Операции без предъявления карты в условиях электронной коммерции

Заключение

Использование информационных технологий может подвергать угрозам целостность, своевременность, конфиденциальность и доступность коммерческих банковской информации. Отмечается, что причины угроз кроются как в программном обеспечении, так и в намеренном или ненамеренном срабатывании человеческого фактора - угрозы нарушения коммерческих банковской информационной безопасности могут исходить от пользователей внешних сетей (атаки из Интернета), от персонала банка (вследствие ошибочных действий или халатности).
По оценкам экспертов, главным минусом использования CNP-транзакций является риск мошеннического взлома и, как следствие, несанкционированный доступ к денежным средствам, находящимся на счетах. Исходя из этого, кредитные организации стараются использовать такие системы и механиз ...

Содержание

Введение 2
1. Понятие и особенности электронной коммерции в России, направления развития 4
2. Виды банковских транзакций 10
3. Сущность операций без предъявления карты 13
4. Классификация типов мошенничества в электронной коммерции 17
5. Обоснование необходимости защиты данных в процессе осуществления CNP-транзакций 29
Заключение 34
Список использованной литературы 36

Введение

С интенсивным развитием за несколько последних десятков лет компьютерной и интернет-технологии, все большее количество современных людей стали связывать свою деятельность с электронной коммерцией. Причем благодаря интернету, электронная коммерция стала доступна не только крупным и средним предприятиям и компаниям, но и отдельным частным предпринимателям и простым обывателям. Что самое примечательное, заработать в сети посредством торговли или размещения рекламы, осуществлять расчеты и платежи может любой гражданин, у которого есть компьютер и доступ в сеть.
Платежная система – это правила обращения, процедур передачи и технической инфраструктуры, обеспечивающих перевод денежных средств от одного субъекта экономики другому.
Изменения, происходящие в последние годы в платежной инфр аструктуре, а также внешнеполитические факторы не моги не затронуть систему розничных платежей в нашей стране. В настоящее время многие страны уделяют большое внимание развитию рынка розничных платежных систем, а также поддержанию инноваций, способствующих увеличению доступности платежных услуг для населения.
Одним из самых востребованных видов банковского продукта является пластиковая карта. Банковские карты в мире уже давно перестали быть исключительно инструментом банковской системы и прочно вошли в повседневную жизнь большей части населения многих развитых стран. Проведение операций с помощью банковских карт показывает степень связи банковской системы и общества. В России данный процесс только набирает обороты. Хотя большая часть банковских карт используются для снятия наличности, чем для оплаты товаров и услуг, рынок банковских карт имеет значительные перспективы для развития, в чем заинтересованы все участники безналичных расчетов, включая государство. В настоящее время в России существует множество кредитных организаций, которые эмитируют платежные карты. Данные карты работают в различных платежных системах, которые зачастую не контактируют друг с другом.
Объектом данной работы является рынок электронной коммерции в России и за рубежом. Предметом исследования выступает процесс осуществления CNP-транзакций.
Целью работы является оценка необходимости защиты данных в процессе осуществления CNP-транзакций. Задачи, сформулированные для достижения поставленной цели:
1) изучение особенностей развития электронной коммерции в России;
2) изучение видов банковских транзакций;
3) определение сущности операций без предъявления карты (CNP-транзакций);
4) классификация типов мошенничества в электронной коммерции;
5) обоснование необходимости защиты данных в процессе осуществления CNP-транзакций.
При написании данной работы были изучены работы в области инновационных технологий в банковском бизнесе зарубежных специалистов П. Роуза, Т. Коха, Дж. Синки, и российские ученых Г.Н. Белоглазовой, Е.А. Бибиковой, Н.И. Валенцовой, Е.Ф. Жукова, Г.Г. Коробовой, Ю.И. Коробова, Л.П. Кроливецкой, О.И. Лаврушина, В.В. Масленникова, Ю.В. Рожкова, В.И. Самарухи, Ю.А. Соколова, А.М. Тавасиева, К.Р. Тагирбекова и др.
Информационной базой квалификационной работы послужили статистические данные и аналитические материалы Банка России, Ассоциации российских банков, коммерческих банков, информация, опубликованная в периодических изданиях экономического и финансового характера.

Такая ситуация имеет название «откат» (roll back). Однако если транзакция была зафиксирована, то она не может быть отменена. Если действия были признаны ошибочными, нужно выполнить другую транзакцию, которая вернет базу данных в согласованное состояние. ACID, или свойства транзакции, могут быть следующими: 1. Atomic, или атомарность. Транзакция – это неделимая единица, которая должна быть либо выполнена, либо отменена. 2. Coordination, или согласованность. Смысл транзакции состоит в том, чтобы база данных переходила из одного согласованного состояния в другое.3. Insulativity, или изолированность. Каждая транзакция, которая выполняется, не зависит от остальных. Все результаты одного процесса, доступные в промежутках, не должны быть видны другим транзакциям.4. Duration, или продолжительность. Все результаты, которые были достигнуты в ходе успешной транзакции, не должны быть утеряны в результате последующих сбоев. Они сохраняются в базе данных постоянно. Транзакции применяются для внесения изменений или обновлений в базе данных. Каждый процесс регулируется и контролируется диспетчером транзакций, а ресурсы – диспетчером ресурсов. Взаимодействие двух диспетчеров определяет исход операции. При необходимости осуществляется блокировка транзакций. Выделяются следующие фазы транзакции: 1 фаза - активная. В этой фазе создается транзакция, в процессе участвуют диспетчеры ресурсов. 2 фаза - подготовительная. В этот период каждый диспетчер ресурсов имеет возможность определять исход операции. Начало фазы происходит тогда, когда инициатор создает запрос на завершение транзакции. Если какой-то диспетчер ресурсов не успевает подготовиться, он требует у диспетчера транзакции послать откат. Диспетчеры ресурсов ведут журналы, в которых фиксируют все данные о состоянии готовности. Это необходимо для того, чтобы в случае отклонений была возможность продолжить работу с определенного места. 3 фаза - фиксация. Начало этой фазы происходит в тот момент, когда все диспетчеры ресурсов готовы к операции. При необходимости диспетчер транзакции может завершить операцию. Каждая транзакция должна подчиняться определенным требованиям. В результате операции система должна быть приведена в корректное состояние. Это условие является необходимым в том случае, когда возникают сбои в питании. На практике различают транзакции следующих видов: - онлайн - осуществляется с помощью соединения со специальным банковским центром (в реальном времени);- оффлайн-транзакция никакого соединения между участниками платежной системы не требует. 3. Сущность операций без предъявления картыТранзакции, для совершения которых не нужно физическое присутствие карты или держателя карты называются CNP-операциями (Card Not Present, «карта не предоставлена»). Под такими операциями обычно понимаются различные транзакции, которые совершаются в интернете или через интернет-банки. На самом деле, все несколько шире.CNP-операции – это:- любые интернет-транзакции;- MO\TO операции (Mail Order, Telephone Order);- рекуррентные платежи.1. MO\TO операции.Немногие клиенты с такими транзакциями сталкиваются. Речь идет о том, когда данные карты и владельца передаются в банк посредством электронной почты, телефона, факса и т.п.Яркий пример такой операции – бронирование номера в гостинице. Совершается так называемая преавторизация, когда необходимая сумма блокируется на счете. При подобной транзакции отель высылает вам бланк, который необходимо заполнить (у каждого банка своя форма). При этом гостиница, а точнее банк, скорее всего, потребует также скан-копии паспорта владельца карты.Почти таким же образом операция может осуществляться и по телефону.Необходимо учесть, что для этого потребуется карта уровня Classic и Standard. А телефонную преавторизацию (возможно) гостиница делает только для постоянных клиентов или клиентов с картами Gold и выше.2. Рекуррентные платежи.Это регулярные платежи, совершаемые по счету – автоматическое списание суммы (например, оплата услуг провайдера, мобильной связи и кредитные платежи). CVV 2 или Card Verification Value 2 – защитный код, который позволяет верифицировать подлинность банковской карты системы Visa. CVV 2 состоит из трех цифр, которые располагаются на оборотной стороне карты. Код размещается после 4-ех последних цифр номера карты на месте или рядом с местом для подписи владельца карты.Код CVV2 используется как элемент защиты при проведении CNP-операций. В настоящее время при проведении CNP-операций могут использоваться повышенные меры защиты, поскольку количество краж кода CVV2 постоянно растет.Для безопасности совершения операций в интернете с помощью банковских карт был разработан стандарт PCI DSS. Продавцы, которые работают в соответствии с этим стандартом, не имеют права даже в течение самого короткого срока хранить CVV2 клиента и не могут использовать данный CVV2 для проведения других операций.Названия Card Verification Value 2 в других платежных системах:- CVC 2 (Card Validation Code 2) в системе MasterCard;- CID Card Identification Number в системе American Express.Согласно статистике, опубликованной во втором отчете ЕЦБ о мошенничестве с платежными картами:В динамике с 2009 по 2011 годы доля мошеннических операций с банкоматами и POS-терминалами снизилась, что было обусловлено в том числе процессом перехода на карты, оснащенные микропроцессором (стандарт EMV).К 2011 году уровень перехода на технологию EMV составил:- 97% – для банкоматов;- 94% – для POS-терминалов;- 88% – для платежных карт.CNP-транзакции составили более половины, транзакции, совершенные с использованием электронных терминалов (POS-терминалы) – четверть, а банкоматов одну пятую общей суммы несанкционированных операций.Суммы и объем операций с использованием POS-терминалов значительно ниже соответствующих показателей операций с использованием банкоматов, что сильно отличается от показателей российских кредитных организаций.4. Классификация типов мошенничества в электронной коммерцииРазличают следующие виды мошенничества для кредитной организации – эмитента:1) Утерянные/украденные карты (Lost/Stolen cards). До момента информирования банка о пропаже карты проходит обычно два-три дня, за которые карта активно используется. Ответственность за эти операции до блокировки карты ложится целиком на держателя. Но и после блокировки украденная/утерянная карта категории Standard/Classic и выше может быть использована для совершения операций ниже суммы floor limit - безавторизационного лимита, или операций с авторизацией через stand-in процессинг платежной системы. 2) Неполученные карты (Not Received Items) или карты, украденные во время их передачи от банка клиенту. Платежные системы подразумевают под "неполученными" карты, которые могли быть украдены при пересылке по почте. Основные риски для банка вытекают из того, что похищенные карты персонифицированы на реальных пользователей и являются по сути действующими, даже не смотря на их блокировку от авторизации. 3) Поддельные карты (Counterfeit cards, CNTF) или фальсифицированные карты. Поддельной называется карта, которая имеет внешние признаки действительной и легально выпущенной, однако печать, эмбоссирование, персонализация и кодирование карты были произведены с нарушением установленных платежной системой правил и не были санкционированы эмитентом. При этом либо печать карты была санкционирована эмитентом, но эмбоссирование или кодирование были произведены без его ведома; либо карта была выпущена с соблюдением всех необходимых правил, но впоследствии были произведены изменения, за исключением изменения подписи держателя или поля для подписи. С повсеместным распространением электронных POS-терминалов мошенники переориентировались на перекодирование магнитной полосы, как наиболее технически простой и дешевый способ подделки. Мошенничество, связанное с копированием магнитной полосы карты (часто в совокупности с перехватом ПИН-кода), называется «скимминг» (skimming). 4) Оплата по реквизитам карты Card Not Present (CNP-фрод). Card Not Present мошенничество основывается на использовании платежных реквизитов банковской карты не ее законным владельцем. Оплату с использованием реквизитов платежного средства практикуют в интернет-магазинах и торговых точках, оформляющих заказы дистанционно через почту, телефон, электронную почту (mail order/telephone order (MO/TO) transaction) или интернет-сайты ТСП, использующие оформление транзакций по правилам электронной коммерции (e-commerce). У ТСП нет возможности проверить принадлежность карты ее законному держателю, нет возможности сличить подпись или проверить удостоверение личности. Еще одной разновидностью CNP-фрода являются подписки на периодическое предоставление услуг с регулярной их оплатой (recurring transactions): доступ к сайтам для взрослых, рассылка новостной и рекламной информации и т. п. 5) Использование персональных данных третьих лиц в мошеннических целях (ID Theft). Цель ID Theft - получение мошенником дебетовой банковской карты или карты с кредитным лимитом на чужое или подставное лицо. На такой карте отсутствует подпись владельца, что упрощает ее незаконное использование. Отдельная разновидность этого мошенничества - перехват счета (Account takeover) . В этом случае мошенник получает данные о реквизитах карты/счета (например, из оказавшихся в его распоряжении банковских выписок держателя карты), далее следует звонок в банк об изменении домашнего адреса и запрос новой карты с ее доставкой по новому адресу.По оценкам разным исследователей, потери от онлайн-преступности в нашей страны составляют около 500 миллионов долларов в год.Правоохранительные органы стали уделять вопрос мошенничества в отношении CNP-транзакций значительно больше внимания и положительную динамику. В 2014 году, по мнению аналитиков, наиболее популярным способом незаконного изъятия денег с банковских счетов было применение троянов. Эта тенденция будет продолжаться, как число пользователей онлайн-банкинга в России и во всем мире каждый день растет. Мошенничество с применением карт – незаконное изготовление, сбыт и использование мошенником платежной карты или конфиденциальной информации о ее реквизитах (card fraud) с целью совершения корыстного преступления. Выделяют CNP-фрод или онлайн-фрод (мошенничество без использования физического носителя – карты, осуществляемое через каналы дистанционного банковского обслуживания), карточный фрод (мошенничество с картами), куда входят ATM-фрод (мошенничество с картами, совершаемое посредством незаконного использования банкомата в мошеннических целях), POS-терминальный фрод и др. Ассоциация FICO, в свою очередь, выделяет пять типов карточного (транзакционого) фрода: 1) Counterfeit Cards Fraud - мошенничество, осуществляемое с помощью скимминга и изготовления фальшивых карт, на магнитных полосах которых содержится информация с легально выпущенной карты, 2) Card Stolen/Lost Fraud - фрод с использованием украденных/потерянных карт, Card Not Present Fraud— мошеннические операции по карте без ее физического присутствия, в частности, фрод при оплате виртуальными картам, 3) Card Stolen/Lost in Post - мошенничество, совершенное с картами, украденные/утерянные на почте, 4) ID Fraud - получение кредитной карты по поддельным (или украденным) документам.В 2014 году был отмечен рост целевых атак. Данные кредитной карты и банковские счета далеко вперед в перечень информации, предназначенной для продажи на черных виртуальных рынках. Абсолютно безопасный Интернет-банкинг невозможен. RBS - процесс, абсолютно безопасные процессы не существует, некоторый риск всегда присутствует. Тем не менее, защищенность можно принимать во внимание как положение, при котором уровень риска приемлемым для использования услуги для пользователя и для владельца. Качество услуг, предоставляемых для RBS банков - это вопрос привлечения клиентов. Качество обусловливается, прежде всего, объем предоставляемых услуг, простоту использования, доступности и безопасности. Что безопасность становится все более важным критерием RBS и в значительной степени оказывает влияние на выбор банка. Изучение мобильных угроз, которое проводится «Лабораторией Касперского» вместе с Интерполом, за период с августа 2013 по август 2015 года 60% нападений были направлены на кражу денег пользователей. За весь период исследования (2013-2014 годы) около 560 тысяч пользователей Андроид были подвержены атакам SMS-троянцев. Этот показатель в 6 раз больше аналогичного за 2012 год. Семейство SMS-троянцев предполагает отправку коротких платных сообщения на премиум-номера без ведома владельца. Большая часть из них (64,4%) коснулись российских пользователей. Аналогичные атаки были зафиксированы в Казахстане (5,7%), на Украине (3,3%), в Испании (3,2%), Великобритании (2,4%), Малайзии (2,3%), Германии (2%), Индии (1,6%) и Франции (1,3%).Традиционно вывод денежных средств производится на:коммерческие банковские карты для обналичивания;счета мобильных телефонов (услуга «МОБИ. Деньги»);электронные кошельки виртуальных платежных систем, в основном Яндекс.Деньги, Qiwi.От момента совершения мошеннической операции до вывода средств проходит в среднем 1-3 минуты. Для того чтобы понять масштабы мошеннических атак в дистанционном коммерческих банковском обслуживании, обратимся к статистике за период с 2011 по 2013 годы (рисунок 1, рисунок 2).Рисунок 1 – Количество успешных мошеннических попытокКак видно из рисунка 1, количество успешных мошеннических попыток за рассматриваемый период стабильно растет. Если в 2011 из 6 попыток только 2 были успешными (33%), то в 2013 году – уже 2 из 5 (40%). Это говорит о том, что злоумышленники находят все новые и новые способы проникновения в интернет-пространство, они становятся более изощренными, риск использования CNP-платежей растет и банкам необходимо изобретать новые методы по борьбе с ними.На рисунке 2 показана динамика похищенных денежных средств и средств, на которые посягались злоумышленники, за период с 2011 по 2013 годы.Рисунок 2 – Динамика похищенных денежных средств и средств, млн. руб.Анализируя рисунок 2 можно сделать вывод о том, что за рассматриваемый период наблюдается тенденция увеличения денежных средств, похищенных злоумышленниками, т. е стабильный рост. В 2011 году было похищено всего лишь 175 тыс. руб., а в 2013 году – уже 9,5 млн. руб. Таким образом, сумма украденных средств со счетов физических и юридических лиц выросла за этот период более чем в 50 раз. Это говорит о том, что проблема информационной безопасности удаленного коммерческих банковского обслуживания остро стоит перед банками в настоящее время. В 2014 году для совершения несанкционированных операций было использовано более 70 тыс. платежных карт, что составляет 0,057% от общего количества карт, с использованием которых в течение 2014 года совершались операции.В течение года наблюдалась тенденция снижения как общего количества платежных карт, с использованием которых (в том числе с использованием реквизитов платежных карт) были совершены несанкционированные операции, так и их превалирующего типа – расчетных карт. При этом доля расчетных карт составляет в среднем 70% от общего количества карт, с использованием которых совершались несанкционированные операции.Согласно третьему отчету ЕЦБ о мошенничестве с платежными картами доля несанкционированных операций по дебетовым картам с овердрафтом и кредитным картам в общем объеме несанкционированных операций в среднем в четыре раза превышает указанный показатель по дебетовым картам, используемым для осуществления мошеннических операций.С точки зрения способа осуществления несанкционированных операций в 68% случаев такие операции совершаются с использованием реквизитов платежных карт (CNP-транзакции), в 21% случаев злоумышленники изготавливают поддельные карты (указанный тип мошенничества свойствен операциям по снятию денежных средств в банкоматах или осуществлению оплаты в предприятиях торговли и услуг).Несанкционированные операции по утерянным или украденным картам зафиксированы в 11% случаев. Рисунок 3 – Динамика количество карт по способу их несанкционированного использования.Общая сумма несанкционированных операций с платежными картами, эмитированными на территории РФ, за 2014 год составила 1,58 млрд руб.В динамике по кварталам 2014 года не наблюдается сильных изменений количества и объема несанкционированных операций, совершенных с использованием платежных карт.С учетом роста на 28% общего количества и на 42% – объемов операций по платежным картам, эмитированным на территории РФ, доля количества и объема несанкционированных операций в 2014 году снизилась:- доля количества несанкционированных операций в общем количестве операций, совершенных с использованием платежных карт, в IV квартале по отношению к I кварталу снизилась с 0,0036% до 0,0026%; - доля объема несанкционированных операций, составляющая в I квартале 2014 года 0,0052%, к концу года снизилась до 0,0033%.Наибольшее количество несанкционированных операций произошло при осуществлении переводов денежных средств на территории РФ (доля внутрироссийских несанкционированных операций составила 47% от объема и 41% от количества всех несанкционированных операций). При этом объем внутрироссийских операций сопоставим с объемом трансграничных переводов денежных средств (к ним относятся операции, совершенные за пределами РФ с использованием платежных карт, эмитированных на территории РФ, и операции, совершенные на территории РФ с использованием платежных карт, эмитированных за ее пределами).Вместе с тем, наблюдается снижение как количества, так и объема внутрироссийских несанкционированных операций примерно на 30% к концу 2014 года по сравнению с его началом.Средняя сумма одной несанкционированной операции составила 5,7 тыс. руб. для внутрироссийских операций, 4,6 тыс. руб. – для операций, совершенных за пределами РФ с использованием платежных карт, эмитированных на территории РФ, и 4,2 тыс. руб. – для операций, совершенных на территории РФ с использованием платежных карт, эмитированных за ее пределами.Рисунок 4 – Распределение объемов несанкционированных операций с использованием платежных карт по типу инфраструктуры, обслуживающей картыК видам атак, которыми пользуются злоумышленники, можно отнести:атака на каналы передачи данных;атака на компьютер через интернет с целью кражи секретного ключа ЭЦП и паролей;вирусная атака на сервер;атака на компьютер через интернет с целью захвата удаленного управления ресурсами компьютера;атака с целью подмены документа при передаче его на подпись;атака с целью подмены части или всего использующегося ПО;внедрение программных закладок или троянских программ.Преступники используют несколько способов получения доступа к коммерческих банковским реквизитам и следующей за этим кражи денег.1. Поддельные страницы - троянские программы могут атаковать компьютеры и выводить на экран поддельное диалоговое окно или картинку. Такое окно может имитировать вид веб-страницы банка пользователя, на которой пользователю предлагается ввести имя пользователя и пароль.2. Спам и фишинг - фишинговые сообщения электронной почты могут имитировать сообщения от банка пользователя, запрашивая подтверждение имени пользователя и пароля.