Классификация типов мошенничества в электронной коммерции
Высокий уровень мошенничества в Интернете является сдерживающим фактором развития ЭК, поскольку покупатели, торговля и банки боятся пользоваться этой технологией из-за опасности понести финансовые потери.
Приведем классификацию возможных типов мошенничества через Интернет, приводимую международными платежными системами:
- транзакции, выполненные мошенниками с использованием правильных реквизитов карточки (номер карточки, срок ее действия и т. п.);
- компрометация данных (получение данных о клиенте через взлом БД торговых предприятий или путем перехвата сообщений покупателя, содержащих его персональные данные) с целью их использования в мошеннических целях;
- магазины, возникающие, как правило, на непродолжительное время, для того чтобы исчезнуть после получения от покупателей средств за несуществующие услуги или товары;
- злоупотребления торговых предприятий, связанные с увеличением стоимости товара по отношению к предлагавшейся покупателю цене или повтором списаний со счета клиента;
- магазины и торговые агенты (Acquiring Agent), предназначенные для сбора информации о реквизитах карт и других персональных данных покупателей.
Обычно в рамках подобной классификации фигурирует еще пункт «Информационные сайты». Речь идет о сайтах, помогающих всевозможными рекомендациями и даже программными средствами совершить мошенническую транзакцию. Мы выносим этот пункт из общего перечня возможных типов мошенничества, поскольку он не связан непосредственно с процессом ЭК.
Коротко остановимся на перечисленных типах мошенничества в отдельности. Как уже отмечалось, первый тип мошенничества является наиболее массовым. Для совершения транзакции ЭК мошеннику обычно достаточно знать только номер карты и срок ее действия. Такая информация попадает в руки мошенников различными путями. Наиболее распространенный способ получения мошенниками реквизитов карт — сговор с сотрудниками торговых предприятий. ТП, через которые проходят сотни и тысячи транзакций по пластиковым картам, зачастую хранят информацию о реквизитах карт в своих БД или на слипах (бумажных документах, подтверждающих факт совершения в ТП транзакции). Результатом сговора становится передача информации о реквизитах карт в руки криминальных структур.
Другой способ получения информации о реквизитах карт, ставший популярным в последнее время, — кража БД карточек в ТП, о чем будет рассказано чуть ниже.
Еще одним способом генерации правильного номера карты является программа CreditMaster, используемая мошенниками с 1995 г. Сегодня версия 4.0 этой программы может быть найдена на ряде сайтов в Интернете. Программа генерирует правильные номера карт, эмитированных некоторыми банками, используя для генерации номеров тот же алгоритм, что и банк-эмитент.
Достаточно распространенным является способ, когда криминальные структуры организуют свои магазины и торговые агенты (см. пятый тип мошенничества) с главной целью получить в свое распоряжение значительные наборы реквизитов карт. Часто такие магазины представляют собой различного рода порносайты. Сегодня западными спецслужбами установлена тесная связь порнобизнеса в Интернете с преступными группировками, специализирующимися на мошенничествах с пластиковыми картами.
Другая функция подобных магазинов состоит в их использовании для «отмывания» полученных реквизитов карт. Через подобные сайты «прокачиваются» сотни тысяч и даже миллионы украденных реквизитов карт.
Иногда обе функции — кража и «отмывание» — совмещаются в одном магазине. Например, воспользовавшись однажды услугами порносайта, владелец карты с удивлением выясняет, что стал подписчиком такого сайта, и, таким образом, с него ежемесячно будет взиматься плата за подписку, отказаться от которой весьма проблематично.
Наконец, существует и еще один способ узнать правильные реквизиты карт. Точнее не узнать, а эмпирически вычислить. Дело в том, что Интернет представляет собой прекрасный плацдарм для проведения различного рода «испытаний» с целью определения правильных реквизитов карт. Например, если мошеннику известен номер карты, но не известен срок ее действия, то определить этот параметр карты не составляет большого труда. Действительно, пластиковая карта обычно выпускается сроком на два года. Параметр «срок действия карты» определяет месяц и последние две цифры года, когда действие карты заканчивается. Таким образом, мошеннику требуется перебрать всего лишь 24 возможных варианта этого параметра. В реальном мире сделать это не просто. В виртуальном мире решение подобной задачи не составляет труда. Мошеннику нужно отправить не более 24 авторизационных запросов для того, чтобы с вероятностью 1 определить верный срок действия карты. После этого воспользоваться известными реквизитами карты можно различными способами. Проще всего совершить транзакцию ЭК. Более эффективный способ воспользоваться добытым знанием — изготовить поддельную карту с вычисленными реквизитами карты и использовать ее для оплаты покупок в реальных ТП. В этом случае такое мошенничество попадет в разряд «подделанная карта» (Counterfeit).
Приведенные выше рассуждения относились к случаю, когда известен номер карты и требовалось определить срок ее действия. Нужно сказать, что с помощью Интернета вполне решаемой становится задача вычисления обоих основных параметров пластиковой карты — ее номера и срока действия. Действительно, в большинстве случаев номер карты представляет собой число, состоящее из шестнадцати десятичных цифр (хотя в соответствии со стандартом ISO 7812 «Идентификационные карты — система нумерации и процедура регистрации идентификаторов эмитентов» номер карты может состоять из 19 цифр). Из 16 цифр номера карты 6 первых представляют собой BIN (Bank Identification Number), предоставляемый банку либо международной платежной системой, участником которой он является, либо непосредственно организацией American Bankers’ Association, уполномоченной ISO на выдачу идентификаторов банкам, если банк реализует собственную независимую карточную программу. Кроме того, достаточно часто крупные и средние банки используют 7 и 8-ю цифры номера для идентификации своих филиалов и отделений. Наконец, последняя цифра номера карты — цифра проверки на четность по алгоритму Luhn Check Parity, однозначно определяемая всеми остальными цифрами номера карты.
Таким образом, как правило, только 7 цифр номера карты являются независимыми переменными. Остальные цифры определены платежной системой и банком-эмитентом. Эти цифры не являются конфиденциальными хотя бы потому, что содержатся в множестве различных таблиц, доступных широкому кругу специалистов. Кроме того, чтобы выяснить значения зависимых переменных номера карты, мошеннику достаточно получить для себя в интересующем его банке пластиковую карту.
С учетом того, что средний банк выпускает под одним префиксом (первые 8-11 цифр карты) 50 000-500 000 карт, легко видеть, что если банк генерирует номер карты по случайному закону, то плотность заполнения пространства возможных номеров карт (верхняя граница отношения количества выпущенных карт ко всему возможному множеству значений номера карты) составит 0,005-0,05. С учетом числа различных вариантов срока действия карты получается, что мошеннику требуется перебрать в среднем порядка 500-5000 различных вариантов параметров карты для достижения своей цели. Очевидно, такая задача является вполне решаемой с учетом того, что мошенник имеет возможность направить авторизационные запросы одновременно в достаточно большое количество Интернет-магазинов. Можно показать, что для того, чтобы с вероятностью Ро найти правильный номер карты при плотности заполнения диапазона возможных значений номеров р, необходимо перебрать не более значений
номеров карт. Здесь знак [х] обозначает целую часть х. В частности при Р0=0,99 и р=0,05, п =90. Таким образом, с учетом срока действия карты необходимо перебрать не более 2160 значений реквизитов карт, чтобы с вероятностью 0,99 добиться «успеха».
Иногда помимо номера карты и срока ее действия требуется дополнительно сообщить торговому предприятию специальный цифровой код, называемый в системе VISA СW2, а в системах Europay/MasterCard — CVC2. Этот цифровой код состоит из трех десятичных цифр, которые печатаются методом индент-печати на оборотной стороне карты на панели подписи сразу вслед за номером карты, и получается с помощью специального открытого алгоритма, применяемого к таким параметрам карты, как номер карты и срок ее действия. Алгоритм базируется на применении алгоритма шифрования DES (см. далее) и использует пару секретных ключей, известных только эмитенту карты. Таким образом, зная номер карты и срок ее действия, вычислить цифровой код без знания секретных ключей невозможно.
С1 апреля 2001 г. в платежных системах Еигорау и MasterCard обслуживающие банки обязаны вставлять в авторизационные запросы для транзакций Cardholder Not Present значения CVC2. При этом, к сожалению, далеко не все эмитенты к этому моменту будут способны верифицировать полученные значения кода в своих системах (сегодняшние оценки показывают, что когда обслуживающий банк передает в сеть значение цифрового кода CVC2/CVV2, лишь примерно в 30 % случаев эмитент проверяет этот параметр). Из-за того что сегодня практически всегда (случай использования протокола SET не рассматривается) ответственность за мошенничество по транзакции ЭК лежит на обслуживающем банке, некоторые эмитенты, даже определив, что значение цифрового кода неверно, дают положительный ответ (Approval) на авторизационный запрос.
Отметим, что использование цифрового кода CVV2/CVC2 в некоторой степени поможет борьбе с мошенничествами в ЭК, но не решит проблемы в целом. Действительно, несмотря на то что применение этого кода потребует от мошенника знания еще трех дополнительных цифр, сам код является статической информацией и, следовательно, рано или поздно попадет в руки мошенников теми же способами, что и номер карты. По-видимому, это стало основной причиной, по которой VISA решила пока не принимать решения об обязательном использовании значений CVV2. В качестве контраргумента против обязательного использования этого кода в ЭК VISA рассматривает повышение вероятности компрометации CVV2 в среде Интернет (подчеркнем, что CVV2 в общем случае используется для проведения транзакций «покупка» методом голосовой авторизации, что существенно повышает безопасность транзакции, выполняемой с помощью этого способа авторизации).
Отметим также, что существует еще один способ повышения безопасности транзакции ЭК — использование метода VISA Address Verification System (AVS). Суть метода состоит в следующем. ТП запрашивает у клиента параметр Cardholder Billing Address (адрес клиента, по которому он получает из своего банка-эмитента так называемые стейтменты, отчет о транзакциях, совершенных клиентом по своей карте в течение некоторого периода времени), который направляется в авторизационных запросах банку-эмитенту владельца карты для верификации. Для того чтобы метод AVS можно было применять, необходимо, чтобы параметр Cardholder Billing Address поддерживался в авторизационных запросах, передаваемых обслуживающим банком эмитенту карты. До последнего времени метод AVS поддерживался в системе VISA только американскими банками. С 15 мая 2001 г. система VISA предлагает банкам на опционной основе внедрить специальные изменения в авторизационных запросах обслуживающего банка с целью поддержки метода AVS (VISA International Address Verification System).
Технология AVS уже несколько лет успешно используется на американском рынке пластиковых карт. С апреля 2001 г. метод AVS является обязательным для банков в Великобритании.
У метода AVS два недостатка. Во-первых, он, так же как и метод проверки CVC2/CW2, является статическим и, следовательно, попадание в руки мошенников нового параметра является лишь вопросом времени. Во-вторых, этот метод поддерживается только системой VISA, и хотя на долю этой платежной системы в мире приходится более 50 % всех транзакций ЭК, это все-таки не весь рынок платежей в Интернете. Другими словами, метод AVS не является на сегодняшний день универсальным. Остановимся теперь на втором типе мошенничества — компрометации персональных данных владельцев пластиковых карт. 2000-й год стал рекордсменом по числу взломов БД карточек в информационных системах крупных ТП. Так, в марте этого года появилось сообщение о том, как в Уэльсе два подростка украли более 26 тысяч реквизитов карт из БД одного из электронных магазинов. К сожалению, это был единственный случай, когда мошенники были задержаны.
Другой пример является еще более масштабным. В начале 2000 г. российским хакером была вскрыта БД объемом 300 000 записей. После того как мошенник, представившийся Максимом, потребовал за сохранение тайны о случившемся выкуп в размере $100 тыс и получил в ответ отказ, часть украденных номеров карт была выставлена в Интернете для общего обозрения. Спецслужбы, занимавшиеся расследованием данного случая, отметили чрезвычайно высокий профессиональный уровень хакера — для вскрытия БД использовались методы, известные только профессионалам в области защиты информации, Кроме того, преступник так искусно скрыл следы своего присутствия на сайте ТП, что единственное, что можно было установить, так это то, что он действовал, используя российский IP-адрес.
Известно также о случае кражи реквизитов 485 тысяч карт, выставленных в сети National Aeronautic & Space Administration после отказа заплатить преступнику запрошенный им выкуп.
В середине 2000 г. Интернет-магазин Egghead.com объявил о вскрытии его системы защиты информации и краже БД карточек. БД карточек этого магазина содержала реквизиты 3,7 млн карт.
Тревогу у мировой общественности вызывает активизация действий российских хакеров. За 2000 г. более 40 американских коммерческих сайтов подверглись нападению со стороны организованных групп, действующих с территории России и Украины: хакеры завладели номерами более миллиона кредитных карт. Согласно заявлениям представителей ФБР, речь идет об одной из самых масштабных атак на электронные коммерческие сайты.
Интернет-магазин является идеальной мишенью для мошенников, желающих украсть реквизиты работающих карт. По данным исследования, проведенного Международной ассоциацией потребителей, более двух третей сайтов торговых точек хранят эти данные по самым разным соображениям и для разных целей. К таким соображениям может относиться необходимость хранения информации о выполненных платежах, установление отношений со своими покупателями (Client Relationship Management), технические причины и т. п. Говоря о технических причинах, можно упомянуть технологию, используемую в Amazon и состоящую в том, что реквизиты карт запоминаются на сайте этого ТП, в том числе и для того, чтобы при следующем обращении клиента ему не нужно было бы вводить реквизиты своей карты заново.
Поданным компании Meridien Research уязвимость Интернет-магазинов усугубляется еще и тем, что лишь 30 % онлайновых продавцов используют надежные системы защиты для борьбы с компьютерными мошенниками.
В заключение остановимся на третьем типе мошенничества — магазинах-бабочках, открывающихся с целью «отмывания» украденных реквизитов карт. После того как в руках криминальных структур появляются украденные реквизиты карт, возникает задача ими воспользоваться. Один из способов — организация виртуального ТП, «торгующего» программным обеспечением или другими информационными ресурсами (программы телевизионных передач, подписка на новости и т. д.). В действительности, такое ТП, как правило, имеет свой сайт, но ничем реально не торгует. При этом в обслуживающий банк регулярно направляются авторизационные запросы, использующие украденные номера карт, а следовательно магазин регулярно получает от обслуживающего банка возмещения за совершенные в нем «покупки». Так продолжается до тех пор, пока уровень chargeback (отказов от платежей), от эмитентов украденных реквизитов карт не станет свидетельством того, что имеет место мошенничество. Обычно к этому моменту и сами магазины, почувствовав запах жаренного, исчезают и становятся предметом поиска правоохранительных органов.
Магазины-бабочки обычно выбирают две крайние стратегии своей работы. Выбор стратегии определяется размером украденной БД карточек. Если размер украденной БД достаточно большой (десятки тысяч карт), то выбирается стратегия, в соответствии с которой транзакции делаются на небольшие суммы (порядка $10 США). Основная идея такой стратегии заключается в том, что действительный владелец карты заметит небольшую потерю средств на своем счете далеко не сразу и в результате за имеющееся в распоряжении мошенников время (как правило, 1-3 месяца) можно на подобных небольших транзакциях украсть сотни тысяч долларов.
Наоборот, когда в распоряжении мошенников несколько десятков карт, выбирается стратегия выполнения транзакций на крупные суммы (несколько тысяч долларов). В этом случае активная жизнь магазина-бабочки составляет несколько недель, после чего магазин исчезает. Резюмируя все сказанное, следует отметить следующее:
- в основе всех мошенничеств в ЭК лежит попадание в руки криминала информации о реквизитах действующих карт;
- внедрение дополнительных методов повышения безопасности транзакций ЭК (CVC2/CVV2, AVS), сводящихся к увеличению размеров статических реквизитов карт, даст эффект в течение относительно небольшого интервала времени, но не позволит решить проблему кардинальным образом. Криминал не оставит попыток приобретения реквизитов карт, используя для этого самые разнообразные методы, начиная от классических (сговора с персоналом ТП) и заканчивая вскрытием БД карточек ТП и созданием специальных магазинов, ставящих своей главной целью завладеть информацией о номерах карт.