Този сайт използва бисквитки (cookies). Ако желаете можете да научите повече тук. Разбрах

Новини Технологии и концепции
бр. 4, 2008

Предотвратяване на измамите с банкови карти – технологии и подходи

Все по-широкото използване на банковите карти е съпрово¬дено с разрастване на броя и стойността на измамите, свързани с тях. Проблемът изисква координирани усилия и адекватни мерки

от , 09 април 2008 0 14091 прочитания,
Страница 1 от 2

д-р Силвия Парушева

Банковите карти са най-широко използваният електронен платежен инструмент в све¬то¬вен мащаб, който се е утвърдил във финансовата практика на развитите страни и притежава зна¬чите¬лен потенциал за развитие и у нас. По данни на Европейската централна банка (ЕЦБ) към края на 2006 г. в България са в обръщение 6,02 млн. карти, с които са извършени 22,640 млн. тран¬закции. Сред платежните инструменти те са на второ място по значимост, тъй като броят на картовите транзакции спрямо общия обем транзакции с всич¬ки платежни инструменти има дял от 30,2% (на първо място са кре¬дит¬ните трансфери). Широкото им използване през последните години същевременно е съпрово¬дено с разрастване на броя и стойността на измамите, свързани с тях.

Типове картови измами

Международните картови организации като Visa и MasterCard, а също и Европейската комисия, са възприели разде¬лянето им в четири категории:
  • измами с изгубени и откраднати карти;
  • измами с неполучени по пощата карти;
  • измами, свързани с фалшифициране на карти
  • картово безналични измами.
До неотдавна повечето измами с пластики са извършвани чрез налични транзакции “лице в лице” в търговските обекти. Към настоящия момент преобладават измамите чрез терминални устройства и в Интернет.

Измамите в терминалните устройства имат своята еволюция във времето. Неотдавна обичай¬ният начин за измами на банкома¬ти включ¬ваше техниките на “наблю¬да¬ва¬не през рамо” за придобиване на ПИН кода на потре¬би¬теля и физическа краж¬ба на карта¬та или задържането и чрез приспо¬собление, пъхнато в банкома¬та (като т. нар. "ливанска примка"). С развитието на технологиите измами¬те стават по-високотех¬нологични и се ориентират предимно към скимиране на данни от магнитни ленти на банкомат или ПОС терминал и узнаване на ПИН кода с помощта на технически устройства. Повече¬то случаи на измами с фалшифи¬циране на карти включват скимиране.

При картово безналични измами картите физически не участват, а се използват техните данни (номер, срок за валидност и др.) при поръчки на стоки основно по Интернет, а също и чрез телефон, факс и по пощата. Измамата се извършва, след като престъпниците първо се сдо¬биват с данните на картата предимно чрез “фишинг” (phishing). Към настоящия момент тази категория из¬мами, с която се извършва кражба на самоличност на потребителите, е най-често използ¬вана.

Повечето от измамите при търговията в Интернет се бази¬рат на използването на информация за картата, придобита пре¬дим¬но чрез мето¬ди като скимиране или чрез фишинг ата¬ки и шпионски софтуер (spyware), инстали¬ран на клиентския компютър. След това информа¬цията за картата се използва за картово безналични транзакции, най-често чрез Интернет. По-малка част от измамите в глобалната мрежа включ¬ват използване на данни за истинска карта, открадната по пощата или придобита чрез документална измама.

Щетите

Картовите измами са най-разпространени в САЩ, където през 2006 г. загубите от тях достигат US$3,029 млрд., отбелязвайки ръст от 10,3% спрямо предходната година, като сумата на онлайн измамите възлиза на US$1,729 млрд. (по данни на Celent Communi¬cations). В Европа най-засегнати от измами с кредитни и дебитни карти са британците - прибли¬зително 20% от тях са били жертви на подобни посегателства. Картовите злоупотреби във Великобри¬тания бележат пик през 2004 г. с 504,8 млн. лири, а през 2005 г. е отчетен общ спад от 13%, на фона на който измамите с фалшифицирани карти и картово безналичните измами регистрират нарастване (по данни на APACS).

В България липсват официални данни за броя на потърпевшите и стойността на картовите злоупотреби. От страна на регулатора на картовия ни пазар - БНБ, на кръгла маса на тема “Разви¬тие на картовите разплащания” към 9-ти Български финансов ИТ форум (18-19 април 2007 г.) бе изразена позиция, според която данните за стойността на загубите от картови измами са “непуб¬лични, непредставляващи обект на дискусия”. В медиите, обаче, се изнасят данни за случаи на скимиране на банкови карти, притежание предимно на чуждестранни, но също и на български картодържатели. Например в края на януари се появи информация за източване на дебитни и кредитни карти, както и на банкови сметки на американски граждани на стойност 400 хил. долара. За нарасналите мащаби на картовите измами би могло да се съди и по многократно увеличения брой оплаквания в Помирителната комисия по платежни спорове, която функционира към Комисията за защита на потребителите. Подадените в комисията жалби по повод на картови измами са нараснали от 6 на брой през 2006 г. до 120 през м.г., което свидетелства за сериозността на проблема.

Предотвратяването на картовите измами следва да се разглежда в два аспекта: по отношение на картово наличните (на банкомат или на ПОС устройство) и картово безналичните (основно в средата на Интернет) транзакции.

Предотвратяване на картово наличните измами

Възприетият в световен мащаб метод за предотвратяване на картово наличните измами е въ¬веж¬дането на чип базираната технология за дебитни и кредитни карти, основаваща се на гло¬бал¬ния стандарт EMV. Той предвижда поетапна замяна на платежните карти с магнитна лента с чип (смарт) карти, използвани задължително с ПИН код както на банкомат, така и на ПОС терми¬нал.

За застрашената от злоупотреби картова индустрия основното предимство на чип картите пред тези с магнитна лента е по-голямата защита, предоставяна на картодър¬жателите. Те обединяват в себе си мощности за обработка и информация, с което се гарантира автономността им и възможността да функ¬ционират независимо от потен¬циално уязвими външни ресурси. За да се получи достъп и да се изучи информацията в чип картата, се изисква притежаване на картата, задълбочено познаване на нейния хардуер и софтуер и допълнително скъпо оборудване. Нейните характерни черти за сигурност ос¬вен това са засилени чрез криптографски техники. Обменът на данни между картата и карточетящото устройство може да бъде криптиран. Допълнителна сигур¬ност се гарантира с изискването за въвеждане на ПИН код от картодържателя, което предпазва от възможността картата да бъде използвана от неавтори¬зирано лице.

Благодарение на вградените възможности на чип картата, тя може да управлява транзакции с необходимата сигурност в режим офлайн, при което няма обръщение към оторизационния сървър и опасност от непозволена намеса, а също така намаляват и комуникационните разходи за обработка на транзакцията. Посочените предимства на чип картите и преди всичко ключовото им значение за сигурността на картово наличните операции ги прави изключително надежден инструмент, възприет от картова индустрия в целия свят като средство за намаляване на измамите.

Преход към стандарта EMV

За банките преходът към стандарта EMV е сложен и доста скъп проект. Той се реализира в 2 направления – приемане (акцептиране) на смарт карти, т.е. ъпгрейд на АТМ и ПОС терминалните устройства за работа с тях, и издаване на смарт карти. EMV миграциятa е задължителна за всички финансови институции, членки на MasterCard и Visa International, и за осъществяването и са предвидени съответни срокове в раз¬лич¬ните региони по света. За стимулирането и двете картови организации използват и икономически санкции чрез т. нар. регулация “Liability shift” (“Прех¬върляне на отговорност”). Според нея отговорността за картови измами се прехвърля към страната в транзакцията (търговец или издател на картата), която не е постигнала чип съвместимост. Това означава, че търговци, които не са адаптирали тяхната ПОС инфраструктура да приема EMV карти, понасят разходите за покриване на стойността на картова измама в резултат на използване на карта Visa или MasterCard. Влизането в сила на “Liability shift” се изпълнява поетапно, като за страните в Европейския съюз тази практика е в действие от 01.01.2005 г.

Другият ключов проект, имащ значение за стимулиране на чип миграцията в Европа, е SEPA (Single Euro Payments Area - Единната европейска платежна зона). През септември 2005 г. ЕЦБ въве¬де SEPA Card Framework (“Рамка за SEPA картите”), която наложи изискването за внедряване на EMV стандарта във всички страни до 2010 г. Предвиден бе краен срок 01.01.2008 г. за прехвърляне на отго¬во¬рността за загуби в резултат на измама при транзак¬циите на АТМ върху EMV несъвместимата страна.

Статистиката за прехода към EMV се поддържа в 3 аспекта – за банкови карти, ПОС тер¬ми¬нали и банкомати, като всяка от трите миграции в световен мащаб се намира в различен стадий. Използването на EMV технологията в Европа постепенно увеличава обхвата си. Европейският платежен съвет (ЕПС) публикува данни за състоя¬нието на EMV миграцията в 25-те страни, членки на ЕС (ЕС25). Към края на септември 2006 г. се отчита, че 50% от платежните карти, 47,1% от ПОС термина¬лите и 56,6% от ATM вече са стандар¬тизира¬ни с EMV. Тези усреднени проценти показват значителни колебания, когато става въпрос за от¬дел¬ни държави. Предвидено е до средата на 2010 г. миграцията да е напълно приключила.

Превенция на картово безналичните измами

При използване на банковите карти за поръчка на стоки и услуги по телефона, по пощата и най-вече при електронната търговия в Интернет обикновено се изпращат техните номера и дати на валидност на търговеца. Проблемът в този случай се състои във факта, че нито картата, нито картодържателят присъстват при покуп¬ката, респективно плащането. При тези транзакции физическите характерис¬тики за сигурност на картата са недостъпни за проверка и не може да се определи дали тя е истинска. Без подпис или ПИН не е лесно да се потвърди, че потребителят е действителният картодържател. Съответно картоиздателите не могат да гарантират, че предоставената информация е дадена от истинския картодържател.

Като противодействие на този тип измами се използват няколко различни типа “сигурни” решения, които са добавени към картовата инфраструктура на страната на търговците. Към тях се отнасят: система за проверка на адрес (Address Verification System – AVS) и системи за проверка на код за сигурност на картите (Card Security Code).

Друг метод се базира на протокола за сигурност “3-D Secure”, който се при¬ла¬га от двете най-големи картови организации за онлайн транзакции от 2002 г. под две различ¬ни брандови име¬на – “Verified by Visa” и “Master¬Card SecureCode”. Цели се гарантиране на по-голяма сигур¬ност на всички - картодържател, банка-издател, Интернет търговец, банка на търговеца, чрез изиск¬ване¬то при всяко плащане картодържателят да въвежда ПИН код, който се потвърж¬дава в реално време от издателя. По този начин се осигурява надеждно потвърждаване на идентич¬ността на карто¬държателя пред търговеца и се пречи на използването на крадени картови данни за Интернет транзакции.

Предимството на технологията 3-D Secure се основава на това, че тя се базира на отворен, интер¬операбилен и най-вече глобален стандарт с международно признание, благодарение на кой¬то се дава надежден отговор както на местните измами в електронната търговия, така и на през¬гра¬ничните. Освен това тя се отличава с лекотата, с която в нея участват и картодър¬жате¬лите, и търговците. 3-D Secure се налага в практиката, след като разработеният по-рано протокол Secure Electronic Transaction (SET) не успя да затвърди позициите си поради високите разходи, свърз¬ани с прилагането му и недостатъчната му гъвкавост. Към момента технологията 3-D Secure се осно¬вава на автентификация, базирана на ПИН (респ. парола), а в бъдеще се предвижда тя да стане чип картово базирана с използването на карточетци и токъни за генериране на динамични пароли.

Превенция на картовите измами в България

У нас, още в края на 2001 г., БОРИКА, в ролята си на системен картов оператор и обслуж¬ваща организация на MasterCard Europe, Visa International и на голяма част от членуващите в тях местни банки, започна работа по стратегически проект за миграция към EMV смарт карти. Формиран е и Национален комитет за миграция към EMV.

Създадените организационни предпоставки способстват за стартиране на прехода към новия стандарт. За етапите на неговата реализация относно миграцията на банко¬ма¬тите, ПОС терминалите и платежните карти не се публикуват официални обобщени данни. На организи¬раната през 2007 г. кръгла маса, посветена на картовите разплащания, от БОРИКА отчитат след¬ните данни за акцептирането на смарт карти (т.е. приемането им на банкомати и ПОС устройства или т.н. acquiring): около 70% от банкоматите са мигрирали към EMV; при ПОС устройст¬вата делът е приблизително 20-25%. Зад тези усреднени проценти при отделните банки са налице значителни колебания. Така например, някои банки изцяло или в по-голяма степен са приключили мигра¬цията на банкоматите си (Уникредит Булбанк, Първа Инвести¬ционна Банка, Обединена Българ¬ска Банка, Райфайзенбанк (България), Банка ДСК), а при други тя е в начален етап.
1 2

КОМЕНТАРИ ОТ  

Полезни страници
    За нас | Аудитория | Реклама | Контакти | Общи условия | Декларация за поверителност | Политика за бисквитки |
    Действителни собственици на настоящото издание са Иво Георгиев Прокопиев и Теодор Иванов Захов