На протяжении многих лет мошенничество с кредитными картами было излюбленным методом мошенников, стремящихся извлечь выгоду из украденной идентификационной информации. Легкость, с которой преступник может использовать информацию о карте жертвы, и повсеместная доступность украденных данных карты сделали мошенничество с кредитными картами самым простым и наименее рискованным вариантом для среднестатистического преступника.
Но ситуация меняется. США были последними из крупных рынков, которые перешли на протоколы безопасности кредитных карт EMV. Большая часть мира, включая Европу и Азиатско-Тихоокеанский регион, уже много лет использует европейскую систему Mastercard-Visa (EMV). Это означает, что большая часть инноваций и адаптации, необходимых преступникам для работы в новой среде EMV в США, уже разрабатывается и используется по всему миру в течение многих лет.
Одним из очень очевидных изменений в поведении мошенников стало неуклонное увеличение случаев захвата учетных записей и мошенничества с использованием учетных приложений, двух видов так называемого “удаленного мошенничества”, поскольку преступления часто совершаются онлайн и / или по телефону.
В первой половине 2015 года наблюдался ажиотаж в создании мошеннических учетных записей, о чем свидетельствует почти 100%-ный рост подобных событий только за первые два квартала года. С апреля по июнь 2015 года из более чем миллиарда созданных финансовых счетов почти 50% были помечены как мошеннические. Это огромный скачок по сравнению с 28%, наблюдавшимися в первом квартале 2015 года. Считается, что этот значительный рост стал результатом желания мошенников воспользоваться окончанием периода дебетовых и кредитных карт с предварительной поддержкой чипов перед переключением EMV.
Однако, несмотря на крайний срок соблюдения требований EMV в США до 1 октября 2015 года, “старомодный” метод мошенничества, заключающийся в простом использовании существующей (украденной) кредитной карты, продолжает процветать. Это результат поэтапного и неравномерного внедрения технологии, совместимой с EMV, в транзакционной среде США. Хотя крайним сроком перехода был октябрь этого года, не все торговые точки обновились, и широко распространено непонимание того, как работает новая технология и почему происходит конверсия.
Поскольку недавно выпущенные кредитные карты EMV в США по-прежнему совместимы со старыми системами магнитного свайпа, продавцы, продолжающие использовать старые системы, по-прежнему подвергаются тому же мошенничеству, что и до перехода. Однако ответственность продавца за это мошенничество значительно возросла в результате новых правил, связанных с крайним сроком EMV. Путаницу усугубляет то, что некоторые эмитенты карт решают поэтапно ввести соответствие PIN-коду, поскольку это не было предусмотрено крайним сроком в октябре 2015 года. Без PIN-кода этим картам EMV требуется гораздо менее надежная подпись для авторизации транзакции, что лишает карту защиты двухфакторной аутентификацией.
Хотя рынок США имел преимущество в том, что мог наблюдать за европейскими аналогами, когда они менялись за последние пять-десять лет, возможно, слишком рано думать, что, поскольку американский рынок торговых услуг достаточно развит, он не увидит такого же коррелированного увеличения мошенничества с захватом учетных записей и мошеннического создания учетных записей, которое произошло на других рынках, где произошел переход на EMV. Эта схема подтвердилась на каждом рынке, где ранее осуществлялся переход на карты с поддержкой чипов.
Например, современные покупатели требуют удобства и регулярно совершают покупки на нетрадиционных платформах. Многие покупатели чувствуют себя в большей безопасности, используя мобильные кошельки, такие как PayPal, Android Pay и ApplePay, для совершения онлайн-покупок, поскольку при этом им не требуется передавать поставщику свои персональные данные. Однако, если методы регистрации, аутентификации и защиты информации платежного сервиса ошибочны, то мобильный кошелек небезопасен. Что, если похититель личных данных сможет настроить цифровой кошелек, успешно имитируя человека, чьи данные он украл? У этого вора теперь есть доступный способ оплаты, который вообще не требует предъявления удостоверения личности, независимо от того, где он его использует.
Удаленное мошенничество также может стать проблемой на популярных социальных сайтах, таких как Pinterest и Instagram, которые предоставляют рекламу с акциями “нажми, чтобы купить”. Использование этих функций потребителями приводит к тому, что их учетные данные передаются и используются несколькими поставщиками, мерчантами и не только, на маркетинговые платформы и другие партнерские сайты.
Удовлетворяют ли розничные продавцы постоянно растущую потребность потребителей в удобстве? Абсолютно.
Однако мерчантам и вендорам, использующим подобные схемы, следует – более чем вероятно - рассматривать свой бизнес не как чисто розничный, а скорее как некую новую форму гибрида ритейлера и финансового учреждения. Таким образом, этим фирмам следует подумать об их “знай своего клиента” [KYC] и альтернативных процессах обнаружения кражи личных данных. Эти процессы должны быть направлены на достоверную идентификацию клиента - не только для определения “кто они?”, но и “подключены ли они к учетной записи?”. Если продавцы не смогут эффективно ответить на эти вопросы, они оставят себя и своих клиентов восприимчивыми к опасным нарушениям безопасности и дорогостоящему мошенничеству - и регулирующие органы потенциально могут привлечь их к финансовой (или уголовной) ответственности.
Но ситуация меняется. США были последними из крупных рынков, которые перешли на протоколы безопасности кредитных карт EMV. Большая часть мира, включая Европу и Азиатско-Тихоокеанский регион, уже много лет использует европейскую систему Mastercard-Visa (EMV). Это означает, что большая часть инноваций и адаптации, необходимых преступникам для работы в новой среде EMV в США, уже разрабатывается и используется по всему миру в течение многих лет.
Одним из очень очевидных изменений в поведении мошенников стало неуклонное увеличение случаев захвата учетных записей и мошенничества с использованием учетных приложений, двух видов так называемого “удаленного мошенничества”, поскольку преступления часто совершаются онлайн и / или по телефону.
В первой половине 2015 года наблюдался ажиотаж в создании мошеннических учетных записей, о чем свидетельствует почти 100%-ный рост подобных событий только за первые два квартала года. С апреля по июнь 2015 года из более чем миллиарда созданных финансовых счетов почти 50% были помечены как мошеннические. Это огромный скачок по сравнению с 28%, наблюдавшимися в первом квартале 2015 года. Считается, что этот значительный рост стал результатом желания мошенников воспользоваться окончанием периода дебетовых и кредитных карт с предварительной поддержкой чипов перед переключением EMV.
Однако, несмотря на крайний срок соблюдения требований EMV в США до 1 октября 2015 года, “старомодный” метод мошенничества, заключающийся в простом использовании существующей (украденной) кредитной карты, продолжает процветать. Это результат поэтапного и неравномерного внедрения технологии, совместимой с EMV, в транзакционной среде США. Хотя крайним сроком перехода был октябрь этого года, не все торговые точки обновились, и широко распространено непонимание того, как работает новая технология и почему происходит конверсия.
Поскольку недавно выпущенные кредитные карты EMV в США по-прежнему совместимы со старыми системами магнитного свайпа, продавцы, продолжающие использовать старые системы, по-прежнему подвергаются тому же мошенничеству, что и до перехода. Однако ответственность продавца за это мошенничество значительно возросла в результате новых правил, связанных с крайним сроком EMV. Путаницу усугубляет то, что некоторые эмитенты карт решают поэтапно ввести соответствие PIN-коду, поскольку это не было предусмотрено крайним сроком в октябре 2015 года. Без PIN-кода этим картам EMV требуется гораздо менее надежная подпись для авторизации транзакции, что лишает карту защиты двухфакторной аутентификацией.
Хотя рынок США имел преимущество в том, что мог наблюдать за европейскими аналогами, когда они менялись за последние пять-десять лет, возможно, слишком рано думать, что, поскольку американский рынок торговых услуг достаточно развит, он не увидит такого же коррелированного увеличения мошенничества с захватом учетных записей и мошеннического создания учетных записей, которое произошло на других рынках, где произошел переход на EMV. Эта схема подтвердилась на каждом рынке, где ранее осуществлялся переход на карты с поддержкой чипов.
Мошенничество с удаленной идентификацией имеет много граней
Удаленное мошенничество с личными данными может происходить в самых разных вариантах.- Мошенничество с захватом аккаунта — если мошенник не может использовать украденные данные кредитной карты, он может вместо этого использовать чьи-либо идентификационные данные. Он может сделать это, собрав личную информацию (PII) о жертвах мошенничества, чтобы имитировать их. Затем он может использовать эти данные для подбора паролей или запроса сброса пароля и получить доступ к данным онлайн-аккаунта жертвы или возможностям проведения транзакций.
- Мошенничество с приложениями — это происходит, когда мошенник использует чужую личность или искусственную личность для открытия новой или замещающей учетной записи. Получив персональные данные жертвы, преступники могут выдавать себя за свою жертву и требовать закрытия существующих учетных записей, перевода активов на новые учетные записи или открытия совершенно новых банковских или кредитных счетов без ведома жертвы в течение иногда 5-6 месяцев. В одном особенно остроумном случае мошенники наняли ”профессионального имитатора" для управления всеми взаимодействиями, которые требовали, чтобы свободно говорящий по-английски действовал как жертва.
- Мошенничество с отсутствием карты (CNP) - здесь преступник использует данные чужой карты в удаленных транзакциях, для которых не требуется физическое прикосновение к кредитной карте. Данные из Европы и Австралии позволяют предположить, что после того, как внедрение EMV станет более распространенным, число случаев мошенничества с CNP должно значительно возрасти.
Конфликт между удобством клиента и безопасностью
Удаленное мошенничество становится все более проблематичным по мере развития платежных форм и перехода бизнеса в "серую зону". Компании, которые ранее занимались “чистой розничной торговлей”, развиваются. В конце концов, что представляет собой финансовая организация в современном мире? И как регулирующие органы должны определять, какие корпорации должны нести ответственность за поддержание тех же стандартов, что и банки и кредитные союзы?Например, современные покупатели требуют удобства и регулярно совершают покупки на нетрадиционных платформах. Многие покупатели чувствуют себя в большей безопасности, используя мобильные кошельки, такие как PayPal, Android Pay и ApplePay, для совершения онлайн-покупок, поскольку при этом им не требуется передавать поставщику свои персональные данные. Однако, если методы регистрации, аутентификации и защиты информации платежного сервиса ошибочны, то мобильный кошелек небезопасен. Что, если похититель личных данных сможет настроить цифровой кошелек, успешно имитируя человека, чьи данные он украл? У этого вора теперь есть доступный способ оплаты, который вообще не требует предъявления удостоверения личности, независимо от того, где он его использует.
Удаленное мошенничество также может стать проблемой на популярных социальных сайтах, таких как Pinterest и Instagram, которые предоставляют рекламу с акциями “нажми, чтобы купить”. Использование этих функций потребителями приводит к тому, что их учетные данные передаются и используются несколькими поставщиками, мерчантами и не только, на маркетинговые платформы и другие партнерские сайты.
Удовлетворяют ли розничные продавцы постоянно растущую потребность потребителей в удобстве? Абсолютно.
Однако мерчантам и вендорам, использующим подобные схемы, следует – более чем вероятно - рассматривать свой бизнес не как чисто розничный, а скорее как некую новую форму гибрида ритейлера и финансового учреждения. Таким образом, этим фирмам следует подумать об их “знай своего клиента” [KYC] и альтернативных процессах обнаружения кражи личных данных. Эти процессы должны быть направлены на достоверную идентификацию клиента - не только для определения “кто они?”, но и “подключены ли они к учетной записи?”. Если продавцы не смогут эффективно ответить на эти вопросы, они оставят себя и своих клиентов восприимчивыми к опасным нарушениям безопасности и дорогостоящему мошенничеству - и регулирующие органы потенциально могут привлечь их к финансовой (или уголовной) ответственности.
