С повсеместным распространением банковских карт стандарта EMV риски оффлайн-мошенничества заметно сократились, но как при этом складывается ситуация с онлайн-мошенничеством? Какие меры могут предпринять магазины, банки и потребители, чтобы бороться с ним более эффективно?
Для американских ритейлеров «Чёрная пятница» уже давно стала одним из наиболее оживлённых дней торговли в году. Приходящаяся на первую пятницу после Дня благодарения, она символизирует начало рождественского сезона распродаж, когда ритейлеры вступают в беспощадную конкуренцию, предлагая покупателям огромные скидки и многочисленные промо-предложения. По данным Национальной федерации розничной торговли, во время Чёрной пятницы 2015 года покупки совершили около 150 миллионов американцев, при этом средний чек составил 300 долларов США.
За последние несколько лет «Чёрная пятница» заметно преобразилась, отражая изменения в покупательских привычках и предпочтениях. Почти так же, как и в течение всего остального года, покупатели в этот день всё чаще предпочитают совершать покупки не в традиционных магазинах, а через Интернет. Согласно данным Adobe Digital Research, в этот раз доля онлайн покупок в общем числе покупок увеличилась по сравнению с «Чёрной пятницей» предыдущего года на 14%, при этом было зафиксировано снижение количества покупок в офлайн магазинах.
Кроме того, «Чёрная пятница» стала приобретать глобальный характер, что также обусловлено развитием и повсеместным проникновением онлайн-торговли. От Лондона до Сиднея, от Южной Африки до Сибири, — всё чаще можно встретить магазины, предлагающие специальные акции, приуроченные к «Чёрной пятнице».
К сожалению, это тренд популярен не только у покупателей: мошенники тоже активно осваивают интернет-пространство, что связано как с большими оборотами онлайн-торговли, так и с высокой эффективностью механизмов для противодействия мошенничеству при офлайн-транзакциях.
В историю цифровых технологий 2015 год войдёт как год, когда для противодействия физическому клонированию банковских карт в США наконец-то был принят стандарт EMV, предусматривающий одновременное использование чипа и PIN-кода. Этот стандарт получил широкое распространение во всём мире и является эффективным решением для противодействия мошенническим действиям с банковскими картами в присутствии держателя карты. Так, по данным ассоциации UK Card Association, благодаря внедрению EMV сумма ущерба от мошеннических операций сократилась с 505 млн фунтов стерлингов в 2004 году до 340 млн фунтов стерлингов в 2011 году.
Однако сегодня, когда в результате внедрения EMV количество мошеннических транзакций в присутствии держателей банковской карточки резко сократилось, злоумышленники начали активно осваивать интернет-пространство, в результате чего число мошеннических операций в отсутствие держателей банковских карт (“card-not-present”, CNP) увеличилось. Сумма ущерба от мошеннических действий с банковскими картами в Великобритании сегодня снова выросла и составляет 479 млн. фунтов стерлингов, при этом половина этой суммы приходится на CNP транзакции.
Вместе с ростом электронной коммерции всё острее встаёт вопрос, каким образом ритейлеры могут сделать онлайн-транзакции столь же безопасными и поддающимися контролю, что и транзакции с использованием чипа и проверкой PIN-кода в офлайн супермаркетах?
Хорошая новость заключается в том, что на рынке уже существует множество решений, которые выполняют проверку подлинности покупателя и достоверности деталей платежа, а также гарантируют, что ритейлер действительно является реальным и ответственным получателем данных покупателя.
Технология двухфакторной аутентификации (2FA) является одним из наиболее распространённых инструментов для предотвращения онлайн-мошенничества. Эта технология может быть реализована в самом различном виде, начиная с биометрических датчиков Apple Pay и шифрования данных средствами смартфона и заканчивая технологией SnapScan на базе QR кодов, которая используется, например, банком Standard Bank в Южно-Африканской Республике, где для обработки платежной транзакции пользователю необходимо иметь верифицированный телефон, оснащенный камерой.
Тем временем, мексиканский банк BBVA Bancomer предлагает своим клиентам банковские карты стандарта EMV, которые оснащены новым видом CSV кода – трёхзначного кода или «кода безопасности», который в большинстве платежных карт расположен с обратной стороны карты – для целей подтверждения CNP платежей. Вместо статического кода безопасности здесь реализовано решение с использованием динамического кода верификации (Dynamic Code Verification, DCV). При этом каждые 20 минут генерируется новый проверочный код, который отображается для держателя карты либо на небольшом экране, встроенном в карту, либо генерируется на установленном в телефоне приложении.
Таким образом, даже в случае хищения данных банковской карты в результате какой-либо утечки, в отсутствие актуального DCV кода, необходимого для двухфакторной аутентификации, остальные реквизиты платежной карты фактически бесполезны для злоумышленника.
Европейский Союз настаивает на введении обязательной двухфакторной аутентификации для всех онлайн-транзакций. Согласно рекомендациям, опубликованным Европейской службой банковского надзора (European Banking Authority) в 2013 году, поставщики платежных сервисов должны заблаговременно изучать возможности и внедрять инструменты двухфакторной аутентификации – еще до принятия новой Директивы о платёжных услугах (Payment Services Directive), которая будет подписана и вступит в силу в течение следующих двух лет и, вероятнее всего, потребует от поставщиков сервисов предоставления всем своим клиентам возможности двухфакторной аутентификации.
Однако для ритейлеров основной задачей по-прежнему остаётся обеспечение удобства для своих клиентов: согласно исследованию Baymard Institute от 2015 года, примерно в 68% случаев покупатели так и не завершают оформление заказа. Малейшее препятствие или неудобство на этапе оплаты (к примеру, необходимость использовать дополнительный токен аутентификации) увеличивает вероятность того, что они передумают и не станут совершать покупку.
В этом случае использование таких систем как DCV может оказаться существенным преимуществом. Ведь при этом ни для покупателя, ни для продавца никаких видимых изменений не происходит – в процессе оплаты покупатель по-прежнему вводит данные своей банковской карты, точно так же, как и при работе с любой другой системой, которая в настоящее время может быть установлена у продавца. Единственное отличие заключается в том, что эмитенту карты придётся осуществлять аутентификацию транзакции с использованием DCV несколько иначе, чем это происходит при проверке CSV кода.
Подобная инновация способна в корне изменить ситуацию с обеспечением безопасности в отрасли электронной коммерции. И если благодаря этому удастся добиться такого же эффекта в области противодействия онлайн-мошенничеству, как введение стандарта EMV повлияло на оффлайн-угрозы, то следующая «Чёрная пятница» окажется не только самым крупной и масштабной распродажей за все время, но при этом и самой безопасной.
Для американских ритейлеров «Чёрная пятница» уже давно стала одним из наиболее оживлённых дней торговли в году. Приходящаяся на первую пятницу после Дня благодарения, она символизирует начало рождественского сезона распродаж, когда ритейлеры вступают в беспощадную конкуренцию, предлагая покупателям огромные скидки и многочисленные промо-предложения. По данным Национальной федерации розничной торговли, во время Чёрной пятницы 2015 года покупки совершили около 150 миллионов американцев, при этом средний чек составил 300 долларов США.
За последние несколько лет «Чёрная пятница» заметно преобразилась, отражая изменения в покупательских привычках и предпочтениях. Почти так же, как и в течение всего остального года, покупатели в этот день всё чаще предпочитают совершать покупки не в традиционных магазинах, а через Интернет. Согласно данным Adobe Digital Research, в этот раз доля онлайн покупок в общем числе покупок увеличилась по сравнению с «Чёрной пятницей» предыдущего года на 14%, при этом было зафиксировано снижение количества покупок в офлайн магазинах.
Кроме того, «Чёрная пятница» стала приобретать глобальный характер, что также обусловлено развитием и повсеместным проникновением онлайн-торговли. От Лондона до Сиднея, от Южной Африки до Сибири, — всё чаще можно встретить магазины, предлагающие специальные акции, приуроченные к «Чёрной пятнице».
К сожалению, это тренд популярен не только у покупателей: мошенники тоже активно осваивают интернет-пространство, что связано как с большими оборотами онлайн-торговли, так и с высокой эффективностью механизмов для противодействия мошенничеству при офлайн-транзакциях.
В историю цифровых технологий 2015 год войдёт как год, когда для противодействия физическому клонированию банковских карт в США наконец-то был принят стандарт EMV, предусматривающий одновременное использование чипа и PIN-кода. Этот стандарт получил широкое распространение во всём мире и является эффективным решением для противодействия мошенническим действиям с банковскими картами в присутствии держателя карты. Так, по данным ассоциации UK Card Association, благодаря внедрению EMV сумма ущерба от мошеннических операций сократилась с 505 млн фунтов стерлингов в 2004 году до 340 млн фунтов стерлингов в 2011 году.
Однако сегодня, когда в результате внедрения EMV количество мошеннических транзакций в присутствии держателей банковской карточки резко сократилось, злоумышленники начали активно осваивать интернет-пространство, в результате чего число мошеннических операций в отсутствие держателей банковских карт (“card-not-present”, CNP) увеличилось. Сумма ущерба от мошеннических действий с банковскими картами в Великобритании сегодня снова выросла и составляет 479 млн. фунтов стерлингов, при этом половина этой суммы приходится на CNP транзакции.
Обеспечение безопасности электронной коммерции
Вместе с ростом электронной коммерции всё острее встаёт вопрос, каким образом ритейлеры могут сделать онлайн-транзакции столь же безопасными и поддающимися контролю, что и транзакции с использованием чипа и проверкой PIN-кода в офлайн супермаркетах?
Хорошая новость заключается в том, что на рынке уже существует множество решений, которые выполняют проверку подлинности покупателя и достоверности деталей платежа, а также гарантируют, что ритейлер действительно является реальным и ответственным получателем данных покупателя.
Технология двухфакторной аутентификации (2FA) является одним из наиболее распространённых инструментов для предотвращения онлайн-мошенничества. Эта технология может быть реализована в самом различном виде, начиная с биометрических датчиков Apple Pay и шифрования данных средствами смартфона и заканчивая технологией SnapScan на базе QR кодов, которая используется, например, банком Standard Bank в Южно-Африканской Республике, где для обработки платежной транзакции пользователю необходимо иметь верифицированный телефон, оснащенный камерой.
Тем временем, мексиканский банк BBVA Bancomer предлагает своим клиентам банковские карты стандарта EMV, которые оснащены новым видом CSV кода – трёхзначного кода или «кода безопасности», который в большинстве платежных карт расположен с обратной стороны карты – для целей подтверждения CNP платежей. Вместо статического кода безопасности здесь реализовано решение с использованием динамического кода верификации (Dynamic Code Verification, DCV). При этом каждые 20 минут генерируется новый проверочный код, который отображается для держателя карты либо на небольшом экране, встроенном в карту, либо генерируется на установленном в телефоне приложении.
Таким образом, даже в случае хищения данных банковской карты в результате какой-либо утечки, в отсутствие актуального DCV кода, необходимого для двухфакторной аутентификации, остальные реквизиты платежной карты фактически бесполезны для злоумышленника.
Задача, стоящая перед ритейлерами
Европейский Союз настаивает на введении обязательной двухфакторной аутентификации для всех онлайн-транзакций. Согласно рекомендациям, опубликованным Европейской службой банковского надзора (European Banking Authority) в 2013 году, поставщики платежных сервисов должны заблаговременно изучать возможности и внедрять инструменты двухфакторной аутентификации – еще до принятия новой Директивы о платёжных услугах (Payment Services Directive), которая будет подписана и вступит в силу в течение следующих двух лет и, вероятнее всего, потребует от поставщиков сервисов предоставления всем своим клиентам возможности двухфакторной аутентификации.
Однако для ритейлеров основной задачей по-прежнему остаётся обеспечение удобства для своих клиентов: согласно исследованию Baymard Institute от 2015 года, примерно в 68% случаев покупатели так и не завершают оформление заказа. Малейшее препятствие или неудобство на этапе оплаты (к примеру, необходимость использовать дополнительный токен аутентификации) увеличивает вероятность того, что они передумают и не станут совершать покупку.
В этом случае использование таких систем как DCV может оказаться существенным преимуществом. Ведь при этом ни для покупателя, ни для продавца никаких видимых изменений не происходит – в процессе оплаты покупатель по-прежнему вводит данные своей банковской карты, точно так же, как и при работе с любой другой системой, которая в настоящее время может быть установлена у продавца. Единственное отличие заключается в том, что эмитенту карты придётся осуществлять аутентификацию транзакции с использованием DCV несколько иначе, чем это происходит при проверке CSV кода.
Подобная инновация способна в корне изменить ситуацию с обеспечением безопасности в отрасли электронной коммерции. И если благодаря этому удастся добиться такого же эффекта в области противодействия онлайн-мошенничеству, как введение стандарта EMV повлияло на оффлайн-угрозы, то следующая «Чёрная пятница» окажется не только самым крупной и масштабной распродажей за все время, но при этом и самой безопасной.
3 совета, как сделать онлайн-торговлю более безопасной
- Используйте строгую аутентификацию
Внедряйте механизмы строгой аутентификации – они помогут завоевать доверие ваших заказчиков. Используйте шифрование не только для защиты процессов оплаты: сделав SSL (Secure Sockets Layer) на своём сайте обязательным для всех браузеров, вы сможете максимально оперативно узнавать о любых фишинговых атаках, предпринимаемых фиктивными сайтами с использованием поддельных сертификатов безопасности. - Обеспечивайте безопасность процессов оформления заказа и его оплаты
Защищайте платежные данные ваших клиентов за счет реализации безопасных процессов оформления заказа. Обязательным условием является работа с надежной и респектабельной платежной системой, поддерживающей двухфакторную аутентификацию. - Защитите свои сайты от DNS атак
В 2012 году сирийская электронная армия взломала сайты New York Times, Twitter и Huffington Post, изменив записи в DNS системе, и таким образом перенаправив пользовательский трафик. Для защиты от подобных атак убедитесь, что ваш сайт соответствует требованиям стандартов DNSSEC.