Розділ 9. Неторгові операції

8. Магнітна смуга може відчуватись на дотик на межі смуги і картки, оскільки часто просто наклеюється зверху, а не впаюється в поверхню. Дані магнітної смуги можуть не відповідати ембосуванню (наприклад, не співпадають номер картки і прізвище держателя, зчитані з магнітної смуги і надруковані на чехові (екрані терміналу) з нанесеними на лицьову сторону картки).

9. Торцева частина картки не білого кольору.

10. Можлива невідповідність найменування банку на лицьовій і зворотній стороні картки. Яким же чином банки емітенти, еквайєри і процесори можуть підвищити ефективність захисту? Розглянемо технічні методи і рішення, що довели свою ефективність на практиці.

1. Метод використовування на банкоматах спеціальних сенсорів. На конференції ATM Security Conference, що проходила недавно в Лондоні, компанія-виробник банкоматів Wincor Nixdorf, була удостоєна нагороди в області забезпечення безпеки прийому карт в банкоматі -"Best ATM Security Technology".

Високе визнання з боку асоціації виробників пристроїв самообслуговування - ATM Industry Association - Wincor Nixdorf одержала за свої розробки у області забезпечення захисту від скімінга (skimming). Wincor Nixdorf вдалося розв'язати цю проблему завдяки установці спеціальних сенсорів на блоці-считувачі банкомату. При виявленні чужорідного пристрою на картрідері, банкомат самостійно ухвалює рішення про припинення прийому карт.

Схоже рішення пропонує інший найбільший виготівник банкоматів - Компанія Diebold, Incorporated - будучи елементом банкомату Diebold S.A.F.E. (Secure Anti-Fraud Enhanced) ATM (TM), детектор використовує складний запатентований алгоритм виявлення, що дозволяє датчику розпізнавати різні види скімерів, чинники навколишнього середовища і дії утримувача карти і знижувати вірогідність помилкової тривоги. Як пояснив Кен Джастіс (Ken Justice), віце-президент Diebold, коли скімер закріплюють на банкоматі, новий детектор посилає сигнал тривоги, який фінансові організації можуть переправити або в систему охорони відділення, або в систему моніторингу мережі банкоматів.

2. Метод використовування чипової (EMV), або мікропроцесорної технології.

На сьогоднішній день на одну ЕМ V (чипову) карту доводиться в середньому 7-8 звичних магнітних карт, і це співвідношення поступово скорочується. Річ у тому, що карта з мікропроцесором дозволяє банку реалізувати додаткові можливості такої карти (розміщення на чипі різних додатків і послуг). У свою чергу клієнт одержує універсальний платіжний засіб з високим ступенем захисту, об'єднуюче в собі комплекс послуг, якими банк може доповнити таку карту. Стримуючим чинником в розвитку мікропроцесорних карт є їх собівартість, яка в кілька разів вище, ніж у звичних магнітних карт, проте переваги чипових карт перед магнітними очевидні, і все більше банків віддають переваги мікропроцесорним картам. Основною перевагою EMV карти є високий захист від підробки і, відповідно, від здійснення шахрайських операцій за рахунок вбудованого чипа, що за своєю суттю є мікрокомп'ютером. Крім цього, чипова карта багатофункціональна і дозволяє банку-емітенту понизити телекомунікаційні витрати за рахунок можливості роботи з картою в режимі оффлайн, а також ефективніше реалізовувати як додатки - додаткові послуги для утримувача карти (накопичення бонусів, оплата проїзду в транспорті, телефонні переговори, соціальні програми і інше).

Внаслідок цього можна зробити оптимістичний прогноз про подальший розвиток чипових технологій у сфері банківських карт і поступовій відмові банків від роботи із звичними картами з магнітною смугою. Мікропроцесорна карта володіє рядом доповнень і дозволяє об'єднати в собі одночасно декілька карт (дисконтну, бонусну, страховий поліс, ідентифікаційний документ і інше), а також має вищий ступінь захисту від несанкціонованого доступу і злому в порівнянні з магнітною картою.

Призначення зарплатних, кредитних і дебетових карт залишається колишнім і може розрізнятися лише кількістю додаткових послуг, "прив'язаних" до чипових карт.

Собівартість чипової карти в кілька разів вище, ніж магнітної (2-2,5 долари за чипову проти 0,5-1 долари за магнітну). Але вища собівартість чипової карти покривається її перевагами. В першу чергу - це вищий ступінь захищеності від підробки, злому і несанкціонованого доступу. Можливість реалізації додатків на чипі також є аргументом на користь такої карти.

Так, В Тайвані невеликий банк привернув в свій "чіповий" проект мережу магазинів і бензоколонок. Людина, заправляючи машину, одержує бонусні бали, які отоварює тут же в кафетерії. І навпаки, скоюючи покупки, одержує в подарунок безкоштовний бензин, який тут же заливає на автозаправці. Наскільки це сподобалося споживачу, підтверджують цифри: випущено 600 тис. карт, програма працює в 4.5 тис. торгових точок, обороти яких виросли за рік на 500%.

Слід зазначити, що МПС Visa International посилює вимоги до банків-сквайєрів, направлених на впровадження повсюдної підтримки обслуговування чипових (EMV) карт. Дана вимога може для банку-еквайєра відобразитися збитками, покладеними на нього МПС по фактах шахрайства, зв'язаного з скімінгом чипових карт, якщо їх обслуговування банком-еквайєром було проведене в банкомата не по чипу, а по магнітній смузі і банкомат, обслуговуючий таку карту, не підтримує функцію зчитування чипа.

3. Метод використовування технології SMS-повідомлення, Використовування технології SMS-повідомлення утримувачів карт про авторизації транзакцій. Метод вельми ефективний, оскільки клієнт банку фактично сам забезпечує моніторинг власних (або нелегальних) дій з своїми картами. До недоліків можна віднести те, що, як правило, доставка SMS не гарантована за часом, можуть виникнути проблеми з отриманням SMS в роумінгу. Крім того, клієнт не може бути примусово підписаний на таку послугу.

4. Метод використовування спеціальних програмних систем Fraud-моніторингу. Використовування спеціальних програмних систем Fraud-моніторингу (виявлення шахрайства) і аналізу транзакцій. Сьогодні багато відомих постачальників комплексних рішень для процесінгу банківських карт мають в своєму арсеналі системи і модулі, що забезпечують виявлення шахрайських транзакцій. Серед них такі відомі бренди, як АСІ Worldwide, Card Tech Limited, Open Way Group, TietoEnator і інші. І дійсно, компанія, яка не може забезпечити даної функціональності хоча б в мінімальному об'ємі, сьогодні не може претендувати на серйозних клієнтів. Системи Fraud-моніторингу і аналізу досить сильно відрізняються по архітектурі рішень. їх можна розділити на два класи: online і offline.

Online системи (як правило, модулі, вбудовані в авторізатори) забезпечують аналіз транзакцій у реальному часі і базуються на даних процесингової системи. Offline (точніше буде сказати quasi-Online) системи аналізують транзакції після їх завершення і, найчастіше, імпортують їх у власні бази даних.

Компанія "Compass Plus" дотримується компромісної точки зору. По справжньому комплексна система повинна володіти простим і легким інструментом для здійснення миттєвого аналізу в процесі авторизації, а також могутньою і гнучкою системою обробки даних в offline. Саме за таким принципом побудована архітектура програмних продуктів компанії. Спеціальний додаток модуля Algorithmix, що входить до складу фронтальної системи TranzWare Online (TWO), містить мінімальний набір правил, необхідний і достатній для швидкої перевірки транзакції безпосередньо в процесі її авторизації/маршрутизації і, при необхідності, автоматичного вживання превентивних заходів (відмова в авторизації, блокування карти і т.п.). Більш того, система дозволяє як модифікувати, так і додавати власні правила - головне тут не "перегнути палицю" і не блокувати основний процес авторизації. Окремий додаток TranzWare Fraud Analyzer (TWFA), що працює по відношенню до TWO в quasi-

Online режимі, з періодом в декілька хвилин завантажує транзакції у власне сховище і проводить їх обробку.

5. Метод використовування технології мобільного підпису. Фінська компанія Valimo Wireless представила технологію мобільного підпису, де мобільний теле4юн застосовується як окремий канал для посилення безпеки транзакцій в банкоматах. По кожній транзакції на базі магнітної смуги в банкоматі утримувач карти одержує на мобільний телефон запит на підпис з вказівкою суми і розташування апарату. Потім власник карти відправляє мобільний підпис по мобільній мережі. Це дозволяє банківській системі визначити, чи є запит на зняття готівки справжнім, і зареєструвати підтвердження транзакції утримувачем карти. Не дивлячись на широке застосування аутентифікації на базі чипів, шахрайські транзакції по скопійованих і клонованих банківських і кредитних картах як і раніше залишаються типовою проблемою.

У доповіді також наголошується, що "... основним недоліком багатьох банкоматів з функцією прийому чипових карт, є опція автоматичного "переходу" на магнітну смугу у випадку, якщо чипа немає, або він не читається... Враховуючи, що банкомати в багатьох країнах (не в останню чергу і в США) не працюють з чипами, то магнітна смуга в найближчому майбутньому нікуди не подінеться. Тріумф зручності над безпекою приносить свої плоди".