Операции без присутствия карты

Материал из Википедии — свободной энциклопедии
Перейти к: навигация, поиск

Операции без присутствия карты (англ. Card not present transaction, CNP) — тип транзакций по банковским платёжным картам, при которых держатель карты со своей картой физически не присутствует во время и в месте проведения оплаты. Ситуация чаще применяется при заказе и оплате товара по почте, факсу, телефону (mail order/telephone order (MO/TO)) или через интернет (ECommerce). Такие транзакции весьма подвержены мошенничеству с платёжными картами.

При операции без присутствия карты основной трудностью продавца, принявшего заказ, является проверка, действительно ли держатель карты разрешил транзакцию. Как правило, проверяется номер карты (PAN), срок действия карты (expired) и верификационный код (например, для карт Visa — CVV2).

Если заявлено о мошеннической операции CNP, то банк-эквайрер, обслуживающий счёт продавца, на который поступили деньги от мошеннической транзакции, должен возместить средства, в то время как по операции с магнитной полосой ответственность за возврат несёт эмитент карты.[1] Из-за большого риска некоторые эмитенты карт взимают повышенную оплату за проведение CNP. Защитой для эквайрера является использование протокола 3D-Secure, который позволяет производить дополнительные проверки держателя карты и переносить ответственность на банк-эмитент.

Мошенничество с заказом по почте[править | править вики-текст]

Если карта физически не присутствует, когда покупатель производит оплату, то продавец должен надеяться на то, что держатель карты (или кого-то претендующего на такового) представит данные карты косвенно, будь то по почте, телефону или через интернет.

Компании-перевозчики могут гарантировать доставку товаров, но они, как правило, не требуют проверку идентификации покупателя и не участвуют в обработке платежей продавцу. Недавние превентивные меры позволяют продавцам осуществлятть доставку только на адрес, подтверждённый держателем карты, и банковские системы предлагают торговым предприятиям простые методы проверки этой информации. До ввода этих мер противодействия с 1992 года был распространён данный вид мошенничества. Мошеннику, именуемому кардером, достаточно было перехватить информацию о банковской карте добросовестного держателя, а затем перехватить доставку, чтобы товар не был доставлен к нему домой, например, стоя на крыльце дома в отсутствие владельцев жилья.

Транзакции на небольшие суммы как правило менее подвержены проверке и имеют меньше шансов скрупулёзного исследования со стороны эмитента карты или торгово-сервисного предприятия. Потому торговые точки через с CNP-операциями должны принимать дополнительные меры предосторожности от воздействия мошенников и связанных с этим потерь, это выражается в более высокой плате банку-эквайреру за право принимать платежи без присутствия карты. Преступники делают ставку на то, что множество превентивных мер против мошенничества не используют для транзакций на малые суммы.

Ассоциации торговых компаний разработали некоторые профилактические меры, такие как одноразовые номера карт, но они не увенчались успехом. Покупатели желают пользоваться возможностями своей карты без каких-либо неприятностей и ограничений и у них мало стимулов использовать дополнительные меры безопасности из-за законных ограничений прав держателя карты по возврату незаконно списанных средств. Торгово-сервисные предприятия реализуют профилактические меры, но рискуют потерять свой бизнес, если покупатели не будут использовать такие меры.

Афёры[править | править вики-текст]

За период с 2006 по 2010 годы Федеральная торговая комиссия США выявила мошеннических оплат по кредитным и дебетовым картам на суммы свыше 10 млн. долларов. Преступники использовали более 100 счетов продавцов для проведения операций оплаты.[1][2]

Каждый счёт был закреплён за идентификационным номером работодателя, принадлежащим продавцу с хорошо известным наименованием.[2][3]

Каждый счёт продавца был привязан к федеральному телефонному номеру в коде 8-800.[2] Каждый счёт был привязан к веб-сайту, созданному для него. Они также имели физические адреса у компаний, сдающих в аренду виртуальный офис, по каждому из счетов продавца. Предоставляющие такие услуги компании не знали и не участвовали в афёрах с обманом и перенаправляли любые обращения, поступившие в такой офис, в службы автоматической обработки почты, которые сканируют пришедшие с физических почтовых адресов письма и направляют их в документе PDF на электронную почту, созданную мошенниками.[1][2] Также мошенники на предмет их онлайн-проверки использовали IP-адреса в соседних с диапазонами от реального продавца, чтобы не вызывать лишних подозрений в случае больших расхождений.[2]

За четырёхлетний период таким образом было похищено по 9 долларов с более чем 1 миллиона платёжных карт.[2] Каждой картой оплачивалось лишь единожды. Компании, обслуживающие кредитные карты, расследовали только случаи с операциями от 10 и выше долларов, потому что затраты на расследование слишком существенные. Затем полученные преступным путём средства переводились на банковские счета в Литве, Эстонии, Латвии, Болгарии, Кипре и Киргизии, чтобы их не отследили и не вернули. Мошенники экспериментировали с оплатами в 20 центов и такие оплаты привлекли больше подозрений, чем платежи по 9 долларов.[1] По всему объёму этих операций о мошеннических оплатах или оспаривании платежа владельцем карты было заявлено примерно в 10 % случаев.[2][3]

Примечания[править | править вики-текст]

  1. 1 2 3 4 Stross, Randall. $9 Here, 20 Cents There and a Credit-Card Lawsuit, New York Times (August 21, 2010). Проверено 24 августа 2010. «If a credit card is physically swiped in the transaction, the bank that issued the card is on the hook for fraudulent charges. If it is a phone or Internet purchase — called a card-not-present transaction — the bank that hosted the merchant account that received the ill-gotten charges must make restitution, said Ms. Litan, the Gartner analyst.».
  2. 1 2 3 4 5 6 7 FTC Says Scammers Stole Millions, Using Virtual Companies, PCWorld (June 27, 2010). Проверено 25 августа 2010. «The scammers stayed under the radar by charging very small amounts — typically between $0.25 and $9 per card — and by setting up more than 100 bogus companies to process the transactions. ... According to the FTC, the fraudsters charged 1.35 million credit cards a total of $9.5 million, but only 78,724 of these fake charges were ever noticed.».
  3. 1 2 FTC Cracks Down On Micropayment Credit Card Scam, CRN (June 28, 1010). Проверено 25 августа 2010. «Altogether, the thieves charged a total of $9.5 million from a total of 1.35 million compromised cards over a period of four years starting in 2006. However, only about 10 percent of the fraudulent charges were ever reported or contested, according to the FTC.».