Использование дополнительных методов идентификации держателя пластиковой карты

Большинство интернет-магазинов для того, чтобы удостовериться, что осуществляющее в Интернете расчеты по пластиковой карте лицо является держателем данной карты, просит его предоставить следующую информацию:
- имя держателя, указываемое на пластиковой карте;
- номер карты (картсчета);
- дата истечения срока действия карты;
- адрес получения стейтментов;
- домашний (рабочий) телефон держателя карты;
- адрес электронной почты держателя карты;
- имя получателя товара;
- адрес доставки;
- номер телефона, установленного по месту доставки заказа, и т.д.
Имя, номер счета и адрес держателя карты используются для предварительной идентификации плательщика. Банк-эмитент определяет, соответствуют ли представленные адрес и имя той информации, которая зарегистрирована для данного номера картсчета.
Адрес электронной почты тоже играет важную роль. Исследования в области онлайновых мошенничеств показали, что 97,3% всех поддельных заказов содержали адреса, зарегистрированные в бесплатных службах электронной почты. Для дополнительной проверки таких заказов проводят сравнение адреса плательщика с адресом доставки. Несовпадение адресов должно вызывать подозрение, особенно в тех случаях, когда адрес доставки находится за рубежом. Далее служба доставки осуществляет телефонный звонок для согласования времени доставки. Принадлежность телефонного номера заказчику тоже может быть проверена.
Параллельно определяется местоположение заказчика по IPадресу его компьютера — оно сравнивается с адресом держателя карты и адресом доставки. Несовпадение адресов увеличивает вероятность того, что трансакция мошенническая.
Кроме того, системами безопастности предприятий интернет-торговли отслеживаются повторяющиеся попытки оформления заказов, поступающие с одного и того же IPадреса, но с разными номерами карт. Это может свидетельствовать об использовании генератора номеров пластиковых карт.
Более сложные системы выявления мошенничества основаны на использовании нейронных сетей. Нейронная сеть может анализировать трансакции, сравнивая их с содержащимися в базе данных шаблонами известных типов мошеннической деятельности. Эти системы, называемые также системами упреждающего статистического моделирования, обладают достаточно высокой точностью. Но их внедрение и настройка требуют больших затрат времени и труда.
Альтернативный подход заключается в использовании услуг третьих фирм, имеющих собственную службу удостоверения личности клиента. В процессе идентификации покупатель перенаправляется на соответствующий веб-ресурс, который пытается удостовериться в подлинности его личности. Недостатком этого подхода является то, что клиенты (покупатели) должны предварительно устанавливать отношения с третьей фирмой, предоставляя ей удостоверяющие документы.
Нужно отметить, что для пластиковых карт, используемых в традиционной торговой сети, самым простым способом защиты трансакции от мошенничества является использование ПИНкода для идентификации держателя карты его банкомэмитентом. В интернет-коммерции этот способ неэффективен.
Идея проверки ПИНкода была реализована для повышения безопасности трансакций по картам STB CARD (более подробно она описана в книге И. Голдовского “Безопасность платежей в Интернете” [35, с. 72—73]). При выпуске карты STB клиент может получить не только обычный ПИНкод, но и код, называемый ПИН2. ПИН2 представляет собой 16значный буквенноцифровой код, используемый специально для расчетов в сети Интернет. Оформив заказ в интернет-магазине и выбрав оплату с помощью карты STB, клиент переключается магазином на авторизационный сервер (подробнее рис. 6.7, вариант трансакции 26), который производит все операции, связанные с проведением платежа. Клиент заполняет предоставленную авторизационным сервером специальную форму, где указывает номер карты, срок ее действия, свои реквизиты и ПИН2.
ПИН2 используется для формирования платежного документа и подписи реквизитов платежа, что позволяет в дальнейшем подтвердить их целостность и принадлежность владельцу карты. Благодаря использованию технологии ПИН2 решается проблема отказов от платежей покупателями (чарджбэков), так как такая трансакция признается сторонами совершенной с использованием аналога собственноручной подписи держателя карты.
Минусы данного подхода состоят в следующем:
- использование длинного (шестнадцать шестнадцатеричных цифр) ключа делает его применение на практике крайне неудобным для держателя карты;
- защита от подмены основана на надежности аутентификации клиентом сервера интернет-магазина (форма, запрашивающая ПИН2, может быть представлена держателю карты мошенником, выдающим себя за интернет-магазин).
Обеспечить надежную защиту от указанной подмены можно с помощью электронного бумажника клиента (специального программного обеспечения, которое клиент может “скачать” на свой компьютер с сайта платежной системы). Такой электронный бумажник может использовать сколь угодно мощные средства шифрования данных. Секретные ключи держателя карты могут храниться в порядке повышения надежности их хранения на диске компьютера, дискете или микропроцессорной карте. Доступ к электронному бумажнику должен производиться по паролю его владельца.
В качестве дополнительной проверки помимо номера карты, срока ее действия некоторые торговые предприятия требуют сообщить специальный цифровой код, называемый в системе VISA — Card Verification Value 2 (СVV2), в системах Europay и MasterCard — Card Verification Code 2 (CVC2), а также Fourdigit Batch Code (4DBC) для American Express. В случае CW2/ CVC2 этот цифровой код состоит из трех десятичных цифр и получается с помощью специального открытого алгоритма, применяемого к таким параметрам карты, как номер карты и срок ее действия. Алгоритм использует пару секретных ключей, известных только эмитенту карты. Таким образом, зная номер карты и срок ее действия, вычислить цифровой код без знания секретных ключей невозможно.
Использование цифрового кода CW2/CVC2 в некоторой степени помогает борьбе с мошенничеством, но не решает проблемы в целом. Действительно, несмотря на то, что применение этого кода потребует от мошенника знания дополнительного шифра, сам код — статическая информация и, следовательно, рано или поздно попадет в руки мошенников теми же способами, что и номер карты.
Существует еще один способ повышения безопасности трансакции — использование метода VISA Address Verification System (A KS). Суть метода состоит в следующем. Система AVS запрашивает у клиента адрес, на который держателю карты приходят выписки — стейтменты, выполняет проверку соответствия этого адреса адресу, зарегистрированному эмитентом карты, и возвращает код, указывающий соответствуют ли друг другу эти адреса.
У метода AVS два недостатка. Вопервых, он так же, как и методы проверки ПИН2 и CW2/CVC2, статичен и, следовательно, попадание в руки мошенников нового параметра — лишь дело времени. Вовторых, этот метод поддерживается только системой VISA и, хотя на долю этой платежной системы в мире приходится более 50% всех трансакций, это всетаки не весь рынок платежей в Интернете. Иными словами, метод AVS на сегодняшний день не универсален.
Другими средствами дополнительной идентификации стали айндентпринтер, печатающий информацию на карте в углублениях, нанесение подписи и другой информации при помощи лазера, "Track2 Data Extension" — использование второй дорожки (для магнитных карт), использование специальных оттенков цветов для разных карточных продуктов, а также введение голограмм. Многие эмитенты помещают на карту фото ее держателя.
<< | >>
Источник: А.В. Юрасов. Электронная коммерция. 2003

Еще по теме Использование дополнительных методов идентификации держателя пластиковой карты:

  1. Пластиковые карты
  2. История возникновения и основные преимущества использования пластиковых карт
  3. Преступления с использованием пластиковых карт
  4. Недостатки использования пластиковых карт в интернет-коммерции
  5. Использование пластиковых карт в традиционной розничной торговле
  6. Использование в логистике технологии автоматизированной идентификации штриховых кодов
  7. Использование в логистике технологии автоматизированной идентификации штриховых кодов
  8. Использование в логистике технологии автоматической идентификации штриховых кодов
  9. Дополнительные методы снижения рисков
  10. А что можно сказать о том времени, когда жилплощадь остается незанятой, и об использовании других дополнительных источников дохода?
  11. Дополнительные программы отложенных выплат для управленческого персонала Дополнительные пенсионные планы. Что такое дополнительные пенсионные планы и каковы цели их применения
  12. Метод предполагаемого использования
  13. Использование методов спамдексинга
  14. Методы аудита с использованием компьютеров
  15. Классификация пластиковых карт
  16. Другие статистические методы и их использование