Масштабы мошенничества
Примерно 25% всех сообщений chargeback (отказ от платежа), генерируемых в платежных системах, приходится на транзакции CardholderNotPresent. Транзакции электронной коммерции занимают второе место среди всех видов мошенничества по кредитным картам, уступая лишь мошенничествам, совершенным по украденным или потерянным картам (Lost/Stolen) - 40%, и сравнявшись с мошенничествами по подделанным картам (Counterfeit) - 25%). Полезно также отметить, что создание и отправка одного сообщения chargeback обходится банку-эмитенту в среднем в $10-15, а во многих случаях, связанных с электронной коммерцией, эта сумма может быть в несколько раз больше.
По данным консалтинговой компании MeridienResearch, например, только в 2000 году сумма похищенных через Интернет средств достигла $1,6 млрд. Больше всего от электронных краж пострадали Соединенные Штаты. По прогнозам той же компании, если ситуация с безопасностью в электронной коммерции не поменяется кардинальным образом, в 2005 году объем потерь уже составлял 15,5 млрд. долларов.
Некоторые Интернет-продавцы утверждают, что каждая четвертая попытка провести транзакцию через Интернет является мошеннической. Большинство таких транзакций завершаются отказом от авторизации из-за неправильного номера карты и/или срока действия карты.
Приведем классификацию возможных типов мошенничества через Интернет, приводимую международными платежными системами:
- транзакции, выполненные мошенниками с использованием правильных реквизитов карточки (номер карточки, срок ее действия и т. п.);
- компрометация данных (получение данных о клиенте через взлом БД торговых предприятий или путем перехвата сообщений покупателя, содержащих его персональные данные) с целью их использования в мошеннических целях;
- магазины-бабочки, возникающие, как правило, на непродолжительное время, для того чтобы исчезнуть после получения от покупателей средств за несуществующие услуги или товары;
- злоупотребления торговых предприятий, связанные с увеличением стоимости товара по отношению к предлагавшейся покупателю цене или повтором списаний со счета клиента;
- магазины и торговые агенты (AcquiringAgent), предназначенные для сбора информации о реквизитах карт и других персональных данных покупателей.
Кратко рассмотрим некоторые из перечисленных выше типов мошенничества. Так, первый тип мошенничества является наиболее массовым. Для совершения транзакции электронной коммерции мошеннику достаточно знать только номер карты и срок ее действия. Такая информация попадает в руки мошенников различными путями. Наиболее распространенный способ получения мошенниками реквизитов карт - сговор с сотрудниками торговых предприятий, через которые проходят сотни и тысячи транзакций по пластиковым картам, зачастую хранящим информацию о реквизитах карт в своих базах данных. Результатом сговора становится передача информации о реквизитах карт в руки криминальных структур.
Другой способ получения информации о реквизитах карт, ставший популярным в последнее время, - кража баз данных карточек в торговом предприятии.
Достаточно распространенным является способ, когда криминальные структуры организуют свои магазины и торговые агенты с главной целью получить в свое распоряжение значительные наборы реквизитов карт. Часто такие магазины представляют собой различного рода порносайты.
Второй тип мошенничества - компрометация персональных данных владельцев пластиковых карт - связан со взломом баз данных. Так только в последние несколько лет наиболее громкими «делами» стали кража в Уэльсе двумя подростками 26 ООО реквизитов карт из баз данных одного из электронных магазинов, российским хакером была вскрыта база даннх объемом 300 ООО записей, кража реквизитов 485 ООО карт, выставленных в сети NationalAeronautic & SpaceAdministration.
Поданным компании MeridienResearch, уязвимость Интернет - магазинов усугубляется еще и тем, что лишь 30% онлайновых продавцов используют надежные системы защиты для борьбы с компьютерными мошенниками.
Третий тип мошенничества - магазины-бабочки, которые открываются с целью «отмывания» украденных реквизитов карточек. После того как у мошенников появляются украденные реквизиты карточек, они организуют виртуальный магазин, торгующий всякими безделушками. При этом в обслуживающий банк регулярно направляются авторизационные запросы, использующие украденные номера карточек, а, следовательно, магазин регулярно получает от обслуживающего банка возмещения за совершенные в нем «покупки».
Магазины-бабочки обычно выбирают две крайние стратегии своей работы. Выбор стратегии определяется размером украденной базы данных карточек. Если размер украденной БД достаточно большой, то выбирается стратегия, в соответствии с которой транзакции делаются на небольшие суммы. В этом случае владелец карты заметит небольшую потерю средств на своем счете не сразу.
Когда же база данных о карточках незначительная, то транзакции выполняются на крупные суммы.
7. Что такое номер карты
Это число, состоящее из 16 десятичных цифр (в соответствии со стандартом ISO 7812 «Идентификационные карты - система нумерации и процедура регистрации идентификаторов эмитентов» номер карты может состоять из 19 цифр). 6 первых цифр представляют собой BIN (BankIdentificationNumber), предоставляемый банку либо международной платежной системой, участником которой он является, либо непосредственно организацией AmericanBankers' Association, уполномоченной ISO на выдачу идентификаторов банкам, если банк реализует собственную независимую карточную программу. Часто крупные и средние банки используют 7-ю и 8-ю цифры номера для идентификации своих филиалов и отделений. 9-я цифра номера карты - это цифра проверки на четность по алгоритму LuhnCheckParity, однозначно определяемая всеми остальными цифрами номера карты. Остальные цифры определены платежной системой и банком-эмитентом. Эти цифры не являются конфиденциальными, хотя бы потому, что содержатся в множестве различных таблиц, доступных широкому кругу специалистов.
Иногда, кроме номера карты и срока ее действия требуется дополнительно сообщить торговому предприятию специальный цифровой код, называемый в системе VISACVV2, а в системах Europay/Master-Card - CVC2. Этот цифровой код состоит из трех десятичных цифр, которые печатаются методом индент-печати на оборотной стороне карты на панели подписи сразу вслед за номером карты, и получается с помощью специального открытого алгоритма, применяемого к таким параметрам карты, как номер карты и срок ее действия. Алгоритм базируется на применении алгоритма шифрования DES и использует пару секретных ключей, известных только эмитенту карты. Таким образом, зная номер карты и срок ее действия, вычислить цифровой код без знания секретных ключей невозможно. С 15 мая 2001 г. система VISA предлагает банкам на опционной основе внедрить специальные изменения в авторизационных запросах обслуживающего банка с целью поддержки метода AVS (VISAInternationalAddressVerificationSystem).
8. Новая концепция электронной коммерции от Accenture
Специалисты лаборатории Accenture (Франция) «вживляют» в различные предметы датчики и радиопередатчики, обеспечивающие обмен информацией друг с другом (концепция торговли «object-to-object» (предмет - предмет)). Предполагается, что через несколько лет именно они будут совершать коммерческие транзакции, а не люди. Эта технология позволит перейти от продажи товаров к продаже услуг: будут платить не за саму вещь, а только за ее использование. Среди опытных образцов, - кукла Барби, которая может сама подбирать и покупать себе одежду в зависимости от программы предпочтений, заданной ей владельцем. На самом же деле, спектр возможностей этой технологии достаточно широк, начиная от заказа и покупки «умным» автомобилем своих запасных частей по мере их износа, и заканчивая «умными» складами, которые смогут заказывать товары по мере их распродажи, реагируя, таким образом, на колебания спроса.
Accenture уже использовала новую технологию для обьединения мобильного телефона и торгового автомата. Суть этого объединения заключается в том, что торговый автомат соединяется с телефоном и выдает список товаров, имеющихся в наличии. Покупатель выбирает товар, и автомат подключается к Интернету и через платежную систему осуществлял покупку.
9. Отечественный В2В
Сегодня наибольший рост показателей наблюдается в секторе «бизнес-бизнес» (В2В) и будет продолжаться в отраслях, ориентированных на экспорт. Это прежде всего такие сырьевые отрасли, как металлургия и химическая промышленность.
Для промышленных предприятий среднего масштаба, ориентированных прежде всего на внутренний рынок, развитие в области Интернет может осуществляться в трех основных направлениях:
- работа с клиентами;
- работа с поставщиками и партнерами;
- реализация маркетинговой стратегии, реклама, продвижение брэнда и т. д.
Последний пункт является информационным и не накладывает на предприятие каких-либо серьезных ограничений или требований к инфраструктуре, внутренним информационным системам и т. д. По большому счету все, зависит от фантазии руководства и бюджета на рекламу и маркетинг.
Развитие первых двух направлений в настоящее время весьма проблематично ввиду наличия ограничений: внутренних и внешних.
К внутренним ограничениям относится отсутствие на большинстве предприятий управленческих информационных систем. При этом речь идет не обязательно об интегрированных системах типа управления и планирования ресурсов (ERP- систем), но и об элементарных пакетных решениях для отдельных функций.
Так, например, предоставление клиенту информации о статусе его заказа в онлайном режиме является одной из основных услуг, предоставляемых через Интернет. Однако, если на предприятии отсутствует система отслеживания заказов, то есть информации о статусе заказа просто нет, ни о каком «онлайне» не может быть и речи.