Центр исследования компьютерной преступности

home контакты

Проблемы обеспечения информационного суверенитета государства и информационного суверенитета личности

Дата: 02.04.2004
Источник: crime-research.ru
Автор: Родион Насакин


Как происходит покупка в Интернете с помощью кредитной карты1? Клиент выбирает в онлайновом магазине понравившийся товар, указывает, что будет расплачиваться кредиткой, и переходит на сайт платежной системы2, которой сообщает данные своей карты. Авторизовав клиента и приняв данные от продавца, платежная система связывается с банком, в котором находится счет магазина (так называемый банк-эквайер), и после проверки платежеспособности карты переводит нужную сумму продавцу, вычитая процент комиссии. Затем в течение нескольких суток заказ комплектуется и отправляется покупателю.


Проблема, с которой столкнулся бизнесмен, в том, что через определенное время после отправки товара некоторые покупатели заявляли своему банку (эмитенту), что никаких покупок не совершали. Банк-эмитент, крайне незаинтересованный в потере доверия клиента, связывался с банком-эквайером и снимал с него необходимую сумму. Последний же возмещал свой убыток за счет продавца. Магазин в этом случае ничего сделать не может, поскольку никаких подписанных документов о совершенной сделке у него, как правило, нет. Подобная схема называется чарджбек (chargeback). В результате хозяин Интернет-магазина теряет и товар, и прибыль. Столкнувшийся с эпидемией чарджбеков бизнесмен упорно доказывал, что никоим образом не может проверить чистоплотность покупателя, а потому не понимает, с какой стати деньги должны взиматься именно с него.


Кроме того, банк-эквайер, переводя платеж на счет магазина, берет комиссию с транзакции, например 4%. А вот снимает со счета в случае чарджбека не оставшиеся 96, а все сто. Может сложиться впечатление, что банкам чарджбеки выгодны, однако это не так. Если количество возвратов превышает некий предел, установленный правилами МПС, банк выплачивает штраф и увеличивает свой страховой депозит на несколько сотен тысяч долларов. В особо тяжелых случаях банки лишаются статуса эквайера. Чтобы избежать этого, банк отслеживает количество чарджбеков и отказывает в обслуживании самым невезучим торговцам. МПС, поддерживая авторитет своих карт, действует в соответствии с правилом «клиент всегда прав», а торговцы и эквайеры вынуждены играть по ее законам.


Чарджбеки могут быть как фродовыми, так и нет. Фродовым (от англ. fraud – обман) на жаргоне сетевых торговцев называется чарджбек, который представляет собой мошенническую акцию кардеров с использованием ворованной кредитки (или же собственной – просто платить неохота, а потом всегда можно сказать, что карту украли). Естественно, продавцы, особенно те из них, кто торгует программным обеспечением или услугами, то есть «нематериальным» товаром, озабочены именно этим видом отказов от платежа. Практически все страны СНГ3, Восточной Европы, Юго-Восточной Азии, Израиль и даже Дания входят в «группу риска» с повышенным процентом фродовых операций. И если владельцы зарубежных магазинов решили проблему одним махом, отказав в обслуживании клиентам из вышеназванных регионов, то их российским коллегам приходится искать менее легкие пути.



Старым и проверенным методом борьбы с кардерами является занесение информации о «засветившихся» в неприглядном деле картах и/или их хозяевах в «черные списки». Список представляет собой базу данных, которую формирует платежная система на основе эвристического анализа. Данные клиента, проходящего авторизацию, сравниваются с содержимым базы, и если обнаруживается, что клиент не чист на руку, в обслуживании отказывается. Таким образом, человек, не оплативший покупку в одном магазине, больше не сможет отовариваться в большинстве других. Конечно, этот метод не свободен от недостатков; если для покупок или игры используется краденая карта, то в «черный список» может попасть имя законного владельца, который потом еще долго будет гадать, почему ему постоянно отказывают в авторизации. Кроме того, мошенники плодятся ежедневно, если не ежечасно. Благо базы данных, содержащие номера ворованных кредиток, продаются в Рунете на каждом углу за гроши, а кое-где можно получить подобную информацию и вовсе даром (адреса таких ресурсов я по понятным причинам не указываю). А потому немалая часть фродовых операций осуществляется по «чистым» картам, и предупредить действия злоумышленника вышеуказанным способом невозможно.


Тогда в дело вступают иные методы борьбы с фродом. Обычно Интернет-магазины не имеют доступа к данным о кредитной карте клиента, поскольку заполнение необходимых форм идет на сайте платежной системы. Однако некоторые системы, например российская ASSIST, допускают, как один из вариантов, возможность получения данных самим магазином для проверки и последующей их передачи системе по защищенному протоколу SSL. На специализированных форумах часто обсуждается эффективность различного программного обеспечения для фрод-мониторинга Интернет-магазинов и других коммерческих заведений, алгоритмы которого (разумеется, ПО, а не мониторинга) базируются на анализе поступивших данных. Анализ производится как «вручную», то есть непосредственно фрод-менеджерами, так и в автоматическом режиме. Подробное описание критериев отсева представляет собой конфиденциальную информацию, но известно, что их эвристические принципы по большей части имеют статистическую основу. Поведение клиента сравнивается с некоторым набором распространенных и характерных для кардеров вариантов поведения. Если в результате сравнения обнаруживается схожесть, система посылает предупреждение службе безопасности. И уже человек решает, отказать клиенту в обслуживании или же отложить авторизацию, созвониться с банком клиента и запросить подтверждающую документацию.


Некоторые продукты используют технологии нейросетей или применяют на практике теорию нечетких множеств. Системы фрод-мониторинга постоянно совершенствуются, однако кардинг не собирается сдавать позиций, и мошенники используют все новые и новые методы обхода защиты. Ситуация с фродом очень похожа на ситуацию со спамом и вирусами. Как невозможно создать идеальный антивирус или почтовый фильтр на все времена, так невозможна и разработка идеального алгоритма для контроля над транзакциями в электронном бизнесе.



Рассмотренные выше виды фрод-мониторинга можно назвать средством самообороны Интернет-магазинов и платежных систем. Впрочем, они не в одиночку сражаются с жуликами. Представители МПС, в частности Visa, прекрасно понимают, что ситуация с чарджбеками существенно снижает популярность карточных платежей в Сети. Однако отмена возможности отказа от платежа вызвала бы такой же подрыв авторитета МПС среди держателей карт. Для решения проблемы с учетом интересов сторон, стоящих по обе стороны виртуального прилавка, Visa в разное время выдавала революционные решения. Среди наиболее значимых можно отметить введение технологий обеспечения безопасности SET (Secure Electronic Transaction) и 3D Secure. MasterCard тоже не сидела сложа руки и выпустила свой аналог 3D Secure – технологию SPA/UCAF (Secure Payment Application/Universal Cardholder Authentication Field).


Стандарт SET имеет две разновидности: полный и неполный (MIA SET). При этом защищает продавца от покупателя только полный, поскольку он подразумевает использование продавцом и покупателем специального ПО и так называемого SET-сертификата, служащего, по сути, аналогом электронной цифровой подписи (ЭЦП). Сертификаты «прилагаются» к пластиковым картам, которые поддерживают стандарт, а также выдаются Интернет-магазинам. При авторизации уникальные ключи сертификатов магазина и клиента передаются платежной системе, и покупатель уже не сможет откреститься от сделки, поскольку «подпись» какую-никакую он все же оставил. К сожалению, карты с поддержкой SET эмитируют далеко не все российские банки. Самым известным эмитентом SET-карт в России является Альфа-банк. В том случае, если у клиента нет карты с поддержкой SET, применяется MIA SET. Сертификат в этом случае имеет только магазин, и соответственно стандарт обеспечивает лишь безопасность покупателя от нечистого на руку продавца. Но это уже тема для отдельной статьи. По данным ASSIST, при использовании этой технологии уровень чарджбеков составляет 0,1–0,2%. Однако стоимость внедрения SET достаточно высока, а потому стандарт не получил массового распространения.


Тогда Visa предприняла попытку номер два и анонсировала 3D Secure. Основная идея технологии заключается в том, чтобы переложить заботы о чарджбеке с больной головы на здоровую. Причем «перекладывание» происходит в три приема. Ответственность за факт чарджбека снимается с Интернет-магазина и возлагается на банк-эквайер, последний передает банку-эмитенту реквизиты карты, с которой был отозван платеж, а эмитент, в свою очередь, начинает выяснять отношения со своим клиентом. В 3D Secure используется пароль, который банк-эмитент выдает клиенту. При авторизации платежная система посылает эмитенту запрос. Банк связывается с покупателем, запрашивает у него пароль и информирует платежную систему об ответе. Для обеспечения безопасности покупателя его банку предъявляется 3D Secure-сертификат магазина. И теперь, если клиент решит сделать чарджбек, банк-эмитент уже не сможет уведомить эквайера, что надо бы вернуть деньги, а вынужден будет выплачивать их сам. Правда, только в том случае, если клиент сможет убедительно рассказать и доказать свои слова в суде, каким образом пароль, известный только ему и банку, стал достоянием злоумышленника. Недостатком 3D Secure является то, что стандарт должен поддерживаться одновременно покупателем, эмитентом, эквайером и Интернет-магазином, что случается вовсе не сплошь и рядом. У нас эта технология запущена совсем недавно, и никаких определенных выводов о ее успешности сделать пока нельзя.



Среди других важных мер, предпринятых отечественными платежными системами, можно отметить выпуск пластиковых карт ASSIST, не привязанных к...

Добавить комментарий
Всего 0 комментариев


Copyright © 2001–2019 Computer Crime Research Center

CCRC logo
Главным направлением в деятельности Центра является широкое информирование общественности об основных проблемах и способах их решения, с которыми сталкивается общество в сфере противодействия компьютерной преступности.