В сфере платежных карт прогресс стимулировали мошенники | RusCreditCard.ru

В сфере платежных карт прогресс стимулировали мошенники

В сфере платежных карт прогресс стимулировали мошенники

Говорят, двигатель прогресса — лень, но в сфере платежных карт прогресс осуществлялся в основном под давлением мошенников. Если банки начинали терять больше 10 центов с каждых 100 долларов оборота по картам, происходил качественный скачок в развитии технологий.
Пластиковыми картами я начал заниматься в 1994 году, когда стал директором по развитию STB CARD. Сразу после прихода в компанию в качестве первоочередных задач, требующих оперативного решения, я для себя определил следующие.
Во-первых, необходимо было произвести перенос проверки PIN-кодов держателей карт из банкоматов на хост процессингового центра (ПЦ). Наверное, в это сегодня трудно проверить, но из-за проблем с получением криптографического модуля для ПЦ (существовала проблема с получением разрешения в Госдепартаменте США) — святая святых эмиссии карт — ключи для генерации PIN-кодов хранились в HSM (host security module) каждого банкомата, благо банкоматов было всего несколько десятков.
Во-вторых, требовалось организовать защищенный документооборот между банками, платежной системой STB и ПЦ. Для этого нужно было обеспечить аутентификацию источника информации, конфиденциальность и целостность данных, циркулирующих между ПЦ и банками, а также нотаризацию информационного обмена на случай, когда один из участников документооборота отказывается от авторства некоторых своих сообщений.
Кроме того, необходимо было создать сеть X.25 для подключения банкоматов и POS-терминалов. Банкоматы в то время подключались по выделенным каналам напрямую к ПЦ.
Уже по списку стоявших передо мной задач стало понятно, какую роль в карточных технологиях играют вопросы безопасности. Сегодня, оглядываясь назад, я могу уверенно утверждать, что история развития карточных технологий — это в значительной степени история развития технологий, направленных на повышение безопасности карточных операций.
Щит и меч
Мошенники всегда чуть опережали карточные технологии, и разработчикам последних приходилось выступать в роли догоняющих. Связано это, конечно, вовсе не с тем, что карточные специалисты глупее. Проблема в том, что платежные карты — это в первую очередь бизнес, поэтому меры противодействия вводились с соблюдением принципа минимальной достаточности для обеспечения безопасности, но максимальной необременительности с финансовой точки зрения.
Например, в середине 1990-х годов стало понятно, что фрод вида «поддельные карты» достиг уровня, угрожающего основам бизнеса пластиковых карт. Действительно, в то время достаточно было знать только два реквизита карты — ее номер и срок действия, чтобы воспроизвести магнитную полосу карты. Выяснить эти реквизиты нетрудно — они эмбоссируются на карте. А можно было попробовать их угадать, поскольку номера карт генерировались с помощью ограниченного набора программ.
Для борьбы с поддельными картами были введены величины CVC/CVV, наносимые на магнитную полосу карты, поэтому визуально определить их стало невозможно. Значения этих величин зависели от номера карты, срока ее действия и кода обслуживания и вычислялись с помощью криптографического преобразования, в котором использовался секретный ключ эмитента карты. Таким образом, угадать величину CVC/CVV оказалось непросто — в общем случае требовался полный перебор значений, требующий рассмотрения 1000 вариантов. Чтобы считывать значение CVC/CVV, мошенникам понадобились специальные устройства (скиммеры), способные читать и запоминать содержимое магнитной дорожки карты.
Тогда же ведущие международные платежные системы (МПС) пришли к выводу, что для дальнейшей борьбы с поддельными картами необходимо переходить на радикально новую технологию — технологию микропроцессорных карт.
Чиповые карты радикальным образом повышают безопасность операций, обеспечивая не только физическую защиту данных, хранимых на карте, но и достоверную аутентификацию карты терминалом и/или эмитентом карты. Также они гарантируют конфиденциальность и целостность чувствительных данных в диалогах «эмитент—карта» и «терминал—карта», позволяют проводить достоверную двухфакторную аутентификацию держателя карты в операциях повышенного риска (например, в card-not-present-операциях) и обладают еще целым рядом других возможностей.
В 1996 году совместными усилиями платежных систем Europay, MasterCard и Visa был создан стандарт EMV, ставший прообразом стандартов VIS и M/Chip, применяемых в платежных системах Visa и MasterCard соответственно.
Принуждение к чипу
В новом тысячелетии МПС стали предпринимать энергичные усилия по стимулированию банков к миграции на технологию микропроцессорных карт. Были введены внутрирегиональные сдвиги ответственности, в соответствии с которыми, если в терминальном устройстве обслуживается микропроцессорная карта, но устройство не поддерживает работу с ними, то ответственность за мошенничество вида «поддельные карты» возлагается на обслуживающий банк.
Сейчас внутрирегиональные сдвиги ответственности постепенно начинают приобретать межрегиональный характер. В результате только в России по состоянию на 2010 год примерно 35% всех карт и 65% POS-терминалов поддерживают технологию чиповых карт. В Европе эти показали еще выше.
При этом влияние миграции на повышение безопасности карточных операций очевидно. Это хорошо видно на примере Великобритании, регулярно публикующей данные по мошенничеству, совершенному по картам английских банков. Великобритания одной из первых стран перешла на новую технологию. В 2006 году большинство карт и терминалов поддерживали новую технологию, а уровень мошенничества стал неуклонно снижаться.
Например, за первое полугодие 2010 года уровень мошенничества упал на 20% по сравнению с аналогичным периодом 2009 года. И это при том что оборот по картам за тот же период вырос примерно на 15%. А объем мошенничества по поддельным картам в сравнении с аналогичным периодом 2006 года упал в абсолютном выражении почти в два раза!
В России первая EMV-транзакция в системе MasterCard была выполнена по карте английского банка в 2001 году в устройстве банка «Первое ОВК». Все это делалось через процессинговый центр STB CARDa, поэтому в реализации этого проекта я принимал непосредственное участие. Примерно в это же время операции по микропроцессорным картам в системе Visa запустил Автобанк. Однако массово эмитировать в нашей стране микропроцессорные карты в тот момент было делом бессмысленным. Более 90% всех карт были зарплатными, а уровень мошенничества по российским картам колебался между 1 и 5 базисными пунктами, то есть был значительно ниже среднемирового значения (около 10 базисных пунктов).
Но МПС оказывали на банки давление, убеждая их мигрировать на чип. Кто-то поддавался агитации и соблазнялся посулами от мировых карточных гигантов, кто-то их игнорировал. Припоминаю такой любопытный случай.
В конце 2002 года проходил очередной карточный форум «Интеллектуальные карты России». Я на нем выступал в качестве генерального директора процессинговой компании STB CARD и собирался доказать, что массовая миграция российских банков на EMV в то время была бы экономически бессмысленна. Подчеркну, что речь шла именно о массовой эмиссии. В докладе говорилось, что банкам целесообразно начинать эмитировать некоторые карточные продукты (в первую очередь кредитные карты премиум-класса) на чиповой технологии. Кроме того, имело смысл начинать работы по поддержке чипа, но не более того.
При подготовке к выступлению возникла идея продемонстрировать факт того, что микропроцессорные карты того времени тоже клонируются для дальнейшего использования в офлайновом режиме. «Жертвой» мог стать руководитель московского офиса Visa, выступавший на форуме до меня.
Я задумал попросить у уважаемого господина его карту, которая с вероятностью близкой к единице была бы SDA-картой (почти все карты английских банков того времени были SDA-картами). Затем я бы вставил ее в наш электронный терминал и выпол какую-нибудь транзакцию. Далее сохраненные на терминале данные о карте были перенесены на РС, который по ним сформировал бы персональные данные для поддельной микропроцессорной карты. А уже эти данные стали бы исходными для программатора выбранной нами микросхемы. Что самое главное: и микросхемы, и программатор имелись в свободной продаже и могли быть приобретены через Интернет, причем весь комплект стоил какие-то смешные деньги. В общем, в результате коротких манипуляций я бы получил микропроцессорную карту на белом пластике и совершил бы по ней успешную операцию в офлайновом режиме, не зная PIN-кода держателя карты.
Но я все-таки не стал тогда демонстрировать банкам, как клонируются микропроцессорные карты со статической аутентификацией. Моего выступления и без этой демонстрации хватило с лихвой, чтобы вызвать гнев руководства московского офиса Visa. Банк «Первое ОВК», работавший через STB CARD, получил письмо, в котором Visa выясняла, хочет ли банк мигрировать на чип в соответствии со своей заявкой в этой платежной системе или нет. Потому что если хочет, то как тогда объяснить выступление генерального директора процессингового центра банка на том форуме?!
Несмотря на вышесказанное, появление микропроцессорных карт стало главным событием в индустрии пластиковых карт нескольких последних десятилетий. Оно коренным образом изменило ситуацию с карточным мошенничеством для так называемых face-to-face-транзакций, в которых в точке продажи находится карта и представитель обслуживающего банка (продавец в магазине во время проведения операции по карте тоже может считаться представителем обслуживающего банка), и card-activated-транзакций, когда в точке продажи присутствует карта, но нет представителя банка.
Тем не менее присутствие карт с магнитной полосой все еще велико, поэтому старые виды мошенничества продолжают существовать и развиваться. В частности, приобретает новые формы скимминг. Наибольшая угроза исходит от так называемого банкоматного скимминга, когда для записи данных магнитной полосы карты, а также компрометации PIN-кода на банкомате устанавливаются накладной ридер и накладная клавиатура/видеокамера. Известны случаи, когда для кражи карточных данных применялось специальное вредоносное ПО.

ЗНАЧИМЫЕ СОБЫТИЯ В ОБЛАСТИ РАЗВИТИЯ ТЕХНОЛОГИЙ ПЛАСТИКОВЫХ КАРТ НАЧИНАЯ С СЕРЕДИНЫ 1990-Х ГОДОВ
1. Ввод величин CVC/CVV, записываемых на магнитную полосу карты, с целью борьбы с поддельными картами.
2. Появление стандарта EMV для микропроцессорных карт.
3. Ввод величин CVC2/CVV2, записываемых на панели подписи на обратной стороне карты, с целью борьбы с CNP-мошенничеством.
4. Появление стандарта SET для безопасной обработки операций электронной коммерции (ЭК).
5. Замена криптографического алгоритма DES на 3DES в среде обслуживания банковских карт (процессинговые центры, банкоматы, POS-терминалы).
6. Появление стандарта 3D Secure как базового протокола МПС для безопасной обработки операций ЭК (Verified-by-Visa, MasterCard SecureCode).
7. Появление стандартов MasterCard Chip Authentication Program и Visa Dynamic Passcode (в действительности, это один стандарт CAR разработанный MasterCard и одобренный Visa) для генерации одноразовых динамических паролей держателя микропроцессорной карты. Стандарты применяются для двухфакторной аутентификации держателя в операциях ЭК, для доступа к услугам Интернет-банка, телефонного банка и т.п.
8. Миграция с Х.25, ХЗ/Х.28 на протокол IP для подключения к МПС, а также подключения терминальных устройств к процессинговым центрам.
9. Появление операций денежных переводов с карты на карту (MasterCard MoneySend и Visa Money Transfer).
10. Появление стандартов для бесконтактных платежей MasterCard PayPass и Visa payWave;
11. Ввод аналогов величин CVC/CVV для бесконтактных операций — CVC3 и dCVV, — представляющих собой динамические криптографические величины, обеспечивающие надежную аутентификацию приложения карты.
12. Ввод аналогов величин CVC/CVV для объекта данных Track 2 Equivalent Data приложений M/Chip4 и VSDC — Chip CVC и iCVV — с целью борьбы с поддельными картами (клонированием микропроцессорной карты по магнитной полосе).
13. Появление и внедрение (в рамках программ MasterCard Site Data Protection и Visa Account Information Security) стандарта PCI DSS, формирующего требования к информационным системам банков, третьесторонних процессоров, торговых точек, систем хранения данных, направленных на снижение вероятности компрометации карточных данных в процессе их обработки, хранения и передачи.
14. Появление и внедрение стандарта PCI PA DSS, формулирующего требования к прикладному программному обеспечению, используемому для обработки, хранения и передачи карточных данных.
15. Появление и внедрение стандарта PCI PTS, формулирующего требования к устройствам ввода PIN-кода, используемым в терминалах, принимающих карты.
16. Отказ в Европе от fallback на магнитную полосу в банкоматных операциях.
17. Обязательное использование PINpad для POS-терминалов с целью предоставления возможности эмитентам обеспечить надежную аутентификацию своих клиентов.
18. Обязательная поддержка CDA в POS-терминалах (в MasterCard).
19. Переход на эмиссию карт, поддерживающих динамическую аутентификацию (отказ от SDA-карт);
20. Поддержка со стороны эмитента карт Maestro/Cirrus и обслуживающего банка операций смены PIN-кода и получения информации об остатке на счете.
Трехмерная безопасность
В то же время влияние микропроцессорных карт на безопасность операций card-not-present (CNP) все еще невелико. Нужно сказать, что Интернет буквально ворвался в бизнес пластиковых карт в конце 1990-х годов. И сколько мы ни убеждали представителей наших банков в том, что это крайне рискованный вид операций, пока бизнес не обжегся на фроде, количество обслуживаемых онлайновых магазинов росло как снежный ком. В 1999 году количество операций электронной коммерции (ЭК) через STB CARD составляло около 10% всего транзакционного трафика, доходя до 40 тыс. в день!
Из-за высокого риска, связанного с операциями ЭК (как и других CNP-операций, к которым кроме ЭК относятся транзакции mail order/telephone order и рекуррентные платежи), МПС ввели для них следующие правила: все CNP-операции могут выполняться только в онлайновом режиме и только по кредитным картам, а вся ответственность за фрод возлагалась на обслуживающий банк (а не эмитента, как обычно), который, в свою очередь, переносил эту ответственность на обслуживаемые им интернет-магазины и держал у себя значительные страховые депозиты, способные компенсировать потенциальные потери банков от мошенников.
Уровень мошенничества по транзакциям ЭК был безумно высоким. В США в 2001 году он превышал 100 базисных пунктов, то есть потери были больше доллара на 100 долларов оборота, что на порядок выше потерь от мошенничества в обычном физическом мире. Были случаи, когда зарубежные банки разорялись в результате мошенничества в сфере электронной коммерции. МПС еще больше ужесточали требования к обслуживающим банкам — например, на каком-то этапе для получения права на обслуживание ЭК требовалось дополнительное разрешение МП (помимо лицензии на торговый эквайринг).
Впрочем, международные платежные системы для улучшения ситуации с фродом в электронной коммерции действовали не только путем наказаний. Так, в 1998 году появились спецификации на протокол защищенной электронной коммерции SET (secure electronic transaction). Это был очень надежный защищенный протокол, удовлетворяющий всем требованиям МПС к безопасности ЭК.
Однако в силу сложности внедрения (требовалась загрузка и настройка ПО на компьютере держателя карты, протокол базировался на использовании инфраструктуры PKI) и дороговизны реализующих его программных средств (около 1,5–2 млн долларов), протокол SET так и не получил своего распространения и в результате был заменен менее сложным и безопасным протоколом 3D Secure.
Протокол 3D Secure сегодня — основной протокол ЭК в платежных системах MasterCard и Visa. Только при поддержке этого протокола интернет-магазином МПС восстанавливают нормальное распределение ответственности, при котором ответственность за фрод несет эмитент. Долгое время только при использовании этого протокола разрешались операции по дебетовым картам (сейчас МПС разрешают операции ЭК по дебетовым картам и без использования 3D Secure).
В результате почти десятилетней истории внедрения 3D Secure в Европе 35% всех операций ЭК выполняются с его использованием. Правда, эффективность протокола оказалась ниже ожидавшейся — применение 3D Secure позволило уменьшить фрод в два раза, а не в пять, как предполагалось. Это объясняется неудовлетворительными процедурами регистрации держателей карт на программу 3D Secure, принятыми в ряде банков, а также использованием статических паролей для аутентификации держателя карты. Сегодня «дорожная карта» МПС — внедрение одноразовых динамических паролей для аутентификации покупателя.
Стоит заметить, что пока международные платежные системы определялись с протоколом для ЭК, в STB CARD был разработан свой протокол, называвшийся ПИН2. Придумали алгоритм, который, как потом оказалось, стал предтечей протокола MasterCard SPA UCAF. ПИН2 использовался для аутентификации держателей карт вплоть до прекращения существования платежной системы STB.
Карты. Итоги. Десять лет
Самым значимым событием последнего десятилетия с точки зрения борьбы с карточным мошенничеством стало появление в 2006 году стандарта PCI DSS. По данным за II квартал 2009 года 75% всего карточного мошенничества в мире и 83% в Европе приходились на два вида мошенничества — поддельные карты и CNP-фрод. В основе обоих видов лежит кража карточных данных.
По объему ущерба эти два канала соизмеримы. Количество скомпрометированных карт через первый канал больше, но при банкоматном скимминге мошенникам становятся известны и PIN-коды, что облегчает использование украденных данных.
Для борьбы с кражей данных из информационных систем банков и был изобретен стандарт PCI DSS, который сегодня обязателен для банков, торговых предприятий и третьесторонних процессоров.
Подытоживая, могу сказать, что технологии карточной безопасности прошли большой путь и в начале второго десятилетия двадцать первого века эта безопасность держится на двух столпах: технологии микропроцессорных EMV-карт и протоколе 3D Secure с одноразовыми паролями для CNP-операций. Для борьбы с «краевыми» эффектами в период, когда миграция на эти базовые безопасные технологии не завершена, используются системы мониторинга и контроля транзакций, стандарты PCI и т.п. Миграция будет продолжительной и займет еще 10–15 лет. Поэтому и стандарт PCI DSS будет оставаться актуальным долгое время.

(с)bankir.ru


Опубликовано 10 лет назад

Похожие записи

Добавить комментарий

©2012-2021, ruscreditcard.ru | Mail: ruscreditcard@ya.ru | About site

Yandex.Metrika