Как происходят взломы транзакций, какие существуют риски для держателя банковской карты и как платежные системы защищают карты от взлома, рассказала директор по управлению рисками компании Visa Лариса Макарова.

Вокруг использования банковских карт ходит много мифов, суть которых сводится к тому, что они не так безопасны, как наличка. Delo.UA решило разобрать «по полочкам» вопрос защищенности платежных карт, которые используют украинцы. Если вы боитесь, что человек с терминалом считает данные бесконтактной карты, стоя рядом в вагоне метро или не уверены, стоит ли рассчитываться картами в торговых точках, читайте в интервью с директором по управлению рисками компании Visa Ларисой Макаровой.

В 2015 году появлялись новые способы мошенничества по платежным картам, которые раньше не фиксировались?

Все большее развитие получает социальная инженерия. В чем здесь основная проблема — при развитии электронной коммерции и торговых он-лайн площадок, оплата товара или услуг часто происходит путем перевод денег с карты на карту. Для банка это операция перевода — денежный перевод с карты на карту, а для держателя это операция купли-продажи. И хорошо, если это между двумя физлицами.

А если это торговая точка, которая открылась и заявляет, что продает игровые приставки? Это реальный случай: он-лайн магазин объявил о продаже игровых приставок — под Новый год по привлекательной акционной цене. При этом, магазин указал на сайте номер карты, на которую необходимо перечислять оплату. Что люди делают? Перечисляют. Какая это операция? Перевод денежных средств с карты физлица на карту физлица. Приставки не были доставлены, потому что их не было и никто не собирался их продавать.

Держатель идет в банк-эмитент и говорит, что товар не получен и, соответственно, требует возврата средств на карту. Банк начинает разбираться и определяет — а покупки не было. Это операция не покупки, а перевода денежных средств с карты на карту. И банк отказывает держателю в возмещении, потому что это не покупка. У держателя нет никакого подтверждения, что это была именно оплата покупки. Такая операция, по своей сути, не оспариваемая. Человек добровольно перечислил деньги с карты А на карту Б.

Как с таким мошенничеством бороться?

Четко понимать, кому вы перечисляете деньги, и работать не с тем, кто вчера появился, а с какими-то проверенными интернет-магазинами, брендовыми.

В социальный сетях периодически всплывает сообщение о мошенниках, которые ездят с терминалами и снимают с бесконтактных карт какие-то суммы. Это вообще реально?

Знаете, это интересный момент. Сначала такая информация была в России, потом в Беларуси, и, причем, фотографии были одни и те же, только менялось название города. Началось все примерно в 2012 году, когда были опубликованы результаты исследования британских ученых, которые в лабораторных условиях колледжа сделали тест, в ходе которого им удалось заполучить данные бесконтактной платежной карты при помощи считывающего устройства. Когда мы увидели информацию о таком исследовании, мы заинтересовались результатами и провели свое исследование с привлечением ряда институтов, которое показало, что подобное считывание возможно только в лабораторных условиях.

Расстояние, на котором нужно держать считывающее устройство, должно быть не более 4 см, а предмет, с которого считывают информацию, не должен двигаться несколько секунд. Кроме того, в реальных условиях в кошельке, как правило, лежит несколько платежных карт, а еще — проездной или мелочь (металл дает очень сильные помехи), сам карман, эмблемы на джинсах, одежда сверху — это все создает помехи. То есть, в реальных условиях невозможно считать данные карты подобным устройством.

Отслеживает ли «Visa» проведение по своим картам подозрительных операций?

Давайте разделять подозрительные транзакции и финмониторинг, потому что для нас, как для платежной системы, это разные вещи. Финмониторинг — это мониторинг деятельности по отмыванию денежных средств. Подозрительные транзакции — это мошенничество: кто-то украл карту, заполучил доступ к ее реквизитам и пытается осуществить несанкционированные денежные операции. У «Visa» есть мониторинг и тех, других операций.

Что вы делаете, если видите, что операция имеет отношение к отмыванию денег?

Мы сразу официально информируем банк-эмитент о том, что операция, совершенная в такое-то время на такую-то сумму является подозрительной с точки зрения отмывания денежных средств, просим провести расследование и сообщить нам. Такие случаи, когда банки проводили внутреннее расследование и официально сообщали нам о его результатах, были.

Сколько было таких случаев в 2014-2015 годах?

Я вам могу сказать, что в 2014 году таких случаев было два, в 2015 не было ни одного. Это по нашим картам, а не в целом по Украине.

По подозрительным операциям процедура такая же?

Примерно да, но уровень взаимодействия разный. Если ситуация связана с Anti-Money Laundering, мы выходим на уровень заместителя председателя правления либо председателя правления, в зависимости от ситуации. Если это подозрительная операция, то мы работаем со специальным департаментом по рискам.

Бывали ли случаи взлома транзакций по картам «Visa»?

Невозможно «взломать» платежную транзакцию в процессинговом центре VisaNet, оснащенном многоуровневыми системами защиты: PCI DSS Compliance, PCI PIN Security Compliance, firewall и т.д.

Когда мы говорим о взломе, мы говорим о несанкционированном получении данных. Это можно сделать там, где данные хранятся в незащищенном виде, либо же в процессе передачи данных, если нет криптования «точка-точка»: с момента выхода платежных данных до момента входа.

Например, вы со своей платежной картой пришли в торговую точку, проводите операцию через POS-терминал. Информация из терминала идет в банк-эквайер, который обслуживает эту торговую точку. Банк-эквайер передает информацию в процессинговый центр, процессинговый центр передает ее в VisaNet, VisaNet далее передает информацию банку-эмитенту. У банка-эмитента может быть свой процессинговый центр, как внутренний, так и внешний. Банк-эмитент смотрит, есть ли у вас деньги на счету, отвечает процессинговому центру, процессинговый центр отвечает VisaNet, та в свою очередь — процессинговому центру банка-эквайера — и вы в торговой точке проводите операцию. Такой обмен информации проходит за доли секунды. Эта большая цепочка разбита на маленькие участки, на каждом из которых данные должны быть зашифрованы. И каждый участник четырехсторонней модели отвечает за свой участок шифрования.

Если где-то шифрования нет, то возможна утечка данных в транзите. Понятно, что это какие-то изощренные схемы мошенничества, но теоретически это, возможно.

На сегодняшний день в сфере шифрования данных существуют Стандарты Безопасности Индустрии Платежных Карт, т.н. Payment Card Industry Data Security Standard (PCI DSS). Все участники, имеющие отношение к обработке данных платежных транзакций, должны соответствовать стандартам PCI DSS. Разные платежные системы по-разному требуют от клиентов их выполнения. Требования «Visa» по соответствию Стандартам Безопасности на сегодняшний день являются одними из самых жестких. У нас есть требования, у нас есть сроки и штрафы за невыполнение.

К счастью, на сегодняшний день, ни один из институтов и процессинговых центров моего региона (17 стран региона СНГ и Юго-Восточной Европы) не оштрафованы.

Если взять регион, куда входит Украина — Центральная Европа, Ближний Восток и Африка, то мы лидируем по обеспечению безопасности. У нас не было ни одного случая компрометации данных в транзите, по сети.

Если мы знаем, что где-то возможна точка взлома, мы информируем банки-эмитенты, присылаем им номера карт, и просим обратить на них внимание, потому что они использовались в какой-то незащищенной точке. Банк-эмитент смотрит на количество этих карт, их активность, связывается с держателями. Как правило, банки такие карты блокируют и перевыпускают.

Если все-таки взлом имел место, есть ли возможность отследить виновника?

Да. Мы не делаем это полностью сами. У нас есть департамент, который сотрудничает с экспертами. Есть целые компании, которые проводят экспертизу: когда был взлом, в каком месте, то есть они полностью внедряются в работу процессингового центра, изучают, где было злоумышленное внедрение или установка вируса, который считывал эти данные, куда переправлял данные, в каком масштабе и за какой период.

Это делают сторонние компании. Как только они установят период и объем утечки данных, мы запрашиваем все номера наших карт. У нас существует специальная система автоматического оповещения. Мы просто загружаем в эту систему номера карт и автоматически рассылаем оповещения по всему миру всем банкам-эмитентам карт Visa: украинские, казахстанские, австралийские — все банки-эмитенты автоматически получают номера карт, которые под подозрением, им сразу же присваивается кейс и указывается причина подозрения.

Какие точки в этой схеме могут быть наиболее уязвимыми?

Здесь мы должны разделять процессинговые центры и торговые точки. Процессинговые центры у нас все защищены, и соответствуют упомянутым выше стандартам. Что такое PCI DSS-соответствие? Если единожды институт прошел PCI DSS-соответствие, подтверждающий сертификат действует 12 месяцев. Через 12 месяцев процедуру необходимо повторить. За 12 месяцев что-то могло измениться: добавились какие-то новые продукты, произошло обновление ПО или появилось дополнительное оборудование, соответственно, необходимо обеспечить PCI DSS-соответствие.

Так вот, первичное PCI DSS-соответствие у нас прошли все процессинговые центры, предоставляющие услуги банкам. Потом проходит следующий аудит, в рамках которого аудитор делает заключение: ничего не изменилось, либо добавились новые сервисы, оборудование, которые не соответствуют стандартам безопасности. По каждому из требований мы видим определенный процент соответствия, и процент, который надо доработать. Так же видим конечный срок, до которого должно быть устранено несоответствие. С этого момента мы начинаем тщательно мониторить и каждый квартал такой институт отчитывается о работе, которую они провели.

Такие процессинговые центры мы называем quasi-compliant. Это не значит, что у аудируемого института все плохо. Они прошли аудит, в целом соответствуют Стандартам Безопасности, но что-то необходимо доработать. Если обобщить по субрегиону, то таких институтов, процентов двадцать.

Если институт не соответствует этим стандартам безопасности, Visa не запускает совместные проекты, пока финучреждение не исправится. Если институт забыл подтвердить соответствие, есть временной лаг, в течение которого мы также не запускаем новые бизнес-проекты, пока мы не получим сертификат соответствия PCI DSS.

Сейчас активно смотрят в сторону платежей мобильные операторы, есть разговоры по поводу социальных сетей, запускающих системы денежных переводов. Как вы на это смотрите?

Вообще, очень положительно. Направление Mobile Pay сейчас очень интенсивно развивается, мы видим будущее за инновациями и работаем в этом направлении, активно сотрудничая с мобильными операторами и производителями смартфонов.

Как думаете, кто из них — социальные сети, банки, мобильные операторы или даже отдельные платежные системы — окажется наиболее эффективным?

Прогнозирование — дело неблагодарное… Кто сможет в одном пакете предоставить пользователям скорость, безопасность и удобство, тот и займет лидерские позиции.

Например, сегодня мы активно работаем в направлении токенизации, что обеспечивает высокую безопасность платежей. Что такое токенизация? Это подмена номера карточки определенным шифром — токеном. Номер карты привязывается к определенному устройству — вы ведь можете платить при помощи мобильного телефона или iPad, вы можете платить с компьютера, часов, или картой. И к каждому устройству, используемому для совершения оплаты, привязывается 16 цифр, так называемый токен. Он уникален для часов, телефона, или iPad, и операция, которая производится с этого устройства идет с этим токеном, а не с номером карты. И даже если где-то будет перехват платежных данных, то злоумышленники получат токен, а с ним они ничего не смогут сделать. Банк-эмитент, при помощи специального программного обеспечения, сможет выпускать токены для своих клиентов.

А в Украине используется такая система?

Это услуга новая. Сейчас она применяется в США, и с этого финансового года мы рассматриваем возможность ее внедрения в странах нашего региона.

Есть много этапов обработки информации при транзакции, как это влияет на скорость и как ее можно ускорить?

Когда мы разрабатываем дополнительные способы безопасности, мы всегда учитываем скорость, и, как правило, влияние на скорость настолько незначительно, что оно абсолютно не заметно для конечного потребителя. Мы говорим даже не о секундах, а о долях секунды. Это в наших же интересах — пропускать как можно больше транзакций через нашу сеть в единицу времени. Сейчас система способна обрабатывать до 65 тысяч операций в секунду.

Расскажите об уровне мошенничества в Украине.

Тут надо говорить в привязке: сколько операций было совершено и на какую сумму, и какая доля из них мошеннических. В Украине на сегодняшний день это 0,7 базисных пунктов. Это очень мало. По миру эта цифра доходит до 6 базисных пунктов. Один базисный пункт — это 1 цент мошенничества на 100 долларов транзакций. То есть у нас в стране меньше 1 цента мошенничества на каждые 100 долларов, обработанных по картам Visa через VisaNet.

Основная причина такой низкой доли в том, что наши банки лидируют в обеспечении безопасности безналичных платежей по картам. Где-то начиная с 2005-2006 года пошла волна мошенничеств по платежным картам, и, как правило, это было снятие денежных средств с карт в банкоматах. Тогда украинские банки впервые столкнулись с массовыми случаями мошеннических операций по платежным картам и очень быстро начали внедрять систему мониторинга.

Раньше система мониторинга выглядела как 2-3 отчета в день. Постепенно начали приходить к тому, что мониторинг должен быть онлайн — секунда в секунду, а не отчет в конце дня. Когда операция идет секунда в секунду, банк может оперативно принять решение о том, является она мошеннической или нет. Для этого в Visa мы используем технологии, основанные на нейронных сетях и поведенческих характеристиках человека. Сначала система формирует портрет поведения клиента. Ведь у каждого держателя есть свой паттерн поведения: он ходит в определенный ряд банкоматов, живет в определенном городе, в определенной стране, использует торговые точки, банкоматы возле своего дома, работы, детского садика, школы, и т.д.

В принципе, у клиента все достаточно стабильно и тривиально: вот сюда он ходит снимать наличные, сюда он ходит делать покупки, в эти страны он ездит в отпуск — сюда летом, а сюда зимой. И каждая последующая операция оценивается исходя из того, входит она в паттерн поведения клиента или нет. По каждой операции присваивается скоринговое значение от 0 до 99, и по каждому значению есть своя расшифровка. Если операция входит в область деятельности клиента, то, скорее всего, это держатель карты и операции присваивается низкий балл скоринга, если не входит — присваивается скоринговое значение повышенного риска, и чем значительнее отклонение, тем выше риск мошенничества. Скоринговый балл помогает оператору мониторинга понять степень риска транзакции и либо созвониться с клиентом и убедиться, что операцию совершает именно держатель карты, либо сразу блокировать карту.

Где заложен основной риск для держателя карты?

Самая большая опасность для держателя я карты — это он сам. Я поясню. На заправках я часто вижу такую картину, когда клиент говорит заправщику ПИН-код от своей карты. Когда вы кому-либо сообщаете ПИН-код своей карты, скорее всего, все будет плохо. Если по телефону звонят якобы от имени банка и просят держателя назвать код, который сейчас придет ему в SMS, номер карты и ПИН-код к ней — это не банк, это мошенники. Зачастую, низкий уровень финансовой грамотности и готовность наших граждан выдать «все, что знаю» — это то, чем пользуются мошенники. И это, к сожалению, на сегодняшний день бич Украины. Банку или платежной системе защитить держателя карты от такого способа мошенничества очень сложно, практически невозможно, потому что держатель сам способствует мошенничеству.

Банкам надо направлять все усилия на информирование держателей, чтобы они понимали, что можно говорить, а что нельзя. Номер карты — это секретная информация, СVV код и ПИН-код вообще никому нельзя говорить. Пароль, который приходит на телефон в SMS потому и называется пароль, чтобы его никому не говорить.

Какие инновации в ближайшем будущем могут ждать платежные системы?

В области безопасности — это геолокация. У всех телефонов есть такая функция. Мы решили использовать ее и привязать локацию телефона к платежу. Если клиент проводит операцию в Дубае и телефон клиента находится в Дубае — все хорошо. Если клиент с телефоном находится в Дубае, а тут же какая-то операция приходит из Таиланда, то это уже очевидное мошенничество, которое банк будет пресекать.

Все правила, которые разработаны в платежной системе, настроены на возврат украденных денег. Более того, мы идем в направлении принципа нулевой ответственности (zero liability) — то есть это нулевая ответственность держателя по мошенническим операциям, которая вступит в силу в Украине по картам Visa с 1 августа 2016 года.

Что предполагает принцип нулевой ответственности?

Это принцип, защищающий держателя карты. Он предполагает, что, если по карте Visa была осуществлена мошенническая операция, держатель карты не виноват. При условии, что держатель своими действиями или бездействием не содействовал такой мошеннической операции.

А если это социнжениринг, как в случае с приставками, это все равно вина банка?

Если это социнжениринг, то это вина клиента. Если клиент, держатель карты пришел в банкомат снял деньги, а потом сказал, что «это не я», то это тоже не сработает. Принцип нулевой ответственности не работает, если клиент сам способствовал мошенничеству.

Токенизация — это тоже инновация, которую мы будем внедрять. Мы идем в сторону того, чтобы обесценить карточные данные для мошенников. Например, операций в сети интернет защищаются технологией Verified by Visa и динамическими паролями. Это пароль, который аутентифицирует операцию в интернете. Раньше он был статическим, его присваивали один раз при получении карты. Но мошенники научились перехватывать такие пароли, поэтому на сегодняшний день есть абсолютно безопасный вариант — динамический пароль, который действует несколько секунд и который держатель получает на мобильный телефон в момент совершения оплаты в Интернете.

Сейчас Нацбанк очень активно развивает НСМЭП, они обращались в Visa за экспертизой в безопасности?

У нас было подобное обращение в Беларуси. Нацбанк Украины обращался за технологией Verified by Visa. Они обращались, потому что это разработка платежной системы Visa и у нас есть на нее лицензия. Саму технологию бесплатно мы не передаем, это вопрос защиты интеллектуальной собственности. Но мы передаем уже следующую версию этой технологию в широкий доступ.

Компания Visa в прошлом году инвестировала в стартап, связанный с биткоином. Вы смотрите как-то на этот рынок?

Глобально смотрим, в наших странах это пока не получило развития — я говорю о регионе СНГ и Юго-Восточной Европы, за которые отвечаю.

Автор интервью: Валерия Давыдова, Павел Красномовец