Современные платежные карты оснащены рядом технологических решений, повышающих уровень безопасности их использования. С одной стороны, эти элементы безопасности должны хорошо защищать карту, а с другой стороны, они должны быть легко проверены продавцом, покупателем и эмитентом карты (банком). Им необходимо убедиться, что:
- Карта оригинальная и не подделывалась преступниками;
- Его владельцем является тот, кто утверждает, что уже лечился.
Поэтому для снижения возможности мошенничества карточные организации и банки используют многоуровневую систему безопасности. Он построен таким образом, что его отдельные области дополняют друг друга. Эта система включает в себя:
- открытая и скрытая визуальная охрана;
- встроенная в карту электронная защита;
- Меры безопасности защищают передачу данных в процессе авторизации платежа.
визуальная безопасность
Первичной защитой платежной карты от подделки и несанкционированного использования является персонализация, то есть закрепление карты за конкретным клиентом, банком и карточной организацией. Этот пакет безопасности включает в себя:
- 16-значный номер карты (выдавлен внизу лицевой стороны);
- Срок действия карты, указанный в формате ММ/ГГ – старая карта должна быть зарезервирована автоматически или отклонена банкоматом или в точке продажи;
- имя и фамилия держателя карты – картой может пользоваться только то лицо, чьи личные данные указаны на пластике;
- Трехзначный код CVC2/CVV2, который является функцией безопасности при удаленных транзакциях, когда нельзя использовать PIN-код. Размещается только на оборотной стороне карты и в системе информационных технологий банка;
- Подпись владельца (а в случае визиток – название компании с гравировкой). Неподписанные карты считаются недействительными;
- Каждая платежная карта также должна содержать логотип системы (например, VISA, Eurocard/Mastercard, PolCard, American Express).
Интересен тот факт , что еще одной формой безопасности является точный порядок всех элементов, которые появляются на карте. Каждый продавец вместе с устройством получает инструкцию от оператора, в которой описан порядок отдельных деталей. Например, в Руководстве PaySquare для продавцов есть информация о том, что в случае карт марки Masterdcard «Четыре цифры под номером карты должны совпадать с первыми четырьмя цифрами номера карты и начинаться с «5», карта число” должно быть упорядочено четырехугольными блоками и одинаково по размеру и форме.
Конечно, персонализация карты — не единственная ее защита. Кроме того, эмитенты карт наносят на них специальную маркировку, затрудняющую подделку пластика. Этот набор функций безопасности включает следующие элементы: голограммы, графику, мелкий шрифт, а также символы, видимые только в ультрафиолетовом свете.
голограмма
Голограмма представляет собой трехмерную оптическую метку, выгравированную на тонкой светочувствительной фольге. Содержимое голограммы появляется в правильном свете и в правильном положении карты. Голограмму нельзя удалить или изменить, поскольку она вплавляется в материал карты с помощью метода, известного как фольга горячего тиснения.
Голограмма является одним из лучших открытых средств защиты платежных карт. Огромным преимуществом является возможность быстрой проверки продавцом, не требующей дополнительных устройств на месте совершения сделки, например в магазине, ресторане или на заправке.
Использование голограмм достаточно затратно (из-за очень высокой стоимости матрицы), но, как это ни парадоксально, именно этот фактор мешает мошенникам создавать «подделки». К сожалению, бывают случаи, когда преступники вкладывают средства в дорогостоящий типографский станок и способны производить карты с, казалось бы, оригинальной голограммой.
Забавный факт: несколько лет назад польская полиция ликвидировала банду, насчитывавшую таким образом более 2000 человек. Кредитные карты, затем с их помощью были обмануты товары как минимум на 1,5 млн злотых.
Защитная графика и мелкий шрифт
Эти элементы классифицируются как элементы с рейтингом безопасности, поскольку их трудно увидеть невооруженным глазом. Это очень сложная, нерегулярная и мелкая графика, которая наносится на карту в процессе печати специальным скотчем.
Микроотпечатки становятся видны только при правильном освещении и при большом увеличении, поэтому карточные дилеры не обязаны их проверять. Они часто используются для проверки карты на специализированном исследовательском уровне во время расследований правоохранительных органов.
Элементы безопасности, видимые в ультрафиолетовых лучах
Как правило, это графические символы платежных организаций, но не всегда. Иногда буквы также представляют собой одиночные буквы, которые зритель помещает в неожиданное место, например, в угол карты, под покрытие, покрывающее магнитную полосу и т. д. Для изготовления ультрафиолетовой печати используются специальные чернила, химические свойства которых делают невозможным прочтение такого знака невооруженным глазом.
Забавный факт: в ультрафиолетовом свете на карте Visa между буквами «I» и «S» появляется дополнительная буква V. На картах Mastercard — аббревиатура MC находится на левой стороне карты.
Если у продавца карты есть сомнения в ее подлинности, он может самостоятельно проверить эту гарантию (однако это не является обязательным обязательством). Тем не менее, операторы терминалов в инструкциях своих торговцев всегда указывают, что такое УФ-компонент на конкретном типе карты, поэтому торговцы знают, где и с какой отметкой она должна стоять.
Лента для подписи — специальная защита
Одним из особо защищенных элементов карты является ремешок на оборотной стороне, на котором держатель пластиковой карты ставит свою подпись. Это место оснащено рядом различных функций безопасности, таких как УФ-печать и/или переплетенное тиснение.
Кроме того, под миниатюрным принтом находится слой белой краски, которая является фирменным фоном. Мошенническая попытка удалить или поцарапать имя на панели автоматически удаляет поддержку, а в поврежденном поле отображается «VOID» (Mastercard) или «Invalid card».
Использование многих средств защиты продиктовано тем, что в случае офлайн-транзакций именно подпись позволяет продавцам удостовериться в личности владельца пластика. Однако, как мы хорошо знаем, продавцы редко смотрят на нашу карту, когда мы расплачиваемся ею. Во-первых, потому что тщательная проверка каждой карты займет очень много времени, а во-вторых – при первой попытке это сделать, скорее всего, потеряют клиента навсегда. По этой причине банки больше полагаются на удаленную безопасность.
кибербезопасность
Однако как удаленно проверить, имеет ли на это право лицо, использующее карту? В случае онлайн-транзакций (таких как снятие наличных в банкоматах) визуальная безопасность становится менее важной, а электронная безопасность становится более важной. Благодаря им эмитент карты (банк) может убедиться, что определенную операцию заказал реальный владелец карты, а не мошенник.
Основной защитой карты является PIN-код (персональный идентификационный номер). Является своеобразной «электронной подписью» владельца пластика и рассматривается финансовыми учреждениями наравне с собственноручной подписью. Этот четырехзначный код позволяет совершать транзакции в магазинах и снимать деньги в банкоматах, и в то же время защищает наши сбережения — конечно, только если мы должным образом заботимся об их сохранности и не опрометчиво делимся ею с ворами.
Электронная защита также включает магнитную полосу и/или чип. Именно в этих местах на пластиковом держателе находится набор закодированных данных. Информация, хранящаяся в чипе процессора, дополняет визуальную безопасность карты и используется для удаленных транзакций.
Карта с магнитной полосой уязвима для мошенничества
Магнитная лента состоит из трех дорожек, то есть параллельных магнитных полей, которые считываются магнитным заголовком, расположенным в банкомате или терминале. Первая дорожка содержит имя и фамилию держателя карты, а также данные страны и банка, выпустившего карту. Вторая дорожка содержит номер карты, срок ее действия и сервисный код, необходимый для корректного завершения транзакции. С другой стороны, третий путь используется для записи частной банковской информации.
К сожалению, функции безопасности, используемые в картах этого типа, очень легко взломать. С помощью устройства, называемого программатором, мошенники могут легко скопировать содержимое ленты и перенести на ее копию конфиденциальные данные карты. Клонированная карта работает так же, как оригинальная карта, и с ее помощью совершаются транзакции в интересах ее законного владельца.
Более защищенные от копирования чип-карты
Смарт-карты, пришедшие на смену картам с магнитной полосой, оснащены гораздо лучшей системой безопасности. Помимо микропроцессора, он также содержит постоянное ПЗУ, на которое загружается операционная система. Мы преуспеваем в:
- зона свободного чтения – содержит зашифрованные данные держателя карты: его имя, фамилию, идентификационный номер карты, срок действия, а также название финансового учреждения, выпустившего ее;
- Секретная зона – доступна после ввода PIN-кода. В этой области хранится информация о производителе карты и конфиденциальные данные о пользователе;
- Рабочая область – место, где хранятся переменные данные (например, список транзакций по карте, баланс банковского счета, счетчики транзакций и т. д.).
Кроме того, чип оснащен сопроцессором для кодирования, который работает на основе сложных алгоритмов. Более того, связь между программой и процессором также может быть зашифрована, что является дополнительной защитой от продвинутых хакерских атак.
Короче говоря, чип, встроенный в карту, использует методы многоэтапного шифрования и генерирует уникальные динамические данные для каждой транзакции (так называемая подпись сообщения). В результате скопировать информацию со смарт-карты практически невозможно.
Безопасность охватывает процесс авторизации
Когда мы расплачиваемся картой в магазине или с ее помощью снимаем наличные в банкомате, наш банк должен убедиться, что мы имеем на это право и не выдаем себя за законного владельца пластика. Этот процесс называется авторизацией, и онлайн-транзакция проходит следующим образом: банкомат или терминальное устройство считывает данные с чипа или магнитной полосы и отправляет их покупателю, который проверяет действительность карты. В этом случае покупатель обязан ввести ПИН-код, который до сих пор зашифрован в устройстве, и отправить его в банк в таком виде (так что даже человек, работающий в центре авторизации, не сможет его прочитать). Если PIN-код правильный, компьютер центра выставления счетов разрешает транзакцию.
Следует отметить, что в системы авторизации банков встроены дополнительные меры безопасности, помогающие выявлять мошенничество, то есть нетрадиционные и подозрительные карточные операции. Если конкретный платеж отличается от типичного алгоритма транзакции, который совершает конкретный клиент, например, в 13:00 он расплачивается картой в Жабке, а через несколько часов покупает Мерседес во Флориде, банк может решить попасть в чужие руки и прервать процесс авторизации (или даже без ведома держателя карты заблокировать карту).
Оффлайн-транзакции разрешены несколько иначе, например с бесконтактной картой. В этом случае банкомат или терминал не связывается с авторизационным центром банка и самостоятельно проверяет данные, необходимые для совершения транзакции. В качестве дополнительной меры безопасности устройство автоматически проверяет, не входит ли та или иная карта в так называемое прекращение отпуска, то есть в список украденных и ограниченных карт. В этом случае устройство прекращает авторизацию и выводит сообщение дилеру, который должен оставить карту на данный момент.
Мы подробно обсудили путь процесса лицензирования в этой статье.
Безопасность онлайн- платежей
Менее понятна ситуация с обеспечением онлайн-транзакций, во время которых продавец не имеет возможности визуально оценить подлинность карты, а единственной формой проверки личности владельца пластика является трехзначный код CVC2/CVV2. . Если вор украдет нашу карту, ему не нужно знать PIN-код — все, что ему нужно сделать, это предоставить конфиденциальные данные карты, и платежи за покупки будут сняты с нашего счета.
Решением для предотвращения этого вида мошенничества является услуга 3D Secure, предлагаемая большинством польских банков. Он заключается в дополнительном подтверждении транзакции одноразовым паролем. В зависимости от инструмента авторизации, который мы используем, это может быть код из текстового сообщения, скретч-карта или токен. После подтверждения того, что лицо, совершившее покупку, является фактическим держателем карты, банк направляет транзакцию для получения обычной авторизации.
Стоит отметить, что владельцы интернет-магазинов также обязаны обеспечивать безопасность транзакций. Прежде всего, они должны гарантировать своим клиентам, что передача данных между их домашними компьютерами и сервером, на котором размещены веб-сайт и база данных в магазине, защищена от хакеров. Основным инструментом, обеспечивающим такую защиту, является сертификат SSL (Secure Socket Layer). Он выполняет три важные функции:
- Позволяет шифровать данные, благодаря полной конфиденциальности;
- защищает целостность данных при передаче – данные не могут быть изменены третьими лицами или это изменение обнаруживается автоматически;
- Пользователям гарантируется, что они попали на безопасную страницу и не были перенаправлены на поддельный, но похожий до степени смешения сайт.
В адресе сайта появляется информация о наличии у интернет-магазина SSL-сертификата: префикс «https» указывает на то, что сайт использует зашифрованное соединение. Дополнительным значком является значок замка или зеленое адресное поле.
Однако многие крупные интернет-магазины используют очень строгую дополнительную систему безопасности, совместно разработанную крупнейшими платежными организациями. Так называемый стандарт PCI DSS (Стандарт безопасности данных индустрии платежных карт) охватывает 12 важных областей, связанных с хранением, отправкой и обработкой данных, идентифицирующих отдельные карты. Несоблюдение требований PCI DSS может привести к серьезным коммерческим и финансовым последствиям для Компании, а также может привести к ее исключению из участия в обслуживании платежных карт.
будущая безопасность
Однако, возможно — в довольно отдаленном будущем — будут реализованы меры безопасности, которые сведут попытки мошенничества с картами практически к нулю и облегчат проверку личности пользователя пластика.
Сегодня крупнейшие платежные организации уже работают над биометрическими картами, позволяющими идентифицировать конкретного человека на основе уникальных физиологических особенностей, таких как рисунок отпечатка пальца, расположение сосудов, рисунок радужной оболочки или геометрия руки.
Альтернативным решением могут стать банковские карты в виде вживляемого под кожу чипа с блоком NFC, который сейчас используется в бесконтактных картах. Эти карты невозможно подделать или каким-либо образом имитировать, поэтому их единственным слабым местом будет передача данных.
Подробнее о картах с биометрическим PIN-кодом вы можете прочитать в этой статье.
Резюме
Правда, внедрение оптической защиты и чипов предотвратило клонирование платежных карт, но преступники не сдались. Сегодня настоящая битва за безопасность платежных карт происходит в киберпространстве, и местами, наиболее уязвимыми для атак, являются каналы передачи, используемые для передачи данных, необходимых в процессе авторизации. Перехват информации, хранящейся в процессоре карты, по-прежнему позволяет выдавать себя за владельца пластика и осуществлять платежи на его счет.
Впрочем, иногда преступникам и не приходится прикладывать особых усилий, ведь мы сами — безрассудно — предоставляем им эти данные. На мошенничество с платежными картами в настоящее время приходится 92% всех преступлений против клиентов банков. Поэтому в конце стоит отметить еще один очень важный компонент безопасности карты, которым должен быть наш здравый смысл. Мы также должны сами позаботиться о безопасности платежных карт и использовать их с умом и осторожностью.
узнать больше
Оплата картой онлайн
One Comment