чип, но это муляж. Сделать кустарным способом работающий чип мошенникам пока не удалось, также невозможно считать информацию с чиповой карты скимминговыми устройствами.

Даже если мошенник скопировал магнитную полосу гибридной карты (карта, у которой присутствует и магнитная полоса, и чип) и перенес данные на поддельную, воспользоваться подделкой в терминале или банкомате, поддерживающем чип, невозможно.

Причина в следующем: на магнитную полосу гибридной карты нанесена информация о том, что карта поддерживает EMV-технологии, попросту говоря, имеет чип. При обслуживании такой карты в терминале, поддерживающим микропроцессорные технологии, система запросит вставить карту чипом, попытка провести транзакцию по магнитной полосе будет расценена банком-эмитентом как мошенничество и операция будет отклонена. В этом случае даже сговор с кассиром торговой точки мошеннику не поможет, а заниматься поиском терминалов, не переведенных на EMV-технологии, трудозатратно. Выход для мошенников, располагающих базами данных реквизитов карт - CNP-фрод.

Каким образом мошенники используют базы данных украденных карт в интернете?

Наиболее распространенные схемы:

  1. Покупка дорогого и легко реализуемого товара (компьютерная техника, фото/видео/ аудиотехника, мобильные телефоны, гаджеты и пр.) Для получения товаров привлекают подставных лиц.
  2. Мошеннические сайты по продаже дешевых авиа/жд. билетов, туристических путевок. Цель – вывести денежные средства с украденных карт. Мошенник покупает реальный авиа- или жд билет, путевку, но транзакцию проводит по украденной карте. Далее этот билет или путевка оперативно реализуется ничего не подозревающему путешественнику по низкой цене. Как правило, дата вылета, дата заселения в отель – ближайшая, чтобы банк-эмитент или реальный держатель карты не успели отреагировать.
  3. Покупка софта и мультимедийного контента. Физический адрес в данном случае указывать нет необходимости, все эти ресурсы скачиваются посредством Интернета. Суммы таких операций не выше 100 долл., но и они в случае массовости доставляют огромные заботы как эмитенту, так и банку-эквайеру, в случае если его ретейлер стал жертвой таких мошенников.
  4. Регулярные автоматические платежи за подписки на какие-либо услуги. Как правило, суммы небольшие, и заметить списание без подключения смс-оповещения по авторизационным транзакциям практически невозможно.

Существует три основных вида CNP-транзакций:

  • Mail Order/Telephone Order (MO/TO) - транзакции, когда клиент предоставляет продавцу информацию о банковской карте либо устно, либо по почте, и продавец вводит данные в шлюз самостоятельно.
  • Транзакции E-commerce
  • Рекуррентные платежи - договор между ретейлером и клиентом на периодические безакцептные списания средств с карточного счета владельца за получаемые от торговой точки услуги
Наибольший уровень фрода наблюдается в электронной коммерции - онлайн покупки. Поэтому максимальное усилие необходимо приложить к борьбе с фродом именно в этой сфере. Ранее мы уже говорили о Политике управления фродом. Перечисленные там методы борьбы с карточным мошенничеством актуальны и для CNP-фрода.

Методы борьбы со стороны эмитентов и эквайеров, напрямую влияющие на уровень CNP-фрода:

  • Эффективный онлайн-мониторинг транзакций на предмет мошенничества как со стороны эмитента, так и со стороны эквайера
  • Использование протокола 3D Secure 2.0 банком-эквайером и банком-эмитентом
  • Токенизация на стороне ретейлера - процесс замены важных элементов данных карты их цифровыми эквивалентами (токенами), которые сами по себе не имеют никакой ценности для мошенников и не могут быть расшифрованы.
  • Смс-информирование клиентов-держателей карт о проведенных авторизациях по карте
  • Выполнение требований PCI DSS (стандарт безопасности данных) в части хранения и передачи информации о платежных реквизитах карты. Например, ретейлерам запрещено хранить на своих серверах информацию о CVV2/CVC2 кодах банковских карт клиентов.
Мошенники направили свои взоры на интернет не только как на средство использования имеющихся баз данных украденных реквизитов карт. Поскольку похитить данные чиповой карты, используя "наземные" средства, все сложнее, с компрометацией такой карты чаще всего можно столкнуться именно в интернете: онлайн покупки, разнообразные методы социальной инженерии, которые используют мошенники в отношении держателей карт. Поэтому владельцам карт, практикующим покупки онлайн, следует соблюдать особую осторожность.

Рекомендации для держателей карт по безопасному использованию карты в интернете:

  1. Пользуйтесь проверенными интернет-магазинами. Ознакомьтесь с отзывами, рейтингами магазина. В интернете существуют ресурсы, позволяющие узнать примерные сроки работы магазина по IP-адресу. Сайты, созданные менее трех месяцев назад, лишний повод отложить покупку
  2. Обращайте внимание на правописание и грамматику на сайте интернет-магазина
  3. Убедитесь в безопасности проводимой транзакции. Оплата не должна производиться в пользу физического лица (например, перевод на карту)
  4. Наличие на веб-сайте политики конфиденциальности также является плюсом в пользу его законности
  5. Слишком низкие цены по сравнению с другими магазинами также должны вызвать подозрение
  6. Убедитесь в наличии защищенного соединения по "https:"
  7. При совершении онлайн покупок не пользуйтесь общественным WiFi (велика вероятность перехвата данных)
  8. Заведите карту с ограниченным лимитом специально для онлайн покупок. Лучше всего для таких целей подойдет виртуальная карта, срок действия которой держатель может устанавливать самостоятельно (от нескольких минут), поэтому даже в случае компрометации данных такой карты, мошенникам вряд ли удастся ею воспользоваться
  9. Подключите услугу смс-оповещения обо всех авторизационных запросах по карте
  10. При оплате покупок не сохраняйте введенные реквизиты карты на сайте магазина
  11. Никогда не предоставляйте данные своей карты сотрудникам банков, технической поддержки магазинов и т.д по электронной почте, телефону, любыми другими способами. Это мошенники! Читайте подробнее о фишинге, вишинге, фарминге в наших статьях.


Остается добавить, что борьба с данным видом фрода в интересах всех участников международных платежных систем и результат этой борьбы - следствие их эффективной работы.