Как эффективно защитить держателя карты от мошенников

Как эффективно защитить
держателя карты от
мошенников
15 мая 2013
Яшин Леонид
Начальник управления рисками карточного бизнеса
ОАО АКБ Пробизнесбанк




Текущая схема транзакции в ПС Мастеркард и Виза
Существующие виды идентификации держателя карты
Фрод мониторинг
Новая схема проведения транзакции
Текущая схема транзакции в ПС
Мастеркард и Виза
запрос
Карта активная
Деньги есть
или мало
SMS
-Ввод реквизитов карты
-Прохождение данных через узлы ПС
-Проверка доступных средств
-Блокировка средств (если есть)
-Выдача наличных (оказание услуги)
-SMS клиенту о проеденной операции
Банкомат
Терминал
Интернет
ответ
Существующие виды идентификации
держателя карты

Подпись: может спасти при проверке карты в розничном магазине, если
вор воспользуется именно ей. Не спасает от любых подделок

CVV1: может спасти при подделке магнитной полосы. Не защищает в
интернете.

ПИН-Код : может спасти при операциях с требованием вода Пинкода.
Не защищает от несанкционированного списания в интернете и в розничном
магазине без Пинкода.

CVV2 : может спасти в интернете где запрашивается код. Не защищает от
несанкционированного списания в розничном магазине

3DSecure : защищает оплату в интернете в 3D магазинах. Не защищает от
несанкционированного списания в не 3D магазинах

Чип, PayPass и Pay Wave : защищает от подделки карты в чиповых
устройствах, но не защищает от несанкционированного списания в интернете
, в нечиповых устройствах и при краже.
Фрод мониторинг. Что крадут?
Скимминг
Фишинг
Ливанская петля
-Объект хищения
1. PAN+EXP+MSR+PIN
2. PAN+EXP+MSR
3. PAN
6. Карта PAN+EXP+MSR
4. PAN+EXP+CVV2
5. “Держатель карты”
-Где могут использоваться похищенные данные
1.
2.
3.
4.
5.
6.
Банкомат, Магазин, Интернет
Магазин (без Пина), Интернет
Интернет
Интернет
Банкомат (для перевода денег на др телефон) держатель сам переводит.
Магазин (без Пина), Интернет
Фрод мониторинг. Что нужно?





Желание защитить своих клиентов
Онлайн и оффлайн Антифрод система
Квалифицированные аналитики и специалисты мониторинга
Знать своих клиентов (их транзакционную активность)
Грамотно настроенные ограничители транзакций
запрос
Система
мониторинга
Карта активная
Деньги есть
или мало
Отклонить
или нет?
Банкомат
Терминал
Интернет
ответ
Клиент
Или нет?
Вариант защиты держателя карты
-
-
-
Условия выполнения защиты
Карта всегда в блоке
Актуальный номер телефона держателя карты в
БД банка
Телефон у клиента
Временно активируется через SMS с телефона
держателя на 15-20 минут.
По истечении
времени карта переходит в блок, даже если
операция невыполнена
Вариант SMS
код + номер карты последние 4 + сумма операции(й)
или
код + номер карты последние 4 + кол-во операции(й)
Вариант защиты держателя карты
На
15-20
Минут
Карта
в блоке
SMS
unblock
Снятие
денег
SMS
Об
Операции
Кража
данных
Блок
карты
SMS
Об
Операции
т.к. карта в
блоке ответ
всегда будет
05-Don`t honour
+7(910)xxxxxxx
Или другой, на
усмотрение
эмитента
Вариант защиты держателя карты






Банк на 95% знает, что операцию будет проводить
клиент, т.к. клиент сам активирует карту перед
операцией.
Исключено несанкционированное использование
ден средств клиента
В антифрод системе видны все неуспешные
попытки по карте
Клиент может продолжать пользоваться картой
Достаточно карты с магнитной полосой
Защищает в интернете, в рознице, при скимминге,
краже и даже телефонном фишинге
СПАСИБО ЗА ВНИМАНИЕ