Войти
Мошенничество с кредитными картами - это включающий термин для мошенничества, совершенного с использованием платежная карта, например, или дебетовая карта. Целью может быть получение товаров или услуг или оплата на другой счет, контролируемый преступником. Стандарт безопасности данных индустрии платежных карт (PCI DSS) - это стандарт безопасности данных, созданный для того, чтобы помочь предприятиям безопасно обрабатывать платежи по картам и снизить риск мошенничества с картами.
Мошенничество с кредитными картами может быть санкционировано, когда подлинный клиент сам обрабатывает платеж на другой счет, который контролируется преступником, или неавторизованный, когда владелец счета не дает разрешения на продолжение платежа и транзакцию осуществляется третьей стороной. В 2018 году убытки от несанкционированного финансового мошенничества с использованием платежных карт и дистанционного банковского обслуживания в Соединенном Королевстве составили 844,8 млн фунтов стерлингов. В то время как банки и компании, выпускающие карты, предотвратили несанкционированное мошенничество на сумму 1,66 миллиарда фунтов стерлингов в 2018 году. Это эквивалентно 2 фунтам стерлингов на каждые 3 фунта стерлингов пресеченной попытки мошенничества.
Кредитные карты стали более безопасными, чем когда-либо, с регулирующими органами, карта провайдеры и банки, тратящие много времени и усилий на сотрудничество со следователями по всему миру, чтобы гарантировать, что мошенники не добьются успеха. Деньги держателей карт обычно защищены от мошенников с помощью правил, которые возлагают на поставщика карты и банк ответственность. Технологии и меры безопасности, используемые для кредитных карт, становятся все более изощренными, что затрудняет хищение денег мошенниками.
Существует два вида мошенничества с картами: мошенничество с предъявлением карты (не так распространено в наши дни) и мошенничество без предъявления карты (более распространено). Компрометация может происходить несколькими способами и обычно может происходить без ведома держателя карты. Интернет сделал проблемы с безопасностью базы данных особенно дорогостоящими: в некоторых случаях были скомпрометированы миллионы учетных записей.
Держатели карт могут быстро сообщить об украденных картах, но данные о скомпрометированных учетных записях могут храниться у мошенника в течение нескольких месяцев. любая кража, затрудняющая определение источника взлома. Владелец карты не может обнаружить мошенничество, пока не получит выписку. Держатели карт могут снизить этот риск мошенничества, часто проверяя свою учетную запись, чтобы убедиться, что нет никаких подозрительных или неизвестных транзакций.
Когда кредитная карта потеряна или украдена, она может быть использована для незаконных покупок, пока держатель не уведомит об этом банк и банк ставит блокировку на счет. У большинства банков есть бесплатные круглосуточные телефонные номера, чтобы обеспечить быстрое предоставление отчетов. Тем не менее, вор может совершить несанкционированные покупки на карте до того, как карта будет аннулирована.
Информация о карте хранится в нескольких форматах. Номера карт - формально Основной номер счета (PAN) - часто тиснятся или отпечатываются на карте, а магнитная полоса на обратной стороне содержит данные в машиночитаемом формате. Поля могут быть разными, но наиболее частыми являются: имя держателя карты; Номер карты; Дата окончания срока; и Проверка CVV-код.
В Европе и Канаде большинство карт оснащено чипом EMV, который требует ввода 4-6-значного PIN-кода в терминал продавца перед авторизацией платежа. Однако для онлайн-транзакций PIN-код не требуется. В некоторых европейских странах, если у вас нет карты с чипом, вас могут попросить предъявить удостоверение личности с фотографией в точке продажи.
. В некоторых странах владелец кредитной карты может сделать бесконтактная оплата товаров или услуг путем прикосновения карты к считывающему устройству RFID или NFC без необходимости ввода PIN-кода или подписи, если стоимость не превышает заранее установленного лимита. Однако украденная кредитная или дебетовая карта может быть использована для ряда более мелких транзакций до того, как будет отмечена мошенническая деятельность.
Эмитенты карт применяют несколько контрмер, в том числе программное обеспечение, которое может оценить вероятность мошенничества. Например, крупная транзакция, происходящая на большом расстоянии от дома держателя карты, может показаться подозрительной. Продавцу может быть дано указание позвонить эмитенту карты для проверки или отклонить транзакцию, или даже задержать карту и отказаться от ее возврата покупателю.
Мошенничество с приложениями имеет место, когда человек использует украденные или поддельные документы для открытия счета на имя другого лица. Преступники могут украсть или подделать документы, такие как счета за коммунальные услуги и банковские выписки, для создания личного профиля. Когда счет открывается с использованием поддельных или украденных документов, мошенник может снять наличные или получить кредит на имя жертвы. Чтобы защитить себя, держите свои данные в тайне и храните конфиденциальные документы в надежном месте и будьте осторожны при утилизации личной идентифицируемой информации.
Под захватом учетной записи понимается действие, посредством которого мошенники попытаются взять на себя контроль над учетной записью клиента (например, кредитными картами, электронной почтой, банками, SIM-картой и т. д.). Контроль на уровне учетной записи дает мошенникам высокую прибыль. Согласно Forrester, аутентификация на основе рисков (RBA) играет ключевую роль в снижении рисков.
Мошенник использует такие части личности жертвы, как адрес электронной почты, для получения доступа к финансовым счетам. Затем этот человек перехватывает сообщения об учетной записи, чтобы жертва не заметила никаких угроз. Жертвы часто первыми обнаруживают захват аккаунта, когда обнаруживают обвинения в ежемесячных выписках, которые они не санкционировали, или множественные сомнительные снятия. В последнее время после внедрения технологии EMV увеличилось количество захватов учетных записей, что затрудняет клонирование физических кредитных карт мошенниками.
Среди некоторых наиболее распространенных методов, с помощью которых мошенник совершить захват учетной записи, включая прокси-серверы для проверки приложений одним щелчком, атаки ботнетов методом перебора, фишинг и вредоносное ПО. Другие методы включают погружение в мусорную корзину, чтобы найти личную информацию в выброшенной почте, и прямые списки покупок «Fullz», жаргонного термина для полных пакетов идентифицирующей информации, продаваемых на черном рынке.
Социальное инженерное мошенничество может иметь место, когда преступник выдает себя за кого-то еще, что приводит к добровольной передаче денег или информации мошеннику. Мошенники обращаются к более изощренным методам обмана людей и бизнеса. Распространенной тактикой является отправка поддельных электронных писем, выдавая себя за старшего сотрудника, и попытки обмануть сотрудников для перевода денег на мошеннический банковский счет.
Мошенники могут использовать различные методы для получения личной информации, притворяясь банк или платежная система. Телефонный фишинг - это наиболее распространенный метод социальной инженерии, позволяющий завоевать доверие жертвы.
Компании могут защитить себя с помощью процесса двойной авторизации для перевода средств, который требует авторизации как минимум двух лиц, и процедуры обратного звонка на ранее установленный контактный номер, а не любую контактную информацию, включенную в платежный запрос. Ваш банк должен возместить вам любой несанкционированный платеж, однако он может отказать в возмещении на основании: он может доказать, что вы авторизовали транзакцию; или это может доказать, что вы виноваты, потому что действовали преднамеренно или не смогли защитить свои данные, которые позволили совершить транзакцию.
Заблокируйте бензонасос, чтобы воры не установили скиммер. Скимминг - это кража личной информации с использованием обычной транзакции. Вор может получить номер карты жертвы, используя основные методы, такие как ксерокопирование квитанций, или более сложные методы, такие как использование небольшого электронного устройства (скиммера) для считывания и сохранения номеров сотен карт жертв. Распространенные сценарии скимминга - рестораны или бары, где скиммер владеет платежной картой жертвы вне его непосредственного видения. Вор также может использовать небольшую клавиатуру для ненавязчивой расшифровки трех- или четырехзначного кода безопасности карты , которого нет на магнитной полосе.
Колл-центры - еще одна область, где легко может произойти скимминг. Скимминг также может происходить у продавцов, когда стороннее устройство для считывания карт установлено вне терминала для считывания карт. Это устройство позволяет злоумышленнику захватывать информацию о карте клиента, включая его ПИН-код, при каждом считывании карты.
Обычному держателю карты трудно обнаружить скимминг, но при достаточно большом количестве образцов это довольно легко для эмитент карты для обнаружения. Эмитент собирает список всех держателей карт, которые жаловались на мошеннические транзакции, а затем использует интеллектуальный анализ данных для выявления отношений между ними и продавцами, которых они используют. Сложные алгоритмы также могут искать схемы мошенничества. Продавцы должны обеспечить физическую безопасность своих терминалов, и штрафы для продавцов могут быть серьезными, если они будут скомпрометированы, начиная от крупных штрафов эмитентом до полного исключения из системы, что может стать смертельным ударом для таких предприятий, как рестораны, где кредитная карта сделки - это норма.
Сообщалось о случаях скимминга, когда преступник вставлял в слот для карты банкомата (банкомат ) устройство, которое считывает магнитную полосу, когда пользователь неосознанно пропускает свою карту Это. Эти устройства часто используются в сочетании с миниатюрной камерой для одновременного считывания PIN-кода пользователя. Этот метод используется во многих частях мира, включая Южную Америку, Аргентину и Европу.
Оплата счетов онлайн или покупки в Интернете с использованием банковского счета являются источником для повторное выставление счетов, известное как «повторяющиеся банковские сборы». Это постоянные поручения или банковские поручения от клиента выполнять и ежемесячно выплачивать определенную сумму получателю. С помощью электронной коммерции, особенно в Соединенных Штатах, поставщик или получатель могут получать платеж прямым дебетом через сеть ACH. Хотя многие платежи или покупки действительны, и покупатель намеревается оплачивать счет ежемесячно, некоторые из них известны как незаконные автоматические платежи.
Другой тип мошенничества с кредитными картами нацелен на потребителей коммунальных услуг. Клиенты получают незапрашиваемые личные, телефонные или электронные сообщения от лиц, утверждающих, что они являются представителями коммунальных предприятий. Мошенники предупреждают клиентов, что их коммунальные услуги будут отключены, если не будет произведена немедленная оплата, обычно с использованием перезагружаемой дебетовой карты для получения платежа. Иногда мошенники используют аутентичные номера телефонов и изображения, чтобы обмануть жертв.
Хотя в Соединенных Штатах это не предусмотрено федеральным законодательством, PCI DSS предписывается Советом по стандартам безопасности индустрии платежных карт, который состоит из основных брендов кредитных карт и поддерживает это как отраслевой стандарт. Некоторые штаты включили стандарт в свои законы.
В сентябре 2014 года Министерство юстиции объявило, что будет стремиться принять более жесткий закон для борьбы с незаконным оборотом кредитных карт за рубежом. Власти заявляют, что нынешний закон слишком слаб, поскольку он позволяет людям в других странах избежать судебного преследования, если они остаются за пределами Соединенных Штатов при покупке и продаже данных и не передают свой незаконный бизнес через США. Министерство юстиции просит Конгресс внести поправки. действующий закон, согласно которому для международного преступника незаконно владение, покупка или продажа украденной кредитной карты, выпущенной банком США, независимо от географического местоположения.
В США, Федеральный закон ограничивает ответственность держателей карт до 50 долларов в случае кражи действующей кредитной карты, независимо от суммы, списанной с карты, если об этом будет сообщено в течение 60 дней после получения выписки. На практике многие эмитенты откажутся от этого небольшого платежа и просто снимут мошеннические платежи со счета клиента, если клиент подпишет аффидевит, подтверждающий, что платежи действительно являются мошенническими. Если физическая карта не потеряна или украдена, а просто украден номер счета кредитной карты, то Федеральный закон гарантирует, что держатели карт не несут никакой ответственности перед эмитентом кредитной карты.
В Великобритании кредитные карты регулируются (с поправками 2006 г.). Это обеспечивает ряд защит и требований. Любое неправомерное использование карты, за исключением случаев преднамеренного совершения преступления со стороны держателя карты, должно быть возмещено продавцом или эмитентом карты.
Регулирование банков в Соединенном Королевстве осуществляется: Банком Англии (Банк Англии); Управление пруденциального регулирования (PRA), подразделение Банка Англии; и Управление финансового поведения (FCA), которое осуществляет повседневный надзор. Специального законодательства или нормативных актов, регулирующих индустрию кредитных карт, не существует. Однако Ассоциация платежных клиринговых услуг (APACS) является учреждением, частью которого являются все участники расчетов. Организация работает в соответствии с Директивой о банковской консолидации, чтобы обеспечить средства, с помощью которых транзакции могут отслеживаться и регулироваться. UK Finance - ассоциация сектора банковских и финансовых услуг Великобритании, представляющая более 250 фирм, предоставляющих кредиты, банковское дело. и услуги, связанные с платежами.
График, показывающий количество жертв и долю населения или домохозяйств, пострадавших от различных правонарушений В Австралии мошенничество с кредитными картами считается формой «преступления с использованием личных данных» '. Австралийский центр отчетов и анализа транзакций установил стандартные определения преступлений, связанных с использованием личных данных, для использования правоохранительными органами Австралии:
Оценки, составленные Генеральной прокуратурой показать, что преступление с использованием личных данных стоит В Австралии более 1,6 миллиарда долларов каждый год, при этом большая часть примерно 900 миллионов долларов теряется физическими лицами в результате мошенничества с кредитными картами, кражи личных данных и мошенничества. В 2015 году министр юстиции и министр по оказанию помощи премьер-министру по борьбе с терроризмом Майкл Кинан опубликовал отчет «Преступление и неправомерное использование личных данных в Австралии за 2013–2014 годы». По оценкам этого отчета, общие прямые и косвенные затраты на преступления с использованием личных данных были близки к 2 миллиардам долларов, включая прямые и косвенные убытки, понесенные государственными учреждениями и отдельными лицами, а также расходы на преступления с использованием личных данных, зарегистрированные полицией. Ответственность
Жертва мошенничества с кредитной картой в Австралии, которая все еще владеет картой, не несет ответственности ни за что, купленное по ней без их разрешения. Однако это регулируется условиями учетной записи. Если сообщается, что карта была физически украдена или утеряна, владелец карты обычно не несет ответственности за любые транзакции, которые он не совершал, если только не будет доказано, что владелец карты действовал нечестно или без разумной осторожности.
Чтобы предотвратить «списание средств» с поставщиков за мошеннические транзакции, продавцы могут подписаться на услуги, предлагаемые Visa и MasterCard, называемые Verified by Visa и MasterCard SecureCode, под общим термином 3-D Secure. Это требует от потребителей добавления дополнительной информации для подтверждения транзакции.
Часто интернет-магазины не принимают адекватных мер для защиты своих веб-сайтов от мошеннических атак, например, игнорируя последовательность операций. В отличие от более автоматизированных транзакций продуктов, клерк, наблюдающий за запросами авторизации "предъявления карты", должен одобрять вывоз товара покупателем из помещения в режиме реального времени.
Если продавец теряет платеж, сборы за обработку платеж, любые комиссии за конвертацию валюты и размер штрафа за возвратный платеж. По очевидным причинам многие продавцы принимают меры, чтобы избежать возвратных платежей, например не принимают подозрительные транзакции. Это может вызвать сопутствующий ущерб, когда продавец дополнительно теряет законные продажи из-за неправильной блокировки законных транзакций. Продавцы почтовых / телефонных заказов (MOTO) внедряют автоматизацию с помощью агента, которая позволяет агенту call-центра собирать номер кредитной карты и другую личную информацию даже не видя и не слыша. Это значительно снижает вероятность возвратных платежей и увеличивает вероятность того, что мошеннические возвратные платежи будут отменены.
В период с июля 2005 г. по середину января 2007 г. произошло нарушение системы на TJX Companies предоставили данные с более чем 45,6 миллионов кредитных карт. Альберта Гонсалеса обвиняют в том, что он является главой группы, ответственной за кражи. В августе 2009 года Гонсалесу также было предъявлено обвинение в самом крупном из известных на сегодняшний день краж кредитных карт - информация о более чем 130 миллионах кредитных и дебетовых карт была украдена в Heartland Payment Systems, розничных продавцах 7-Eleven и Hannaford Brothers и две неопознанные компании.
В 2012 году около 40 миллионов наборов информации о платежных картах были взломаны в результате взлома Adobe Systems. По словам начальника службы безопасности Брэда Аркина, скомпрометированная информация включала имена клиентов, зашифрованные номера платежных карт, даты истечения срока действия и информацию, относящуюся к заказам.
В июле 2013 года сообщения прессы указали на то, что четверо россиян и украинец были обвинены в США штат Нью-Джерси за то, что назвали «крупнейшей схемой взлома и утечки данных, когда-либо преследовавшейся в США». Альберт Гонсалес также был назван соучастником атаки, в результате которой было потеряно не менее 160 миллионов кредитных карт и более 300 миллионов долларов убытков. Атака затронула как американские, так и европейские компании, включая Citigroup, Nasdaq OMX Group, PNC Financial Services Group, лицензиата Visa Visa Jordan, Carrefour, JC Penny и JetBlue Airways.
В период с 27 ноября 2013 года по 15 декабря 2013 года произошла утечка. систем в Target Corporation предоставили данные примерно с 40 миллионов кредитных карт. Похищенная информация включала имена, номера счетов, даты истечения срока действия и коды безопасности карт.
С 16 июля по 30 октября 2013 года хакерская атака скомпрометировала около миллиона наборов данных платежных карт, хранящихся на компьютерах в Нейман. -Маркус. Система вредоносного ПО, предназначенная для подключения к кассовым аппаратам и мониторинга процесса авторизации кредитных карт (вредоносное ПО для очистки оперативной памяти), проникла в системы Target и раскрыла информацию от 110 миллионов клиентов.
8 сентября 2014 г. The Home Depot подтвердили, что их платежные системы были взломаны. Позже они опубликовали заявление, в котором говорилось, что в результате взлома хакеры получили в общей сложности 56 миллионов номеров кредитных карт.
15 мая 2016 г. в ходе скоординированной атаки группа из около 100 человек использовала данные 1600 южноафриканских кредитных карт для кражи 12,7 млн долларов США из 1400 магазинов в Токио в течение трех часов. Действуя в воскресенье и в другой стране, чем банк, выпустивший карты, они, как полагают, выиграли достаточно времени, чтобы покинуть Японию до того, как было обнаружено ограбление.
Контрмеры по борьбе с мошенничеством с кредитными картами включают следующее.
