Что защищает покупателей от мошенничества с бесконтактными платежами

https://gomedici.com/heres-how-merchant-services-have-you-covered-from-contactless-payment-fraud/
  • Перевод

Не так давно нормой на кассах были импринтеры (ручные считыватели карт). Покупатель ждал, пока кассир с помощью этого громоздкого устройства снимет данные о карте и оформит заказ. Сегодня у нас есть бесконтактные платежи, и с ними оплачивать покупки гораздо проще и быстрее. Но новая технология вызывает немало споров.

В сети разместили видео, на котором мужчина с помощью карточного терминала незаметно списал средства с карты ничего не подозревающего покупателя. Он расположил устройство близко к карману жертвы, а оно зафиксировало близость карты и обработало платеж. Это видео стало поводом для серьезной дискуссии в платежной сфере.

Технологии бесконтактных платежей используют радиочастотную идентификацию, реализуемую в смартфонах, часах и других компактных устройствах, которые у людей всегда с собой. В связи с этим многие, посмотревшие видео, обеспокоились по поводу возможности мошенничества с применением платежных терминалов. Если злоумышленники могут воспользоваться таким устройством для снятия средств с карты, спрятанной в бумажнике в заднем кармане, то наверняка с телефоном или часами дело будет обстоять еще проще. Считыватели карт сканируют радиопространство на расстоянии от 4 до 10 см, поэтому вполне вероятно, что кто-то захочет применить технологию для кражи денег у владельцев смартфонов.

Но, хотя случаи хищения средств зафиксированы ранее, волна мошенничеств с использованием бесконтактных технологий нам не грозит. Мерчанты уже предприняли дополнительные меры защиты.

Проверка репутации и других сведений о новых мерчантах


Провайдеры платежных терминалов, также известные как поставщики мерчант-услуг (MSPs), часто выступают посредниками между мерчантами и компаниями по обработке платежей, такими как Visa и Mastercard. Они требуют мерчантов пройти через строгие проверки, прежде чем те получат доступ к оборудованию и ПО для терминалов.

Прием мерчанта в провайдерскую сеть — долгий и тщательный процесс. Он включает в себя как минимум несколько, а в идеале все из перечисленных шагов:

  1. Проверка личности владельцев бизнеса (данные о регистрации бизнеса, личные документы).
  2. Проверка истории счетов, если она есть.
  3. Анализ работы компании (проверка веб-сайта, бизнес-модели, операций).
  4. Уточнение, следует ли бизнес правилам безопасности карточных сетей.
  5. Оценка кредитной платежеспособности бизнеса.

В случае халатности или серьезного нарушения юридическую ответственность может понести любая сторона, но, как правило, ее несут банк-эмитент карты или мерчант. Многие мерчант-сервисы предоставляют оборудование бесплатно и наперед, а мерчанты оплачивают его стоимость с помощью транзакций. И в каждом случае проводится проверка. Без тщательного контроля мерчант-сервисы рискуют своей репутацией и могут быть привлечены к юридической ответственности, если предоставят услуги мошеннической организации, действующей, например, с целью отмывания денег.

Мерчант-сервисы также рискуют потерять прибыль с каждой транзакции, возвращенной потребителям, если мерчант совершит ошибку. Комиссии по транзакциям возврату не подлежат, и это создает ощутимый прибыльный риск.

В конечном счете мошенническим бизнесам становится невероятно сложно попасть в эту систему.

Мерчант-сервисы используют строгий процесс проверки кредитоспособности


Кроме одобрения новых клиентов мерчант-сервисы также строго оценивают их кредитоспособность, что дает больше возможностей для выявления мошенников. Эту процедуру можно поделить на три этапа:

Источник: Provenir

В рамках первого этапа (проверка данных клиента) анализируется основная информация, подтверждающая личность заявителя. Сюда входит сбор удостоверяющих и регистрационных документов. Также принимаются во внимание статические данные, такие как местоположение и адрес офиса, информация о счетах. Кроме того, проверяется коммерческая история и черные списки. А в электронной коммерции для обнаружения вредоносного трафика используются поисковые роботы.

На втором этапе (проверка кредитоспособности) проверяется история коммерческой деятельности менеджеров компании: например, как долго они работают в отрасли. Информация сверяется с кодом категории продавца (Merchant category code, MCC). Также здесь оцениваются объем транзакций, географический охват и кредитный рейтинг компании.

На последнем, третьем шаге мерчант-сервис проводит итоговую проверку всех предоставленных документов.

Мошенникам придется изрядно потрудиться, чтобы преодолеть все юридические препятствия и процедуры, учитывая количество тестов и объем собираемой информации. Им придется сфабриковать целый бизнес, и любой из описанных выше шагов может вывести их на чистую воду или вызвать серьезные подозрения.

IP-трекеры помогают обнаружить мошеннические заявки


Какими бы строгими ни были процессы приема и проверки мерчантов, всегда есть процент нарушителей, которым удалось перехитрить систему. Для их поиска мерчант-сервисы пользуются IP-трекерами.

Когда какой-либо компьютер подключается к серверу, последнему становится известен его IP-адрес. Трекер IP-адресов определяет географическое положение и другую информацию компьютера, что и позволяет мерчант-сервису обнаружить заявки мошенников.

Трекеры сопоставляют информацию об IP-адресах бизнесов, подающих заявки. Так легко обнаруживается, что потенциальный клиент подключается из другой страны, представляясь при этом мерчантом из Огайо. Если самозванец попытается получить доступ к онлайн-порталу мерчант-сервиса, IP-трекер немедленно определит его местоположение.

Также современное ПО и машинное обучение позволяют определить, использовались ли ранее те или иные последовательности предоставленных данных в других аналогичных заявках. Собранная информация сверяется с данными об отозванных или подозрительных аккаунтах мерчантов. Такие инструменты анализа все больше распространяются в отрасли.

Помимо активной помощи со стороны мерчантов, которые следят за безопасностью бесконтактных платежей для своего бизнеса, индустрия вводит новые стандарты, снижающие риск мошенничества. В большинстве систем бесконтактной оплаты установлен лимит на сумму одной транзакции. А если кому-либо удастся украсть эту сумму денег у клиента, большинство кредитных компаний будут действовать в рамках договора о нулевой ответственности, предполагающего возврат всех украденных средств пострадавшему.

Несмотря на то, что видео с мошенничеством обеспокоило зрителей, в действительности клиенты надежно защищены от подобных махинаций.

image

Wirex

183,38

Мобильный банкинг нового поколения

Поделиться публикацией
Комментарии 37
    +8
    Забавно, что мы почти одновременно опубликовали статьи на одинаковые темы habr.com/post/422551
      +19
      Качество и глубина статей не выдерживает никакого сравнения.
        0
        Вы пытаетесь сравнивать разные жанры. Это как сравнивать авторскую колонку с журналистским расследованием.
      0
      Так в Android NFC выключен при заблокированном экране.
        +4
        Какой же бред…
        1) Подключают крупные банки всех, кому не лень. Оставили заявку в альфе, в тот же день позвонили нам, на следующий же привезли терминал и обучили. Клиент — ИП открытое неделю назад, место — подвал в стадии ремонта.
        2) Любые проверки ip и всякого такого — бред, защита от школьников и тех, кто стащил терминал у курьера. Простейший роутер с прокси — и проверка ничего не надёт. Защитить может только gps модуль в самом терминале, например. Но тогда стоимость обхода просто станет не 5 баксов, в 500.
        3) Платежи через smsungPay, androidPay, applePay — всё требует разблокировки и авторизации пользователя, поводить антенкой у кармана в метро не получится. Для обычных карт достаточно держать 2 карты с бесконтактными платежами вплотную, чтобы невозможно было провести оплату. Для остальных есть кошельки с фольгой.
          0
          Для обычных карт достаточно держать 2 карты с бесконтактными платежами вплотную,

          Ну это хум хау, у меня один раз из пачки в 8 карт сработало и проплатилось.

            0
            Зависит от терминала и его настройки.
            Большинство терминалов при обнаружении нескольких карт, просто матюгаются на это и просят дать одну из них, некоторые рандомно выбирают из всех обнаруженных и пытаются провести платёж.
            +2
            Да, подключают всех. Только если операция без пинкода, то она легко оспаривается. И отвечает этот ИП в подвале, если его уже не найти — банк подключивший такого ИП. Потому, снять сразу всю сумму налом со счета типичному ИП не так и просто.

            А в чем профит «стащил терминал у курьера»? Украсть у случайного человека в пользу курьерской службы??

            Шапочки из фольги для карт — параноикам!

            Куда более интересно, что защищает от переделки терминала в терминал-сборщик данных карт, или в терминал который на экране и чеке убирает два-три ноля, то есть покупатель подтвержлает пинкодом 300р, получает чек на 300р, списывается 30000р. В суде это будет как то очень непросто доказать.
              0
              покупатель подтвержлает пинкодом 300р, получает чек на 300р, списывается 30000р. В суде это будет как то очень непросто доказать.

              Разве это нельзя доказать тем самым чеком?
                0
                Ну вот смотрите, вы покупаете пиццу за 300р, видите на терминале 300р и запрос пина. Вы логично его вводите, курьер говорит что так настроено. Вылазит чек на 300р. Курьер уходит, вы получаете смс на 300р и 30000р. При запросе в банк, у вас есть транзакция неподтвержденная на 300р (от которой чек) и подтвержденная пином на 30000р. Как вам поможет чек?

                Это один вариант. Второй вариант — транзакция одна, сумма разная. Предположим вы чек скопировали и заверили или он не выцвел до суда. Что докажет подлинность чека? ИП скажет что продал вам айфон за 30000р, покажет со своей стороны накладную и свои бухгалтерские документы, уплаченый налог и т.п. У вас есть лишь чек, который напечатан, предположим, специально не по правилам, чтоб быть похожим на чек с одной стороны, и быть очевидно поддельным с другой. Терминал ИП сменил по поломке/утере, экспертизу не провести.
                  0

                  Была здесь статья про эти терминалы, там говорили, что при попытке вскрытия терминал забывает все свои ключи и сертификаты, и становится просто "калькулятором" с NFC модулем, принтером, магнитофоном и слотом для смарт-карт.

                    0
                    Если у вас лимит на оплату без пин-кода в 1000р, а вас просят подтвердить покупку пин-кодом на 300р, то я это прям явный повод не оплачивать такую покупку.
                      0
                      У меня в одной сети терминал просит вставить карту и ввести пинкод. Продавцы говорят что это из-за того что карта MIR
                  0
                  Во-первых в соседней статье объяснили, что при такого рода мошенничестве (транзакции на неправильные суммы или левые транзакции) после пары жалоб пользователей (потому что такие вещи очень заметны) терминал и мерчанта блокируют до выяснения, причем как правило еще до того, как злоумышленник успеет вывести деньги. Учитывая что соответствующее оборудование стоит довольно дорого, такое мошенничество просто не окупается.
                  Во-вторых вы просто не сможете так просто взять и переделать терминал. Вы можете сделать такой терминал сам с нуля (чисто железо собрать и софт написать), но у вас не будет ключей для подписи транзакций банка. Они будут только в терминале полученном от банка. Но такой терминал вы не сможете расковырять и вытащить их, либо заменить какие-то принципиальные части оборудования, так как при попытке вскрытия там все превращается в тыкву (мы как-то продолбали целую партию терминалов при транспортировке — их там похоже хорошенько пороняли, в итоге они приехали уже тыквами, так как решили что их пытаются вскрыть и уничтожили все данные внутри себя).

                  Можно пытаться воровать данные Track2 — там номер карты, срок действия — то что написано на самой карте. И затем пытаться платить онлайн там где нет подтверждения по смс. Вот это более-менее реальный вектор атаки.
                    0
                    Да, затруднить вывод денег, это самое эффективное препятствие.

                    Что касаемо вскрытия терминала… Позвольте не поверить. У меня был терминал, у него съемная батарея, он много раз разряжался и тем не менее продолжал снова работать. Я технически не могу представить систему контроля целостности корпуса, успешно противостоящую лабораторному взлому.
                      0
                      Снятие батареи как и открытие крышки принтера предусмотрено штатно, открытая крышка и изъятая батарея доступа к ключам и пр. не дает. У нас случаи бывали что при сильном резком похолодании температуры воздуха (т.е. резком изменении атм. давления) в день с большой сети пару тройку терминалов вышибало в tampered. После ремонта подобного оборудования в хороших конторах, с качественным сервисом, опытным персоналом терминалы возвращаются скомпрометированными. Защита есть и она хороша.
                      0
                      Можно пытаться воровать данные Track2 — там номер карты, срок действия — то что написано на самой карте. И затем пытаться платить онлайн там где нет подтверждения по смс. Вот это более-менее реальный вектор атаки.


                      Тоже не выйдет — CVV на магнитной полосе, iCVV в Track 2 Equivalent Data на чипе и CVV2/CVC2, который написан на обороте карты и обычно требуется для онлайн платежей, — это три разные криптовеличины, посчитанные на разных ключах.
                  +1
                  У бесконтактной карты платёж до 1000 рублей без ввода пинкода, если мне память не изменяет. И если сумма в 300 рублей вдруг запросит пин-код, то это будет как минимум странно
                    0
                    Моя карта (белорусская) живёт своей жизнью. То за 1 рубль пинкод просит, то 50 списывает без вопросов. Причём, в одном и том же магазине порой. Так что никакой задней мысли бы не возникло.
                      0
                      Ввод пина зависит от банков и условий для магазинов. Если магазин не готов брать на себя риски по транзакции без пина, то пин будет хоть с копейки.

                      Даже если это будет выглядеть странно, многие пин введут, не вникая в подробности.
                        0

                        Все эти условия порой похожи на абсурд. Молодежная карта Сбера. Оплачиваю общий счёт в кафе на 15000 никакого пина. Кофе в KFC — будьте добры пин код.
                        Ничего в личном кабинете и с менеджером банка не перенастраивал.

                        0

                        По всякому бывает.
                        У меня в местном супермаркете на одной из касс снимает любую сумму с первой попытки.
                        А на другой сперва пара неудач, потом запрашивает пинкод, и после этого тоже раза с третьего только всё получается (независимо от суммы).
                        Ещё лично попал в транспорте (в троллейбусе). С двух попыток оплата не прошла, кондукторша стала жаловаться, что ещё одна попытка — и всё, что-то там у неё заблокируется. Я поменял активную карту (android pay), и после этого всё получилось.
                        Но! На следующий день внезапно получаю чек от старой (вчерашней) попытки, датированный сегодняшним числом. И эти деньги по итогу снялись.
                        Не знаю, как она это сделала; специально или просто сбой — но если специально, то система явно несовершенна. В этом случае нашедший лазейку сможет пользоваться ей ещё достаточно долго (банально — вряд ли кто-то будет заморачиваться и связываться с банком из-за 18 рублей...)

                        +1

                        То есть по сути никакой ТЕХНИЧЕСКОЙ защиты нет, а есть лишь "страшные юридические договора".
                        О-кей, все бесконтактные карты переводим в гугл и платим только смартфоном (там оплата зависит только от разблокировки устройства, а не от сотни пунктов юридического договора).

                          0
                          Другое дело если у тебя карту стащили или ты её потерял и узнал об этом не сразу, злоумышленнику ничего не помешает понаделать покупок с чеком <1000р вплоть до опустошения карты.
                            0

                            "В случае халатности или серьезного нарушения юридическую ответственность может понести любая сторона, но, как правило, ее несут банк-эмитент карты"… Чего-чего может банк-эмитент? Вы про какую страну вообще говорите? К слову в комментах к http://habr.com/post/422551 люди рассказывают что как-то из банка ответили в стиле "бесконтактная оплата не опротестовывается по определению"...

                              0

                              Не очень понятно..


                              на мошенничеств с использованием бесконтактных технологий нам не грозит. Мерчанты уже предприняли дополнительные меры защиты

                              И тут же статья переключается на другое. И причем здесь то, как банк регистрирует merchant и какие у него административные процедуры для этого.
                              И как обычный продавец может определить что конкретно "прислонили" к ридеру терминала?


                              Единственная защита "порядочный человек из за мелкой выгоды большой пакости не сделает"


                              Ну и порог вхождения.
                              Мелкий гопник (два минимум) из за 1000 руб должен уметь собрать android приложение, иметь свой VPS что бы не в пределах прямой видимости хотя бы работал (не локальный WiFi между телефонами)…
                              Да проще мелочь по карманам тырить!


                              Ссылку на Github на приложение не даю. кому интересно — найдут. Ничего в этом сложно в организации bridge по TCP/IP между двумя NFC телефонами один из которых как ридер работает, а другой как "карта".


                              Вот когда банкоматы начнут выдавать нал по бесконтакту… Вот тут то волна и пойдет.
                              Посмотреть PIN не сложно. А нал это не товар на 1000 руб.

                                0
                                Вот когда банкоматы начнут выдавать нал по бесконтакту…


                                Уже выдают, в полный рост. Альфа даже на старые банкоматы какие-то NFC-ридеры приколхозила.
                                  0
                                  Ведомости, 16 августа 2018 года
                                  Visa ужесточит требования к банкоматам в России
                                  Они должны будут принимать бесконтактные карты

                                  Все там будем, причём очень скоро :)
                                    0
                                    Ну и порог вхождения.
                                    «Почему Робин Гуд грабил богатых?
                                    Потому что для того, чтобы грабить бедных, нужно быть государством/организацией/богатым.»
                                    0
                                    большинство кредитных компаний будут действовать в рамках договора о нулевой ответственности, предполагающего возврат всех украденных средств пострадавшему.

                                    Подскажите пожалуйста какие банки в России так будут действовать?
                                      0
                                      Краткое содержание статьи: Что защищает от мошенничества с бесконтактными платежами? Ну, мы очень стараемся, что бы с бесконтактными платежами работали достойные люди, заслуживающие доверия.
                                      Ну здорово. Как люди раньше до такого не догадывались? Это же универсальная методика — хочешь защитится от засланных казачков на работе — нанимай хороших людей. Не хочешь отдать деньги мошенникам — веди дела с порядочными людьми. Не хочешь попасть под колеса на переходе? Переходи дорогу, когда по ней едут законопослушные водители, все просто!
                                        0

                                        Сарказм понятен, но, тем не менее, это всё работает.


                                        Если у какого-нибудь продавца расплатятся ворованной кредиткой, владелец карты скорее всего (*) оспорит операцию, и продавец получит серьёзный штраф за недостаточное качество идентификации личности покупателя. В следующий раз будет просить ввести пин или показать паспорт вместе с картой.
                                        Если продавец сам решит скопировать карту и снять с неё немного денег, то ему опять же вкатят как минимум штраф, или вообще заведут уголовное дело. Всё отслеживается.
                                        Такая вот принудительная честность.


                                        Более того, это всё как-то работает (сейчас в основном работало) даже без кодов по sms или цифровых подписей, сделанных чипом карты. Достаточно легко копируемых данных карты.


                                        * — в ряде сценариев не оспорит, но вероятность этого меньше.

                                        0

                                        Заметил по этой и недавней статье, что схема безопасности основывается на рациональном поведении вора (стоимость вхождения больше, чем доход).
                                        То есть некий неразумный гопник, тюкнувший продавщицу бутылкой и отнявший у неё терминал, может какое-то время бегать и "обилечивать" прохожих во имя хаоса, но воспользоваться украденными деньгами не сможет.

                                          0
                                          в принципе — на это рассчитаны все современные массовые системы безопасности (ибо если во имя хаоса, то иногда это случается даже с теми, кто по идее должен порядок сторожить).
                                          Вот, может, разве что ракеты и АЭС сторожат с учетом этого. А остальное — одиночки системе большого ущерба не смогут причинить.
                                          0
                                          По-моему, модель гарминовских часов с КДПВ не поддерживает бесконтактных методов оплаты.
                                            0
                                            интересно, а есть возможность прописать в карте (а лучше в банке-эмитенте) опцию запрашивания пинкода всегда, вне зависимости от суммы операции.
                                              +1
                                              Ну разве нет в русском языке достаточного количества слов, чтобы перевести «merchant»? При том что
                                              Информация сверяется с кодом категории продавца (Merchant category code, MCC).

                                              Только полноправные пользователи могут оставлять комментарии. Войдите, пожалуйста.

                                              Самое читаемое