На главную

Библиотека Интернет Индустрии I2R.ru

Rambler's Top100

Малобюджетные сайты...

Продвижение веб-сайта...

Контент и авторское право...

Забобрить эту страницу! Забобрить! Блог Библиотека Сайтостроительства на toodoo
  Поиск:   
Рассылки для занятых...»
I2R » Хакеры и безопасность » Киберпреступность

Выявление краденых кредитных карт требует старания и терпения

Чего Интернет-торговцы боятся больше всего, так это лишиться своих клиентов. И все же имеются способы, позволяющие отпугнуть мошенников, использующих чужие кредитные карты.

По общему мнению, онлайновый рынок B2C (Business-to-Customer) развивается достаточно быстрыми темпами, однако вместе с ростом доходов его участников отмечается и увеличение числа поддельных транзакций. Несмотря на то что компания Visa внедрила в 2000 г. систему CISP (Cardholder Information Security Processing), а MasterCard в 2001 г. - службу Site Data Protection Service (SDPS), согласно данным отраслевой исследовательской компании Gartner, скорость роста числа поддельных транзакций в электронной торговле по-прежнему остается на 10% выше, чем в традиционной торговле. В то время как службы CISP и SDPS ориентированы на обеспечение сетевой безопасности (начиная с транспортного уровня и кончая физической защитой устройств), они не решают проблем, связанных с оплатой товаров и услуг посредством ворованных или сгенерированных номеров кредитных карт, лежащих в основе большинства поддельных B2C-транзакций. Чтобы воровать через Интернет, жулику нужно лишь сымитировать или добыть подлинный номер кредитной карты.

С финансовой точки зрения расплачиваться за подобное воровство приходится главным образом торговой фирме. В соответствии с законами США за любую поддельную транзакцию владелец кредитной карты отвечает суммой, не превышающей 50 долл. Что касается компаний MasterCard и Visa, то недавно они отказались от подобного требования в отношении электронной торговли через Интернет. Однако за поддельную транзакцию ответственность несет не только торговая организация - ее стоимость может быть взыскана и с компании, эмитирующей кредитные карты. И хотя Visa недавно запустила свою программу "Verified with Visa" (см. "Код верификации кредитных карт и новые проблемы"), снимающую с торговцев часть ответственности за поддельные транзакции, она пока еще не работает в полном объеме.

Конечно, чтобы возместить убыток, связанный с поддельной транзакцией, торговец может преследовать преступника в уголовном порядке, но такое случается редко. "До того момента, когда торговая фирма действительно получает компенсацию, доводится менее 10% подобных судебных дел. Формально этот процент является чуть более высоким, причем злоумышленнику предъявляется конкретное обвинение, но, если торговцу не возмещены все убытки, вряд ли такое судебное разбирательство можно считать успешным", - говорит Джули Фергерсон, председатель организации Fraud Protection Network (FPN, http://www.merchantfraudsquad.com), основанной компанией-эмитентом American Express. Сеть FPN предоставляет своим клиентам рекомендации и ресурсы, помогающие им бороться с мошенниками, которые пытаются совершать транзакции без предъявления подлинной кредитной карты (Card Not Present - CNP). Обычно торговцу рекомендуется обозначить критерии, определяющие, какие вызывающие сомнение заказы следует отследить, чтобы, собрав по ним достаточное количество информации, обратиться в суд. К таким критериям относятся сумма потерь в долларах, частота повторения попыток мошенничества и объем имеющейся достоверной информации по каждой такой попытке.

Получить достоверные сведения от торговых фирм - дело сложное, однако Национальный информационный центр по борьбе с мошенничеством и подлогами (National Fraud Information Center - NFIC), собирающий данные по всем типам подделок, относит на долю мошенничества в Интернет убытки, в 2001 г. составившие 4,4 млн долл., 11% из них приходится на торговлю товарами повседневного спроса. Почти половина убытков, относящихся к этой категории, связана с расчетами посредством ворованных кредитных карт.

Похитители кредитных пластиковых карт используют их для приобретения товаров и подписки на интерактивные услуги, в том числе услуги доступа к Интернет. Некоторые воры указывают адрес доставки товара (shipping address), отличный от адреса плательщика (billing address), другие - отправляют товары на адрес плательщика, а затем как-то ухитряются забрать их оттуда. Что касается незаконного получения услуг, то, по сообщениям NFIC, в 2001 г. 3% всех потерь, связанных с мошенничеством, были обусловлены получением доступа к Интернет по краденым картам.

Конечно, вряд ли вы сумеете выявить все мошеннические покупки, но снизить до приемлемого уровня риск для своей компании сможете. Каждый торговец должен определить сумму "приемлемых потерь" в долларах, включив ее в общие затраты на ведение бизнеса. Средняя величина этих потерь будет составлять 0,25-1,5% от общего бюджета торговой фирмы и зависит от типа бизнеса и денежных ресурсов, выделяемых на расследование инцидентов и борьбу с фиктивными заказами. Согласно данным компании Gartner, средние по отрасли допустимые потери составляют около 1,1%.

Нужно иметь все необходимые данные

Первое, что вам необходимо сделать с целью снижения риска для вашей компании, - это собрать как можно больше информации о кредитной карте и ее владельце. Вы должны получить, как минимум, следующую информацию:

· Имя владельца, указываемое на пластиковой карте.

· Номер счета карты.

· Дата истечения срока действия карты.

· Адрес плательщика.

· Домашний/рабочий телефон владельца карты.

· Адрес электронной почты владельца карты.

· Имя получателя товара.

· Адрес доставки.

· Номер телефона, установленного по месту доставки заказа.

Имя, номер счета и адрес владельца карты используются для предварительной его идентификации. Эмитент кредитных карт определяет, соответствуют ли представленные адрес и имя той информации, которая зарегистрирована для данного номера счета. После такой проверки, в свою очередь, уже торговец начинает выяснять, не является ли эта транзакция подложной.

Адрес электронной почты тоже играет важную роль. Последние исследования ФБР в области онлайновых мошенничеств показали, что 97,3% всех поддельных заказов содержали адреса, зарегистрированные в бесплатных службах электронной почты. Одни компании, считая риск слишком высоким, сразу же отвергают заказы с подобными адресами; другие же, чтобы убедиться в подлинности заказа, - выполняют его дополнительную верификацию.

Например, вы можете осуществить простое сравнение адреса плательщика с адресом доставки, тем самым проверив их на предмет возможной попытки мошенничества. Несовпадение адресов должно вызывать подозрение, особенно в тех случаях, когда адрес доставки находится за рубежом. Если вы не считаете возможным отклонить транзакцию на основании лишь этой информации, то проведите дополнительную проверку - например, позвоните клиенту и поинтересуйтесь, заказывал ли он данный товар.

Кроме того, попытайтесь определить местоположение покупателя по его IP-адресу (который содержится в HTTP-заголовке REMOTE_ADDR) и сравните его с адресом плательщика. Заметьте, однако, что этот метод не так надежен, как кажется: например, большинство клиентов America Online, по всей вероятности, окажутся жителями штата Виргиния, что, конечно, не так. Кроме того, широкое использование серверов-посредников также делает эту проверку фактически недостоверной. Тем не менее полученные результаты могут указывать на необходимость дополнительной проверки, особенно в случае с дорогостоящими покупками.

Сконфигурируйте ваш Web-узел таким образом, чтобы он регистрировал как можно больше разнообразной информации о покупателе, включая его IP-адрес, дату и время оформления заказа и, если это возможно, продолжительность времени, проведенного им на вашем сайте. Проследите также за повторяющимися попытками оформления заказов, поступающих с одного и того же IP-адреса, но с разными номерами кредитных карт. Этот покупатель может вполне оказаться вором, использующим генератор номеров кредитных карт.

Помните, однако, что обнаружение некоторой непоследовательности в действиях клиента, еще не означает, что вы обнаружили преступника. Вам следует проверить у самого владельца кредитной карты, действительно ли он сделал покупку, используя для этого дополнительно запрашиваемую информацию, такую, как адрес электронной почты и телефонный номер. Иначе по ошибке вы можете отклонить вполне законную транзакцию.

Поэтому, если вы полностью не уверены в том, что ваша система способна выявлять весь объем фиктивных транзакций, вам придется анализировать абсолютно все подозрительные транзакции, не отвергая их скопом.

Если вы используете для обнаружения подлогов программное решение третьей фирмы, то для тщательной его настройки работайте в теснейшем контакте с производителем. Идея состоит в том, чтобы свести к минимуму число транзакций, требующих дополнительного анализа, и обеспечить наличие персонала, способного выполнять его, не откладывая в долгий ящик. Когда вы хорошо изучите свою систему и будете сходу понимать, какие действия она расценивает как мошеннические, а какие - как допустимые, вы сможете предоставить ей боўльшую свободу в принятии решений, касающихся каждой транзакции.

Инструментальные средства

Имеется ряд продуктов, позволяющих осуществить довольно детальную проверку онлайновых транзакций на предмет выявления мошенничества. В таких инструментальных средствах используются некоторые методы, которые мы обсудили выше. Они обеспечивают еще один уровень оценки риска, связанного с интерактивными транзакциями.

Нередко система верификации адресов (Address Verification System - AVS) становится главным средством по защите узлов электронной коммерции от мошенничества с кредитными картами, на которое делают упор торговые фирмы. Эта услуга обычно бесплатно предоставляется компаниями, занимающимися обработкой платежей по кредитным картам, как часть процесса их верификации.

Система AVS выполняет перекрестную проверку адреса плательщика, представленного покупателем, и адреса, зарегистрированного эмитентом кредитных карт, и возвращает код, указывающий на то, что адрес верный, либо код, указывающий на то, что адрес неверный. Услуги AVS доступны в Великобритании, США, Германии, Австралии, Швеции и некоторых других странах.

Однако, хотя системы AVS и применяются с успехом для пресечения некоторых видов мошенничества, с их помощью все же нельзя выловить абсолютно все поддельные транзакции. Чаще всего у воров кредитных карт имеются как номера кредитных карт, так и адреса плательщиков.

Процедуре оплаты онлайновой покупки в некоторых системах предшествует применение некоторого набора правил к каждой транзакции, осуществляемой посредством кредитной карты. Такая система может выдавать ответы самого разного характера, начиная с принятия оплаты заказа и кончая отказом принять ее с требованием проведения дополнительного анализа транзакции.

Используются как весьма простые правила, например такое: "если номер кредитной карты находится в списке "запрещенных", отвергнуть транзакцию", так и относительно сложные, основанные на бизнес-логике правила, определяющие связанный с транзакцией риск, в частности: "если заказ содержит более трех наименований товаров стоимостью более 500 долл. каждый, провести подробный анализ транзакции".

Основанная на правилах система, является, по существу, экспертной. Такую систему можно запрограммировать вручную, однако со временем модернизировать ее будет все сложнее и сложнее. Конечно, система станет эффективной лишь в той степени, в какой будут эффективны запрограммированные в ней правила. Продавец должен определить, что, собственно, является мошенничеством, и сконфигурировать систему таким образом, чтобы она могла распознавать соответствующие ситуации.

Более сложными системами являются нейронные сети (neural networks). Нейронная сеть может анализировать транзакцию на предмет наличия в ней определенных комбинаций кода, сравнивая их с БД, содержащей профили и шаблоны известных типов мошеннической деятельности. Эти системы, называемые также системами упреждающего статистического моделирования, счетчиками или системами защиты от подлогов, обладают исключительно высокой точностью, поскольку в качестве оценочной базы используют достоверные исторические данные. Объем базовых данных зависит от типа приобретенной вами системы. Одни системы имеют доступ к централизованной БД, содержащей миллионы транзакций, другие - оперируют исключительно теми данными, которые имеются в вашем распоряжении.

Ограничения в функционировании нейронной сети почти полностью зависят от набора используемых ею данных; они должны регулярно обновляться (примерно каждые шесть месяцев) и базироваться на репрезентативной выборке торговых транзакций. Необходима тщательная настройка такой системы, чтобы сократить число транзакций, в отношении которых она потребует проведения дополнительного анализа. Стандартная нейронная сеть может отмечать в качестве рискованных до 10% всех совершаемых транзакций, хотя реальными попытками совершения подлога являются лишь некоторые из них.

Компании ClearCommerce и HNC Software предлагают системы обнаружения подлогов, основанные на нейронных сетях. Фирма CyberSource использует гибридную модель. Для анализа миллионов транзакций с целью увеличения эффективности статистического моделирования и снижения числа "ложных" случаев отбраковки транзакций в ней сочетаются экспертная система и нейронная сеть.

Альтернативный подход заключается в использовании сервисных предложений третьих фирм, подобных eIDverifier компании Equifax Secure, имеющей собственную службу удостоверения личности клиента. Такой сервис может интегрироваться с вашей системой. В процессе верификации покупатель перенаправляется на узел сервис-провайдера, который пытается удостовериться в подлинности его личности, требуя от него ответы как на вопросы, требующие знания информации, содержащейся в его электронном бумажнике, так и на вопросы личного характера (для ответов на последние нужна информация, отсутствующая в электронном бумажнике, но известная покупателю, если только он является тем, за кого себя выдает).

Результат оценки риска и ответы, предоставленные клиентом, вместе с информацией, полученной из других отраслевых источников данных, направляются продавцу. В зависимости от появившихся у него сведений продавец может сам решать, рассматривать ли ему транзакцию как подлинную и продолжать соответственно работать с ней, либо обрабатывать ее как ложную с целью сбора информации о нарушителе, которая поможет выдвинуть против него обвинение, или же просто прекратить транзакцию.

Лори Маквитти
Сети и системы связи

Рассылки Subscribe.Ru
Все о защите данных на Идваре
Другие разделы
Прочие опасности
Вирусы
Хакеры
Киберпреступность
Уязвимость ПО
Новое в разделе
Защита данных
I2R-Журналы
I2R Business
I2R Web Creation
I2R Computer
рассылки библиотеки +
И2Р Программы
Всё о Windows
Программирование
Софт
Мир Linux
Галерея Попова
Каталог I2R
Партнеры
Amicus Studio
NunDesign
Горящие путевки, идеи путешествийMegaTIS.Ru

2000-2008 г.   
Все авторские права соблюдены.
Rambler's Top100