Безопасность платежей в Интернете. Мошеннические транзакции с использованием правильных реквизитов карты
Высокий уровень мошенничества в Интернете является сдерживающим фактором развития ЭК, поскольку покупатели, торговля и банки боятся пользоваться этой технологией из-за опасности понести финансовые потери. Приведем классификацию возможных типов мошенничества через Интернет, приводимую международными платежными системами: - транзакции, выполненные мошенниками с использованием правильных реквизитов карточки (номер карточки, срок ее действия и т. п.); - компрометация данных (получение данных о клиенте через взлом БД торговых предприятий или путем перехвата сообщений покупателя, содержащих его персональные данные) с целью их использования в мошеннических целях; - магазины, возникающие, как правило, на непродолжительное время, для того чтобы исчезнуть после получения от покупателей средств за несуществующие услуги или товары; - злоупотребления торговых предприятий, связанные с увеличением стоимости товара по отношению к предлагавшейся покупателю цене или повтором списаний со счета клиента; - магазины и торговые агенты (Acquiring Agent), предназначенные для сбора информации о реквизитах карт и других персональных данных покупателей. Обычно в рамках подобной классификации фигурирует еще пункт "Информационные сайты". Речь идет о сайтах, помогающих всевозможными рекомендациями и даже программными средствами совершить мошенническую транзакцию. Мы выносим этот пункт из общего перечня возможных мошенничеств, поскольку он не связан непосредственно с процессом ЭК. Коротко остановимся на перечисленных типах мошенничества в отдельности. Как уже отмечалось, первый тип мошенничества является наиболее массовым. Для совершения транзакции ЭК мошеннику обычно достаточно знать только номер карты и срок ее действия. Такая информация попадает в руки мошенников различными путями. Наиболее распространенный способ получения мошенниками реквизитов карт - сговор с сотрудниками торговых предприятий. ТП, через которые проходят сотни и тысячи транзакций по пластиковым картам, зачастую хранят информацию о реквизитах карт в своих БД или на слипах (бумажных документах, подтверждающих факт совершения в ТП транзакции). Результатом сговора становится передача информации о реквизитах карт в руки криминальных структур. Другой способ получения информации о реквизитах карт, ставший популярным в последнее время, - кража БД карточек в ТП, о чем будет рассказано чуть ниже. Еще одним способом генерации правильного номера карты является программа CreditMaster, используемая мошенниками с 1995 года. Программа генерирует правильные номера карт, эмитированных некоторыми банками, используя для генерации номеров тот же алгоритм, что и банк-эмитент. Достаточно распространенным является способ, когда криминальные структуры организуют свои магазины и торговые агенты (см. пятый тип мошенничества) с главной целью получить в свое распоряжение значительные наборы реквизитов карт. Часто такие магазины представляют собой различного рода порносайты. Сегодня западными спецслужбами установлена тесная связь порнобизнеса в Интернете с преступными группировками, специализирующимися на мошенничествах с пластиковыми картами. Другая функция подобных магазинов состоит в их использовании для "отмывания" полученных реквизитов карт. Через подобные сайты "прокачиваются" сотни тысяч и даже миллионы украденных реквизитов карт. Иногда обе функции - кража и "отмывание" - совмещаются в одном магазине. Например, воспользовавшись однажды услугами порносайта, владелец карты с удивлением выясняет, что стал подписчиком такого сайта, и, таким образом, с него ежемесячно будет взиматься плата за подписку, отказаться от которой весьма проблематично. Наконец, существует и еще один способ узнать правильные реквизиты карт. Точнее не узнать, а эмпирически вычислить. Дело в том, что Интернет представляет собой прекрасный плацдарм для проведения различного рода "испытаний" с целью определения правильных реквизитов карт. Например, если мошеннику известен номер карты, но не известен срок ее действия, то определить этот параметр карты не составляет большого труда. Действительно, пластиковая карта обычно выпускается сроком на два года. Параметр "срок действия карты" определяет месяц и последние две цифры года, когда действие карты заканчивается. Таким образом, мошеннику требуется перебрать всего лишь 24 возможных вариантов этого параметра. В реальном мире сделать это не просто. В виртуальном мире решение подобной задачи не составляет труда. Мошеннику нужно отправить не более 24 авторизационных запросов для того, чтобы с вероятностью 1 определить верный срок действия карты. После этого воспользоваться известными реквизитами карты, можно различными способами. Проще всего совершить транзакцию ЭК. Более эффективный способ воспользоваться добытым знанием - изготовить поддельную карту с вычисленными реквизитами карты и использовать ее для оплаты покупок в реальных ТП. В этом случае такое мошенничество попадет в разряд "подделанная карта" (Counterfeit). Приведенные выше рассуждения относились к случаю, когда известен номер карты и требовалось определить срок ее действия. Нужно сказать, что с помощью Интернета вполне решаемой становится задача вычисления обоих основных параметров пластиковой карты - ее номера и срока действия. Действительно, в большинстве случаев, номер карты представляет собой число, состоящее из шестнадцати десятичных цифр (хотя в соответствии со стандартом ISO 7812 "Идентификационные карты - система нумерации и процедура регистрации идентификаторов эмитентов" номер карты может состоять из 19 цифр). Из 16 цифр номера карты 6 первых представляют собой BIN (Bank Identification Number), предоставляемый банку либо международной платежной системой, участником которой он является, либо непосредственно организацией American Bankers' Association, уполномоченной ISO на выдачу идентификаторов банкам, если банк реализует собственную независимую карточную программу. Кроме того, достаточно часто крупные и средние банки используют 7-ю и 8-ю цифры номера для идентификации своих филиалов и отделений. Наконец, последняя цифра номера карты - цифра проверки на четность по алгоритму Luhn Check Parity, однозначно определяемая всеми остальными цифрами номера карты. Таким образом, как правило, только 7 цифр номера карты являются независимыми переменными. Остальные цифры определены платежной системой и банком-эмитентом. Эти цифры не являются конфиденциальными, хотя бы потому, что содержатся в множестве различных таблиц, доступных широкому кругу специалистов. Кроме того, чтобы выяснить значения зависимых переменных номера карты, мошеннику достаточно получить для себя в интересующем его банке пластиковую карту. С учетом того, что средний банк выпускает под одним префиксом (первые 8-11 цифр карты) 50.000-500.000 карт, легко видеть, что, если банк генерирует номер карты по случайному закону, то плотность заполнения пространства возможных номеров карт (верхняя граница отношения количества выпущенных карт ко всему возможному множеству значений номера карты) составит 0,005-0,05. С учетом числа различных вариантов срока действия карты получается, что мошеннику требуется перебрать порядка 500-5000 различных вариантов параметров карты для достижения своей цели. Очевидно, такая задача является вполне решаемой с учетом того, что мошенник имеет возможность направить авторизационные запросы одновременно в достаточно большое количество Интернет-магазинов. Иногда помимо номера карты и срока ее действия требуется дополнительно сообщить торговому предприятию специальный цифровой код, называемый в системе VISA СVV2, а в системах Europay/MasterCard - CVC2. Этот цифровой код состоит из трех десятичных цифр, которые печатаются методом индент-печати на оборотной стороне карты на панели подписи сразу вслед за номером карты, и получается с помощью специального открытого алгоритма, применяемого к таким параметрам карты, как номер карты и срок ее действия. Алгоритм базируется на применении алгоритма шифрования DES (см. далее) и использует пару секретных ключей, известных только эмитенту карты. Таким образом, зная номер карты и срок ее действия, вычислить цифровой код без знания секретных ключей невозможно. С 1 апреля 2001 г. в платежных системах Europay и MasterCard обслуживающие банки обязаны вставлять в авторизационные запросы для транзакций Cardholder Not Present значения CVC2. При этом, к сожалению, далеко не все эмитенты к этому моменту будут способны верифицировать полученные значения кода в своих системах (сегодняшние оценки показывают, что когда обслуживающий банк передает в сеть значение цифрового кода CVC2/CVV2, лишь примерно в 30% случаев эмитент проверяет этот параметр). Из-за того, что сегодня практически всегда (случай использования протокола SET не рассматривается) ответственность за мошенничество по транзакции ЭК лежит на обслуживающем банке, некоторые эмитенты, даже определив, что значение цифрового кода неверно, дают положительный ответ (Approval) на авторизационный запрос. Отметим, что использование цифрового кода CVV2/CVC2 в некоторой степени поможет борьбе с мошенничествами в ЭК, но не решит проблемы в целом. Действительно, несмотря на то, что применение этого кода потребует от мошенника знания еще трех дополнительных цифр, сам код является статической информацией и, следовательно, рано или поздно попадет в руки мошенников теми же способами, что и номер карты. Отметим также, что существует еще один способ повышения безопасности транзакции ЭК - использование метода VISA Address Verification System (AVS). Суть метода состоит в следующем. ТП запрашивает у клиента параметр Cardholder Billing Address (адрес клиента, по которому он получает из своего банка-эмитента так называемые стейтменты, отчет о транзакциях, совершенных клиентом по своей карте в течение некоторого периода времени), который направляется в авторизационных запросах банку-эмитенту владельца карты для верификации. Для того, чтобы метод AVS можно было применять, необходимо, чтобы параметр Cardholder Billing Address поддерживался в авторизационных запросах, передаваемых обслуживающим банком эмитенту карты. До последнего времени метод AVS поддерживался в системе VISA только американскими банками. С 15 мая 2001 г. система VISA предлагает банкам на опционной основе внедрить специальные изменения в авторизационных запросах обслуживающего банка с целью поддержки метода AVS (VISA International Address Verification System). Технология AVS уже несколько лет успешно используется на американском рынке пластиковых карт. С апреля 2001 г. метод AVS является обязательным для банков в Великобритании. У метода AVS два недостатка. Во-первых, он, также как и метод проверки CVC2/CVV2 является статическим и, следовательно, попадание в руки мошенников нового параметра является лишь вопросом времени. Во-вторых, этот метод поддерживается только системой VISA, и хотя на долю этой платежной системы в мире приходится более 50% всех транзакций ЭК, это все-таки не весь рынок платежей в Интернете. Другими словами, метод AVS не является на сегодняшний день универсальным.