Мошенничество с кредитными картами

Финансовые преступления

Поддельный слот банкомата , используемый для « скимминга »

Мошенничество с кредитными картами – это всеобъемлющий термин, обозначающий мошенничество , совершенное с использованием платежных карт , таких как кредитная или дебетовая карта . ^[1] Целью может быть получение товаров или услуг или осуществление платежа на другой счет, который контролируется преступником. Стандарт безопасности данных индустрии платежных карт (PCI DSS) — это стандарт безопасности данных, созданный, чтобы помочь финансовым учреждениям безопасно обрабатывать платежи по картам и сократить мошенничество с картами. ^[2]

Мошенничество с кредитной картой может быть санкционированным, когда настоящий клиент сам обрабатывает платеж на другой счет, который контролируется преступником, или несанкционированным, когда владелец счета не предоставляет разрешения на проведение платежа, а транзакция выполняется третьей стороной. . В 2018 году потери от несанкционированного финансового мошенничества с использованием платежных карт и дистанционного банковского обслуживания в Великобритании составили 844,8 миллиона фунтов стерлингов. В то время как в 2018 году банки и карточные компании предотвратили несанкционированное мошенничество на сумму 1,66 миллиарда фунтов стерлингов. Это эквивалентно 2 фунтам стерлингов на каждые 3 фунта стерлингов предотвращенных попыток мошенничества. ^[3]

Мошенничество с кредитными картами может произойти, когда неавторизованные пользователи получают доступ к информации о кредитной карте человека для совершения покупок, других транзакций или открытия новых счетов. Несколько примеров мошенничества с кредитными картами включают мошенничество с захватом учетных записей, мошенничество с новыми учетными записями, клонированные карты и схемы без предъявления карт. Этот несанкционированный доступ происходит посредством фишинга, скимминга и обмена информацией пользователем, часто неосознанно. Однако этот тип мошенничества можно обнаружить с помощью искусственного интеллекта и машинного обучения, а также предотвратить эмитенты, учреждения и отдельные держатели карт. Согласно годовому отчету за 2021 год, около 50% всех американцев сталкивались с мошенническими списаниями со своих кредитных или дебетовых карт, и более одного из трех владельцев кредитных или дебетовых карт неоднократно сталкивались с мошенничеством. Это составляет 127 миллионов человек в США, которые хотя бы один раз становились жертвами кражи кредитных карт.

Регулирующие органы, поставщики карт и банки тратят много времени и усилий на сотрудничество со следователями по всему миру, чтобы гарантировать, что мошенники не добьются успеха. Деньги держателей карт обычно защищены от мошенников правилами, которые возлагают ответственность на поставщика карт и банк. Технологии и меры безопасности кредитных карт постоянно совершенствуются, создавая препятствия для мошенников, пытающихся украсть деньги. ^[4]

Способы мошенничества с платежными картами

Существует два вида мошенничества с картами: мошенничество с предъявлением карты (в настоящее время не так распространено) и мошенничество без предъявления карты (более распространено). Компрометация может произойти разными способами и обычно происходит без ведома владельца карты. Интернет сделал нарушения безопасности баз данных особенно дорогостоящими: в некоторых случаях были скомпрометированы миллионы учетных записей. ^[5]

Владельцы карт могут быстро сообщить об украденных картах, но данные скомпрометированного счета могут храниться у мошенника в течение нескольких месяцев до кражи, что затрудняет определение источника компрометации. Владелец карты не может обнаружить мошенническое использование до получения заявления. Владельцы карт могут снизить риск мошенничества, часто проверяя свою учетную запись, чтобы убедиться в отсутствии подозрительных или неизвестных транзакций. ^[6]

Когда кредитная карта утеряна или украдена, ее можно использовать для незаконных покупок до тех пор, пока владелец не уведомит об этом банк-эмитент, и банк не заблокирует счет. У большинства банков есть бесплатные круглосуточные телефонные номера, позволяющие оперативно сообщать о нарушениях. Тем не менее, вор может совершать несанкционированные покупки по карте до ее аннулирования.

Предотвращение мошенничества с платежными картами

Информация о карте хранится в нескольких форматах. Номера карт – формально «Основной номер счета» (PAN) – часто выбиты или отпечатаны на карте, а магнитная полоса на оборотной стороне содержит данные в машиночитаемом формате. Поля могут различаться, но наиболее распространенными являются имя владельца карты; Номер карты; Дата окончания срока; и проверочный CVV-код .

В Европе и Канаде большинство карт оснащены чипом EMV , который требует ввода PIN-кода из 4–6 цифр в терминал продавца, прежде чем будет авторизован платеж. Однако для онлайн-транзакций PIN-код не требуется. В некоторых европейских странах у покупателей, использующих карту без чипа, в точках продаж могут попросить предъявить удостоверение личности с фотографией .

В некоторых странах владелец кредитной карты может произвести бесконтактную оплату товаров или услуг, приложив свою карту к считывателю RFID или NFC , без необходимости ввода PIN-кода или подписи, если стоимость не превышает заранее установленного лимита. Однако украденная кредитная или дебетовая карта может быть использована для ряда более мелких транзакций до того, как мошенническая деятельность будет отмечена.

Эмитенты карт используют несколько контрмер, включая программное обеспечение, которое может оценить вероятность мошенничества. Например, крупная транзакция, происходящая на большом расстоянии от дома владельца карты, может показаться подозрительной. Продавцу может быть поручено позвонить эмитенту карты для проверки или отклонить транзакцию или даже задержать карту и отказаться вернуть ее покупателю. ^[7]

Обнаружение мошенничества с кредитными картами с помощью технологий

Искусственный и вычислительный интеллект

Учитывая огромную сложность обнаружения мошенничества с кредитными картами, был разработан искусственный и вычислительный интеллект, чтобы заставить машины выполнять задачи, с которыми люди уже справляются хорошо. Вычислительный интеллект — это просто подмножество ИИ, обеспечивающее интеллект в меняющейся среде. Благодаря достижениям в области искусственного и вычислительного интеллекта наиболее часто используемыми и предлагаемыми способами обнаружения мошенничества с кредитными картами являются методы индукции правил, деревья решений, нейронные сети, машины опорных векторов, логистическая регрессия и метаэвристика. Существует множество различных подходов, которые можно использовать для обнаружения мошенничества с кредитными картами. Например, некоторые «предлагают структуру, которая может применяться в режиме реального времени, где сначала анализ выбросов проводится отдельно для каждого клиента с использованием самоорганизующихся карт, а затем используется прогнозирующий алгоритм для классификации аномально выглядящих транзакций». Некоторые проблемы, которые возникают при обнаружении мошенничества с кредитными картами с помощью вычислительного интеллекта, заключаются в неправильной классификации, такой как ложноотрицательные/положительные результаты, а также обнаружение мошенничества по кредитной карте, имеющей больший доступный лимит, гораздо более заметно, чем обнаружение мошенничества с меньшим доступным лимитом. предел. Один из алгоритмов, который помогает обнаруживать подобные проблемы, называется алгоритмом MBO. Это метод поиска, который приводит к улучшению за счет «соседних решений». Другой алгоритм, который помогает решить эти проблемы, — это алгоритм GASS. В GASS это гибрид генетических алгоритмов и поиска по разбросу. ^[8]

Машинное обучение

Если еще немного коснуться трудностей обнаружения мошенничества с кредитными картами, то даже несмотря на все больший прогресс в области обучения и технологий с каждым днем, компании отказываются делиться своими алгоритмами и методами с посторонними. Кроме того, мошеннические транзакции составляют лишь около 0,01–0,05% ежедневных транзакций, что еще больше затрудняет их обнаружение. Машинное обучение похоже на искусственный интеллект, где оно является подобластью ИИ, а статистика является подразделением математики. Что касается машинного обучения, цель состоит в том, чтобы найти модель, которая обеспечивает высочайший уровень без переобучения. Переобучение означает, что компьютерная система запомнила данные, и если новая транзакция каким-либо образом отличается в обучающем наборе, она, скорее всего, будет неправильно классифицирована, что приведет к раздражению владельца карты или жертве мошенничества, которое не было обнаружено. Наиболее популярными программами, используемыми в машинном обучении, являются Python, R и MatLab. В то же время SAS становится все более сильным конкурентом. С помощью этих программ самым простым методом, используемым в этой отрасли, является машина опорных векторов. В R есть пакет, в который уже запрограммирована функция SVM. Когда используются машины опорных векторов, это эффективный способ извлечения данных. SVM считается активным исследованием и также успешно решает проблемы классификации. Играя важную роль в машинном обучении, он обладает «отличной производительностью обобщения в широком спектре задач обучения, таких как распознавание рукописных цифр, классификация веб-страниц и распознавание лиц». SVM также является успешным методом, поскольку он снижает вероятность переобучения и размерности. ^[9]

Виды мошенничества с платежными картами

Мошенничество с приложениями

Мошенничество с заявками имеет место, когда человек использует украденные или поддельные документы для открытия счета на имя другого человека. Преступники могут украсть или подделать документы, такие как счета за коммунальные услуги и банковские выписки, чтобы создать личный профиль. Когда счет открывается с использованием поддельных или украденных документов, мошенник может снять наличные или получить кредит на имя жертвы. ^[10]

Мошенничество с заявками также может происходить с использованием синтетических удостоверений личности, аналогичных упомянутым выше поддельным документам. Синтетическая личность — это личная информация, собранная из множества разных личностей для создания одной поддельной личности. ^[11] После того, как личность и счет установлены, у мошенника есть несколько различных вариантов воспользоваться услугами банка. Они могут максимизировать расходы по своей кредитной карте, потратив как можно больше денег на новую кредитную карту. Многие мошенники будут использовать новую кредитную карту для покупки товаров, имеющих высокую стоимость при перепродаже, чтобы обменять их на наличные.

захват аккаунта

Под захватом учетной записи понимается действие, посредством которого мошенники пытаются взять на себя контроль над учетной записью клиента (т. е. кредитными картами, электронной почтой, банками, SIM-картой и т. д.). Контроль на уровне аккаунта предлагает мошенникам высокую прибыль. По мнению Forrester, аутентификация на основе рисков (RBA) играет ключевую роль в снижении рисков. ^[12]

Мошенник использует части личности жертвы, такие как адрес электронной почты, для получения доступа к финансовым счетам. Затем этот человек перехватывает сообщения об учетной записи, чтобы жертва не замечала никаких угроз. Жертвы часто первыми обнаруживают захват учетных записей, когда обнаруживают платежи в ежемесячных отчетах, которые они не санкционировали, или многочисленные сомнительные списания средств. ^[13] С момента внедрения технологии EMV увеличилось количество случаев захвата счетов, что усложнило мошенникам клонирование физических кредитных карт. ^[14]

Среди некоторых наиболее распространенных методов, с помощью которых мошенник захватывает учетную запись, захват включает в себя приложения «проверки» на основе прокси, атаки ботнетов методом перебора, фишинг ^[15] и вредоносное ПО. Другие методы включают в себя ныряние в мусорные контейнеры для поиска личной информации в выброшенной почте и прямые списки покупок «Fullz», жаргонного термина, обозначающего полные пакеты идентифицирующей информации, продаваемые на черном рынке. ^[16]

После входа в систему мошенники получают доступ к счету и могут совершать покупки и снимать деньги с банковских счетов. ^[17] У них есть доступ к любой информации, привязанной к аккаунту, они могут украсть номера кредитных карт вместе с номерами социального страхования. Они могут изменить пароли, чтобы предотвратить доступ жертвы к их учетной записи. Киберпреступники имеют возможность открывать другие учетные записи, использовать вознаграждения и преимущества от учетной записи и продавать эту информацию другим хакерам.

Мошенничество с помощью социальной инженерии

Мошенничество с помощью социальной инженерии может происходить, когда преступник выдает себя за кого-то другого, что приводит к добровольной передаче денег или информации мошеннику. Мошенники прибегают к более изощренным методам выманивания денег у людей и бизнеса. Распространенной тактикой является рассылка поддельных электронных писем, выдающих себя за старшего сотрудника и пытающихся обманом заставить сотрудников перевести деньги на мошеннический банковский счет. ^[18]

Мошенники могут использовать различные методы для получения личной информации, выдавая себя за банк или платежную систему. Телефонный фишинг — наиболее распространенный метод социальной инженерии, позволяющий завоевать доверие жертвы.

Предприятия могут защитить себя с помощью процесса двойной авторизации для перевода средств, требующего авторизации как минимум двух лиц, и процедуры обратного звонка на заранее установленный контактный номер, а не любую контактную информацию, включенную в запрос на платеж. Банк должен возместить любой несанкционированный платеж; однако они могут отказать в возврате средств, если докажут, что клиент санкционировал транзакцию, или докажут, что клиент виновен в том, что он действовал умышленно или не смог защитить данные, которые позволили совершить транзакцию. ^[19]

Скимминг

Зеленый пластиковый блок на слоте банкомата, предназначенный для того, чтобы помешать ворам установить на банкомат скиммер.

Скимминг — это кража личной информации, которая использовалась в обычной транзакции. Вор может получить номер карты жертвы, используя базовые методы, такие как фотокопирование квитанций, или более продвинутые методы, такие как использование небольшого электронного устройства (скиммера) для считывания и хранения сотен номеров карт жертв. Распространенными сценариями скимминга являются такси, рестораны или бары, где скиммер скрывает от себя платежную карту жертвы. ^[20] Вор также может использовать небольшую клавиатуру для незаметного ввода трех- или четырехзначного кода безопасности карты , которого нет на магнитной полосе.

Колл-центры — еще одна область, где легко может произойти скимминг. ^[21] Скимминг также может происходить в торговых точках, когда стороннее устройство для считывания карт установлено вне терминала для считывания карт. Это устройство позволяет вору перехватывать информацию о карте клиента, включая его PIN-код, при каждом считывании карты. ^[22]

Обычному держателю карты сложно обнаружить скимминг, но при достаточно большой выборке его довольно легко обнаружить эмитенту карты. Эмитент собирает список всех владельцев карт, которые жаловались на мошеннические транзакции, а затем использует интеллектуальный анализ данных , чтобы выявить связи между ними и торговцами, которых они используют. Сложные алгоритмы также могут выявлять закономерности мошенничества. Торговцы должны обеспечить физическую безопасность своих терминалов, и штрафы для торговцев могут быть серьезными, если они будут скомпрометированы: от крупных штрафов эмитента до полного исключения из системы, что может стать смертельным ударом для таких предприятий, как рестораны, где кредитные карты транзакции являются нормой.

Сообщалось о случаях скимминга, когда преступник закрывал слот для карт банкомата — устройства, которое считывает магнитную полосу, когда пользователь неосознанно пропускает через нее свою карту. ^[23] Эти устройства часто используются в сочетании с миниатюрной камерой для одновременного считывания личного идентификационного номера пользователя . ^[24] Этот метод используется во многих частях мира, включая Южную Америку, Аргентину, ^[25] и Европу. ^[26]

Неожиданный повторный платеж

Оплата счетов через Интернет или покупки в Интернете с использованием банковского счета являются источником повторных счетов, известных как «периодические банковские сборы». Это постоянные поручения или приказы банкира от клиента об оплате и выплате определенной суммы каждый месяц получателю платежа. Благодаря электронной коммерции , особенно в США , поставщик или получатель платежа может получать оплату прямым дебетом через сеть ACH . Хотя многие платежи или покупки действительны и клиент намерен оплачивать счета ежемесячно, некоторые из них известны как мошеннические автоматические платежи . ^[27]

Другой тип мошенничества с кредитными картами нацелен на потребителей коммунальных услуг. Клиенты получают нежелательные личные, телефонные или электронные сообщения от лиц, утверждающих, что они являются представителями коммунальных компаний . Мошенники предупреждают клиентов, что их коммунальные услуги будут отключены, если не будет произведен немедленный платеж, обычно для получения оплаты используется пополняемая дебетовая карта. Иногда мошенники используют аутентичные телефонные номера и графические изображения, чтобы обмануть жертв.

Фишинг

Фишинг – один из наиболее распространенных методов кражи персональных данных. Это тип кибератаки, при которой злоумышленник действует как заслуживающее доверия лицо, учреждение или организация и пытается убедить жертву принять сообщение или выполнить действие по конкретному запросу. Часто цель атаки получает электронное письмо или текстовое сообщение о чем-то, что им, возможно, нужно или нужно, в надежде обманом заставить их открыть или загрузить сообщение. Во время пандемии COVID-19 количество фишинга возросло, поскольку наш мир стал еще более виртуальным. Чтобы дать представление, «исследователи отметили значительный всплеск фишинговых атак, связанных с COVID-19, на 667% в первые месяцы пандемии». ^[28] Кроме того, учитывая значимость систем здравоохранения, в последние годы компании здравоохранения стали основными объектами фишинговых атак. Эти компании хранят массу личных данных, которые могут быть чрезвычайно ценны для злоумышленника.

Обмен информацией

Обмен информацией — это передача или обмен данными между отдельными лицами, компаниями, организациями и технологиями. Достижения в области технологий, Интернета и сетей ускорили рост обмена информацией. Информация распространяется и передается за считанные секунды, а накапливается и переваривается со скоростью быстрее, чем когда-либо прежде. Люди часто не осознают, каким количеством конфиденциальной и личной информации они делятся каждый день. Например, при покупке товаров через Интернет имя покупателя, адрес электронной почты, домашний адрес и информация о кредитной карте сохраняются и передаются третьим лицам для отслеживания их и их будущих покупок. Организации прилагают все усилия, чтобы обеспечить безопасность личной информации людей в своих базах данных, но иногда хакерам удается поставить под угрозу ее безопасность и получить доступ к огромному объему данных. Одна из крупнейших утечек данных произошла в дискаунтере Target. В результате этого нарушения пострадало около 40 миллионов покупателей. В данном конкретном случае хакеры атаковали их систему торговых точек, то есть «они либо внедрили вредоносное ПО в терминалы, где клиенты считывают свои кредитные карты, либо собрали данные клиентов, пока они находились на пути от Target к процессорам кредитных карт». " ^[29] Всего за одну покупку в кассе собирается масса персональных данных, кража которых имеет серьезные последствия. Инфраструктура финансового рынка и платежная система будут продолжать находиться в стадии разработки, поскольку они постоянно борются с хакерами безопасности.

Регулирование и управление

Соединенные Штаты

Хотя PCI DSS не является обязательным на федеральном уровне в США , он утвержден Советом по стандартам безопасности индустрии платежных карт, который состоит из крупнейших брендов кредитных карт и поддерживает его в качестве отраслевого стандарта. Некоторые штаты включили этот стандарт в свои законы.

Предлагается ужесточить федеральный закон

В сентябре 2014 года Министерство юстиции США объявило, что будет стремиться ввести более жесткий закон по борьбе с незаконным оборотом кредитных карт за рубежом. Власти заявляют, что нынешний закон слишком слаб, поскольку он позволяет людям в других странах избежать судебного преследования, если они остаются за пределами Соединенных Штатов при покупке и продаже данных и не проводят свой незаконный бизнес через США. Министерство юстиции просит Конгресс США внести поправки действующий закон, который сделает незаконным для международного преступника владение, покупку или продажу украденной кредитной карты, выпущенной банком США, независимо от географического местоположения. ^[30]

Ответственность держателя карты

В США федеральный закон ограничивает ответственность держателей карт до 50 долларов США в случае кражи реальной кредитной карты, независимо от суммы, снятой с карты, если о краже сообщается в течение 60 дней с момента получения заявления. ^[31] На практике многие эмитенты откажутся от этого небольшого платежа и просто снимут мошеннические платежи со счета клиента, если клиент подпишет письменное показание , подтверждающее, что платежи действительно являются мошенническими. Если физическая карта не потеряна и не украдена, а украден только сам номер счета кредитной карты, то федеральный закон гарантирует, что держатели карт не несут никакой ответственности перед эмитентом кредитной карты. ^[32]

Великобритания

В Великобритании кредитные карты регулируются Законом о потребительском кредите 1974 года (с поправками, внесенными в 2006 году ). Это обеспечивает ряд мер защиты и требований. Любое неправомерное использование карты, за исключением случаев преднамеренного преступного поведения со стороны владельца карты, должно быть возмещено продавцом или эмитентом карты.

Регулирование банков в Соединенном Королевстве осуществляется: Банком Англии (BoE); Управление пруденциального регулирования (PRA), подразделение Банка Англии; и Управление финансового надзора (FCA), которое осуществляет повседневный надзор. Не существует специального законодательства или нормативных актов, регулирующих индустрию кредитных карт. Однако Ассоциация платежных клиринговых услуг (APACS) — это учреждение, частью которого являются все участники расчетов. Организация работает в соответствии с Директивой о банковской консолидации, чтобы предоставить средства, с помощью которых можно контролировать и регулировать транзакции. ^[33] UK Finance – это ассоциация сектора банковских и финансовых услуг Великобритании, представляющая более 250 фирм, предоставляющих кредитные, банковские и платежные услуги.

Австралия

График, показывающий количество жертв и долю населения или домохозяйств, затронутых различными правонарушениями.

В Австралии мошенничество с кредитными картами считается формой преступления против личности . Австралийский центр отчетов и анализа транзакций установил стандартные определения преступлений с использованием личных данных для использования правоохранительными органами по всей Австралии:

• Термин «идентичность» включает в себя личность физических лиц (живых или умерших) и личность юридических лиц.
• Изготовление личности описывает создание фиктивной личности.
• Манипулирование идентичностью описывает изменение собственной идентичности.
• Кража личных данных описывает кражу или присвоение ранее существовавшей личности (или значительной ее части) с согласия или без него, а также независимо от того, жив ли этот человек в случае с отдельным лицом или умер.
• Преступление с использованием личных данных — это общий термин для описания действий/преступлений, в которых преступник использует сфабрикованную личность, манипулируемую личность или украденную/предполагаемую личность для облегчения совершения преступления(й). ^[34]

Гонконг

Учитывая рост числа несанкционированных транзакций по платежным картам, связанных с мошенничеством и мошенничеством, 25 апреля 2023 года Валютное управление Гонконга выпустило два циркуляра. ^[35]

Потери

По оценкам Министерства юстиции, преступления с использованием личных данных обходятся Австралии в более чем 1,6 миллиарда долларов в год, при этом большая часть из примерно 900 миллионов долларов теряется отдельными лицами в результате мошенничества с кредитными картами, кражи личных данных и мошенничества. ^[34] В 2015 году министр юстиции и министр помощи премьер-министру по борьбе с терроризмом Майкл Кинан опубликовал отчет «Преступления и неправомерное использование личных данных в Австралии в 2013–2014 годах». По оценкам этого отчета, общий прямой и косвенный ущерб от преступлений с использованием личных данных составил около 2 миллиардов долларов, включая прямые и косвенные убытки, понесенные правительственными учреждениями и отдельными лицами, а также стоимость преступлений с использованием личных данных, зафиксированных полицией. ^[36]

Ответственность держателя карты

Жертва мошенничества с кредитной картой в Австралии, которая все еще владеет картой, не несет ответственности за что-либо, купленное по ней без ее разрешения. Однако это зависит от условий аккаунта. Если сообщается, что карта была физически украдена или утеряна, владелец карты обычно не несет ответственности за любые транзакции, не совершенные им, за исключением случаев, когда можно доказать, что владелец карты действовал нечестно или без разумной осторожности. ^[34]

Продавцы против торговцев

Чтобы предотвратить «возврат средств» поставщикам за мошеннические транзакции, продавцы могут подписаться на услуги, предлагаемые Visa и MasterCard, под названием «Проверено Visa» и MasterCard SecureCode под общим термином 3-D Secure . Это требует от потребителей добавления дополнительной информации для подтверждения транзакции. ^{[ нужна цитата ]}

Достаточно часто интернет-торговцы не принимают адекватных мер для защиты своих веб-сайтов от мошеннических атак, например, игнорируя последовательность действий. В отличие от более автоматизированных транзакций с продуктами, служащий, контролирующий запросы авторизации «предъявления карты», должен в режиме реального времени утверждать вывоз покупателем товаров из помещения. ^{[ нужна цитата ]}

Если продавец теряет платеж, комиссия за обработку платежа, любые комиссии за конвертацию валюты и размер штрафа за возврат платежа. По очевидным причинам многие продавцы принимают меры, чтобы избежать возвратных платежей, например, не принимают подозрительные транзакции. Это может привести к сопутствующему ущербу, когда продавец дополнительно теряет законные продажи из-за неправильной блокировки законных транзакций. Продавцы заказов по почте/телефону (MOTO) внедряют автоматизацию с помощью агента , которая позволяет агенту колл-центра собирать номер кредитной карты и другую личную информацию, даже не видя и не слыша ее. Это значительно снижает вероятность возврата платежей и увеличивает вероятность того, что мошеннические возвратные платежи будут отменены. ^[37]

Известные атаки кредитного мошенничества

В период с июля 2005 года по середину января 2007 года в результате взлома систем компаний TJX были раскрыты данные более чем 45,6 миллионов кредитных карт. Альберта Гонсалеса обвиняют в том, что он был главой группы, ответственной за кражи. ^[38] В августе 2009 года Гонсалесу также было предъявлено обвинение в крупнейшей на сегодняшний день краже кредитных карт – информация с более чем 130 миллионов кредитных и дебетовых карт была украдена у Heartland Payment Systems , розничных продавцов 7-Eleven и Hannaford Brothers , а также двух неопознанных компаний. ^[39]

В 2012 году около 40 миллионов наборов данных платежных карт были скомпрометированы в результате взлома Adobe Systems . ^[40] По словам директора службы безопасности Брэда Аркина, скомпрометированная информация включала имена клиентов, зашифрованные номера платежных карт, даты истечения срока действия и информацию, касающуюся заказов. ^[41]

В июле 2013 года в сообщениях прессы сообщалось, что четырем россиянам и украинцу были предъявлены обвинения в американском штате Нью-Джерси в так называемой «крупнейшей схеме взлома и утечки данных, когда-либо преследовавшейся по закону в Соединенных Штатах». ^[42] Альберт Гонсалес также был назван соучастником нападения, в результате которого было потеряно не менее 160 миллионов кредитных карт, а убытки превысили 300 миллионов долларов. Атаке подверглись как американские, так и европейские компании, включая Citigroup, Nasdaq OMX Group, PNC Financial Services Group, лицензиата Visa Visa Jordan, Carrefour, JCPenney и JetBlue Airways. ^[43]

В период с 27 ноября 2013 г. по 15 декабря 2013 г. в результате взлома систем Target Corporation были раскрыты данные примерно 40 миллионов кредитных карт. Украденная информация включала имена, номера счетов, даты истечения срока действия и коды безопасности карт . ^[44]

С 16 июля по 30 октября 2013 года хакерская атака скомпрометировала около миллиона наборов данных платежных карт, хранящихся на компьютерах Neiman-Marcus . ^{[40] [45]} Вредоносная система, предназначенная для подключения к кассовым аппаратам и мониторинга процесса авторизации кредитных карт (вредоносное ПО для очистки ОЗУ), проникла в системы Target и предоставила информацию от 110 миллионов клиентов. ^[46]

8 сентября 2014 года The Home Depot подтвердила, что их платежные системы были взломаны. Позже они опубликовали заявление, в котором говорится, что в результате взлома хакеры получили в общей сложности 56 миллионов номеров кредитных карт. ^[47]

15 мая 2016 года в ходе скоординированной атаки группа из примерно 100 человек использовала данные 1600 южноафриканских кредитных карт, чтобы за три часа украсть 12,7 миллиона долларов США из 1400 магазинов повседневного спроса в Токио . Считается, что, действуя в воскресенье и в другой стране, чем банк, выпустивший карты, они выиграли достаточно времени, чтобы покинуть Японию до того, как ограбление было обнаружено. ^[48]

Меры противодействия мошенничеству с карточными платежами

Меры противодействия мошенничеству с кредитными картами включают следующее.

Торговцы

• Усечение PAN – не отображается полный номер основного счета в квитанциях .
• Токенизация (безопасность данных) – использование ссылки (токена) на номер карты, а не реального номера карты.
• Запрос дополнительной информации, такой как PIN-код, почтовый индекс или код безопасности карты.
• Выполнение проверки геолокации, например IP-адреса.
• Использование Reliance Authentication косвенно через PayPal или напрямую через iSignthis или miiCard.

По эмитентам карт

• Программное обеспечение для обнаружения и предотвращения мошенничества ^{[49] [50] [51] [52]} , которое анализирует закономерности нормального и необычного поведения, а также отдельные транзакции, чтобы выявить возможное мошенничество. Профили включают такую ​​информацию, как IP-адрес. ^[53] Технологии обнаружения потенциального мошенничества существуют с начала 1990-х годов. Одним из первых участников рынка была компания Falcon; ^[50] Другие ведущие программные решения для мошенничества с картами включают Actimize, SAS, BAE Systems Detica и IBM.
• Бизнес-процессы обнаружения и реагирования на мошенничество, такие как:
  • Обращение к владельцу карты для запроса верификации
  • Установка превентивного контроля/блокировки учетных записей, которые могли стать жертвами
  • Блокировка карты до подтверждения транзакции владельцем карты
  • Расследование мошеннической деятельности
• Надежные меры аутентификации, такие как:
  • Многофакторная аутентификация , проверяющая, что владелец карты получает доступ к учетной записи, путем запроса дополнительной информации, такой как номер счета, PIN-код, почтовый индекс, контрольные вопросы . Существует пять основных факторов многофакторной аутентификации, и они включают в себя: ^[54]
    1. Знания — сведения, которые знает пользователь, например пароли или ответы на секретные вопросы.
    2. Владение — объект, который пользователь должен иметь в своем распоряжении, например, настоящая кредитная карта.
    3. Природность — биологическая особенность пользователя, такая как отпечаток пальца или распознавание лица.
    4. Местоположение — где находится пользователь во время аутентификации — убедитесь, что именно пользователь использовал карту.
    5. Время - когда происходит аутентификация - это странный час или несколько раз?
  • Многофакторная аутентификация, проверяющая, что владелец карты получает доступ к учетной записи посредством требования дополнительных персональных устройств, таких как умные часы, аутентификация «запрос-ответ» на смартфоне ^[55]
  • Внеполосная аутентификация, ^[56] проверка того, что транзакция выполняется держателем карты через «известный» или «доверенный» канал связи, такой как текстовое сообщение, телефонный звонок или устройство с токеном безопасности.
• Отраслевое сотрудничество и обмен информацией об известных мошенниках и новых векторах угроз ^{[57] [58]}
• Автоматизированный контроль данных:

1. Использование автоматизированных средств контроля данных, которые используются для распознавания необычных действий или расходов с помощью кредитной карты. Эти элементы управления можно использовать в режиме реального времени, чтобы реагировать «...на все подозрительное, с чем они сталкиваются, поэтому поток мошеннической деятельности прекращается как можно скорее...» (Джонстон). ^[59] Три основных способа защиты информации с помощью автоматизированного контроля данных включают в себя:
   1. Согласование и проверка для обеспечения правильной работы средств контроля.
   2. Непрерывный мониторинг и оповещение, которое предупреждает владельца карты/банка о необычной активности.
   3. Отчетность, обеспечивающая наличие у организаций надлежащего контроля для предотвращения мошеннической деятельности.

Банками и финансовыми учреждениями

• Внутренняя зона самообслуживания, позволяющая клиенту осуществлять транзакции независимо от погодных условий. Входная дверь:
  • Идентифицирует каждого владельца карты, который получает доступ в обозначенную зону
  • Повышает защиту клиентов во время процедур самообслуживания
  • Защищает банкоматы и банковские активы от несанкционированного использования.
  • Охраняемая территория также может контролироваться системой видеонаблюдения банка.
  • Карты используют идентификацию CHIP (например, PASSCHIP ^[60] ), чтобы уменьшить вероятность скимминга карт.

Правительственными и регулирующими органами

• Принятие законов о защите потребителей , связанных с мошенничеством с картами
• Проведение регулярных проверок и оценок рисков эмитентов кредитных карт ^[61]
• Публикация стандартов, руководств и рекомендаций по защите информации о держателях карт и мониторингу мошеннической деятельности ^[62]
• Регулирование, например, введенное в SEPA и EU28 требованиями Европейского центрального банка «SecuRe Pay» ^[63] и законодательством Директивы о платежных услугах 2 ^[64] .

Владельцами карт

• Сообщить об утере или краже карты
• Регулярный анализ платежей и немедленное сообщение о несанкционированных транзакциях
• Всегда держите кредитную карту на виду у держателя карты, например, в ресторанах и такси.
• Установка антивирусной программы на персональные компьютеры
• Соблюдайте осторожность при использовании кредитных карт для онлайн-покупок, особенно на ненадежных веб-сайтах, убедитесь, что сайт заслуживает доверия.
• Хранение номеров счетов, сроков их действия, а также номеров телефонов и адресов каждой компании в безопасном месте. ^[65]
• Не отправлять данные кредитной карты по незашифрованной электронной почте
• Не хранить записанные ПИН-коды на кредитной карте.
• Не разглашать номера кредитных карт и другую информацию в Интернете.
• Подпишитесь на оповещения о транзакциях при использовании карты ^[66]
• Будьте в курсе фишинговых схем

Неравенства и этические дилеммы в сфере мошенничества с кредитными картами

Различия поколений

1. Миллениалы являются крупнейшими жертвами всех видов мошенничества, включая мошенничество с кредитными и дебетовыми картами, цифровыми кошельками, цифровыми платежами, банковское и налоговое мошенничество. За ними следуют GenXers, а затем GenZers.
2. Миллениалы тратят больше всего времени, пытаясь вернуть деньги, потерянные из-за мошеннических платежей, оспаривая мошеннические платежи и проверяя счета на предмет мошеннической или необычной деятельности, вне любой из групп поколений. ^[67]
3. Представители GenZ чаще всего сталкивались с мошенничеством через приложения для цифровых платежей, такие как PayPal, Venmo и Square. Остальные поколения столкнулись с большинством своих проблем из-за мошенничества с кредитными картами.
4. Было обнаружено, что бэби-бумеры имели наименьшее количество мошеннических обвинений, а также тратили наименьшее количество времени, пытаясь вернуть деньги из-за мошеннических обвинений или оспорить эти обвинения.

Расовые различия

1. «Федеральная торговая комиссия («FTC») и Бюро финансовой защиты потребителей («CFPB») подготовили отчеты о связи между меньшинствами и проблемами потребителей. В каждом отчете был сделан один и тот же вывод: несправедливая и обманная практика имеет уникальные и непропорциональные последствия. о цветных сообществах. Эти результаты показывают, что необходимо сделать больше для защиты этих сообществ от мошенничества». ^[68] Кроме того, хакеры специально нацелены на цветные сообщества по таким причинам, как их потребность в дополнительном доходе или кредите или их склонность использовать определенные типы финансовых продуктов.
2. Дополнительные выводы отчета: ^[68]
   1. Хотя чернокожие и латиноамериканские потребители чаще подвергаются мошенничеству, латиноамериканские сообщества преимущественно занижают данные по сравнению с чернокожими и белыми сообществами.
   2. Латиноамериканские и чернокожие потребители сообщают о разном уровне мошенничества, касающегося различных категорий проблем. Федеральная торговая комиссия обнаружила, что их база данных жалоб показывает, что чернокожие и, в меньшей степени, латиноамериканские сообщества испытывают более высокий уровень проблем с кредитными бюро и взысканиями долгов, чем белые сообщества.
   3. В сообществах белых и латиноамериканцев уровень мошенничества с использованием самозванцев выше, чем в сообществах чернокожих. Кроме того, согласно данным FTC о методах оплаты, чернокожие и латиноамериканские сообщества используют кредитные карты с сопутствующей правовой защитой значительно ниже, чем в белых сообществах.

Дополнительные технологические возможности

• 3-D Secure
• ЭМВ
• Двухточечное шифрование
• Строгая аутентификация
• Настоящая ссылка

Смотрите также

• Кардинг (мошенничество)
• Мошенничество с возвратом платежей
• Страхование возвратного платежа
• ФБР
• Финансовые преступления
• Кража личных данных
• Иммиграционная и таможенная служба (ICE)
• Интернет-мошенничество
• Организованная преступность
• Фишинг
• Прогнозная аналитика
• Возмещение
• Социальная инженерия
• Анализ трафика
• Служба почтовой инспекции США
• Секретная служба США
• Преступления белых воротничков

Рекомендации

1. «Мошенничество с кредитными картами - Действия потребителей» (PDF) . Потребительское действие . Проверено 28 ноября 2017 г.
2. «Официальный сайт Совета по стандартам безопасности PCI — проверьте соответствие PCI, загрузите стандарты безопасности данных и безопасности кредитных карт» . www.pcisecuritystandards.org . Проверено 1 октября 2021 г.
3. «ФАКТЫ МОШЕННИЧЕСТВА 2019 — Полный обзор мошенничества в платежной индустрии» (PDF) . Финансы Великобритании .
4. «Мошенничество с кредитными картами: крупнейшее мошенничество с картами в истории» . uПереключатель . Проверено 29 декабря 2019 г.
5. «Судебные документы двойная оценка нарушения TJX» . 2007.
6. Ирби, ЛаТойя. «9 способов предотвратить мошенничество с кредитными картами». Баланс . Архивировано из оригинала 30 ноября 2020 года . Проверено 29 декабря 2019 г.
7. «Предотвращение мошенничества с платежами | Barclaycard Business» . www.barclaycard.co.uk . Проверено 29 декабря 2019 г.
8. «Достижения в области вычислительного интеллекта | Том 2, выпуск 2» . СпрингерЛинк . Проверено 28 апреля 2022 г.
9. Вулстон, Сара (2017). «Методы машинного обучения для обнаружения мошенничества с кредитными картами». Проквест . ПроКвест  1954696965.
10. «Мошенничество с приложениями». Мошенничество в действиях . Проверено 29 декабря 2019 г.
11. «Остерегайтесь мошенничества с новыми учетными записями» . www.chargebackgurus.com . 14 августа 2021 г. Проверено 5 мая 2022 г.
12. Панди, Ванита (19 июля 2017 г.). «Отчет Forrester Wave: ThreatMetrix и революция в аутентификации пользователей на основе рисков». Матрица угроз . Проверено 28 ноября 2017 г.
13. Сицилиано, Роберт (27 октября 2016 г.). «Что такое мошенничество с захватом учетной записи?». баланс . Архивировано из оригинала 12 сентября 2017 года . Проверено 28 ноября 2017 г.
14. «Обновление чипов Visa US: июнь 2016 г., устойчивый прогресс во внедрении чипов» (PDF) . ВИЗА . 1 июня 2016 года . Проверено 28 ноября 2017 г.
15. Мошенничество с кредитными картами: что вам нужно знать
16. «Чего хакерам нужно больше, чем номер вашей кредитной карты | Credit.com» . Кредит.com . 1 сентября 2015 года. Архивировано из оригинала 30 мая 2016 года . Проверено 16 мая 2016 г.
17. Автор (21 августа 2021 г.). «Что такое мошенничество с захватом учетной записи и как его предотвратить». www.experian.com . Проверено 5 мая 2022 г.
18. «Деловой совет». Дай пять . Архивировано из оригинала 5 сентября 2018 года . Проверено 29 декабря 2019 г.
19. «Объяснение мошенничества в области социальной инженерии | - с Get Indemnity ™» . getindemnity.co.uk . Проверено 29 декабря 2019 г.
20. Внутренняя работа / Просмотр карточек ресторана. Регистр журнала .
21. Литтл, Аллан (19 марта 2009 г.). «Раскрыто мошенничество с зарубежными кредитными картами» . bbc.co.uk.com .
22. Журнал NACS Magazine – Skimmming. Архивировано 27 февраля 2012 года в Wayback Machine . nacsonline.com
23. Уильям Вестховен (17 ноября 2016 г.). «Группа грабителей подстроила банкомат Florham Park, - говорит генеральный прокурор». Daily Record (Морристаун) . Проверено 18 ноября 2016 г.
24. Камера банкомата Snopes.com
25. "Piden la captura internacional de un estudiante de Ingeniería" (на испанском языке). 2 ноября 2010 г.
26. «Резкий рост количества скимминговых атак на банкоматы» . Кребс о безопасности . 2016.
27. «Мошеннические автоматические платежи» - Проверено 7 февраля 2016 г.
28. Кикерпилл, Кристьян и Андра Сийбак. «МАЗЕФИШИНГ: ПАНДЕМИЯ COVID-19 КАК НАДЕЖНЫЙ СОЦИАЛЬНЫЙ КОНТЕКСТ ДЛЯ АТАКИ СОЦИАЛЬНОЙ ИНЖЕНЕРИИ». Трамс , т. 25, нет. 4 декабря 2021 г., стр. 371+. Gale Academic OneFile , link.gale.com/apps/doc/A685710807/AONE?u=udel_main&sid=bookmark-AONE&xid=2f58412d. По состоянию на 28 апреля 2022 г.
29. Сотрудники CNNMoney (18 декабря 2013 г.). «Цель: взломано 40 миллионов кредитных карт». CNNMoney . Проверено 9 мая 2022 г. {{cite web}}: |first=имеет общее имя ( справка )
30. Такер, Эрик. «Прокуратура преследует воров кредитных карт за границей». АП . Проверено 13 сентября 2014 г.
31. «Раздел 901 раздела IX Закона от 29 мая 1968 г. (Pub. L. № 90-321), добавленный разделом XX Закона от 10 ноября 1978 г. (Pub. L. № 95-630) ; 92 Закон 3728), вступает в силу 10 мая 1980 г.». Архивировано из оригинала 14 апреля 2002 года . Проверено 25 мая 2017 г.
32. «Потерянные или украденные кредитные, банкоматные и дебетовые карты» . Ftc.gov. 6 августа 2012 года . Проверено 2 августа 2014 г.
33. «Кто регулирует торговые услуги по кредитным картам в Великобритании?» Платежи ГБ . 23 января 2019 года . Проверено 29 декабря 2019 г.
34. «Преступление против личности». Федеральная полиция Австралии . Содружество Австралии. 2015.
35. «Валютно-кредитное управление Гонконга выпустило два циркуляра уполномоченным учреждениям относительно платежных карт» . Майер Браун . Проверено 27 апреля 2023 г.
36. «Преступление против личности в Австралии». www.ag.gov.au. _ Генеральная прокуратура Австралийского Союза. 2015.
37. Адсит, Деннис (21 февраля 2011 г.). «Стратегии защиты от ошибок при борьбе с мошенничеством в колл-центрах». isixsigma.com . Архивировано из оригинала 15 июня 2011 года.
38. Зеттер, Ким (25 марта 2010 г.). «Хакер TJX получил 20 лет тюрьмы» . ПРОВОДНОЙ . Проводной журнал.
39. Гудин, Дэн (17 августа 2009 г.). «Подозреваемому TJX предъявлено обвинение в нарушениях в Хартленде, Ханнафорд» . Регистр .
40. Снимая верх; Почему в Америке такой высокий уровень мошенничества с платежными картами, 15 февраля 2014 г., The Economist
41. Кребс, Брайан (4 октября 2014 г.). «Взлом Adobe: данные клиентов, исходный код скомпрометированы». Сидней Морнинг Геральд . Газета «Сидней Морнинг Геральд».
42. Российским хакерам предъявлено обвинение в «крупнейшем» деле о взломе данных: краже 160 миллионов номеров кредитных карт, 25 июля 2013 г., Кэтрин Бенсон, Reuters.
43. «Шесть человек обвинены в крупнейшем за всю историю взломе кредитных карт» . CNBC . Рейтер. 25 июля 2013 г.
44. «Цель сталкивается с негативной реакцией после 20-дневного нарушения безопасности» . Журнал "Уолл Стрит .
45. Часто задаваемые вопросы о утечке данных Неймана Маркуса: что делать сейчас, Пол Вагенсейл, 27 января 2014 г., руководство Тома
46. Перлрот, Элизабет А.; Поппер, Натаниэль; Перлрот, Николь (23 января 2014 г.). «Утечка данных Неймана Маркуса хуже, чем предполагалось» . Нью-Йорк Таймс . ISSN  0362-4331.
47. Стемпель, Джонатан (24 ноября 2020 г.). «Home Depot выплатила компенсацию в размере 17,5 миллионов долларов за утечку данных в 2014 году». Рейтер . Проверено 15 апреля 2021 г.
48. МакКарри, Джастин (23 мая 2016 г.). «100 воров украли 13 миллионов долларов за три часа из банкоматов по всей Японии». Хранитель . Проверено 23 мая 2016 г.
49. Ле Борнь, Янн-Аэль; Бонтемпи, Джанлука (2021). «Машинное обучение для обнаружения мошенничества с кредитными картами. Практическое руководство» . Проверено 26 апреля 2021 г.
50. Хассиби, доктор философии, Хосров (2000). Обнаружение мошенничества с платежными картами с помощью нейронных сетей в книге «Бизнес-приложения нейронных сетей». Всемирная научная. ISBN 9789810240899. Проверено 10 апреля 2013 г.
51. «Риск — более разумное управление рисками для финансовых услуг». Архивировано из оригинала 25 сентября 2011 года . Проверено 14 июля 2011 г.
52. Ричардсон, Роберт Дж. «Мониторинг сделок купли-продажи на предмет незаконной деятельности» (PDF) . Архивировано из оригинала (PDF) 27 марта 2012 года . Проверено 14 июля 2011 г.
53. «10 мер по сокращению мошенничества с кредитными картами» . 10 мер по сокращению мошенничества с кредитными картами среди интернет-торговцев . ФраудЛабс Про. Архивировано из оригинала 16 июля 2011 года . Проверено 14 июля 2011 г.
54. Дасгупта, Дипанкар; Рой, Арунава; Наг, Абхиджит (2017), Дасгупта, Дипанкар; Рой, Арунава; Наг, Абхиджит (ред.), «Многофакторная аутентификация», « Достижения в области аутентификации пользователей» , серия Infosys Science Foundation, Cham: Springer International Publishing, стр. 185–233, doi : 10.1007/978-3-319-58808-7_5 , ISBN 978-3-319-58808-7, S2CID  63285720 , получено 28 апреля 2022 г.
55. Альхотайли, Абдулрахман; Альравайс, Арва; Ченг, Сючжэнь ; Би, Жунфанг (2014). «На пути к более безопасной проверке держателей карт в платежных системах». Беспроводные алгоритмы, системы и приложения . Конспекты лекций по информатике. Том. 8491. стр. 356–367. дои : 10.1007/978-3-319-07782-6_33. ISBN 978-3-319-07781-9. ISSN  0302-9743.
56. «FFIEC: внеполосная аутентификация» . БанкИнфоСекьюрити . Проверено 14 июля 2011 г.
57. «Системы раннего предупреждения». Системы раннего предупреждения. Архивировано из оригинала 24 июля 2011 года . Проверено 14 июля 2011 г.
58. «Финансовые услуги - Центр обмена информацией и анализа» . ФС-ИСАК . Проверено 14 июля 2011 г.
59. «Безопасность индустрии платежных карт: важность целостности данных | Журнал ISACA» . ИСАКА . Проверено 28 апреля 2022 г.
60. «Решение для контроля доступа к банкоматам - PASSCHIP» . passchip.com . Проверено 20 июля 2018 г.
61. «ИТ-буклеты» Информационная безопасность » Введение » Обзор» . Справочник FFIEC по ИТ-экспертизе — Кредитные карты . ФФИЭК. Архивировано из оригинала 7 июля 2011 года . Проверено 14 июля 2011 г.
62. «ИТ-буклеты » Розничные платежные системы » Управление рисками розничных платежных систем » Средства управления рисками, специфичные для розничных платежных инструментов» . Справочник FFIEC по ИТ-экспертизе — Кредитные карты . ФФИЭК. Архивировано из оригинала 8 июля 2011 года . Проверено 14 июля 2011 г.
63. «ЕЦБ выпускает окончательные рекомендации по безопасности интернет-платежей и начинает общественные консультации по услугам доступа к платежным счетам» . 31 января 2013 г.
64. «2013/0264 (COD) — Законодательное предложение от 24.07.2013» .
65. «Информация для потребителей - Федеральная торговая комиссия» .
66. «Добро пожаловать на FBI.gov» . Федеральное Бюро Расследований . Проверено 28 апреля 2022 г.
67. IBM. «Исследование IBM обнаруживает широкие различия в географическом, поколенческом влиянии финансового мошенничества и отношении к финансовым учреждениям». www.prnewswire.com (пресс-релиз) . Проверено 9 мая 2022 г.
68. «Сообщества цветных людей, агентств по борьбе с мошенничеством и защите прав потребителей». Национальная ассоциация генеральных прокуроров . 1 февраля 2022 г. Проверено 9 мая 2022 г.

Внешние ссылки

• Информационные буклеты Федерального экзаменационного совета финансовых учреждений (FFIEC) » Информационная безопасность » Приложение C: Законы, правила и руководства
• Основы борьбы с мошенничеством Visa для продавцов
• Центр рассмотрения жалоб на преступления в Интернете (IC3) — это партнерство Федерального бюро расследований (ФБР) и Национального центра по борьбе с преступлениями в сфере «белых воротничков» (NW3C).
• Интернет-мошенничество с разделом «Предотвращение мошенничества с кредитными картами» на веб-сайте Федерального бюро расследований.
• Отчет Сети защиты потребителей Федеральной торговой комиссии США
• Машинное обучение для обнаружения мошенничества с кредитными картами - Практическое руководство