По прогнозам, за период с 2018 по 2023 год общий объем потерь в ретейле из-за мошенничества с банковскими картами составит около 130 млрд долл. [1], и росту этих убытков способствуют ряд факторов.
Во-первых, благодаря прогрессу в сфере финансово-информационных технологий, растет число интернет-магазинов и приложений с функцией приема платежей в режиме онлайн, а злоумышленники начинают эксплуатировать соответствующие сервисы для проведения оплаты обманным путем. Например, торговцы наркотиками используют Uber для их перевозки и при этом платят за поездки с помощью украденных номеров банковских карт [2].
Во-вторых, злоумышленники сами создают посреднические сервисы для продажи со скидкой товаров и услуг, купленных с использованием краденых номеров банковских карт [3]. К примеру, мошенники могут заказывать еду через приложение-агрегатор для своих покупателей и брать с них деньги, а оплату проводить с помощью украденных номеров карт. Потребитель получает товар, но платит мошеннику, а не продавцу, а когда владелец карты оспаривает транзакцию, убытки терпит продавец.
В-третьих, двусторонние торговые площадки, например Airbnb с хозяевами и гостями или Uber с водителями и пассажирами, с точки зрения мошенников, создают возможности для отмывания денег. В подобных схемах злоумышленники занимают обе стороны площадки и через нее перемещают деньги друг другу. Например, они могут создать аккаунты хозяина и гостя в приложении для посуточной аренды квартир и платить за несуществующий постой с помощью краденых банковских карт, в результате чего деньги оказываются у «хозяина».
Благодаря прогрессу в мире финтеха, у злоумышленников появилось больше возможностей принимать платежи. Еще десять лет назад специалисты по безопасности могли отследить спамеров лишь по небольшому количеству счетов, которые использовались для приема платежей, а сегодня мошенники могут переводить деньги с помощью приложений для прямых платежей наподобие Venmo или WeChat Pay либо посредством криптовалют вроде биткойна и ZCash — в этих случаях счет продавца уже нельзя отследить.
По мере все более широкого распределения платежей отслеживать виновников будет все сложнее. Соответственно, возможности контроля и предотвращения мошенничества будут в долгосрочной перспективе оставаться важнейшими качествами при использовании банковских карт.
По мере роста возможностей интеграции механизмов оплаты в приложения, мошенники будут находить все больше способов хищения, и разработчики приложений могли бы бороться с этим, формируя группы специалистов, занимающихся исключительно предотвращением мошенничества. Однако эффективно противодействовать кражам можно только в том случае, если будут разработаны принципы и методы борьбы, которые необходимо выполнять всем.
Системы борьбы с мошенничеством
Искоренить мошенничество с картами можно, но для этого нужны знания о покупателях, продавцах, кассовых аппаратах, системах процессинга, платежных сетях и банках-эмитентах, а также о всех механизмах, которые используются для предотвращения жульничества на разных этапах транзакции. Кроме того, системы для борьбы с мошенничеством в активном режиме отслеживают данные об устройствах, методах оплаты и пользователях, чтобы выявлять мошенников-рецидивистов. Для прогнозирования краж широко применяются средства машинного обучения, соответственно, для создания долговременных решений такого рода придется позаботиться о конфиденциальности конечного пользователя и решении этических вопросов.
Общий обзор схемы мошенничества с банковской картой |
С учетом сложности схем краж средств с банковских карт, наиболее действенным способом глобальной борьбы с ними будет принцип глубокой защиты (см. рисунок). Главный шаг — принятие мер по борьбе с утечкой данных по картам. Полностью предотвратить это невозможно, поэтому нужно разработать и реализовать защитные системы, которые могли бы использовать продавцы, чтобы не дать мошенникам возможность воспользоваться полученными сведениями. Злоумышленники в любом случае найдут сервисы, с помощью которых можно использовать украденные карты, поэтому нужно предоставить правоохранительным органам более широкие возможности по поимке мошенников. Если изучить проблему на всех ключевых точках мошеннических схем и задействовать принципы глубокой защиты, жульничество с крадеными картами можно будет полностью искоренить.
Борьба с кражей номеров
Злоумышленники совершают мошеннические транзакции, пользуясь похищенными сведениями о карточном счете, — такая возможность появилась в связи со статичностью данных по карте. В более новых технологиях, в том числе для NFC-платежей и карт с чипами стандарта EMV (Europay + MasterCard + Visa), предприняты попытки избежать использования статичных данных. Но динамически генерируемые данные требуют наличия активной схемы на инструменте оплаты, что приводит к увеличению стоимости и замедлению внедрения. Кроме того, остается открытой проблема приема динамически генерируемых данных при операциях без предъявления карты (card-not-present, CNP), в том числе при оплате в интернет-магазинах.
Помимо утечек данных, мошенники получают данные по счетам еще двумя путями, перекрытие которых требует отдельных исследований.
Физический скимминг. Атакующий компрометирует кассовое оборудование или банкомат с помощью устройства, которое считывает данные непосредственно с платежной карты или перехватывает их электронным путем в процессе прохождения через терминал. На оборудование, предусматривающее ввод ПИН-кода, могут устанавливать накладки для клавиатуры или камеры для съемки действий жертвы. Возможны атаки «шимминга» (shimming) в отношении EMV-карт, когда номер счета и другие данные считываются с чипа карты. В связи с этим возникла настоятельная потребность в системах, способных распознавать такое вмешательство и проверять состояние платежных терминалов. В этом отношении достигнут определенный прогресс, однако злоумышленники разрабатывают все новые способы модификации терминалов.
Онлайн-скимминг. При онлайн-оплате товаров и услуг нередко приходится вручную вводить данные по карте: номер, имя держателя, срок действия. Злоумышленники могут при этом перехватывать ввод данных с помощью скомпрометированных сайтов, фишинга и социальной инженерии. Такие атаки могут долго оставаться незамеченными благодаря использованию сложных методов маскировки и таргетинга. Соответственно, необходимы новые принципы защиты вводимых данных, обнаружения скомпрометированных процедур оплаты и предоставления пользователям наглядных индикаторов безопасности совершаемых действий.
Наделение продавцов возможностями борьбы с мошенничеством
Предоставление продавцам средств противодействия мошенничеству дает два преимущества. Во-первых, продавец имеет полные сведения о транзакции и поэтому у него больше возможностей обнаруживать аномалии и потенциально мошеннические операции. В частности, продавец знает, какие товары или суммы чаще всего участвуют в мошеннических схемах, и ему известна полная история операций конкретного покупателя, поэтому продавец способен точнее прогнозировать кражи. Во-вторых, он может остановить транзакцию еще до совершения мошенничества, то есть именно у него есть возможность предотвратить ущерб в последний момент.
Сегодня продавцы стали шире прибегать к дополнительным запросам сведений у пользователей для проверки их личности в целях предотвращения мошенничества. Современные методы расширенной аутентификации позволяют запрашивать дополнительные сведения только у тех пользователей, которые вызывают подозрение. С помощью таких запросов приложение отделяет добросовестных пользователей, которые случайно вызвали подозрение у системы, от реальных мошенников. В числе таких систем верификации: Apple FaceID, системы сканирования платежных карт в Uber и Boxer, механизм верификации Coinbase и пр. Однако механизмы сбора таких добавочных сведений накладывают дополнительные проектные ограничения. В частности, приходится идти на компромисс в отношении приватности, выбирая между выполнением транзакции на сервере или клиенте, принимать в расчет большой разброс различий в характеристиках производительности клиентских устройств, когда на них выполняются действия систем машинного обучения, а также учитывать различия в скорости доступа к Сети. Если упускать из виду такие тонкости, то механизмы защиты будут неправомерно блокировать пользователей.
Чтобы обеспечить возможность создания среды выполнения запросов для сбора сведений, отличающейся надежностью работы и доступностью для всех пользователей, требуются исследования по двум направлениям.
Этичные клиентские системы машинного обучения. Одно из таких направлений — разработка фреймворков для создания защищенных моделей машинного обучения, работающих на стороне клиента. Важная задача здесь — обеспечить возможность выполнения сложных алгоритмов машинного обучения на устройствах с разными характеристиками производительности. Например, в Boxer время, уходящее на выдачу прогнозов с помощью одной и той же модели, варьируется в пределах одного — четырех порядков. Но система машинного обучения, предназначенная для обеспечения безопасности, должна эффективно выполняться в том числе на ограниченных в ресурсах смартфонах, иначе она будет несправедливо блокировать запросы от их истинных владельцев. Сегодня существуют наработки, позволяющие эффективно использовать на смартфонах модели для классификации изображений, например SqueezeNet. Однако системы машинного обучения, предназначенные для нужд безопасности, могут существенно отличаться от таких моделей, даже когда предусматривают решение задач в области компьютерного зрения.
Защищенное оборудование. Еще одно направление исследований — разработка аппаратных абстракций, которые дадут возможность выполнять модели машинного обучения и поддерживать работу иных систем обеспечения безопасности на устройстве. Однако подобные абстракции, существующие сегодня, либо слишком низкого уровня (работают в доверенных средах выполнения, позволяющих приложениям отрабатывать определенные команды), либо слишком высокоуровневые, как, например, сервис Apple DeviceCheck, который выдает очень обобщенные результаты. Оптимальная абстракция должна быть достаточно гибкой, чтобы была возможность выполнять детальные проверки безопасности. При этом у нее должны быть средства контроля инвариантов безопасности, возможность сохранения данных при сбросе устройства, а также средства обеспечения конфиденциальности сведений о конечном пользователе. Такие абстракции должны помогать противодействовать как злоумышленникам, в чьи руки попали чужие устройства, так и вредоносным программам системного уровня.
Особенности национального мошенничества
В России один из самых низких уровней мошенничества с банковскими картами, что обусловлено несколькими факторами и, главное, активным внедрением мер защиты от мошеннических транзакций на уровне государства в лице Центрального банка России.
Одна из таких мер — законодательное требование регулятора по информированию клиентов о совершаемых платежах. Для этого банкам пришлось оперативно наладить связь с клиентами либо по SMS, либо по электронной почте, что сильно затрудняет проведение мошеннических операций без взаимодействия с владельцем карты. К тому же, в соответствии с положением ЦБ РФ № 683-П, создан специальный механизм для противодействия осуществлению переводов денежных средств без согласия клиента. В рамках этого положения любая транзакция по карте может быть остановлена в срок до двух дней, если ее участники попали в черный список мошеннических транзакций, который составляется по заявлениям граждан. В случае приостановки транзакции банк должен связаться с клиентом и еще раз подтвердить совершение подозрительной операции.
Кроме того, в России запрещен выпуск платежных карт без чипа. Именно поэтому практически все карты в России используют как минимум стандарт EMV для защиты транзакций с предоставлением карты. Поэтому использование скиммеров в России — большая редкость, а у их владельцев мало шансов получить ценную информацию. Стандарт EMV пока предусматривает достаточно сильные способы защиты для того, чтобы мошенники не могли повторить подсмотренную транзакцию или получить доступ к реквизитам владельца карты.
Однако главная проблема российских мошенников — даже не EMV, а стандарт бесконтактного взаимодействия NFC (Near Field Communication), ставший популярным после вступления в силу закона об онлайн-кассах, согласно которому все продавцы обязаны сменить POS-терминалы, чтобы обеспечить передачу в ФНС РФ всех фискальных данных. При смене контрольно-кассовой техники в новом оборудовании зачастую уже была реализована поддержка NFC. В результате российские банки также оценили возможности выпуска платежных карт с NFC, что сделало поддержку этой технологии практически обязательной. В итоге большое число транзакций в России выполняется с помощью этой достаточно надежной с точки зрения безопасности технологии.
Правда, NFC имеет и свои особенности. В частности, большинство банков установило лимит на проверку PIN-кода при NFC-транзакции в 1 тыс. руб., и транзакция на меньшую сумму может пройти без активного взаимодействия с клиентом. Это позволяет мошеннику с помощью «карманного» NFC-сканера в общественном месте собрать достаточно денег. Поэтому рекомендуется использовать специальный чехол на карту, который не позволяет бесконтактно украсть с нее деньги. Впрочем, можно использовать и более простой прием — держать рядом две NFC-карты. Если их попытаются несанкционированно использовать, то ответы от разных карт вступят в конфликт и такая транзакция будет отменена.
В целом же можно сказать, что в России уже принято достаточно много как реальных, так и виртуальных мер защиты платежных карт от мошенничества, что и позволяет обеспечивать достаточно низкий уровень мошеннических транзакций в целом по России по сравнению с другими странами.
— Валерий Коржов (cwzerro@gmail.com) — независимый эксперт (Москва).
Расширение возможностей правоохранительных органов
Разработка новых инструментов и алгоритмов, помогающих компаниям обнаруживать и пресекать мошенничество, имеет большое значение. Однако действия на следующем этапе, особенно когда мошенничество обнаружено уже постфактум, нередко неясны. Обычно подают заявление в правоохранительные органы, но какие именно ведомства следует уведомлять и как обеспечить эффективность расследования, не всегда понятно.
Сложности при этом схожи с теми, которые испытывают розничные торговцы. В частности, в местных правоохранительных органах не всегда есть специалисты, способные провести, например, технический анализ скиммера. В связи с этим исследователям предстоит решить следующие задачи.
Повышение эффективности обнаружения. Существуют механизмы, предоставляющие ретейлерам сведения, руководствуясь которыми те приходят к выводу о необходимости вызова полиции, однако автоматизировать этот процесс данные механизмы не позволяют. Есть также инструменты, помогающие защитить банкоматы от глубокого вмешательства и установки накладок на клавиатуру, но такие инструменты не универсальны. Созданы достаточно эффективные методы беспроводного обнаружения вмешательства, но их можно обойти с помощью конфигурационных изменений. В средах с большим количеством радиоустройств (камер слежения, смартфонов, Bluetooth-гарнитур и пр.) сложность обнаружения признаков скимминга увеличивается. Соответственно, крайне необходимы новые инструменты, позволяющие быстро и легко обнаружить действия злоумышленников.
Обнаружение масштабных атак. В разных странах законы о наказаниях за скимминг варьируются от региона к региону. К примеру, в Неваде (США) максимальный штраф за использование скиммера и владение им — 250 тыс. долл., а во Флориде — 5 тыс. долл. Поэтому, чтобы оправдать выделение ресурсов на расследование, необходима возможность определить, когда в рамках одной широкомасштабной атаки злоумышленники используют множество незаконных устройств. Для этого нужны, в частности, инструменты, позволяющие оценивать сходство используемого атакующими ПО и оборудования.
Идентификация средств, используемых скиммерами. Попытки использования клонированных карт сегодня стали более изощренными. Если раньше злоумышленники обычно применяли чистые карты без логотипов, то сегодня для клонирования нередко создаются карты, очень похожие на настоящие, содержащие изображения и рельефные шрифты. Признаком мошенничества также может быть, к примеру, попытка выполнения операции с использованием нескольких карт, но такую операцию может выполнять и добросовестный покупатель, который хочет воспользоваться остатками на разных картах или разбить покупку между несколькими картами с различными условиями кредитования. Поэтому нужны инструменты, которые позволили бы, скажем, быстро проанализировать атрибуты карты, которые трудно подделать, — такие как стойкость магнитной записи и качество нанесенного на карту изображения.
***
Для скоординированного удара по мошенникам необходимо взаимодействие бизнеса, государства и научно-исследовательского сообщества. При этом нужна целенаправленная совместная работа, посвященная поиску возможностей борьбы с финансовым мошенничеством на уровне технологий.
Литература
1. Retailers to lose $130bn globally in card-not-present fraud over the next 5 years. Juniper Research. URL: https://www.juniperresearch.com/press/press-releases/retailers-to-lose-130-bn-globally-in-card-fraud (дата обращения 27.01.2021).
2. B. Anderson. How uber is changing drug dealing. Vice. URL: https://www.vice.com/en_us/article/qkjjwb/how-uber-is-changing-drug-dealing (дата обращения: 27.01. 2021).
3. T. Chen. Advanced technologies for detecting and preventing fraud at uber. Uber Engineering. URL: https://eng.uber.com/advanced-technologies-detecting-preventing-fraud-uber/ (дата обращения: 27.01.2021).
Сэмюэл Кинг (kingst@ucdavis.edu) — доцент, Зайнул Аби Дин (zdin@ucdavis.edu) и Хари Венугопалан (hvenugopalan@ucdavis.edu) — аспиранты, Калифорнийский университет в Дейвисе; Патрик Трейнор (traynor@ufl.edu) — профессор, Кристиан Питерс (cpeeters@ufl.edu) — аспирант, Флоридский университет; Нолен Скейф (scaife@colorado.edu) — доцент, Колорадский университет в Боулдере.