Мошенничество с кредитными картинами в Интернете :можно ли ему противостоять?
В последнее время в печати и Интернет-изданиях достаточно часто появляются статьи об онлайновом мошенничестве с банковскими кредитными картами, из которых следует, что оплата кредитной картой товаров и услуг по Интернету однажды неминуемо обернется для ее владельца хищением реквизитов карты и финансовыми убытками.
В целом этот вид мошенничества представляет собой реальную опасность для Интернет-коммерции. Попробуем разобраться, насколько серьезны все эти угрозы, действительно ли Интернет-торговцы и Интернет-покупатели так беззащитны перед мошенниками и правда ли, что Интернет-мошенники настолько всесильны. Прежде всего, несколько цифр: по данным Федеральной торговой палаты США, ежегодный ущерб от мошенничества с пластиковыми картами составляет более 2 млрд долларов. Какая часть этих убытков приходится на Интернет-платежи, не уточняется, но, по ряду оценок, убытки от мошенничества в Интернет-коммерции составляют около 1% от оборота. Между тем, по данным американской организации Internet Fraud Complaint Center, в 2002 году только 12% онлайновых преступлений были связаны с хищением информации о кредитных картах (пальму первенства, как и прежде, прочно удерживают интернет-аукционы)
Что же может угрожать владельцу кредитной карты, который расплачивается ей в Интернете? Правильный ответ вроде бы лежит на поверхности - данные кредитной карты могут украсть. Действительно, за последние годы было отмечено немало случаев крупных хищений баз данных с реквизитами кредитных карт. Одним из “первенцев” был российский хакер Максим Иваньков (Максус), похитивший базу кредитных карт в количестве около 300 тыс. штук в американском Интернет-магазине CD Universe. Он попытался получить от CD Universe выкуп за эти данные в размере 100 тыс. долларов, но после отказа магазина выложил около 25 тыс. номеров кредитных карт на сайт американской компании Lightrealm Inc. Еще пример: в феврале 2003 г. неизвестный хакер взломал систему защиты компании Data Processors International и похитил реквизиты примерно 8 млн пластиковых карт, принадлежащих практически всем международным платежным системам.
Однако сам факт хищения еще не наносит финансовых убытков ни владельцу кредитной карты, ни магазину, откуда эту карту украли, так как мошенник должен еще каким-то образом воспользоваться средствами, имеющимися на карт-счете. Тут могут существовать разные пути, основные из которых - перевод денег с карт-счета куда-то, откуда их можно забрать, либо оплата кредитной картой каких-либо товаров и услуг в Интернете.
Осуществимость обоих этих способов будет рассмотрена более подробно, но сначала один принципиальный момент. В рамках международных платежных систем (Visa, MasterCard, American Express, Diners Club) существует понятие “банк-эмитент”, т.е. банк, который выпускает и выдает пользователю кредитную карту, и “банк-эквайр”, который обеспечивает прием кредитных карт к оплате. Один и тот же банк может выступать и как эмитент, и как эквайр. Когда владелец карты осуществляет покупку в магазине, информация с кредитной карты из магазина в форме запроса передается в обслуживающий его банк-эквайр и оттуда в банк-эмитент. Банк-эмитент проверяет правильность информации о карте и ее владельце, а также доступность средств на карт-счете и по результатам проверки либо разрешает, либо не разрешает покупку. Положительный ответ банка-эмитента является гарантией, что банк-эквайр получит деньги и переведет их на счет магазина. По правилам международных платежных систем в обычной офф-лайновой торговле ответственность за мошеннические операции с пластиковыми картами несет банк-эмитент, т.е. в случае мошенничества он возвращает пользователю списанные средства за свой счет. В Интернет-коммерции ответственность за мошеннические операции ложится уже на банк-эквайр, который чаще всего перекладывает ее на магазин, и возврат средств владельцу карты осуществляется за счет Интернет-магазина, через который прошла мошенническая транзакция.
Первый вывод, который отсюда следует: встречающееся местами запугивание владельцев кредитных карт, что, заплатив картой в Интернете, они рискуют потерять со своего карт-счета много денег из-за мошенников, не имеет под собой серьезных оснований, так как если владелец карты, выполнявший рекомендации своего банка-эмитента, все же стал жертвой мошенничества, то он имеет право оспорить транзакции, которые не совершал, и банк обязан будет компенсировать ему потери.
Вывод второй: наиболее незащищенным звеном в схеме покупки в Интернете является онлайновая торговая точка, так как в конечном итоге именно за ее счет осуществляется возмещение убытков владельцу кредитной карты. Но поскольку в мире работает огромное количество Интернет-магазинов, принимающих к оплате кредитные карты, и многие из них успешно процветают, значит, существуют системы защиты, которые могут достаточно эффективно противостоять мошенничеству.
Теперь вернемся к способам обналичивания украденных реквизитов кредитной карты. Для рассмотрения варианта перевода средств по схеме “карт-счет жертвы - счет злоумышленника” возьмем в качестве примера платежную систему PayPal. Эта система была основана в 1998 году американцем Питером Тиелом и выходцем с Украины Максом Левчиным, она предоставляет своим пользователям возможность принимать и отправлять платежи при помощи электронной почты. Для того чтобы стать пользователем системы, необходимо заполнить специальную регистрационную форму и открыть персональный счет в системе, причем пополнять счет можно в том числе и при помощи кредитной карты. Пользователю система PayPal предоставляет возможность перевести определенную сумму со своего персонального счета другому пользователю PayPal или совершенно постороннему лицу, имеющему адрес электронной почты.