компьютерная преступность

Rated by PING
 UA  |  EN
Поиск по сайту:
 


Подписка на новости  

Rated by PING

TraCCC
компьютерная преступность
киберпреступность


Безопасность против мошенничества в электронной коммерции


С ростом популярности Интернета и появлением новых технологий электронная коммерция вошла в жизнь многих больших и малых торговых фирм, а также частных лиц. Коммерческая деятельность через электронные сети снимает ряд физических ограничений, естественных для работы обычных предприятий торговли и сервиса. Заказы на продукцию могут приниматься в любое время с любого места планеты. Объемы операций через Интернет постоянно растут. Ожидается, что к 2005 г. более 10 % всех торговых операций в мире будет производиться с использованием средств электронной коммерции.

Высокий уровень мошенничества в Интернете является сдерживающим фактором развития электронной коммерции, поскольку покупатели, торговля и банки боятся пользоваться этой технологией из-за опасности понести финансовые потери.

Психологический фактор, связанный с осознанием угрозы потенциального мошенничества, остается основным препятствием для использования Интернета в качестве средства проведения коммерческих операций. Люди до сих пор не рассматривают Интернет как безопасную среду, чему способствуют как объективная информация о степени безопасности работы в Интернете, так и новомодные фильмы и рассказы о хакерах, успешно преодолевающих любые препятствия на пути к сколь угодно защищенной информации. Опросы показывают, что более всего люди боятся потенциальной угрозы получения кем-либо их персональных данных при работе через Интернет. По данным платежной системы VISA около 23 % транзакций ЭК так и не производится из-за боязни клиента ввести запрашиваемую электронным магазином персональную информацию о клиенте.

Как результат, люди главным образом используют Интернет в качестве информационного канала для получения интересующей их информации. Лишь немногим более 2 % всех поисков по каталогам и БД в Интернете заканчиваются покупками. Приведем некоторые данные о масштабах мошенничеств в ЭК.

Примерно 25 % всех сообщений chargeback (отказ от платежа), генерируемых в платежных системах, приходится на транзакции Cardholder Not Present, среди которых большая часть являются транзакциями ЭК. Заметим, что транзакции ЭК занимают второе место среди всех видов мошенничества по кредитным картам, уступая лишь мошенничествам, совершенным по украденным или потерянным картам (Lost/Stolen) — 40 %, и сравнявшись с мошенничествами по подделанным картам (Counterfeit) — 25 %. Полезно также отметить, что создание и отправка одного сообщения chargeback обходится банку-эмитенту в среднем в $10—15, а во многих случаях, связанных с электронной коммерцией, эта сумма может быть в несколько раз больше.

По данным платежной системы VISA объем сообщений chargeback в классе транзакций ЭК в 2001 г. варьируется от 0,5 % до 1 %. Для сравнения — средний объем мошенничеств в этой платежной системе составляет 0,1 %. По данным исследования, выполненного компанией Gartner Group, уровень мошенничества в ЭК в 12 раз выше, чем при выполнении обычных покупок с помощью пластиковых карт. Доля мошеннических транзакций ЭК имеет постоянную тенденцию к росту. Кроме того, следует иметь в виду, что мошенничества в ЭК имеют в основном латентный характер, поскольку наиболее распространенной стратегией мошенников является выполнение транзакций на небольшие суммы, которые часто остаются незамеченными пострадавшими владельцами счетов.

Общий объем транзакций ЭК в системах VISA и MasterCard в 2001 г. составлял около $40 млрд; при этом размер отказов от платежей (chargeback) варьируется от $250 до 500 млн.

На региональной конференции Russia Sub-Regional Meeting компании VISA, проходившей весной 2000 г. в Сан-Франциско, выражалась серьезная обеспокоенность быстрым ростом мошенничества в платежных системах, отмечаемым с сентября 1998 г. В частности, с сентября 1998 г по сентябрь 1999 г. рост уровня мошенничества в ЭК в системе VISA составил 31 % и общая сумма украденного составила $313 млн за год.

По данным консалтинговой компании Meridien Research в 2001 г. сумма похищенных через Интернет средств достигла $1,6 млрд. Больше всего от электронных краж пострадали Соединенные Штаты. По прогнозам той же компании, если ситуация с безопасностью в ЭК не поменяется кардинальным образом, в 2005 г. объем потерь будет составлять уже $15,5 млрд.

Некоторые Интернет-продавцы утверждают, что каждая четвертая попытка провести транзакцию через Интернет является мошеннической. Большинство таких транзакций завершаются отказом от авторизации из-за неправильного номера карты и/или срока действия карты. Еще более угрожающе выглядят данные системы VISA, утверждающей, что 47 % случаев предъявления ее карточек через Интернет оказываются мошенническими.

Следует отметить, что все приведенные выше цифры являются приблизительными (и на это указывают их источники). Это связано с разными обстоятельствами. В частности, только с середины 2000 г. стало обязательным «помечать» транзакции ЭК специальным образом, что позволило платежным системам корректно учитывать транзакции, совершенные через Интернет (до этого такие транзакции в основном идентифицировались системами как МО/ТО-транзакции).

Кроме того, известны факты сокрытия банками случаев совершения мошенничеств в их торговых предприятиях. Проблема латентнос-ти мошенничеств, связанных с транзакциями ЭК, часто вызвана небольшим размером таких транзакций. Маленький размер транзакции делает ее незаметной для владельца счета. Так, например, в случае нашумевшего дела, связанного с российским сайтом polit.ru (ТП, работавшее через систему CyberPlat), более 90 % владельцев карт не заметили транзакции, никогда ими не совершавшиеся, в виду малости размеров последних.

В соответствии с данными международных платежных систем все конфликты, связанные с ЭК, делятся в основном на три класса:

- владелец карты утверждает, что никогда не проводил транзакцию через Интернет;
- владелец карты утверждает, что заказ ЭК не был выполнен;
- владелец карты оспаривает размер транзакции.


Наиболее многочисленным является первый класс отказов от платежей. Как показывают исследования, проведенные специалистами международных платежных систем, в подавляющем большинстве случаев причиной возникновения конфликта, относящегося к первому классу, является использование мошенниками украденных реквизитов карт (номер карты, срок ее действия и т. п.).

Существуют и другие причины возникновения конфликтов этого класса. Случается, что транзакция выполняется одним из членов семьи владельца карты, о чем последний ничего не знает. Еще одна причина — владелец карты по информации, полученной в своем банке, не узнает имени ТП, в котором он совершал покупку. Поэтому так важно, чтобы ТП оформляло электронный чек, выдаваемый клиенту в качестве подтверждения приема заказа от покупателя, правильным образом, о чем подробнее будет рассказано далее.

Второй класс конфликтов в специальных комментариях не нуждается. К сожалению, иногда случается так, что некоторые ТП по разным причинам не способны выполнить принятый заказ. Одна из таких причин состоит в том, что только крупные торговые предприятия имеют в своем арсенале системы управления складами, позволяющие им в любой момент времени точно определять наличие того или иного товара на складе. В результате только после приема заказа выясняется, что интересующего клиента товара в ТП уже нет. Другая причина состоит в перегрузке ТП заказами (это характерно для праздничных дней, когда обороты вырастают на порядок). В результате обязательства магазина по доставке товара в оговоренные сроки оказываются сорванными, что, как правило, рассматривается клиентом как невыполнение заказа. Во избежание chargeback этого класса ТП должно иметь в своем арсенале развитый бэк-офис, эффективно управляющий запасами товаров на складах, а также обладающий модулем логистики, прогнозирующим сроки доставки товара покупателю.

Другим универсальным способом решения проблемы является задержка отправки финансового сообщения (презентмента) эмитенту владельца карты до момента исполнения заказа.

Наконец, третий класс конфликтов связан со случаями, когда ТП к согласованной с покупателем цене вдруг неожиданно для последнего добавляет дополнительные платы (налоги, плату за доставку и т. п.). Несогласие клиента с таким подходом к делу иногда выливается в жалобу последнего своему банку, генерирующему в свою очередь отказ от платежа, направляемый обслуживающему банку.

В России по данным STB CARD, крупнейшего российского процессора транзакций, выполняемых по пластиковым картам, уровень мошенничества в Интернете составляет примерно 0,5-3 % от оборотов в ЭК. К этим цифрам нужно относиться осторожно, принимая во внимание общие объемы этого бизнеса в России сегодня (несколько тысяч транзакций в день), а также виды услуг, оказываемых электронными торговыми предприятиями (сегодняшний сектор рынка ЭК в России — продажа книг, сувениров, подписка на журналы и газеты и т. п. — не представляет серьезного интереса для мошенников). При этом количество попыток совершить мошенническую транзакцию по данным STB CARD составляет 5-15 % от общего количества транзакций.

По данным МВД РФ количество преступлений, совершаемых через Интернет, растет, и растет быстро. Если в 1998 г. число подобных преступлений находилось на отметке 80, то в 1999 г. их было уже около 200, а в первом квартале 2001 г. больше, чем за весь предыдущий год.

В результате проведенного анализа платежные системы сформировали основные требования к схемам проведения транзакции ЭК, обеспечивающим необходимый уровень ее безопасности. Эти требования сводятся к следующему:

- Аутентификация участников покупки (покупателя, торгового предприятия и его обслуживающего банка). Под аутентификацией покупателя (продавца) понимается процедура, доказывающая факт того, что данный владелец карты действительно является клиентом некоторого эмитента-участника (обслуживающего банка-участника) данной платежной системы. Аутентификация обслуживающего банка доказывает факт того, что банк является участником данной платежной системы.

- Реквизиты платежной карты (номер карты, срок ее действия, CVC2/CVV2 и т.п.), используемой при проведении транзакции ЭК, должны быть конфиденциальными для торгового предприятия.

- Невозможность отказа от транзакции для всех участников транзакции ЭК, то есть наличие у всех участников неоспоримого доказательства факта совершения покупки (заказа или оплаты).

- Гарантирование магазину платежа за электронную покупку - наличие у торгового предприятия доказательства того, что заказ был им выполнен.

Очевидно, что пластиковые карты с магнитной полосой не являются идеальным средством расчетов в Интернет-коммерции. На смену им придут микропроцессорные карты, реализующие надежные алгоритмы динамической аутентификации владельца карты. Но, несмотря на то, что электронная коммерция находится в самом начале развития, накопленный опыт и разработанные протоколы позволяют утверждать, что уже сегодня можно приступать к реализации широкомасштабных проектов, обеспечивая при этом необходимый уровень безопасности проведения транзакций.

http://www.crime-research.org

Add comment
Total 0 comments
Copyright © 2001-2003
Computer Crime Research Center. All rights reserved.