Центр исследования компьютерной преступности

home контакты

Банки осваивают безопасные расчеты в Интернете

Дата: 20.11.2004
Источник: Финансовые Известия
Автор: Ольга Заславская


card/creditcard.jpg Есть единственная область, в которой платежные системы никогда не конкурируют между собой, а наоборот - всегда сотрудничают, внедряя и продвигая общие разработки. Это борьба с мошенничеством. Сейчас впечатляющими темпами растет число мошеннических транзакций в Интернете. Чтобы побороть рост мошенничества в Сети, платежные системы предложили банкам и торговым точкам при расчете пластиковыми картами использовать технологию 3D-Secure. Visa и MasterCard активно продвигают 3D-Secure во всем мире, заставляя банки и все работающие с ними сетевые торговые и сервисные точки переходить на эту безопасную технологию расчетов.

За прошедший год в Европе число Интернет-покупок, оплаченных пластиковыми картами, удвоилось. Только с октября по декабрь прошлого года европейцы оплатили ими товаров и услуг на 2.6 млрд. евро. При этом держатели карт потратили в 13 раз больше средств на заказ через Интернет авиабилетов и в 9 раз больше - на заказ и бронирование автомобилей. Такими же впечатляющими темпами растет и число мошеннических транзакций в Сети. Хотя платежные системы крайне неохотно раскрывают "печальную" статистику, некоторые данные есть. В Евросоюзе мошенническое использование кредитных карточек в Интернете за год выросло на 50%, поставив под угрозу экономический смысл электронной торговли.

Понятно, что расставаться с обслуживанием Интернет-расчетов никто не собирается - слишком это лакомый кусок. В результате на свет появились программы Verified by Visa (Проверено Visa) и MasterCard Secure Code Program. И та и другая для безопасных расчетов в Сети предлагают использовать технологию 3D-Secure. Как она работает? Сначала человек регистрирует себя в системе электронной торговли. Он заходит на Интернет-сайт банка эмитента и по ключевому слову (называется при оформлении карты) получает отдельный пароль для совершения покупок в Интернете. Далее он "идет" в Интернет-магазин, выбирает товар и заявляет, что собирается расплатиться картой. Запрос поступает на сервер банка-эмитента, который и производит аутентификацию. На экране компьютера появляется окно банка-эмитента с просьбой ввести пароль. В этот момент между персональным компьютером пользователя и банком организуется закрытое соединение, в которое не получает доступа ни платежная система, ни магазин. Человек вводит данные карты и пароль, банк их проверяет, после чего сообщает магазину результаты проверки - "да" или "нет". Дальше магазин обычным образом запрашивает авторизацию через банк-эквайер. Если банк-эмитент подтверждает наличие денег на счете, покупка совершается. При этом весь процесс аутентификации занимает считанные секунды. Но самое главное - хакеры лишаются возможности воровать данные держателей карт с магазинных баз, потому что этих данных там больше нет.

Помимо пароля в 3D-Secure могут использоваться различные методы аутентификации. Например, с помощью чиповой карты - к компьютеру подключается "ридер", туда вставляется карточка, и происходит аутентификация клиента и по паролю, и по чиповой карте. Можно каждый раз присылать клиенту SMS-сообщение на телефон, когда он что-то покупает в Интернете. SMS-сообщение будет содержать одну надпись: "Введите пароль". Он набирается на телефоне и отправляется через SMS, после чего на компьютере возникает сообщение: "Вы аутентифицированы, продолжайте покупку".

Проблема лишь одна - чтобы программа действительно заработала, ее должны поддержать абсолютно все: банки-эквайеры, сетевые магазины, банки-эмитенты, а каждый держатель карточки - получить пароль. А если, например, банк-эквайер программу поддержал и соответствующее оборудование поставил у себя и в своих виртуальных магазинах, а банк-эмитент технологию 3D проигнорировал, то соответственно карточки его клиентов в этих передовых торговых точках все равно будут обслуживаться по старинке.

В настоящее время технология 3D-Secure активно внедряется во всем мире, например, в Европе ее поддерживают уже более 90% магазинов. Российские же банки заняли выжидательную позицию. К программе Verified by Visa присоединилось 6 российских банков-эквайеров: Альфа-банк, "МЕНАТЕП Санкт-Петербург", Росбанк, Импэксбанк, Балтийский банк и Гута-банк. К программе MasterCard Secure Code Program - Импэксбанк. Причин тут несколько. Во-первых, у нас Интернет-торговля пока не получила такого развития, как во всем мире. Во-вторых, люди предпочитают за покупки в Сети расплачиваться наличными. В-третьих, статистика мошенничества в системе электронной торговли у нас не такая угрожающая, как во всем мире. И, наконец, до недавнего времени сами Интернет-магазины крайне неохотно принимали карточки к оплате, потому что в основном убытки после платежей с использованием краденых реквизитов карт несли они, а не платежные системы и банки.

Но сейчас ситуация изменилась. Платежные системы ввели перенос ответственности. Visa - с 1 апреля 2003 года. MasterCard - с 30 июня 2004 года. Это означает, что теперь за мошеннические транзакции в Интернете платит тот, кто не реализовал технологии безопасности, предлагаемые системами, в частности - 3D-Secure. При этом за каждый такой прокол банки штрафуются. Платежные системы действуют очень жестко. По признанию банкиров, штрафы доходят до $100000, деньги безакцептно списываются со счета, и лишь потом приходит бумага с разъяснениями. Результат не замедлил сказаться. Сетевые магазины перестали бояться пластиковых карт и стали требовать от своих банков-эквайеров внедрения 3D-Secure.

Но банков-эмитентов, которые ввели новый протокол, среди российских банков до сих пор нет. Причина тоже понятна: довольно сложно всем владельцам карт раздать пароли. Поэтому многие наши банки решили отложить это хлопотное дело до массовой замены магнитных карт на чиповые. По всем признакам массовая замена магнитных карт на смарт-карты нас ожидает в следующем году. Тогда, скорее всего, и появятся банки-эмитенты, поддерживающие 3D-Secure, и технология будет не только спасать от убытков, а действительно станет обеспечивать безопасность расчетов в Интернете.


Добавить комментарий
2011-03-29 17:25:50 - Данная тема достаточно актуальна, т.к.... Александр
Всего 1 комментариев


Copyright © 2001–2017 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.